Ein “operativer Imperativ und Wettbewerbsvorteil”: CEOs müssen landesweite Reaktion auf Ransomware anführen

  • Karen Evans ist die ehemalige Chief Information Officer des Department of Homeland Security. Sie und Parham Eftekhari, Senior Vice President und Executive Director der Cybersecurity Collaborative und Vorsitzender des Institute for Critical Infrastructure Technology, weisen auf die Notwendigkeit hin, dass Führungskräfte in der Wirtschaft der Cybersicherheit neben den traditionellen Unternehmenszielen Priorität einräumen. (Department of Energy/Donica Payne)

    Während die Nation vorsichtig die Seite einer Gesundheitspandemie umblättert, die die Vereinigten Staaten zum Stillstand gebracht hat, ist eine digitale Pandemie aufgetaucht, die die Stabilität unserer Nation und unsere langfristige nationale Sicherheit bedroht. Ein perfekter Sturm, angeheizt durch die Großmachtkonkurrenz aus Russland und China, kriminelle Banden, die Ransomware zur Massenware gemacht haben, und eine Welt, die auf Technologie angewiesen ist, haben zu einer gefährlichen Herausforderung für die Sicherheit unseres Landes geführt. Technische Möglichkeiten, die sich auf Software-Code stützen, der ohne Rücksicht auf die Sicherheit entwickelt wurde, begünstigen nun Bedrohungen und verursachen Chaos in den kritischen Infrastrukturen unseres Landes.

    Das Ergebnis dieser Überschneidung von politischen, kriminellen und technologischen Kräften hat zu einer Störung des Handels und des täglichen Lebens geführt, die in den letzten Wochen in den Vordergrund der amerikanischen Psyche gerückt ist. Als Ransomware zum ersten Mal auf der Bildfläche erschien, waren die Szenarien über die potenziellen Verwüstungen, die die amerikanische Bevölkerung in letzter Zeit erlebt hat, noch nicht einmal nachvollziehbar oder wurden alternativ von den Führungskräften aller Disziplinen ignoriert. Heute verzeichnen Unternehmen Verluste in dreistelliger Millionenhöhe, Regierungsbeamte vergleichen Ransomware mit dem 11. September und das Leben unserer Bürger wird gestört, weil diejenigen, die die Macht und die Ressourcen haben, um Reaktionen und Strategien zur Schadensbegrenzung zu entwickeln, nicht verstanden und/oder nicht gehandelt haben.

    [Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/06/Parham_Headshot_v1.jpg]Parham Eftekhari, ICIT undCybersecurity Collaborative

    Öffentlich-private Partnerschaften zur Unterstützung der nationalen Sicherheit und der Widerstandsfähigkeit kritischer Infrastrukturen werden schon seit Jahren angepriesen, aber wie sieht das in der Praxis aus? In der heutigen Umgebung, in der die meisten unserer kritischen Infrastrukturen im Besitz des privaten Sektors sind und von diesem betrieben werden, der nun die Rolle des Ersthelfers übernehmen muss und für die Verteidigung seiner Anlagen verantwortlich ist, bedeutet dies, dass ein gesamtstaatlicher Ansatz verfolgt werden muss, bei dem Unternehmensleiter der Cybersicherheit neben den traditionellen Geschäftszielen Priorität einräumen.

    Sicherheit – sowohl bei der Entwicklung als auch bei der Nutzung von Technologie – ist sowohl zu einem operativen Gebot als auch zu einem Wettbewerbsvorteil geworden. Sicherheit muss als notwendiger Bestandteil zur Erhaltung und Verbesserung des Umsatzes betrachtet werden, nicht als Kostenstelle und notwendiges Übel. CEOs, ihre Vorstände und CIOs müssen ihr Engagement für die Sicherheit durch Taten demonstrieren, wozu auch die Einstellung von engagierten Führungskräften und Ressourcen für die Cybersicherheit gehört. Die Cyber-Ressourcen müssen mit den entsprechenden Befugnissen ausgestattet sein, um das mit der Bedrohung verbundene Risiko zu managen und gleichzeitig die Cybersicherheit in alle internen Geschäftsdisziplinen zu integrieren, einschließlich Personalwesen, Finanzen, Betrieb (einschließlich Betriebstechnologie), Beschaffung und Informationstechnologie.

    Zusammenarbeit und Wissensaustausch sind auch mächtige Werkzeuge in unserem Arsenal zur Bekämpfung der gut organisierten kriminellen Banden und nationalstaatlichen Akteure, die daran arbeiten, die Schwachstellen in unseren kritischen Infrastrukturen auszunutzen. Der “Whole of Nation”-Ansatz für die nationale Sicherheit erfordert die Unterstützung des CEO für die Beteiligung an Organisationen, die einen Peer-to-Peer-Informationsaustausch für Führungskräfte im Bereich der Cybersicherheit anbieten und den Zugang zu Best Practices demokratisieren.

    Als Nation sollten wir uns auf künftige Angriffe mit zunehmend schädlichen kinetischen Folgen vorbereiten, da die Taktiken der Gegner immer aggressiver und ausgefeilter werden. Wir dürfen unser Schicksal nicht bösen Akteuren überlassen, die darauf aus sind, unsere demokratischen Institutionen zu schwächen und unser Leben zu stören. Unsere Nation verfügt über die Technologie und die Kapazitäten, um ihre kritischen Infrastrukturen zu stärken und unsere digitalen Grenzen auf demselben Niveau zu verteidigen wie unsere physischen Grenzen. Es liegt nun an den CEOs und Vorständen unseres Landes, der Cybersicherheit Priorität einzuräumen, um nicht nur ihre Vermögenswerte zu schützen, sondern auch die Wirtschaft unseres Landes und unsere nationale Sicherheit.

    Karen S. Evans ist die ehemalige Chief Information Security Officer des Department of Homeland Security und war außerdem die erste stellvertretende Sekretärin für Cybersicherheit, Energiesicherheit und Notfallmaßnahmen im US-Energieministerium. Sie war fast ein Jahrzehnt lang nationale Direktorin für die U.S. Cyber Challenge und war Administratorin des Office of Electronic Government and Information Technology im Office of Management and Budget. Parham Eftekhari ist Senior Vice President und Executive Director der Cybersecurity Collaborative, einer Mitgliederorganisation für Chief Information Security Officers und Schwestermarke von SC Media. Er ist außerdem Vorsitzender des Institute for Critical Infrastructure Technology.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com