Podcast
    Bedrohungsanalyse

    Get Cyber Resilient Ep 109 | Die Cyber-Risiko-Gleichung mit Fergus Brooks, Executive Manager in Cyber Recover Planning

    In dieser Folge hören wir von Fergus Brooks, Executive Manager im Bereich Cyber Recover Planning in der Finanzbranche.

    CR_podcast_Fergus_Brooks.png

    In diesem Gespräch erörtern wir, wie man am besten an die Risikogleichung für den Cyberspace herangeht, und wir schauen uns an, wie wir zu dem Punkt gekommen sind, an dem wir uns in Bezug auf die Ausgaben für die Cyberverteidigung befinden. Fergus spricht auch über seine Zeit in der Versicherungsbranche und darüber, wie sich dies auf seine Risikoperspektive ausgewirkt hat. Abschließend untersuchen wir das Verständnis von Auswirkungen, wenn es um einen erfolgreichen Verstoß mit vorhersehbarem Höchstschaden geht.

     

    Die Get Cyber Resilient Show Episode #109 Mitschrift

    Garrett O'Hara: Willkommen zum Podcast "Get Cyber Resilient". Ich bin Garrett O'Hara. Ich freue mich sehr, heute mit Fergus Brooks, Executive Manager im Bereich Cyber Resilience and Recovery in der Finanzbranche, sprechen zu können. Dieses Gespräch kam zustande, weil ich Fergus in einem Meeting getroffen habe und mir seine Sichtweise von Erkennen, Schützen und Reagieren, Wiederherstellen sehr gefallen hat. Für mich hat er viel Sinn gemacht. In diesem Interview kommen wir auf einige seiner Erkenntnisse zu sprechen, u. a. darüber, wie man die Risikogleichung im Cyberbereich angehen sollte und wie wir in Bezug auf die Ausgaben für die Cyberverteidigung dorthin gekommen sind, wo wir jetzt stehen. Wir sprechen über seine Zeit in der Versicherungsbranche und darüber, wie dies zu seiner Risikoperspektive beigetragen hat, um uns dann dem Verständnis der Auswirkungen einer erfolgreichen Sicherheitsverletzung mit vorhersehbarem Maximalschaden zu nähern. Zurück zum Gespräch.

    Willkommen zum Podcast "Get Cyber Resilient". Ich bin Garrett O'Hara. Heute haben wir Fergus Brooks zu Gast, der als Exec Manager im Bereich Sub Resilience and Recovery in Finance tätig ist. Willkommen in der Sendung, Fergus.

    Fergus Brooks: Hallo, Garrett. Danke, dass ich dabei sein durfte.

    Garrett O'Hara: Ein absolutes Vergnügen. Wir haben nur über Mike geplaudert. Wir haben uns vor fünf Jahren auf einer Konferenz kennengelernt [lacht], auf der Sie einen Vortrag gehalten haben. Wir haben also lange daran gearbeitet, und ich freue mich sehr, dass Sie heute hier sind.

    Fergus Brooks: Ich danke Ihnen.

    Garrett O'Hara: Fergus, es wäre großartig, ein Verständnis dafür zu bekommen, offensichtlich sind Sie, wissen Sie, wir arbeiten in der Finanzbranche und ein Teil davon, warum ich denke, dass wir uns darauf geeinigt haben. Wir hatten vor kurzem ein Treffen, und ich glaube, wir waren beide [lacht] sehr leidenschaftlich bei diesem Thema, aber es wäre toll zu hören, wie Sie dorthin gekommen sind, wo Sie heute sind, und wie Sie in die Rolle gekommen sind, die Sie jetzt haben.

    Fergus Brooks: Ja. Ich habe also wie viele von uns angefangen. Angefangen habe ich damit, Drucker zu reparieren und, und, und in den 90er Jahren, als ich noch mit frühen Versionen von Windows und solchen Dingen beschäftigt war. Und als ich mich entschied, in der IT-Branche zu bleiben, habe ich mich in verschiedenen Bereichen der Technik, des technischen Supports usw. im Serverbereich hochgearbeitet. Dann habe ich mich mit Netzwerken und Managementsystemen und solchen Dingen beschäftigt. Und wenn man, wie viele von uns, gute Fähigkeiten in diesen Bereichen hat, dann spielt man eine Rolle in der Sicherheit. Sie spielen eine Rolle bei der Planung von Zwischenfällen. Und so habe ich mir die Sicherheit zu eigen gemacht und bekam einige Vollzeitjobs mit dem Titel "Sicherheit" und so weiter und so fort.

    Dann, wissen Sie, mehrere verschiedene Jobs, ein paar Start-ups, ein bisschen dies, ein bisschen das, ein bisschen Lösungsarchitekturarbeit und so weiter. Dann bekam ich hier in Australien eine Stelle in der Versicherungsbranche, wo ich im Wesentlichen eine Versicherungsgesellschaft beriet. Der Grund, warum ich das erwähne, ist, dass die Kunden der Versicherungsgesellschaften sich mit Cyberrisiken und Cyberversicherungen befassen. Der Grund, warum ich das erwähne, ist, dass dies eine Art Wendepunkt war, der für dieses Gespräch von Bedeutung ist und meine Sichtweise auf Risiken und Auswirkungen verändert hat, worüber wir heute sprechen werden. Und seitdem habe ich eine Rolle übernommen, die mit den Auswirkungen zu tun hat, indem ich in der Finanzdienstleistungsbranche im Bereich Cyber-Resilienz und -Wiederherstellung arbeite.

    Garrett O'Hara: Fantastisch. Ja, hören Sie, wir werden uns auf jeden Fall mit den Risiken befassen, und es scheint so, als ob Sicherheitsverletzungen im Internet heutzutage praktisch unvermeidlich sind. Wir sehen das ja jeden Tag in den Nachrichten. Und ich habe das Gefühl, dass wir so arbeiten müssen, als ob sie in jeder Organisation vorkommen würden. Aber eines der Dinge, auf die ich eingehen möchte, ist die Idee, dass manchmal zu viel in Technologien und Ansätze investiert wird, die vielleicht davon ausgehen, dass eine höhere und stärkere Mauer die Angriffe abhält, die aber oft nicht für den unvermeidlichen Bruch sorgen. Glauben Sie, dass wir einen wichtigen Teil der Gleichung der Cyberrisiken vergessen haben?

    Fergus Brooks: Ja, absolut. Und ich glaube, ich habe gestern etwas sehr Interessantes gehört. Ich war auf einer Konferenz, auf der der ehemalige CISO der CIA, Michael Mestrovich, sprach. Und er ließ eine Statistik fallen, die ich so schnell nicht vergessen werde: Die Internetkriminalität ist auf dem Weg, die drittgrößte Wirtschaftsmacht der Welt zu werden.

    Garrett O'Hara: Wow.

    Fergus Brooks: Das ist etwas, über das ich nachdenken musste. Und als Sie erwähnten, dass diese Dinge nicht verschwinden und nicht aufhören werden. Natürlich werden sie nicht aufhören. Es ist ein Geschäft. Es ist ein riesiges globales Geschäft. Und im Laufe unserer Karriere haben wir gesehen, wie sich dies von zufälligen Vandalismusakten zu gezielten Angriffen auf finanzieller Basis und auch auf staatlicher Ebene entwickelt hat. Es wird also weiterhin passieren.

    Und die Sache ist die, dass die Medien und die allgemeine Angst, die verbreitet wird, uns zeigen, dass Menschen ständig angegriffen werden und nicht Menschen, nicht Organisationen, die unsicher sind oder keine Sicherheitspraktiken anwenden, sondern Organisationen wie die NSA in den USA, in die eingebrochen wurde, was an sich schon interessant ist. Also ja, so wird es immer weitergehen. Ich denke also, dass wir bei der Risikogleichung etwas falsch liegen, denn die Lehrbuchdefinition von Risiko ist Wahrscheinlichkeit mal Auswirkung. Und ich glaube, wir haben viel mehr Zeit auf die Wahrscheinlichkeit als auf die Auswirkungen verwendet. Und lassen Sie mich erklären, woher das meiner Meinung nach kommt.

    Wenn wir uns also mit der Abwehr von Hackern befassen, die in das Netz eindringen, oder mit der Abwehr von bösen Akteuren, die in das Netz eindringen wollen, dann wird das sicherlich Angriffe verhindern. Wie wir jedoch wissen, gibt es immer wieder Angriffe, und wenn wir uns die Auswirkungen ansehen, dann waren sie auf verschiedene Objektive gerichtet. Es ist also eine andere Sichtweise auf die Frage, was genau mit uns passieren wird. Und ich denke, die Entwicklung, wie wir Cyberrisiken und Cybersicherheit betrachten, hat dazu geführt, dass wir uns sehr darauf konzentrieren, die bösen Menschen draußen zu halten, anstatt zu denken, dass wir nicht immer in der Lage sein werden, die bösen Menschen draußen zu halten. Schauen wir uns also einmal an, was passiert, wenn sie einsteigen.

    Und das ist eine Art Linse, wenn man das Cyber-Risiko erst einmal über Bord geworfen hat und es richtig betrachtet, dann erhält man meiner Meinung nach einen ausgewogeneren Blick. Außerdem können Sie einige der Dinge in Angriff nehmen, über die wir gleich sprechen werden und die Organisationen jeder Größe das Gefühl geben können, dass sie besser aufgestellt sind. Und dass sie im Falle des Falles in der Lage sein werden, das Schlimmste zu überstehen.

    Wenn Sie sich hingegen auf die Wahrscheinlichkeitsseite der Risikogleichung konzentrieren und Ihre Zeit damit verbringen, die Wahrscheinlichkeit abzublocken, werden Sie unvorbereitet erwischt, wenn sie tatsächlich eindringen. Und du wirst sagen: "Oh, wir dachten nicht, dass sie reinkommen könnten. Wir haben alle Cybersicherheitsbudgets der Welt. Wir haben eine Menge Geld für unsere Verteidigung ausgegeben. Wir haben schöne, große Schlösser gebaut, aber irgendwie sind die bösen Menschen hineingekommen. Und was machen wir jetzt?" was eine Menge Organisationen sind. Ich habe im Laufe der Jahre mit vielen großen und kleinen Unternehmen zusammengearbeitet, bei denen es eine sehr, sehr schwierige Zeit ist, wenn die Leute einsteigen und sagen: "Nun, wissen Sie, daran haben wir nicht gedacht." Also.

    Garrett O'Hara: Und genau das ist die eigentliche Sorge. Ich denke, ich habe viele Leute über den emotionalen Stress und die Mühen sprechen hören, die es braucht, wenn die WhatsApp-Nachricht kommt, die besagt, dass ihr euch der Probleme bewusst seid. Und die Welt der Menschen bricht zusammen und sie bekommen vier oder fünf Tage lang keinen Schlaf. Und wissen Sie was? Es wäre richtig, hier ein wenig zurückzugehen und vielleicht eine kleine Geschichtsstunde zu halten, um zu verstehen, wie wir dahin gekommen sind, wo wir heute sind. Und man kann wohl mit Fug und Recht behaupten, dass die Angriffe fast zeitgleich mit dem Aufkommen der IT aufkamen und die Unternehmen begannen, die IT aus Gründen der Produktivität und der Werkzeuge einzusetzen. Und ich denke, man kann auch sagen, dass wir sowohl die Komplexität der IT gesehen haben. Die Komplexität und die Kosten des Schutzes sind im Laufe der Zeit immer weiter gestiegen. Gleichzeitig scheint aber auch das Risiko zu steigen. Richtig? Es ist also alles irgendwie kontraintuitiv. Wie sind wir dorthin gekommen, wo wir heute sind?

    Fergus Brooks: Mm-hmm. Ja, ja. Und das ist eine interessante Entwicklung. Es ist ähnlich wie die Entwicklung von, du weißt schon, ich auf jeden Fall in meiner Karriere und, und wahrscheinlich etwas von deiner, aber weißt du, es, damals in den frühen neunziger Jahren, weißt du, das Internet war nicht, weißt du, es war, es war in einem sehr frühen Stadium und es wurde nicht wirklich genutzt. Die Netzwerke waren also standardmäßig eine Art Enklave, eine sichere Umgebung, in die man weder hinein- noch hinauskam. Sie haben Ihr lokales Netz, Sie haben Ihre Weitverkehrsnetze, das sind private Verbindungen und so weiter. Ihre Risiken waren also größtenteils intern, möglicherweise durch Lieferanten und dergleichen. Aber auch die Technologie war damals einfach noch nicht so allgegenwärtig wie heute. Sie haben vielleicht einen PC auf Ihrem Schreibtisch. Wenn Sie zu den wenigen Glücklichen gehören, haben Sie vielleicht einen Laptop mit einem wirklich schlechten Bildschirm. Ich weiß nicht, wie man so etwas jemals benutzt hat. Sie wissen, was ich meine?

    Aber als wir dann in den 90er Jahren und mit dem Aufkommen des Internets weiterzogen, fingen wir an, die Leute wahllos miteinander zu verbinden, und ich habe meine Hand gehoben. Ich möchte aus dem Ton dieses Gesprächs herauslesen, dass ich mich persönlich für das, worüber wir hier sprechen, verantwortlich fühle, da wir herumliefen und zum ersten Mal Unternehmen an das Internet angeschlossen haben. Und ich scherzte immer mit meinen Kunden und sagte: "Nun, Sie wissen, dass das, was Sie da tun, der Wilde Westen ist." Und es war wie: "Oh, ha, ha. Ja, es ist der Wilde Westen da draußen. Ha, ha." Und ich sagte: "Es ist wirklich so.' Aber damals war es nicht so schlimm, aus den Gründen, über die wir zuvor gesprochen haben, weil es den Aspekt des organisierten Verbrechens nicht gab. Es gab keine gezielten Angriffe, abgesehen von dem, was ich als digitales Graffiti auf Websites und Ähnliches bezeichnen würde.

    Aber wissen Sie, sobald, Sie wissen schon, die, die, die Standard, Sie wissen schon, Politik, nun, Sie wollen sich vor, vor Angriffen aus dem Internet schützen. Natürlich schließt man sich nicht einfach an das Internet an. Sie können sich selbst mit einer Firewall verbinden. Man könnte noch weiter gehen und Systeme zur Erkennung von Eindringlingen und dergleichen einführen. Sie können auch andere Dinge hinzufügen. Als sich die Dinge weiterentwickelt haben, haben wir natürlich angefangen, Bedrohungen durch E-Mails zu sehen, und wir haben angefangen, Dienste wie meinen [unhörbar 00:09:42] zu sehen, der zum Beispiel Scans durchführt, Scans nach bösartigem Datenverkehr, Sie wissen schon, auf dem Weg dorthin und schlechte Links und solche Sachen, die einfach ein wesentlicher Bestandteil jedes Sicherheitstoolkits sind. Und das schien ganz gut zu sein. Okay, wir blockieren den gesamten Datenverkehr, der von außen eindringen wollte, aber wir haben auch begonnen, uns mit Insider-Bedrohungen und solchen Dingen zu beschäftigen. Aber es ging sehr, sehr darum, die bösen Menschen draußen zu halten.

    Die andere Sache, die ich vorhin kurz erwähnt habe, ist, dass wir diese verrückte Einführung von Technologie erlebt haben. Wenn man sich also die Standard-Angriffsvektoren ansieht, dann stellt sich die Frage: Wie kommen die bösen Menschen hinein? Sie neigen also dazu, dieser Kette von Schwachstellenausnutzungen zu folgen, wenn man so will, bei der Software in irgendeiner Form eine Schwachstelle aufweist, entweder weil sie erst im Nachhinein entdeckt wird oder weil sie mit einer Schwachstelle veröffentlicht wird usw. oder weil eine neue Version der Software herauskommt, die dann gepatcht werden muss, um die Schwachstellen zu beseitigen. Und wir können sehen, wissen Sie, jeder kann sehen, wer ein iPhone oder ein Android-Telefon hat. Jeder kann die ständigen Sicherheitsaktualisierungen sehen, die sie ständig erhalten. Und das liegt daran, dass immer wieder neue Schwachstellen entdeckt werden.

    Wenn diese Schwachstellen also eine Zeit lang ausgenutzt werden, bevor eine Antivirensignatur oder ein Fix veröffentlicht wird, haben wir es mit einem so genannten Zero-Day-Angriff zu tun, oder ich nenne ihn gerne einen Zero-Hour-Angriff. Diese Dinge, von denen wir kürzlich einige gesehen haben, wie z. B. die Log-Fälschung, bei der wir die IT buchstäblich weltweit gestoppt haben, während alle herumliefen und das Problem behoben haben, weil alle unsere Verteidigungssysteme diese Schwachstelle nicht erkennen konnten, so dass ich keine Angreifer sehen würde, die versuchen, an diese Schwachstelle heranzukommen. Der Punkt, den ich damit sagen will, ist also, dass wir, anstatt innezuhalten und eine Pause einzulegen und zu sagen: "Richtig, lasst uns sichern, was wir haben, und lasst uns sicherstellen, dass alles, was wir betreiben, sicher ist, und dass wir nicht in diesem lächerlichen Zyklus von Patches und Updates und Patches und Updates sind, in dem es eine Periode der Verwundbarkeit gibt." Wir haben einfach immer wieder neue Technologien eingeführt.

    Und ich glaube, das ist es, was wirklich von den Endnutzern vorangetrieben wurde, aber auch von den Bedürfnissen der Unternehmen. Also heißt es: "Ich will diese glänzende neue Funktion. Ich werde diese glänzende neue Funktion haben." und das hat uns gewissermaßen in diese Sache hineingezogen. Und damit, um Ihren Begriff zu verwenden, haben sich die Verteidigungsmöglichkeiten verbessert. Wir sind von Firewalls zu Firewalls der nächsten Generation übergegangen. Wir haben eine Netzwerk-Verhaltensanalyse. Wir haben alle möglichen anderen ausgefallenen Tools, sehr fortschrittliche Sicherheitszentralen und all diese Dinge, aber wir konzentrieren uns immer noch darauf, die bösen Leute am Eindringen zu hindern. Und solange wir die neuen Technologien übernehmen und in dieser Art von Patch-Loop bleiben, werden wir auch weiterhin sehen, dass wir weiter für diese Verteidigungsfähigkeit ausgeben müssen. Das ist, glaube ich, der Weg, den sie zurückgelegt hat.

    Garrett O'Hara: Und es fühlt sich an wie eine asymptotische Annäherung an die perfekte Sicherheit, aber man wird sie nie erreichen. Richtig? Und wenn man diese abnehmende Rendite hat, gibt man mehr Geld aus. Die tatsächlichen Sicherheitsergebnisse werden immer geringer, je mehr Geld Sie ausgeben, richtig? Was Sie sagen, ist, dass Sie die Grundlagen wirklich gut beherrschen, und manchmal reicht das schon aus. Und dann sieht man Unternehmen, die Geld dafür ausgeben, wirklich exotische Ansätze für die Sicherheit verfolgen, aber nicht wirklich etwas erreichen. Und, und das ist eine wahre Geschichte. Ich habe es vielleicht schon einmal in der Sendung gesagt, aber in den frühen 2000er Jahren, als Sie über die Geschichte und den Wilden Westen gesprochen haben, waren die Ergebnisse des menschlichen Versagens Teil davon. Und, und ich werde meine Hand heben und sagen, dass ich der Typ war, und es ist mir peinlich, das zu sagen, als ich ein Entwickler war, der eine [lacht] und das ist so schlimm, eine anonyme FTP-Seite eingerichtet hat.

    Ich brauchte also keine Zugangsberechtigung, um in einem Unternehmen, für das ich arbeitete, eine Datei mit einem unserer Kunden auszutauschen. Ich richtete sie ein und dachte: "Ich schiebe sie rüber. Sie können die Datei einfach abrufen und dann natürlich die FTP-Seite abschalten." Ich habe das völlig vergessen. Und im nächsten Monat kam der Arzt mit der Rechnung des Internetanbieters ins Großraumbüro. Er war rot im Gesicht und sehr, sehr wütend. Und ich hatte sofort einen dieser Momente, in denen einem der Magen umkippt und man erkennt: "Oh nein. Oh nein, oh nein." Ich hatte offensichtlich vergessen, die FTP-Verbindung zu entfernen, und wer auch immer es war, hatte angefangen, sie zu benutzen, um Filme zu hosten, wie zum Beispiel Raubkopien. Und unsere ISP-Rechnung war unheimlich hoch. Ich war also dieser Typ, und ich entschuldige mich bei der ganzen Welt dafür.

    Fergus Brooks: Herzlichen Glückwunsch! Ich glaube, Sie waren schon früh in der Streaming-Medienbranche [lacht].[unhörbar 00:14:30].

    Garrett O'Hara: Oh, ich war zum Beispiel ein Opfer. Ich habe nicht [lacht], ich war kein aktiver Teilnehmer. Als ich zurückkam, um sie mir anzusehen, fing ich an, die Ordner auf der Seite durchzusehen. Ich dachte mir: "Oh, das ist nicht gut." Aber wie dem auch sei, das war's.

    Fergus Brooks: Ich denke, das ist auch ein Zeichen dafür, dass, wenn etwas im Internet ungeschützt bleibt, es gefunden und ausgenutzt wird. Deshalb denken manche Leute, ich würde sagen, dass ich mich weniger auf die Verteidigung konzentriere. Auf jeden Fall muss man sich auf die Verteidigung konzentrieren, aber ich denke, es gibt einen Teil der Gleichung, der uns fehlt.

    Garrett O'Hara: Ja. Dem kann ich nur zustimmen. Dem kann ich nur zustimmen. Wissen Sie, wir haben darüber gesprochen und Sie haben uns durch die Entwicklung dorthin geführt. Ich denke, eine der Folgen davon ist, dass die Ausgaben für viele Organisationen steigen, aber wir sehen, dass es immer wieder zu Verstößen kommt, und glauben Sie, dass es möglich ist, Verstöße zu verhindern? Ist das technisch überhaupt möglich?

    Fergus Brooks: Diese Frage wird mir ständig gestellt, und ich denke, nein, [lacht], ich glaube nicht, dass es so ist. Ich meine, es gibt einfach zu viele, viel, viel, viel zu viele Variablen. Ja, es gibt also mehrere Eingänge an den Eingangspunkten. Das ist der Grund, warum das Nullvertrauen eine weitere Sache ist, eine andere Sache, die in der Terminologie immer wieder auftaucht. Aber wissen Sie, was der Kern ist, es macht Sinn. Ich meine, jedes einzelne Gerät, das mit Ihrem Netzwerk verbunden ist, und alles, was Sie verwenden, ist ein potenzieller Eintrittspunkt für Probleme. Und es gibt so viele verschiedene Arten von ihnen. Es gibt also auch, wissen Sie, und, und, wissen Sie, die Leute sind immer so, oh, wissen Sie, die Leute klicken auf den falschen Link. Wissen Sie, und immer noch viele Mieten, wenn eine Menge von Cyber-Angriffen, die meisten Cyber-Angriffe kommen durch diese Art von, in dieser Art von Möglichkeiten. Jemand hat versehentlich auf den falschen Link geklickt, und die Leute werden sagen: "Oh, wir, die Leute klicken auf den falschen Link, und das, wissen Sie, bedeutet, dass sie nicht wissen, was sie tun, und dass sie nicht genug Benutzerbewusstsein geschult haben."

    Aber wir alle waren schon einmal in einer Situation, in der wir völlig gestresst waren. Es gibt eine Menge zu tun. Wir versuchen, mehrere Dinge zu managen. Wir haben es vielleicht mit neuen Systemen zu tun. Mir ist das vor ein paar Jahren passiert, als ich mit dem System zu tun hatte, das ich nicht wirklich verstand, und, und, und, und, und, ich habe im Grunde den falschen Link angeklickt. Ich meine, so etwas kann passieren. Die andere Sache ist, dass das Thema für viele Organisationen jetzt wirklich in den Vordergrund rückt, nämlich die Angebotslandschaft. Sie haben also Ihre Mitarbeiter oder könnten ein Einbruchspunkt sein, wenn Sie etwas Falsches tun, aber nur aus Versehen, ohne böswillige Absicht. Dann haben Sie Ihre Lieferanten, die ihre eigenen Probleme, ihre eigenen Risiken und ihre eigenen, Sie wissen schon, sie sind vielleicht in irgendeiner Weise mit Ihnen verbunden, aber sie haben auf jeden Fall Ihre Kontaktdaten in ihren E-Mails oder Kontakten, was bedeutet, dass Sie wahrscheinlich die Ransomware-E-Mails oder was auch immer von ihnen kommen.

    Aber es gibt auch böswillige Absichten bei den Insidern. Es gibt auch nationalstaatliche Akteure. Sie haben also auch die drittgrößte Wirtschaft oder die aufstrebende drittgrößte Wirtschaft der Welt. Ich kann also nicht erkennen, wie die Trägheit aufhören soll. Und wie ich schon sagte, wenn man keine Grenzen für die Systeme zieht und immer wieder neue Technologien einführt, ist das ein ideales Spielfeld für böswillige Akteure, um Schwachstellen zu finden und nach wertvollen Dingen zu suchen, was sich als erfolgreiches Geschäftsmodell durch Erpressung und Datendiebstahl erwiesen hat.

    Garrett O'Hara: Ja, absolut. Sie erinnern mich an das berühmte Zitat von Bruce Schneider, das Sie bei der Gründung gesagt haben: "Wir sind gezwungen, jedem zu vertrauen, aber wir können niemandem vertrauen." aber alles ist so miteinander verbunden. Ich sehe das Problem der Lieferkette in zwei Teilen, und zwar in der menschlichen Vertrauensbeziehung, die notwendig ist.

    Man kann keine Geschäfte machen, wenn es das nicht gibt. Aber es öffnet Kommunikationskanäle, die ausgenutzt werden können, aber dann die Lieferkette, wissen Sie, die digitale Lieferkette waren, und ich glaube, Sie bezogen sich auf Sie Liebe für J ist ein Beispiel für eine Open-Source-Bibliothek, aber, wissen Sie, Solarwinde, wissen Sie, dass, oder zu sagen, überall dort, wo Sie eine Art von Upstream-Angriff, die Sie eine zu viele Art von Verletzung Ansatz sehen können. Es ist so unglaublich komplex und man kann nicht einfach auf die Updates warten, was an und für sich schon ein Risiko darstellt. Man ist quasi gezwungen, die Updates für bare Münze zu nehmen, dass sie sicher sind, aber was soll man tun? Ich stimme Ihnen also zu, das ist wohl der Punkt. Ich sehe buchstäblich einen Weg, um Verstöße vollständig zu verhindern.

    Fergus Brooks: Ja. Ich denke, ich denke an den Solosieg, weil ich ihn einfach liebe. Ich denke, dass der Angriff so gut durchdacht war. Aber es ist wirklich beängstigend, wenn man über das Konzept der Kompromittierung der Update-Server nachdenkt. Sie denken also, dass Sie das Richtige tun, und dann bekommen Sie auch noch ein Update. Aber auch im Hinblick auf das Ziel habe ich viel Zeit mit Netzwerken und Netzwerkmanagement verbracht. Netzwerküberwachungsprogramme sehen alles [lacht]. Genau dafür sind sie gedacht, für die Vernetzung in der Solar-Wind-Suite. Sie haben einen Paketschnüffler als Teil dieser Suite, was bedeutet, dass unverschlüsselter Datenverkehr einfach in Klartext über die Netze abgefangen werden könnte. Es ist also so, ja, ich denke, weißt du, und solange Geld im Spiel ist, werden sie kreativer sein.

    Garrett O'Hara: Ja. Ja, das war's. Und ich denke darüber nach, wie Sie sagten, es ist wie eine Industrie, richtig? Sie ist die drittgrößte Volkswirtschaft der Welt. Ich sehe das fast so wie die Tech-Plattformen im Silicon Valley, die nach Innovationen und neuen Wegen suchen. Es ist ein Geschäft. Sie werden es auf genau dieselbe Art und Weise angehen. Und sie haben alle Zeit der Welt, um sich etwas einfallen zu lassen. Und, wissen Sie, Anbieter wie wir werden immer etwas hinterherhinken, und das gilt für jeden einzelnen Anbieter, weil wir darauf warten, dass sie sich etwas Neues einfallen lassen.

    Und dann müssen wir herausfinden, wie wir uns dagegen schützen können. Also ja, ich weiß nicht, wie man dieses Problem lösen kann. Wir sollten hier sehr oft über Verstöße sprechen. Und wenn wir darüber nachdenken, und in unserer Branche neigen wir dazu, zuerst an die Cybersicherheit zu denken und erst danach an die Widerstandsfähigkeit. Wissen Sie, was Sie sagen? Man baut eine Burgmauer, aber man denkt nicht wirklich darüber nach, was es bedeutet, wenn diese Mauer durchbrochen wird. Bevor wir dazu kommen, wie ist der Begriff "Cyber" eigentlich entstanden?

    Fergus Brooks: Es ist eine lockige Sache. Das ist eine sehr gute Frage. Und ich glaube, wir haben uns in letzter Zeit oft darüber Gedanken gemacht, und ich glaube, dass das Internet an sich schon ein wenig Feindschaft entwickelt hat. Wissen Sie, es wird einfach so viel herumgereicht. Ich glaube, die Leute haben sich mit Cyber dies und Cyber das beschäftigt. Aber ich denke, wir gehen zurück zu den Anfängen, wie ich vorhin schon sagte. Sie wissen schon, es war Informationstechnologie. Wir haben in der IT-Branche gearbeitet. Technologie ist IT? Und dann begann das Aufkommen der IT-Sicherheit. Und mit der IT-Sicherheit kam dieses Konzept der Angreifer und der Hacker in Kapuzen, wenn Sie so wollen, und die ganze Cyber-Sache. Aber für mich war ich ein kleines Kind, das vor dem Fernseher saß, als ich von der Schule nach Hause kam. Cyber war für mich wie ein Roboter bei Dr. Who.

    Es war ein, es war ein silberner Roboter. Sie waren ziemlich fies, wenn ich mich recht erinnere, und es gab Cyber-Männer und solche Sachen.

    Garrett O'Hara: Schön.

    Fergus Brooks: Und dann, und dann später im Leben, und wir fingen an, eine schleichende Entwicklung zu sehen, und dann später, wissen Sie, sahen wir auch, wissen Sie, die Neuro von William Gibson begann, eine Menge Luft zu bekommen, und er begann, den Begriff Cyberspace zu prägen. Und das war der Zeitpunkt, an dem wir anfingen, Dinge wie virtuelle Realität und solche Sachen in Betracht zu ziehen, und Filme wie Tron, das Casting von The Digital Enemy und all diese Sachen, die einfach ziemlich unrealistisch waren [lacht], wurden irgendwann mit dem Cyberspace in Verbindung gebracht. Ich glaube, ich habe mit dem Unternehmen gearbeitet, das in Korea seine Tätigkeit eingestellt hat.

    Ich habe unter anderem Firewalls für sie installiert. Und sie wurden Cyber Patrol genannt. Das war 1999 oder so, und sie nannten sich "Cyber Patrol", und ihr Konzept bestand darin, dass sie Ideen für Systemausgänge in ihren Autos hatten und diese kleinen Autos mit der Aufschrift "Cyber Patrol", so dass sie von Gebäude zu Gebäude fahren konnten, um zu sehen, ob es Eindringlinge gab und all diese Dinge. Es war ein großartiges Konzept. Aber sie beschlossen, dass sie jede Art von Firewall in ihrer Infrastruktur benötigen, was das Leben für all diese Dinge extrem schwierig machte. Aber das war das erste Mal, dass ich wirklich sah, wie Cyber zu einer Tonne wurde. Ich glaube, Cyber ist zum Synonym geworden für Hacker in Kapuzenpullis, für böse Jungs, für organisierte Kriminelle, für APT-Sets, für Fuzzy-Bären und all das Zeug, das es gibt.

    Sie wissen, was ich meine? Das ist es also, und das ist es, was das Cyberspace betrifft. Und ich denke, das hat dazu geführt, dass Badie für die Medien greifbar geworden ist. Ja, das stimmt. Wir alle wissen, dass sich Angst gut verkauft, und es ist etwas, worauf man sich stützen kann, wenn man so will: die Angst, dass diese bösen Akteure kommen und einem die digitalen Kinder stehlen. Und ich denke, das ist das, was man unter Cyber versteht. Die andere Sache ist, dass Cyber uns erlaubt hat, das Konzept der IT-Sicherheit oder Komponenten der IT-Sicherheit von der IT-Komponente zu trennen, d. h. von den Servern, den Systemen, den Workstations, den Telefonen, den Cloud-basierten Systemen und all diesen Dingen, die wir nutzen, den Netzwerken, natürlich von der Informationstechnologie.

    Wenn wir uns also mit den Auswirkungen befassen, über die wir in Kürze sprechen werden, dann geht es um technologische Werte, die davon betroffen sind. Dies sind technologische Werte, die anfällig werden. Die Sicherheit von Technologieanlagen ist so gut wie die Menschen, die sie verwalten, und so gut wie die Menschen, die sie betreiben. Cyber ist zu einer ganzen Welt geworden. Und es ist ein ganzer Wirtschaftszweig für sich, an dem ich schon seit, ich glaube, mein erster Titel im Cyberspace war vor fünf oder sechs Jahren, beteiligt bin. Ich hatte Cyber in meinem Titel, ich dachte: "Ah, ich habe Cyber." Dann hat mir jemand Cyber-Man-Socken gekauft, und ich war mir nicht sicher, ich war mir nicht so sicher [lacht], ob es mir gefällt, mit der Seite, mit dem Cyber-Namen gekennzeichnet zu werden. Aber ich denke, dass es manchmal ein bisschen wie eine Fugazi sein kann und ein bisschen von den Kernproblemen und den Kernfragen, mit denen die Menschen konfrontiert sind, ablenkt.

    Und das hat mit dem "Wow" zu tun, dass sie reingekommen sind und wir jetzt in Schwierigkeiten stecken. Und jetzt haben wir eine Situation, die uns eine Menge Geld kosten wird oder möglicherweise unüberwindbar sein könnte. Cyber hat mir nichts davon erzählt. Cyber hat mir erzählt, wie man die bösen Menschen fernhält. Ich denke also, dass Cyber eine eigene Welt ist, aber die Information in der IT-Sicherheit und die Sicherheit der IT-Systeme müssen daneben stehen, wenn Sie so wollen. Richtige Sicherheit ist also eine gemeinsame Anstrengung zwischen den Cyber-Teams, die die Bösewichte fernhalten und sich auf die Bösewichte und die Bedrohungen konzentrieren, und denjenigen, die sich auf die von Ihnen angesprochene Widerstandsfähigkeit konzentrieren, die nicht nur eine Sache des Internets ist.

    Garrett O'Hara: Nun, lassen Sie uns das genauer untersuchen. Es geht also um Cybersicherheit und Widerstandsfähigkeit. Wie denken Sie darüber? Sie haben Dinge wie die Risikogleichung und die Auswirkungen der Wahrscheinlichkeitszeit erwähnt. Lassen Sie uns das einmal aus Ihrer Perspektive durchgehen und Ihre Meinung dazu hören.

    Fergus Brooks: Ja. Also, ich glaube, ich habe damit angefangen. Was also geschah, als ich in der Versicherungsbranche arbeitete, war eine sehr, sehr steile Lernkurve. Und ich hatte fantastische Mentoren, die sehr geduldig mit mir waren, wenn es darum ging, sicherzustellen, dass ich genug Versicherungswissen hatte, um gefährlich zu sein. Ich glaube, das war der allgemeine Witz.

    Garrett O'Hara: [lacht].

    Fergus Brooks: Aber es ist eine ganz neue Welt, wenn man von der IT in den Cyberspace kommt. Und es war wirklich interessant... Entschuldigung, ich kam von der IT-Sicherheit in die Versicherungsbranche, weil es eine ganz andere Sichtweise der Dinge war. Und natürlich haben wir uns mit Cyber-Versicherungen befasst, und der Begriff "vorhersehbarer maximaler Schaden" wurde mir schon sehr früh vorgestellt. Und ich mag den Begriff wirklich, weil er einfach gut klingt, aber es ist sehr, sehr, sehr schlecht [lacht], was man da berechnet, wenn man sich das ansieht.

    Und es ist wie, "." Wenn wir also etwas nehmen, das eine Police auslösen kann, z. B. ein Ransomware-Ereignis, dann müssen wir uns die Höhe des Schadens ansehen. Aus versicherungstechnischen Gründen werden sie sich das ansehen, damit sie herausfinden können, welche Art von Versicherung Sie brauchen. Wie viel könnten wir verlieren, wenn es zu einem solchen Vorfall käme? Wenn man ein Gebäude hat, ist es ziemlich einfach. Wenn ein Gebäude abbrennt, sind die Kosten für die Reparatur oder die Kosten für den Ersatz des Gebäudes überschaubar. Schiff, dasselbe, Schiff sinkt, was kostet es, es zu ersetzen, und so weiter. Bei Cyberrisiken, und das wurde schon immer gesagt, oder Cyberrisiken oder versicherbare Cyberrisiken, sind Cyberrisiken unglaublich schwer zu quantifizieren.

    Und das liegt daran, dass wir auf das zurückkommen, worüber wir gesprochen haben, nämlich auf die Wahrscheinlichkeit mal die Auswirkung. Aber wenn wir die Wahrscheinlichkeit aus der Gleichung herausnehmen und nur die Auswirkungen allein betrachten, und da gibt es viele verschiedene Dinge, die eine Rolle spielen können. Aber ich würde sagen, dass die Auswirkungen meines Erachtens tatsächlich einfacher sind, wahrscheinlich einfacher zu berechnen als die Wahrscheinlichkeit. Wir haben keine Daten, wissen Sie. Versicherungen hängen von Daten ab, aber wir haben die Daten nicht. Wir verfügen nicht über 100 Jahre an historischen Daten zu Cyberangriffstrends und dergleichen, um die Wahrscheinlichkeit zu ermitteln. Könnte das passieren? Es könnte jederzeit passieren. Wie kann man die Wahrscheinlichkeit dafür einschätzen? Das ist also eine interessante Frage. Wenn wir aber nur die Auswirkungen betrachten, dann können wir sagen: "Alles klar. Also, was wird hier passieren?"

    Nun ja, Sie haben die Kosten für den Reiniger. Sie haben also Kosten für die Reaktion auf Vorfälle, Sie wissen schon, Vorfall, Reaktionsmanagementdienste, was auch immer, Sie haben die Kosten für saubere Untersuchungen, Forensik, diese Art von Dingen. Dann gibt es noch die Betriebsunterbrechung. Im Falle eines Ransomware-Angriffs oder einer ähnlichen Ransomware- oder Malware-Attacke sind also mehrere Systeme betroffen, die wiederhergestellt werden müssen, und es kommt zu einem Verlust von Diensten, Diensten für Ihr Unternehmen, für Ihre Kunden und dergleichen. Das wird also noch eine Zeit lang so weitergehen. Wie lange das anhält, können wir berechnen. Die Organisationen wissen, wie viel Geld sie pro Tag umsetzen, und wenn sich das auswirkt, wissen sie, wie sich das rechnet.

    Und dann bewegt man sich weiter in die Welt der, na ja, es gibt auch einige Dinge. Man hat Anwaltskosten, man muss Anwälte einschalten, vor allem, wenn es um Daten geht, und man muss sich vielleicht an den [unhörbar 00:28:22] Ich nenne die Beamten den Informationsbeauftragten oder den Datenschutzbeauftragten, ich bekomme immer Ärger, wenn ich diese Abkürzung benutze. Aber dann gibt es noch andere Dinge wie die Kosten für die Wiederherstellung von Daten und all diese Dinge. Vielleicht ein Austausch des Systems, und so weiter und so fort. Und dann geht man zu den langfristigen Kosten über, und bei den langfristigen Kosten fangen wir an, uns mit Geldstrafen und Bußgeldern zu beschäftigen. Ich habe einen Datenschutzbeauftragten erwähnt. Wenn du dich nicht innerhalb von 30 Tagen meldest, musst du mit einer Geldstrafe rechnen. Aber es gibt auch andere Regulierungsbehörden, die je nach Branche ihre eigenen Geldbußen und Strafen verhängen können. Die ASIC hat keine Angst davor, Unternehmen, die fahrlässig handeln und sich nicht um ihre Cyberangelegenheiten kümmern, zur Rechenschaft zu ziehen, wenn sie nicht anderweitig reguliert sind.

    Und dann gibt es noch ein großes Problem mit Datenschutzverletzungen. Sie haben den langen Schwanz der Zivilklage, wissen Sie. Also, die Leute, und wir sehen das immer wieder bei Sammelklagen. In den USA werden für einige der größeren Unternehmen 500 bis 600 Millionen Euro an Abfindungen gezahlt. Ich meine, das sind nicht alle von ihnen. Das ist nur ein Anhaltspunkt. Normalerweise vergesse ich ein paar, obwohl ich diese Liste schon 400 Mal aufgeschrieben habe [lacht], aber wenn sie alle zusammengenommen werden, ist das ein Moment, in dem eine Organisation kein Profiling riskiert oder all diese Dinge zusammenfasst. Es ist, es ist, es ist ein guter Zeitpunkt für den CEO und den Vorstand und vielleicht die Aktionäre eines kleineren Unternehmens, sich zusammenzusetzen, bevor ihnen gesagt wird, wie hoch diese Zahl sein könnte.

    (lacht), denn es ist eine große Zahl. Sie nennen das den vorhersehbaren maximalen Verlust. Und wenn man anfängt, über den vorhersehbaren maximalen Verlust nachzudenken, fängt man an, darüber nachzudenken, "Nun, warten Sie einen Moment. Wenn sie reinkommen, was sind die verschiedenen Bereiche, an denen wir im Vorfeld arbeiten können? Was können wir im Voraus tun, um die Auswirkungen im Nachhinein zu verringern?" Und oft ist das auch gar nicht so schwierig. Was ich aber sagen will, und das wollte ich schon vorher erwähnen, ist, dass es sehr, sehr subjektiv ist, wenn man die Auswirkungen betrachtet. Jede Organisation wird anders sein. Und wenn man sich die Verringerung der Auswirkungen ansieht, wird jede Organisation anders sein, anders, und, und, wissen Sie. Zu bestimmten Zeiten in meinem Leben hätte ich mich gefreut, wenn es ein Produkt gäbe, das einem dabei helfen könnte [lacht], die Auswirkungen einer Organisation zu reduzieren.

    Aber es muss wirklich von der Organisation selbst vorangetrieben werden. Das heißt, die IT-Sicherheitsbranche mit, Sie wissen schon, Software, defensiver Software, defensiven Firewalls, IDS-Systemen und all diesen Dingen. Es handelt sich dabei um Produkte, die für mehrere verschiedene Organisationen geeignet sind und mehreren Organisationen einen ähnlichen Service bieten können. Aber wenn es darum geht, die Auswirkungen zu untersuchen, müssen die Organisationen dies tun. Aber ich fange wirklich gerne damit an, und viele meiner Kunden haben im Laufe der Jahre wirklich damit angefangen, wissen Sie, das hat ihnen wirklich gefallen. Schauen wir uns das Quantum des vorhersehbaren Maximalverlustes (Foreseeable Maximum Loss, kurz FML) an und sehen wir uns an, wie wir damit beginnen können, einige dieser Dinge zu beseitigen. Und hoffentlich werden wir dabei auch zu einer besseren, Sie wissen schon, zu einer besseren Organisation.

    Garrett O'Hara: Auf jeden Fall. Ist es ein Zufall, dass FML eigentlich auch etwas anderes bedeutet? Was ich natürlich in diesem Podcast nicht sagen kann, aber wenn die Hörer danach zu Google gehen.

    Fergus Brooks: Es ist, es ist.

    Garrett O'Hara: Nein, das ist nur ein glücklicher Zufall.

    Fergus Brooks: Es ist ein glücklicher Zufall, aber sie sind beide ziemlich schlecht.

    Garrett O'Hara: Ja, [lacht] das sind sie auf jeden Fall. Wenn Sie das durchsprechen, klingt es ähnlich wie viele andere Dinge, wie z. B. eine Risikoanalyse und eine Aufrollung des quantifizierbaren Dollarwerts der Auswirkungen von Risiken. Haben Sie in Ihrer Branche und in Ihrer Erfahrung im Laufe der Jahre solche Frameworks verwendet? Haben Sie gerade ein Rahmenwerk durchgesprochen oder ist das etwas, das Sie einfach durch Ihre Arbeit in der Praxis gelernt haben und durch die Arbeit an diesen Dingen?

    Fergus Brooks: Ja. Ich meine, also, fair, fair, fair ist großartig. Und ein Freund von mir ist der Leiter der australischen Messe. Ich frage mich, ob Sie immer noch der Leiter der Messe in Australien sind. Wir hatten lange Gespräche über die Beziehung zwischen FML und Fairness und die Art und Weise, wie die Versicherungsbranche das sieht, und diese Art von Dingen. Also, ja, ich meine, solche Rahmenwerke sind hervorragend, weil sie einen wissenschaftlichen Ansatz ermöglichen und auch ein Benchmarking erlauben. Ja, so, so, und, und das ist großartig, und ich denke, es ist wahrscheinlich ein guter Punkt, hier zu sagen, bekam, die, wissen Sie, es gibt große Organisationen mit großen Risikomanagement-Geräte große, große Budgets, tiefe Taschen, diese Art von Sachen, wissen Sie, wo sie Methoden wie fair übernehmen können. Sie können alle möglichen Dinge annehmen. Sie können sich mit spezifischen Rahmenwerken befassen. Sie werden Versicherungsberechnungen durchführen lassen.

    Sie können den Wandel in der Organisation durch Risikomanagement, durch unternehmensweites Risikomanagement vorantreiben. Wissen Sie, es gibt einen klaren Kanal von den leitenden Angestellten bis hinunter zu den Leuten an der Basis, die die Arbeit machen, und so weiter und so fort, alles im Interesse der Risikoverringerung und der Reduzierung dieser Dinge. Und, und, und, und das, wissen Sie, das ist, das ist, das ist im Gange. Ich meine, große Organisationen, Versicherungsgesellschaften, haben, glaube ich, vor sechs oder sieben Jahren zum ersten Mal gesagt, dass sie das Cyber-Risiko an die erste Stelle der Risiken setzen, die sie für alle Organisationen in Betracht ziehen, und zwar unter Umgehung des Klimarisikos und unter Umgehung des Wettbewerbsrisikos, also der Risiken, die immer ganz oben auf der Liste standen. So, so, es ist also da. Was ich damit sagen will, ist, dass große Organisationen, risikofokussierte Organisationen, immer daran arbeiten werden, besser zu werden und zu tun, was sie können, und das wird auch geschehen.

    Ich denke, wenn man erst einmal anfängt, das zu tun, was ich gerne als die große Mitte bezeichne, und, wissen Sie, in Australien haben wir etwas dummes wie 93 % der Unternehmen in diesem Land, die weniger als 3 Millionen Dollar im Jahr umsetzen. Das ist, ich ziehe ein paar schicke Statistiken heraus, dieses [lacht] Gespräch. Es gibt also einen größeren Bereich von Organisationen, der nicht so gut betreut wird. Sie haben keinen Zugang zu den großen vier Risikoberatern und solchen Dingen, aber was sie haben, sind die Nachrichtenmedien und das, was man ihnen über die Verteidigung und solche Dinge erzählt hat. Und die Dinge, die sie in der Werbung sehen. Wir brauchen Firewalls. Wir brauchen das. Wir brauchen das. Sie wissen ja, dass es immer bessere Antivirenprogramme und solche Dinge geben muss. Es ist also unwahrscheinlicher, dass sie die Auswirkungen als vorhersehbaren maximalen Verlust und die Auswirkungen als vorhersehbar betrachten, weshalb viele kleinere Unternehmen bei einem Angriff völlig verwirrt sind.

    Ich denke hingegen, dass die reiferen Risikomanagement-Organisationen diesen Weg bereits weiter beschritten haben. Ich denke also, dass "fair" ein hervorragender Rahmen ist, aber ich denke, dass er eher für risikobewusste Organisationen geeignet ist, die versuchen, ein wirklich genaues Quantum zu erhalten, was großartig ist. Aber ich denke, dass das, worüber wir heute hier sprechen, als eine Art, Sie wissen schon, als ein Ansatz im Hinterkopf verwendet werden kann. Was ist die Auswirkung? Welche Auswirkungen wird dies auf die Bevölkerung haben? Was bedeutet das für uns, wenn es darum geht, unser Unternehmen nach einem solchen Vorfall schnell und mit möglichst geringem Schaden wieder zum Laufen zu bringen?

    Garrett O'Hara: Ja, ich verstehe Sie, haben Sie... ein paar Fragen zu dem, was Sie gesagt haben? Ich würde mit den versicherungsmathematischen Daten beginnen, weil ich denke, dass das wahrscheinlich schneller geht. Sie haben erwähnt, dass wir nicht wirklich die Daten haben, um die Wahrscheinlichkeit zu verstehen, was ich verstehe. Sehen Sie, dass sich das im Laufe der Zeit so entwickelt, dass es für jede einzelne Organisation eine Art Dartspiel ist, bei dem man versucht, auf der Grundlage von Wahrscheinlichkeiten zu raten. Aber haben Sie das Gefühl, dass wir das allmählich etwas besser in den Griff bekommen, Sie wissen schon, auf der Grundlage des Organisationsprofils und vielleicht sogar einiger grundlegender Audits. Man könnte sich vielleicht eine ungefähre Vorstellung von der Wahrscheinlichkeit eines Verstoßes machen, und die Auswirkungen sind dann eine andere Sache. Aber sehen Sie, dass sich die versicherungsmathematischen Daten verbessern?

    Fergus Brooks: Nun, es ist schon ein paar Jahre her, dass ich nicht mehr in der Versicherungsbranche tätig war, und, wissen Sie, die eigentlichen Daten hätte ich sowieso nicht verstanden [lacht]. Ich führe Gespräche mit den Versicherungsmathematikern, und sie sehen mich mit diesem "Du bist ein bisschen wie ein Cowboy, Fergus, an." Also, ich verstehe nicht genug, aber wissen Sie, die Schadensdaten von Versicherungen nehmen definitiv zu, weil wir die ganze Zeit sagen, dass die Schäden steigen. Versicherungen, Cyber-Versicherungen sind wegen der vielen Schadensfälle immer schwieriger zu bekommen. Es gibt also definitiv viel mehr Daten, seit ich die Versicherungsbranche verlassen habe und so weiter. Und ich denke, wir sehen auch, dass Initiativen wie die ACSC, die eine zentrale Anlaufstelle für alle Arten von Informationen über Sicherheitsverletzungen und Cyberangriffe ist, ziemlich viele Daten sammeln, aber die Daten werden immer besser. Ja, wir verstehen also, und wir verstehen auch die Auswirkungen immer besser.

    Garrett O'Hara: Ja.

    Fergus Brooks: Also, weil wir sehen, was tatsächlich passiert, und es gibt einige große Namen, große Ereignisse hier draußen. Wenn ich von den Kosten spreche, die dadurch entstehen, dass Dinge an die Öffentlichkeit gelangen, dann stammen diese Kosten von tatsächlichen Angriffen, die sich ereignet haben und über die viel berichtet wurde. Einige davon haben wir in den letzten Jahren ganz in unserer Nähe erlebt. Ja, ich denke, die Daten werden besser. Aber letzten Endes sind aufgrund der vielen Variablen und der Tatsache, dass jeder einzelne Mitarbeiter und Lieferant ein potenzieller, potenzieller und potenzieller Kunde ist, alle potenzielle Einfallstore für Cyberangriffe, und, und, und dieses Zeug schläft nie. Es ist schwer zu sagen, ob es saisonal oder nicht. Wir wissen zum Beispiel, dass es immer mehr Cyberangriffe gibt. Dinge wie der Cyber Monday und der Black Friday, weil es sich um große Online-Festivals handelt. Wir wissen das, aber könnte ich als Kleinunternehmer zufrieden sein? Die Chancen stehen gut, dass ich bis zum Ende des Jahres keinen Überfall erlebe. Darauf wette ich kein Geld [lacht].

    Garrett O'Hara: Ja.

    Fergus Brooks: Weil ich einfach die Wahrscheinlichkeit nicht richtig einschätzen kann.

    Garrett O'Hara: Sehen Sie eine Verlagerung, denn ich denke, es gibt ein wohlverstandenes Problem bei KMUs und wahrscheinlich sogar bei mittelgroßen Unternehmen in Australien, die, um auf Ihren Punkt zurückzukommen, über defensive Dinge Bescheid wissen und wahrscheinlich AV und Streamer Gateway usw. einsetzen. Aber die Auswirkungen und die Widerstandsfähigkeit der Dinge sind nicht wirklich gut verstanden. Haben Sie das Gefühl, dass sich hier eine Veränderung vollzieht? Bewegt sich der Zeitgeist in eine Richtung, in der die Auswirkungen von mehr Organisationen berücksichtigt werden?

    Fergus Brooks: Ja. Ich meine, ich, ich hoffe es. Und wieder einmal war ich gestern auf einer Konferenz und habe mich mit dem Thema beschäftigt, wissen Sie. COVID hat uns nicht wirklich die Möglichkeit gegeben, zu sehen, wie andere Leute denken, aber in den letzten 12 Monaten habe ich auf jeden Fall eine große Verschiebung in Richtung Wiederherstellung, Wiederherstellungsplanung und dergleichen gesehen. Wie können wir unsere Systeme wieder zum Laufen bringen und solche Dinge.

    Und ich denke, dass die Teilnehmer an dieser Konferenz sicherlich aus dem größeren Teil der Stadt kamen. Aber ich sehe viel mehr davon, ich habe noch nicht unbedingt gesehen, dass es auf die mittleren und kleinen Unternehmen, die großen, die mittleren und unteren Unternehmen durchschlägt. Ich denke, es ist ein sehr defensiver Fokus, und, wissen Sie, erst vor, ich weiß nicht, erst vor sechs Monaten war ich in einer Simulation, die einen Ransomware-Angriff simulierte, und, wissen Sie, das Thema kam auf, all die Auswirkungen, die eintreten, und, und, und, und die Person sagte tatsächlich, sagte tatsächlich, "Nun, wissen Sie, ich weiß nicht, warum wir in all diese Details gehen, denn wir würden nicht eine Ransomware-Attacke haben, wenn sie nicht, wenn sie nicht in der Lage sind, in erster Linie zu bekommen."

    Ich dachte mir, das ist eine Unterhaltung, die 10 Jahre zurückliegt, glaube ich. Es gibt also noch einiges zu tun, was die Sensibilisierung angeht. Und ich denke, dass man sich vielleicht nicht genug auf die KMUs konzentriert hat und dass es sehr einfach ist, zu sagen: "Oh, das ist, das ist ein großes Unternehmen. Sie wurden angegriffen und sie dies und sie das." Vor sieben oder acht Jahren habe ich am Telefon gesagt: "Oh, es ist schlimm". Von einer kleinen Produktionsfirma hatten sie ihre eigene IP in Adelaide. Und dieser Mann war der CEO, der Geschäftsführer, wie auch immer man ihn nennen will. Und er war am Telefon in Tränen aufgelöst. Er hatte einen Ransomware-Angriff, und obwohl er ein ausgeklügeltes Backup-Management-System hatte, war es nicht richtig konfiguriert worden.

    Und das Verzeichnis mit vielen ihrer Kartenzeichnungen und IP war verschwunden, endgültig verschwunden, wissen Sie. Wenn, und wenn, und wenn er vor der Wahl stand, das Lösegeld zu zahlen oder nicht zu zahlen. Nun, ich möchte nicht in dieses Kaninchenloch hinabsteigen, aber dieses Ausmaß an Zwang, dem dieser Mensch und sein Managementteam ausgesetzt waren, und die Umstände, die das Unternehmen in diese Situation brachten, er hatte keine Ahnung, was mit ihm geschehen würde. Und als er dann herausfand, dass es so war, war das absolut schrecklich. Und ich denke, es muss ein bisschen mehr Bewusstsein dafür geben, dass es eine schlimme Sache ist, aber mit etwas Vorausplanung und etwas Nachdenken und der Integration einiger der Dinge, über die wir gesprochen haben, in Ihre Sicherheitsstrategie oder in Ihre Ausgabenstrategie können Sie den Schlag mildern. Wenn das passiert, unter der Voraussetzung, dass das passiert, [lacht] wenn wir wieder dahin zurückgehen, wo wir angefangen haben.

    Garrett O'Hara: Ja, auf jeden Fall. Und ich meine, es zeigt mir, dass es absolut notwendig ist, jeden Plan, den man aufstellt, zu testen, wie Sie gesagt haben. Wenn wir also mehr ausgeführt werden, funktionieren die Backups und man kann zumindest herausfinden, ob es nicht richtig konfiguriert war. Und das wissen Sie, bevor das Schlimmste passiert. Sie haben sozusagen die nächste Frage angeschnitten. Und, wissen Sie, Gartner spricht über diese Idee von MVC Minimal Viable Security, so wird es beschrieben. Die Idee ist also, dass Unternehmen genug ausgeben, aber nicht zu viel für die Cyberverteidigung. Und die Idee ist, dass sie dies mit der Cyber-Resilienz und den Dingen, die man tun kann, um die Auswirkungen zu mildern, zu reagieren und wiederherzustellen, in Einklang bringen. Wie soll sich das abspielen?

    Fergus Brooks: Ja. Ich meine, Sie haben mir den Gartner-Bericht vorgestellt, und ich habe ihn gelesen und ihn einige Male extrahiert. Garret, vielen Dank dafür. Und ja, ich meine, ich stimme definitiv nicht mit einer der Aussagen in diesem Bericht überein, in der es heißt, dass man darüber nachdenken sollte, die Ausgaben für die Verteidigung zu kürzen, Sie wissen schon, auf ein Minimum an Ausgaben für die Verteidigung, Sie wissen schon, basierend auf der Tatsache, dass sie reinkommen werden. Ich meine, das hört sich gut an, aber letzten Endes ist es doch viel besser, wenn sie nicht reinkommen. Ich denke also, dass sich jeder weiterhin sehr, sehr stark auf defensive Strategien konzentrieren sollte. Wissen Sie, alles von Verteidigungswerkzeugen bis hin zur Planung der Reaktion auf Zwischenfälle, um sicherzustellen, dass Sie bereit und vorbereitet sind und der Explosionsradius nicht zu groß sein wird, und all diese Dinge halte ich für absolut wichtig.

    Aber wenn man ein begrenztes IT-Budget hat, dann ist es eine gute Idee, sich Gedanken darüber zu machen, wie man das ausbalancieren kann, anstatt die Ausgaben von hier nach dort zu verlagern, denn einer der Gründe für die Lücke ist, dass man sich auf die eine Seite konzentriert und dann auf die andere. Es wird eine Lücke in den anderen Bereichen entstehen [lacht], also verschieben Sie Ihre Lücken nicht.

    Garrett O'Hara: Ja.

    Fergus Brooks: Aber achten Sie darauf, dass es ausgeglichen ist. Und wenn man einmal anfängt, die Auswirkungen unter die Lupe zu nehmen und sich anschaut, was einen am meisten Geld kostet, was einem die meisten Kunden kosten kann, was einem den größten Reputationsschaden zufügen kann, also einen großen, langfristigen Schaden für das Unternehmen, dann kann man anfangen, diese Risikominderungen zu berücksichtigen. Und wissen Sie, aber ich denke, ein Gleichgewicht zu haben, ist der Weg, den Organisationen in allen Formen und Größen einschlagen sollten.

    Garrett O'Hara: Ja. Ja, das macht absolut Sinn. Fergus, wir haben im Grunde genommen Schlagzeit, was seltsam erscheint. Es kommt mir vor, als hätten wir erst 10 Minuten miteinander gesprochen. Ich bin froh, dass wir nach fünf Jahren endlich etwas zusammen aufnehmen konnten. Und es wird hoffentlich nicht das letzte Mal gewesen sein. Ich denke, es gibt hier noch viel mehr zu besprechen. Wenn Sie also Lust haben, können wir Sie vielleicht in ein paar Monaten wieder einladen und dann die nächste Ebene in diesem Gespräch einnehmen. Aber vielen Dank, dass Sie heute bei uns sind.

    Fergus Brooks: Oh, es war mir ein Vergnügen, Garrett. Es ist immer schön zu plaudern. Herzlichen Dank.

    Garrett O'Hara: Vielen Dank an Fergus, dass er sich uns angeschlossen hat. Und wie immer vielen Dank, dass Sie den Get Cyber Resilient Podcast gehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin, bleiben Sie sicher und ich freue mich darauf, Sie in der nächsten Folge zu sehen.

     

    Zurück zum Anfang