Keywords
OT-Sicherheit, funktionale Sicherheit,SANS, ICS, ROI, Segmentierung, OT-Isolation, Risikomanagement, Neuseeland
Zusammenfassung
Der Neuseeländer PeterJackson von SGS (nicht der von „Herr der Ringe“!) spricht über die richtigeGröße von Cybersicherheitsgesetzen, sinnvolle OT-Sicherheitsbewertungen und dieleicht zu erreichenden Ziele beim Aufbau der Resilienz. Er diskutiert mit ModeratorKlaus Mochalski, wie eine OT-Schwachstellenbewertung dabei hilft, dieRisikolandschaft zu verstehen, wie Resilienz schnell und einfach gestärktwerden kann, welche Herausforderungen es bei der Segmentierung und Isolierunggibt und warum es wichtig ist, über echte Risiken zu sprechen und nicht überSchreckgespenster.
Kernargumente
Die neuseeländische Gesetzgebung zurCybersicherheit wird wahrscheinlich den australischen SoCI-Vorschriften ähneln.
Die Lebenshaltungskosten im Bereich Energiesind ein wichtiger Faktor bei der Festlegung von Maßnahmen für kritischeInfrastrukturen.
Eine OT-Schwachstellenbewertung ist dererste Schritt auf dem Weg zu OT-Sicherheit.
Die Risikoanalyse umfasst Menschen,Prozesse, Netzwerke, Technologien und Kommunikation.
Jede Bewertung wird sowohl leicht zuerreichende Ziele als auch strategischere langfristige Maßnahmenidentifizieren.
OT-Unternehmen sollten ihreIsolationsprozesse definieren und testen, um im Falle eines Angriffs eineschnelle und zuverlässige Trennung von OT und IT zu gewährleisten.
Es gibt mehrere low-hanging fruits, mitdenen Unternehmen schnell OT-Sicherheit aufbauen können.
Um ein Übergreifen zu erschweren, kann eineklare Protokollunterbrechung zwischen IT und OT hilfreich sein.
Cyber-Resilienz muss auf echten, realen undgreifbaren Risikoszenarien basieren, um Budgets zu erhalten.
Gut gesagt
Fürdie meisten Industrieunternehmen liegt ihr Kerngeschäft in der OT-Welt. Dortsollten sie ihre Zeit investieren, um ihre Widerstandsfähigkeit und ihrenErfolg zu verbessern.
Einesmeiner Lieblingswerkzeuge ist das SANS „5 critical controls for ICS” (5kritische Kontrollen für ICS). Im Grunde geht es darum, auf einen schlechtenTag vorbereitet zu sein.
Dawir diese Konnektivität aufgebaut haben und damit auch das Risiko erhöhen,wollen wir von Robustheit zu Resilienz übergehen.
Sicherheitmacht die Dinge immer ein bisschen schwieriger, aber wir wollen es nicht zuschwierig machen, denn dann können die Menschen ihre Arbeit nicht mehr machen.
Kapitel
00:00 Einführung
02:00 Gesetzgebung in Neuseeland
03:40 Gesetzgebung in der richtigenGrößenordnung
04:40 Risiken aus einer ganzheitlichenPerspektive
05:10 Wie eine OT-Schwachstellenbewertungals erster Schritt funktioniert
08:00 OT als Kerngeschäft verstehen
10:15 Drei low-hanging fruits in derOT-Sicherheit
15:06 Der Zylinder der Exzellenz in derOT-Sicherheit
16:52 Wie man richtig segmentiert
18:50 Herausforderungen neuer Technologienin der OT
20:10 Cyber-Resilienz auf der Grundlagerealer Risikoszenarien
23:10 Kommunikation der OT-Sicherheit andas Management
23:50 Zusammenfassung
