CISA, SolarWinds steigern das Interesse an Sicherheits-Scoring

  • Die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat kürzlich Sicherheitsbewertungen oder Scoring als Teil ihrer Initiative zur Verringerung von Cyberrisiken eingeführt. (poundcommapound ist lizenziert unter CC BY-NC-ND 2.0)

    Die Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich Sicherheitsbewertungen oder Scoring als Teil ihrer Initiative zur Reduzierung von Cyberrisiken eingeführt. Aber was verbirgt sich hinter den Zahlen?

    Sachin Bansal, General Counsel bei SecurityScorecard, sprach mit SC Media über Ratings und wie sie zur Stärkung der Lieferkette, zur Festlegung von Cyber-Versicherungsprämien und als Ermittlungsinstrument für eine Aufsichtsbehörde eingesetzt werden können.

    Die Idee, eine Art von Sicherheits-Rating-System zu schaffen, wird schon seit längerem diskutiert. Was bedeutet die Empfehlung der CISA für dieses Ziel?

    Dies war bedeutsam, weil die CISA erkannt hat, dass Sicherheitsratings Teil des De-facto-Standards für mittlere und große Unternehmen sind. Regierungsbehörden geben nicht unbedingt Empfehlungen ab, aber sie erkennen Sicherheitsratings als eine Metrik für Cyberrisiken an. Dies ist in vielerlei Hinsicht von Bedeutung, da sie die Notwendigkeit von Messungen im Bereich der Cybersicherheit hervorheben, über die man sich einig ist – eine objektive, quantitative, getriebene Art und Weise, cyber-resilient zu sein. Wie misst man? Woher wissen Sie, wie cybergesund Sie sind, wie cyberresilient Sie oder Ihre Anbieter sind? Wie stehen Sie im Vergleich zu Ihren Mitbewerbern da? Eine Möglichkeit, nicht die einzige, sind Sicherheitsratings.

    CISA konzentriert sich auf kritische Infrastrukturen, die eine Reihe von Sektoren wie Gesundheitswesen und Energie und Transport umfassen und auch die Regierung einschließen. Sie identifizieren einen Bedarf für die Reduzierung des Risikos in mehreren Sektoren unserer Wirtschaft, was sowohl unsere nationale Sicherheit als auch unsere wirtschaftliche Sicherheit verbessern wird.

    Ein Rating ist mehr als nur eine Zahl. Was ist damit verbunden?

    Ja. Also, es gibt eine Punktzahl, aber unter der Punktzahl gibt es eine Reihe von Faktoren, die die Punktzahl beeinflussen. Es ist wichtig zu wissen, was der Score ist und was ihm zugrunde liegt. In einem Beispiel für ein Kreditrating werden Sie daran interessiert sein zu wissen, ob das Unternehmen Konkurs angemeldet hat, ob es Kredite hat oder ob es Kredite gibt, die ausgefallen sind. Im Zusammenhang mit Cyber-Ratings ist es ein Lesen von außen nach innen. Nicht aufdringlich, es ist keine Penetration. Es ist das, was ein Hacker von einer Firma sieht. Es ist also ein Rating, das auf der ganzheitlichen Cyber-Gesundheit des Unternehmens basiert, z. B. auf den internen Netzwerkmanagement-Fähigkeiten, wie oft die Browser aktualisiert werden und so weiter.

    Die Analogie ist folgende: Wenn Sie in einer Nachbarschaft fahren und eine Reihe von Häusern sehen, aber ein Haus im Besonderen hat Graffiti, Zeitungsstapel und zerbrochene Fenster. Das ist alles von außen beobachtbar; Sie würden daraus bestimmte Schlüsse ziehen. Wenn wir also anhand unserer Daten sehen, dass ein Unternehmen veraltete Browser verwendet, Patches nicht veröffentlicht hat und Malware im Internet verbreitet, ist das ein Hinweis auf mangelnde Cyberhygiene.

    Aber der Blick von außen sagt vielleicht nicht die ganze Wahrheit, oder?

    Nun, ein Unternehmen könnte sagen: “Wir haben eine hervorragende interne Sicherheit und Sie wissen nicht, was im Inneren ist.” Das ist ein sehr wertvoller Datenpunkt. Um auf die Analogie mit dem Haus zurückzukommen, könnte der Besitzer des Hauses sagen: “Nun, ihr wisst nicht, dass sich ein bewaffnetes SWAT-Team im Haus befindet; es gibt einen Kampfhund und es gibt Infrarotaufnahmen. Aber die Chancen dafür sind ziemlich gering. Ähnlich verhält es sich bei uns: Wenn Sie eine niedrige Netzwerksicherheit feststellen, wenn Sie eine schlechte DNS-Hilfe finden, wenn Sie Probleme mit Mitarbeiterarbeitsplätzen, Remote-Arbeitsplätzen, Malware und so weiter finden, ist die interne Sicherheit wahrscheinlich nicht so interessant.

    Wie oft werden die Bewertungen aktualisiert und was kann das für die Sicherung von Lieferketten bedeuten?

    Anhand der Bewertungen Ihrer Lieferanten können Sie sehen, wer im Rückstand ist. Diese Scores werden täglich aktualisiert, da sich das Internet täglich verändert. Die Due-Diligence-Prüfung von Lieferanten wurde bisher höchstens in mittleren und großen Unternehmen mit Hilfe von Verträgen durchgeführt. Im Grunde unterschreiben Sie einen Anbietervertrag und sagen, dass Sie uns Ihren jährlichen Pen-Test und Ihren jährlichen SOC-Bericht zukommen lassen müssen. Wir haben das Recht, Sie zu auditieren, wir haben das Recht, Ihnen einen Fragebogen zu schicken.

    Was könnten Ratings in Bezug auf die Haftung bedeuten, wenn etwas passiert? Sind Unternehmen, die Ratings nutzen, um ihre Partner zu überwachen oder sogar auszuwählen, in einer besseren Position, wenn ein Cybersicherheitsvorfall eintritt?

    Die Ratings werden von mehreren verschiedenen Faktoren direkt im Cybersecurity-Ökosystem genutzt. Es gibt vorausschauende Cyber-Versicherer, die Cyber-Ratings nutzen, um den Preis für Cyber-Versicherungen, die sie abschließen, zu bestimmen. Wir gehen davon aus, dass einige Versicherer eine gute Rating-Bilanz, sei es für das Unternehmen selbst oder für seine Zulieferer, als eine Möglichkeit erkennen, ihre Cyber-Versicherung entweder nach oben oder nach unten zu beeinflussen. Die Analogie ist, dass ein gutes oder schlechtes Fahrverhalten Auswirkungen auf die Autoversicherung hat.

    Eine Reihe von Behörden und staatlichen Akteuren auf Landes- und Bundesebene fangen an, Sicherheitsbewertungen für sich selbst und für ihre eigenen Dienstleister zu verwenden. Sie nutzen sie auch für Ermittlungszwecke, z.B. wenn sie glauben, dass es eine Datenverletzung gegeben hat, die ein staatliches Verbraucherschutz- oder Datenschutzgesetz verletzen könnte. Sie können Teil dieser Ermittlungen sein. Sie können also sowohl offensiv als auch defensiv eingesetzt werden.

    Hat die SolarWinds-Kampagne geholfen, die Nadel zu bewegen?

    In der Folge von SolarWinds liegt ein besonderer Fokus auf der Notwendigkeit von Cyber-Risiko-Metriken, wie z. B. Sicherheitsbewertungen. Der Angriff selbst ist nicht so interessant wie die Breite und Tiefe der Unternehmen und Behörden, die betroffen waren. Er hat dazu geführt, dass sich die politischen Entscheidungsträger, der Kongress und die Regulierungsbehörden auf die Bedeutung der Lieferkette konzentrieren.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com