Die Bedrohungen für die Cybersicherheit kritischer Infrastrukturen nehmen weiter zu, da die Bedrohungsakteure die Beschleunigung der Initiativen zur digitalen Transformation nutzen, die durch die Pandemie, das rasche Wachstum in verschiedenen Sektoren und geografischen Regionen sowie den Paradigmenwechsel beim Arbeiten von überall aus ausgelöst wurde. Während die Kostenvorteile und der Wettbewerbsvorteil der Konnektivität für Unternehmen groß sind, haben sie auch zusätzliche Cyberrisiken mit sich gebracht. Das Aufkommen des erweiterten Internets der Dinge (Extended Internet of Things, XIoT), der cyber-physischen Systeme (CPS) und der zugrundeliegenden vernetzten Anlagen, die nicht unbedingt für eine nahtlose Koexistenz in einer vernetzten Umgebung konzipiert waren, bieten nun eine erweiterte Angriffsfläche. Dazu gehören auch Anlagen der Internettechnologie (IT) und der Betriebstechnologie (OT), die Zunahme verschiedener IoT-Technologien sowie die Prozesse und Wege, die sie verbinden.
Um Organisationen dabei zu helfen, schneller zu einer Basisverteidigung zu gelangen, hat die Cybersecurity Infrastructure & Security Agency (CISA) ihre neuen Sektorübergreifende Leistungsziele für Cybersicherheit (CPGs). Organisationen sollten die Richtlinien als unkomplizierten Ausgangspunkt für die Umsetzung der Best Practices des NIST Cybersecurity Framework (CSF) betrachten. Die CISA beschreibt diese CPGs als "eine priorisierte Untergruppe von IT- und OT-Cybersicherheitspraktiken, die darauf abzielen, die Risiken sowohl für den Betrieb kritischer Infrastrukturen als auch für die amerikanische Bevölkerung deutlich zu reduzieren".
In diesem Blog werfen wir einen genaueren Blick auf die in Abschnitt 4 des CPG-Kerndokuments dargelegten Schlüsselbereiche, die einen Rahmen für die Führung und Steuerung der Cybersicherheit in den heutigen, stark vernetzten XIoT-Umgebungen darstellen. Wir haben die von der CISA empfohlenen Maßnahmen mit einigen der wichtigsten Erkenntnisse und bewährten Verfahren von Clarotyergänzt, die auf bewährten Erfolgen bei der Arbeit mit Organisationen für kritische Infrastrukturen jeder Größe und in verschiedenen Branchen basieren.
Organisatorische Richtlinien für die Cybersicherheitsführung
Zielsetzung: Beitrag zur Beseitigung von Mängeln bei der Rechenschaftspflicht, den Investitionen oder der Wirksamkeit des Cybersicherheitsprogramms insgesamt.
CISA empfiehlt, eine Rolle/Position/Titel zu benennen, die für die Planung, Bereitstellung von Ressourcen und Ausführung von Cybersicherheitsaktivitäten verantwortlich und rechenschaftspflichtig ist. Dies kann Aktivitäten wie die Verwaltung von Cybersicherheitsaktivitäten auf leitender Ebene, die Beantragung und Sicherung von Budgetmitteln und die Leitung der Strategieentwicklung umfassen.
Wir haben beobachtet, dass viele Unternehmen einen von der IT getrennten OT-Governance-Prozess und ein Security Operations Center (SOC) einrichten. Dieser Ansatz schafft neue Prozesse und verdoppelt die Koordination, was Zeit und Mühe kostet. Stattdessen sollten Unternehmen ein XIoT-SOC einrichten, das IT- und OT-Cybersicherheitsbelange im breiteren Rahmen der XIoT-Cybersicherheit kohärent behandelt. Die Zentralisierung der organisatorischen Cybersicherheitsführung und -steuerung unter einer Person ist letztendlich der effektivste Ansatz. Dies könnte der CISO oder ein direkter Mitarbeiter sein, der über ein hohes Maß an strategischer Erfahrung und Managementkompetenz verfügt. Wir sind der Meinung, dass der organisatorische Leiter für Cybersicherheit im Idealfall intern ernannt werden sollte. Dadurch wird sichergestellt, dass er über das institutionelle Wissen und die etablierten Arbeitsbeziehungen verfügt, um die Herausforderungen zu meistern, die mit der Konsolidierung der Governance und der Aufrechterhaltung der Kontinuität der Überwachung und Berichterstattung verbunden sind.
OT-Cybersicherheitsrichtlinien für Führungskräfte
Zielsetzung: Behebung des Mangels an Rechenschaftspflicht, Investitionen oder Wirksamkeit des OT-Cybersicherheitsprogramms.
CISA empfiehlt, eine Rolle/Position/Titel zu benennen, die für die Planung, Bereitstellung von Ressourcen und Durchführung von OT-spezifischen Cybersicherheitsaktivitäten verantwortlich und rechenschaftspflichtig ist. In einigen Organisationen könnte dies laut CISA die gleiche Person sein wie der organisatorische Leiter für Cybersicherheit.
Der OT-Cybersicherheitsleiter muss im Falle eines Cybervorfalls als Ansprechpartner fungieren und sollte sich mit denSOC -Verfahren, -Anforderungen und -Zielen auskennen oder bereit sein, sich in diesen Bereichen schulen zu lassen. Darüber hinaus empfiehlt Claroty die Einführung eines Cybersecurity Site Leader (CSL) an jedem physischen OT-Standort eines Unternehmens. Diese Person sollte in der Lage sein, die Sprache der Beteiligten in der Anlage zu sprechen und ihre Rollen gut genug zu verstehen, um gemeinsam an der effektiven Lösung kritischer Probleme zu arbeiten. Bei einem Sicherheitsvorfall muss der CSL in der Lage sein, die schnelle Reaktion zu leiten und sich mit dem SOC und dem standortspezifischen OT-Personal abzustimmen. Der CSL muss auch in der Lage sein, den Schweregrad eines Ereignisses richtig einzuschätzen und den Kompromiss zwischen dem Risiko und den potenziellen Betriebsunterbrechungen, die durch Abhilfemaßnahmen entstehen können, abzuwägen.
Leitlinien für die Beziehung zwischen IT- und OT-Cybersicherheit
Zielsetzung: Abhilfe für schlechte Arbeitsbeziehungen und mangelndes gegenseitiges Verständnis zwischen IT und OT, um die OT-Cybersicherheit zu verbessern.
Starke Arbeitsbeziehungen sind unerlässlich, um die Herausforderungen zu meistern, die sich aus der Zusammenarbeit von IT- und OT-Personal ergeben, um gemeinsame Ziele zu erreichen. CISA empfiehlt, dass Unternehmen mindestens eine Veranstaltung pro Jahr sponsern, die auf die Stärkung der Arbeitsbeziehungen zwischen IT- und OT-Sicherheitspersonal ausgerichtet ist.
Unserer Erfahrung nach besteht die Herausforderung bei der Zusammenführung von IT- und OT-Teams zur Erreichung des gemeinsamen Ziels, die allgemeine Sicherheitslage eines Unternehmens zu verbessern, darin, dass diese Teams in der Regel unterschiedliche Prioritäten haben. Wie CISA erwähnt, bieten gesellschaftliche Zusammenkünfte eine Gelegenheit, die Abstimmung zwischen IT- und OT-Teams zu fördern, und sollten nach Möglichkeit häufiger durchgeführt werden. IT- und OT-Teams neigen auch dazu, die drei Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit unterschiedlich zu gewichten. Teams, die für die Informationssicherheit zuständig sind, räumen der Vertraulichkeit von Daten in der Regel Vorrang vor Integrität und Verfügbarkeit ein, während die Teams, die OT-Netzwerke betreiben, der Verfügbarkeit (oder Betriebszeit) Vorrang vor Integrität und Vertraulichkeit einräumen. Um die Kluft zwischen IT- und OT-Sicherheit zu überbrücken, müssen beide Teams die Feinheiten des jeweils anderen kennenlernen. So wird sichergestellt, dass nicht zwei Teams das Gleiche zu doppelten Kosten tun. Insgesamt wird durch die Umsetzung von Strategien, die zum Aufbau starker Arbeitsbeziehungen und eines gegenseitigen Verständnisses beitragen, ein Umfeld gefördert, in dem Teams gemeinsam Cyberrisiken verringern können.
Starten Sie Ihre Cybersecurity-Bemühungen mit CPG und Claroty
Die Einhaltung der CPGs ist zwar nicht verpflichtend, aber angesichts der beispiellosen Cyber-Bedrohungen ist es dringend erforderlich, die Cybersicherheit der kritischen Infrastrukturen unseres Landes zu verbessern. Die CPG-Richtlinien der CISA sind eine hervorragende Möglichkeit, eine Teilmenge der für die Risikominderung priorisierten Praktiken schnell zu implementieren, bestehende Programme zu vergleichen, zu überprüfen, ob kritische Bereiche abgedeckt sind, und etwaige Lücken zu schließen. Mit diesen Richtlinien und der Erfahrung der Experten von Clarotybei der Sicherung von cyber-physischen Systemen können Unternehmen nicht nur die Risiken für ihre kritischen Infrastrukturen, sondern auch für die amerikanische Bevölkerung verringern. Wir wissen, dass eine wirksame Führung und Verwaltung im Bereich der Cybersicherheit die Grundlage für den Aufbau einer starken Cybersicherheitsstruktur ist, aber zu wissen, wo man anfangen soll, kann eine Herausforderung sein.
