Keywords
OT-Sicherheit, funktionale Sicherheit,SANS, ICS, ROI, Segmentierung, OT-Isolation, Risikomanagement, Neuseeland
Zusammenfassung
Der Neuseeländer Peter Jackson von SGS (nicht der von „Herr der Ringe“!) spricht über die richtige Größe von Cybersicherheitsgesetzen, sinnvolle OT-Sicherheitsbewertungen und die leicht zu erreichenden Ziele beim Aufbau der Resilienz. Er diskutiert mit Moderator Klaus Mochalski, wie eine OT-Schwachstellenbewertung dabei hilft, die Risikolandschaft zu verstehen, wie Resilienz schnell und einfach gestärkt werden kann, welche Herausforderungen es bei der Segmentierung und Isolierung gibt und warum es wichtig ist, über echte Risiken zu sprechen und nicht über Schreckgespenster.
Kernargumente
Die neuseeländische Gesetzgebung zur Cybersicherheit wird wahrscheinlich den australischen SoCI-Vorschriften ähneln.
Die Lebenshaltungskosten im Bereich Energie sind ein wichtiger Faktor bei der Festlegung von Maßnahmen für kritische Infrastrukturen.
Eine OT-Schwachstellenbewertung ist der erste Schritt auf dem Weg zu OT-Sicherheit.
Die Risikoanalyse umfasst Menschen, Prozesse, Netzwerke, Technologien und Kommunikation.
Jede Bewertung wird sowohl leicht zu erreichende Ziele als auch strategischere langfristige Maßnahmen identifizieren.
OT-Unternehmen sollten ihre Isolationsprozesse definieren und testen, um im Falle eines Angriffs eine schnelle und zuverlässige Trennung von OT und IT zu gewährleisten.
Es gibt mehrere low-hanging fruits, mit denen Unternehmen schnell OT-Sicherheit aufbauen können.
Um ein Übergreifen zu erschweren, kann eine klare Protokollunterbrechung zwischen IT und OT hilfreich sein.
Cyber-Resilienz muss auf echten, realen und greifbaren Risikoszenarien basieren, um Budgets zu erhalten.
Gut gesagt
"Für die meisten Industrieunternehmen liegt ihr Kerngeschäft in der OT-Welt. Dort sollten sie ihre Zeit investieren, um ihre Widerstandsfähigkeit und ihren Erfolg zu verbessern."
"Eines meiner Lieblingswerkzeuge ist das SANS „5 critical controls for ICS” (5 kritische Kontrollen für ICS). Im Grunde geht es darum, auf einen schlechten Tag vorbereitet zu sein."
"Da wir diese Konnektivität aufgebaut haben und damit auch das Risiko erhöhen, wollen wir von Robustheit zu Resilienz übergehen."
"Sicherheit macht die Dinge immer ein bisschen schwieriger, aber wir wollen es nicht zu schwierig machen, denn dann können die Menschen ihre Arbeit nicht mehr machen."
Kapitel
00:00 Einführung
02:00 Gesetzgebung in Neuseeland
03:40 Gesetzgebung in der richtigenGrößenordnung
04:40 Risiken aus einer ganzheitlichenPerspektive
05:10 Wie eine OT-Schwachstellenbewertungals erster Schritt funktioniert
08:00 OT als Kerngeschäft verstehen
10:15 Drei low-hanging fruits in derOT-Sicherheit
15:06 Der Zylinder der Exzellenz in derOT-Sicherheit
16:52 Wie man richtig segmentiert
18:50 Herausforderungen neuer Technologienin der OT
20:10 Cyber-Resilienz auf der Grundlagerealer Risikoszenarien
23:10 Kommunikation der OT-Sicherheit andas Management
23:50 Zusammenfassung
