Get Cyber Resilient Ep 71 | Schaffung einer Kultur des Cyberbewusstseins und Kampf gegen Selbstgefälligkeit - mit David Fairman
Gar wird diese Woche von David Fairman, Chief Security Officer APAC bei Netskope, Venture Partner bei SixThirty und Berater bei Istari Global, unterstützt.
Er war auch CSO bei der NAB sowie Group Chief Information Security Officer bei der Royal Bank of Canada und arbeitete bei JP Morgan und der Royal Bank of Scotland.
David teilt seine Erfahrungen und Gedanken über den Unterschied in Ansatz und Ergebnis zwischen Cybersicherheit und Cyber-Resilienz, die Schaffung einer risikobewussten Kultur in einem Unternehmen und die Bekämpfung von Selbstzufriedenheit. Gar und David diskutieren auch über Nullvertrauen, digitale Risiken im Vergleich zu Cyber-Risiken und die Integration von Betrug, Cyber- und physischen Risiken in einen umfassenderen Sicherheitsansatz für Unternehmen.
Die Get Cyber Resilient Show Episode #71 Transkript
Garrett O'Hara: Willkommen zum Get Cyber Resilient-Podcast, ich bin Gar O'Hara. Heute haben wir David Fairman zu Gast, der Chief Security Officer APAC bei Netskope, Venture Partner bei SixThirty und Berater bei Istari Global ist. Man kann mit Fug und Recht behaupten, dass David heute viel tut, aber auch in der Vergangenheit viel getan hat. Er hat einen großen Teil seiner beruflichen Laufbahn im Sicherheitsbereich, im Bank- und Finanzwesen verbracht. Er war CSO für die NAB in den Bereichen Betrug, physische und Cyber-Gruppen. Chief Information Security Officer bei der Royal Bank of Canada, und war auch bei JP Morgan und der Royal Bank of Scotland tätig.
In dieser Folge haben wir den Unterschied zwischen Cybersicherheit und Widerstandsfähigkeit in Bezug auf Ansatz und Ergebnis behandelt. Die Schaffung einer risikobewussten Kultur in einer Organisation, die Aufrechterhaltung dieser Kultur und die Bekämpfung von Selbstzufriedenheit. Wir sprechen über die Zero-Trust-Integration von Betrugs-, Cyber- und physischer Sicherheit in ein breiteres Sicherheitskonzept für Unternehmen und was das bringen kann. Und dann auch das digitale Risiko gegenüber dem Cyber-Risiko. David ist eine unendlich interessante Person, mit der man sich unterhalten kann. Also viel Spaß. Zurück zum Gespräch.
Heute ist David Fairman bei mir, der CSO für APAC bei Netskope. Wie geht es Ihnen heute, David?
David Fairman: Gar, Kumpel, mir geht's gut. Ich bin zufrieden. Ich bin froh, hier zu sein. Ich danke Ihnen für die Gelegenheit, dieses Gespräch zu unterstützen.
Garrett O'Hara: Schön, dass Sie da sind. Ja, wir sind uns in letzter Zeit ein wenig über den Weg gelaufen und haben die Gespräche ohne Mikrofon sehr genossen. Wir haben jetzt einen am Mikrofon und hoffen, dass die Qualität so bleibt. [Lacht].
David Fairman: Alles gut. Alles gut. Es sollte ein... Ich freue mich schon auf die Inhalte, die wir heute behandeln werden. Das wird also ein unterhaltsames Gespräch werden.
Garrett O'Hara: Gutes Zeug. Hey, hören Sie, Sie sind in der Branche ziemlich bekannt. Ähm, aber es wäre vielleicht gut für die Zuhörer, die noch nicht wissen, wer Sie sind und was Sie gemacht haben, ein bisschen was über Sie zu erfahren, wie Sie dahin gekommen sind, wo Sie heute sind.
David Fairman: Ja, sicher. Ich denke, dass der Großteil meiner Karriere im Bank- und Finanzbereich liegt. Ich bin vor etwa einem Jahr in die Technologiebranche gewechselt, nachdem ich über 15 Jahre im Bank- und Finanzwesen tätig war. Hier in Australien war ich der Chief Security Officer bei der NAB. Ich habe also alle Betrugsermittlungen, physischen, Sicherheits-, Cyber- und Geheimdienstteams zusammengebracht. Davor war ich Group Chief Information Security Officer bei der Royal Bank of Canada in New York. Etwa dreieinhalb Jahre lang habe ich meine Zeit zwischen New York und Toronto aufgeteilt. Ein Teil davon war die Überprüfung von Risiken und Kontrollen für JP Morgan weltweit, etwa dreieinhalb Jahre lang. Und das war in New York.
Davor hatte ich einige Positionen bei der Royal Bank of Scotland, einige CSO-Positionen. Also CSO für Nord- und Südamerika, CSO für EMEA von Amsterdam aus. Die Rolle in Amerika war in Boston bei der RBS. Das ist so ziemlich der Verlauf meiner langjährigen Bankkarriere bis zu dem Zeitpunkt, an dem ich das Land ursprünglich verlassen habe. Aber ja, und im letzten Jahr habe ich mich dann der Technologie und dem Technologiebereich zugewandt und bin zu meinen Wurzeln zurückgekehrt, wie ich es gerne sehe.
Garrett O'Hara: Der Kreis schließt sich.
David Fairman: Ganz genau.
Garrett O'Hara: Elton John muss einen Song über diesen Moment schreiben. Der Kreis schließt sich. Cool.
David Fairman: [Lacht].
Garrett O'Hara: Ähm, hören Sie, ich würde gerne mit dem beginnen, was, wie ich vermute, ein ziemlich zentraler Teil des Gesprächs sein wird, das wir in den nächsten 40, 45 Minuten führen werden. Und, ähm, die Idee der Cybersicherheit gegenüber der Cyberresilienz und diese beiden Begriffe. Wie oft... in unserer Branche werden die beiden Begriffe fast austauschbar verwendet, so scheint es manchmal. Ähm, aber nur als Rahmen für den Rest des Gesprächs, können Sie uns kurz erläutern, worin Sie den Unterschied zwischen diesen beiden Begriffen in Bezug auf Ansatz und Ergebnisse sehen?
David Fairman: Zwischen Cybersicherheit und Widerstandsfähigkeit im Internet? Ganz genau. Ich denke, ähm, also, erstens... Ich denke, es ist ein Unterschied in der Denkweise. Ich denke also, dass es bei der Cybersicherheit darum geht, proaktive Maßnahmen zu ergreifen, um die Auswirkungen eines erfolgreichen Angriffs zu minimieren, unabhängig davon, ob es sich um einen externen oder internen Angreifer handelt. Es geht also darum, all diese Kontrollen einzubringen, die Risiken zu verstehen, alle Kontrollen zusammenzustellen und die Fähigkeit in diesem Programm aufzubauen, um die Angriffe zu minimieren und die stärkste Verteidigung gegen einen solchen Angriff aufzubauen.
Die Cyber-Resilienz ist jedoch ein Unterschied in der Sichtweise, da sie die Tatsache annimmt oder akzeptiert, was wahrscheinlich ein besseres Wort ist. Sie nimmt die Tatsache in Kauf, dass ein Gegner erfolgreich sein wird. Wie muss sich eine Organisation also vorbereiten, damit sie während eines erfolgreichen Angriffs aufrechterhalten und operieren kann? Und, wissen Sie, das sind zwei verschiedene Dinge. Eigentlich. Ich möchte das auch noch ein bisschen vertiefen. Verstehe, ich... Sie wissen schon, das Cybersicherheitsprogramm selbst und die Cybersicherheit als Teil eines umfassenderen Cybersicherheitsprogramms, richtig? Und das ist sehr wichtig, es ist grundlegend für ein effektives und robustes Cyber-Resilienzprogramm. Und ich denke, das Programm für Cyber-Resilienz ist das größere Bild und der Endzustand, den wir zu erreichen versuchen.
Garrett O'Hara: Und wie zeigt sich das in einer Organisation? Wenn ich mir also ein Venn-Diagramm anschaue, z. B. Cybersicherheit und Cyber-Resilienz, dann gibt es offensichtlich einige Überschneidungen oder, wenn es sich um eine Teilmenge handelt, ist es wahrscheinlich ein Kreis in einem größeren Kreis.
David Fairman: Ja.
Garrett O'Hara: Ja. Was sind die Dinge, die außerhalb des Cybersicherheitskreises liegen und zur Widerstandsfähigkeit im Cyberspace gehören?
David Fairman: Ja. Ich denke, es gibt ein paar Elemente. Eine davon betrifft speziell die Cyber-Fitness. Und wenn ich Cyber-Fitness sage, was bedeutet das? Ich denke, es geht darum, in der Lage zu sein... Wie bringen Sie Business Continuity, Business Resiliency mit Ihren Cyber-Reaktionsfähigkeiten zusammen? Wie verwalten, leiten und organisieren Sie die Organisation, wenn ein Angriff spürbar wird? Wird sie durchgeführt? Wie reagieren Sie darauf und wie können Sie das aufrechterhalten? Ich denke, dass das im Verlauf eines Angriffs geschieht. Aber es gibt auch einen Teil, der sich mit der Frage beschäftigt: Was bedeutet eigentlich Cyber-Resilienz, wenn es keinen Angriff gibt?
Es geht darum, in diesen Denkmodus zu kommen, oder diese Disziplin, diesen Fokus, äh, Strenge und Disziplin zu haben, wie wir denken oder wie wir für diese Ereignisse üben. Richtig? Wie testen wir unsere Reaktions- und Wiederherstellungsfähigkeiten? Dabei geht es nicht nur um unsere Verteidigungskapazitäten und das Testen von Verteidigungs- und Cybersicherheitskontrollen, sondern auch um das Testen unserer Reaktions-, Handlungs- und Verhaltensfähigkeit bei solchen Ereignissen. Ich denke, das ist sehr, sehr wichtig. Für mich ist das eine Art Cyber-Fitness. Und es geht um die Strenge und Disziplin, die man aufbringen muss, um sicherzustellen, dass die Organisation gut geprobt und geübt ist, so dass man, wenn diese Ereignisse eintreten, auch wirklich fit ist. Es gibt ein Muskelgedächtnis. Also, wie, Sie wissen schon, welche Maßnahmen wir ergreifen müssen und wie diese Entscheidungsfindung zustande kommen muss, und all diese verschiedenen Komplexitäten, die damit verbunden sind, kommen dadurch zustande.
Garrett O'Hara: Eines der Dinge, die ich bei vielen und sicherlich bei den ranghöheren Sicherheitschefs, die wir im Podium hatten, bemerkt habe, ist, dass es, wie Sie beschreiben, eine ziemlich zentrale Eigenschaft von Ihnen als Führungskraft gibt, nämlich Einfluss, und dass es darum geht, für diese Eignung Zustimmung zu bekommen. Denn es ist vermutlich mit Kosten verbunden, ob es sich nun um Tischübungen oder um vollständige Simulationen handelt. Alle Personen, die an der Kommunikation beteiligt sein werden. Und es ist kein kleines Stück Arbeit. Wie kann man das innerhalb einer Organisation aushandeln, um sie für diese Art von Fitness zu gewinnen? Und vor allem, wenn sie erfolgreich ist, denn dann ist man in der Realität möglicherweise in einer guten Sicherheitsposition. Sie denken also: "Nun, müssen wir wirklich, Sie wissen schon? Alles ist gut gelaufen."
David Fairman: Nun, ich denke, es gibt da ein paar Dinge, richtig? Erstens gibt es eine Aufklärung und die Erkenntnis, dass wir unabhängig davon, wie gut wir unsere Abwehrmechanismen und unser Sicherheitsprogramm aufgebaut haben, damit rechnen müssen, dass es einen Vorfall geben wird, auf den wir reagieren müssen, oder? Und das sind doch nur Fakten, oder? Ich denke, wir müssen unsere Organisationen in dieser Hinsicht schulen. Ich denke, kein Sicherheitschef wird sagen, dass er gegen einen Angriff unfehlbar ist. Und ich denke, ein erfahrener Sicherheitsverantwortlicher wird seine Organisation darauf vorbereiten zu sagen: "Wir tun alles, was wir können, um die Wahrscheinlichkeit und die Auswirkungen zu minimieren. Aber wir müssen uns darauf vorbereiten, dass es zu einem bestimmten Zeitpunkt zu einem Erfolg kommt, und dagegen können wir nicht garantieren." Es geht also darum, diese Denkweise zu vermitteln. Das ist der erste Punkt, wenn es darum geht, Einfluss zu nehmen und die Zustimmung zu bekommen.
Dann gibt es noch einen zweiten Punkt, der sich mit... nun, denken Sie darüber nach, wie, Sie wissen schon, ob es sich um militärische Kräfte handelt, ob es sich um Sportmannschaften handelt, ob es sich um ähm, Sie wissen schon... irgendeine andere Analogie, die Ihnen einfällt, woher wissen sie, dass sie zu einem bestimmten Zeitpunkt in der realen Umgebung Leistung bringen können? Sie üben, sie üben, sie üben. Sie haben Simulationen. Wenn wir also nicht die Zeit und Mühe investieren, um zu üben und darüber nachzudenken, wie wir unsere derzeitigen Praktiken und Fähigkeiten in diesem Bereich anpassen und verbessern können, wie sollen wir dann erfolgreich sein, wenn ein Ereignis eintritt?
Und es ist sehr... man denke nur an die Spezialeinheiten des Militärs oder jede andere militärische Kraft, ganz offen gesagt. Sie machen Sport, nach dem Sport, nach dem Sport. Wenn sie dann in eine solche Situation geraten, gibt es ein Muskelgedächtnis, eine Fitness, eine Disziplin, eine Strenge. Ich nenne es gerne einen Kampfrhythmus, wie dieser Prozess oder, verdammt noch mal, wie diese Ereignisse auf koordinierte und kontrollierte Weise ablaufen sollen. Und ich denke, das ist unerlässlich. Ich denke, wenn man anfängt, diese Gespräche auf der richtigen Ebene mit vernünftigen Menschen zu führen und sie in den richtigen Rahmen zu stellen, dann beginnen die Menschen, das zu akzeptieren und den Wert dieser Dinge zu erkennen.
Garrett O'Hara: Ja, absolut. Wie Sie schon sagten, sind die Menschen auf jeder Ebene von grundlegender Bedeutung für die Resilienz. Ähm, und du musst... sieh mal, du hast deinen Lebenslauf und deinen Weg dorthin durchgespielt. Es ist eine ziemlich vielfältige Erfahrung. Wie sind Sie vorgegangen, um eine Art von risikobewusster Kultur in diesen verschiedenen Organisationstypen zu schaffen?
David Fairman: Ja, sehen Sie, gute Frage. Ich denke, für mich gibt es einen Unterschied zwischen Schulung und Sensibilisierung und dem Aufbau einer risikobewussten Kultur. Und ich denke, die meisten Menschen würden das erkennen und akzeptieren. Ich beschreibe Kultur gerne als die Art und Weise, wie sich Menschen verhalten, wenn niemand hinsieht, richtig? Das sind die natürlichen Verhaltensweisen und Handlungen und die Mentalität, mit der sie zur Arbeit gehen oder die sie tagtäglich ausführen. Das ist für mich ein Maßstab für die Kultur. Und wie bringt man das zusammen? Ich denke, es gibt ein paar Dinge. Aber, wissen Sie, Organisationen haben heute Kulturen innerhalb ihrer Organisation, die sich auf verschiedene Dinge beziehen. Ich denke, ein wirklich gutes Beispiel... Erst neulich hatte ich dieses Gespräch mit dem CIO. Er hat viel im Bergbau gearbeitet, und jetzt arbeitet er im Bankensektor. Und wir sprechen hier über die Sicherheitskultur im Bergbau, wo diese wirklich gut angenommen wird. Und es geht darum, dass die Menschen erkennen, wie wichtig das ist. Aber die Strenge und Disziplin, der Fokus, den sie an den Tag legen, sie haben eine sehr sicherheitsorientierte Kultur.
Nun, warten Sie, lassen Sie uns diese großartigen Dinge, die wir von diesen Elementen gelernt haben, nehmen und wie können wir das auf Cyber, unser Cyberrisiko, aus dieser Perspektive anwenden. Und ich glaube, es gibt da ein paar verschiedene Dinge. Wissen Sie, wenn ich... Es geht darum, sicherzustellen, dass sich die Organisation über ihre Ziele im Klaren ist. Und ich meine nicht die Sicherheitsziele oder die Risikoziele, sondern die strategischen Kernziele. Und wie verknüpfen Sie dann, was Sie von dieser Disziplin brauchen, sei es Sicherheit oder Cyber, wie die Verhaltensweisen, Ergebnisse, Erwartungen, Prozesse, wie auch immer Sie es formulieren wollen. Wie lässt sich das mit der Erreichung der strategischen Ziele der Organisation verbinden? Ich glaube, da ist dieses eine Stück. Es ist klar, dass es einen Ton von oben gibt und dass die Führungskräfte die erwarteten Verhaltensweisen zeigen, oder?
Es sollte also nicht in Ordnung sein, dass manche Menschen sich auf eine bestimmte Art und Weise verhalten oder eine bestimmte Denkweise haben müssen. Sie muss in der gesamten Organisation angenommen und vorangetrieben werden. Ich denke, es geht darum, wie man diese Anforderungen mit der Leistungsbeurteilung verknüpfen kann. Richtig? Es muss eine Rückbesinnung darauf geben, wie Menschen in der Arbeitswelt bewertet werden. Wenn wir wirklich eine sicherheits- und risikobewusste Kultur vorantreiben wollen, sollte es einige zentrale Leistungsziele in diesem Bereich geben. Daraus ergibt sich dann natürlich auch das Folgenmanagement. Wenn Sie also nicht die richtigen Verhaltensweisen an den Tag legen, was sind dann die Konsequenzen? Ist das eine schlechte Leistungsbeurteilung, die sich dann auf potenzielle Bonusmaßnahmen auswirkt oder... oder wirkt sie sich insgesamt nur auf Ihre allgemeine Karriereentwicklung innerhalb Ihres Unternehmens aus? Sie wissen, dass es eine Konsequenz geben muss.
Wenn man wirklich erwartet, dass die Menschen ihr Verhalten ändern, wenn es für sie keinen Anreiz gibt, ihr Verhalten zu ändern, dann werden sie das nicht tun. Und das muss nicht zwangsläufig etwas Negatives sein, sondern kann auch etwas Positives sein. Wie erkennen und belohnen Sie also die positiven Verhaltensweisen? Und wie kann man das verstärken? Und das ist eine wirklich schlechte Analogie, aber ich werde sie verwenden. Sie denken über die Ausbildung eines Hundes nach, richtig? Wenn Sie einen Hund trainieren, wollen Sie, dass er sein Verhalten ändert, richtig? Man belohnt sie, wenn sie in irgendeiner Form das Richtige tut. Und es lernt, "Nun, warten Sie mal. Wenn ich so weitermache, werde ich belohnt werden. Dies ist, dies wird gefördert. Das ist großartig." Es gibt also positive und negative Konsequenzen in irgendeiner Form. Und so stelle ich mir das vor. Sie müssen die richtigen Verhaltensweisen belohnen. Sie müssen die unangemessenen Verhaltensweisen ansprechen.
Und ich denke, wenn wir anfangen, das zusammenzutragen... und man muss darüber nachdenken, wie man dieses Verhalten im Laufe der Zeit messen kann. Wenn man diese Kultur also wirklich in einer Organisation aufbauen will, kann man nicht einfach nur verwalten... Ich bin ein großer Fan des Sprichworts: "Man kann es nicht managen, wenn man es nicht misst." Richtig? Oder wenn man es nicht messen kann, kann man es auch nicht verwalten. Wie finden Sie also heraus, wie Sie es schaffen? Oder messen Sie diese kulturellen, äh, Verhaltensweisen und diese kulturelle Einstellung, wenn Sie so wollen, im Laufe der Zeit? Es gibt verschiedene Möglichkeiten, das zu tun. Und ich glaube, ich bin ein großer, datenorientierter Typ. Zeigen Sie mir also die Daten, damit wir zeigen können, wo wir erfolgreich sind und wo nicht. So können wir die richtigen Maßnahmen in Bereichen ergreifen, in denen sie vielleicht nicht so erfolgreich sind, wie wir es uns wünschen. Ich weiß, das war eine sehr lange Antwort auf Ihre Frage, aber es gibt keine einfache Antwort darauf. Es gibt mehrere... es gibt sehr viele verschiedene Elemente, um die richtige Kultur aufzubauen und einen Kulturwandel in einer Organisation voranzutreiben.
Garrett O'Hara: Ja, nein, auf jeden Fall. Ich verstehe Sie, und ich stimme Ihnen sicherlich zu, was die Analogie zur Tierdressur betrifft. Weil ich das benutze... meine Frau hat früher im Taronga Zoo gearbeitet. Sie war diejenige, die den Ausbildern beibrachte, wie man Tiere trainiert. Sie hatte also einen Clicker und konnte buchstäblich alles trainieren, was ihr in den Sinn kam. Papageien, Ratten, sie meinte, sie könnte Fische abrichten. Es war, äh, ja. Also, ich verstehe die Analogie auf jeden Fall.
David Fairman: Wie hat sie Sie ausgebildet?
Garrett O'Hara: Ich denke, sie hat in einigen Bereichen versagt. Ähm, ich vermute. Wahrscheinlich ist mir gar nicht bewusst, dass ich ausgebildet wurde. Und vielleicht ist das der Schlüssel zum Erfolg.
David Fairman: [unhörbar 00:16:32] der Leckerbissen, genau da.
Garrett O'Hara: ...man merkt nicht einmal, dass es passiert. Ähm, ja, ich weiß nicht. Ja, das ist ein bisschen seltsam. Ich wollte Sie nach der Messung von Verhaltensweisen fragen. Denn das ist etwas, worüber ich schon einige Gespräche geführt habe, und ich denke, es gibt da einige gute Dinge, und ich denke, es gibt einige Dinge, mit denen wir kämpfen. Wir machen zum Beispiel Fischkampagnen und einige Informations- und Wissenskontrollen, aber die kulturelle Seite ist schwierig. Richtig? Ich weiß vielleicht, dass ich ein gutes Passwort haben sollte oder dass ich niemanden nach mir durch das Drehkreuz ins Büro lassen sollte. Aber diese Verhaltensweisen zu praktizieren, ist eine andere Sache. Was haben Sie unternommen, um, wie ich annehme, diese Seite der Dinge anzuerkennen? Es geht nicht darum, ob Bob diese fünf Informationen kennt. Es ist an einem, Sie wissen schon, Montag um, ja um halb 12, ob Bob das Richtige tut?
David Fairman: Ja, sehen Sie, ich denke, dass die Überwachung sehr, sehr schwierig ist. Ich denke, es gibt, ja, ich möchte nicht anfangen, verschiedene Produkte auf dem Markt zu nennen, aber es gibt definitiv einige Fortschritte, ehrlich gesagt, in den letzten 12 Monaten, 12 bis 18 Monaten, wo, Sie wissen schon, wie wir anfangen, mehr Daten von dem zu bekommen, was wir in unseren Organisationen sehen. Richtig? Wenn Sie also darüber nachdenken, haben wir all diese Sicherheitskontrollen da draußen. Wir haben also Tools für den Endpunktschutz. Wir haben, Sie wissen schon, Webschutz-Tools, Cloud-Sicherheits-Tools. Und wir können sehen, welche Ereignisse in unserer Umgebung stattfinden. Und viele dieser Ereignisse sind auf die eine oder andere Weise durch menschliche Aktivitäten bedingt. Wie können wir also das menschliche Element in die allgemeine Sicherheitslage des Unternehmens zurückbringen? Damit können wir nahezu in Echtzeit, wenn nicht sogar in Echtzeit, Daten abrufen. Von all diesen verschiedenen Sicherheitstools.
Und ich sehe eine Reihe von Organisationen oder Unternehmen, Start-ups, die sich mit diesem Bereich befassen. Es ist also wirklich sehr, sehr effektiv. Und es gibt ein Unternehmen, von dem ich weiß, dass man einen Überblick über die Verhaltensweisen jedes Einzelnen in der eigenen Organisation erhalten kann. Und Sie können damit beginnen, die Nachrichten, die sie benötigen, zu kuratieren und auf ihr spezifisches Verhalten zuzuschneiden. Ich finde das also wirklich gut. Und ich denke, dass es wirklich auf den Punkt zurückkommt, und ich sage das gerne und jeder, der mich bei verschiedenen Gelegenheiten gehört hat, wird erkennen, dass ich ein großer Befürworter dieser Idee bin, aber die digitale Transformation. Warum gehen die Unternehmen diesen Weg der digitalen Transformation?
Sie tun dies aus zwei Gründen. Erstens, die Kosten aus dem Betrieb zu nehmen und so viel wie möglich zu automatisieren. Aber zweitens sind Daten heute das wahre Wertschöpfungspotenzial von Unternehmen. Unternehmen wollen ihre Informationen und Prozesse digitalisieren, damit sie aus diesen Daten einen Mehrwert und bessere Erkenntnisse gewinnen können. Betrachten Sie das Ganze unter dem Aspekt der Sicherheit. Wir haben so viele Daten darüber, was in unserer Umwelt passiert. Wie können wir das auf der Grundlage der vom Menschen verursachten Aktivitäten zurückverfolgen? Nutzen Sie diese Daten als Informationsquelle, als Intelligenzquelle, damit wir in der Lage sind, die richtigen Aktivitäten voranzutreiben und ein Verständnis dafür zu bekommen, wie unsere Organisation arbeitet und wie wir daher die Veränderung des Fortschritts im Laufe der Zeit messen können.
Garrett O'Hara: Jepp. Und diese Art von Veränderung und Fortschritt im Laufe der Zeit. Ich denke dabei an Ihre Analogie zum Thema Bergbau. Und ähm, es ist lustig, denn Sie haben mich an ein Treffen mit einem großen Bergbauunternehmen in Queensland erinnert. Und als wir alle den Raum betraten, hielt der Gastgeber einen Vortrag über eine gute Sicherheitsaktion, die er in dieser Woche erlebt hatte. Und sie mussten einen sehr schnellen Austausch vornehmen. Es hat buchstäblich drei Minuten gedauert. Sie waren eindeutig daran gewöhnt, das zu tun. Und eines der Dinge, die ich als Außenstehender dachte, war, wow, das ist irgendwie eine interessante Sache, die man intern machen sollte. Aber wenn dann Besucher kommen, ist diese Kultur offensichtlich so wichtig für sie, dass sie das auch tun werden.
Das war die Frage, die mir durch den Kopf ging, wie die allgemeine Organisationskultur. Ich nehme an, Sie sind schon in vielen verschiedenen Organisationen angekommen und können wahrscheinlich schon am Empfang sagen, wie der Rest der Organisation aussieht. Das ist... Ich denke, das ist ein... Du lächelst. Es ist ein Video, so dass die Leute es nicht sehen können, aber ich vermute, dass es eine Anerkennung dieser Erfahrung gibt. Ich wäre sehr daran interessiert, Ihre Gedanken darüber zu erfahren, wie diese breitere Kultur in eine Art von Risikobewusstsein, Cybersicherheit, Sie wissen schon, menschliches Risiko, einfließt.
David Fairman: Ich denke, es ist, ähm, also, ich sage das schon lange, wie, äh, Sie wissen schon, Cyber-Kultur, Cyber-Risiko-Kultur, Cyber-Bewusstseins-Kultur, es ist eine Teilmenge einer breiteren Risikokultur, Punkt. Richtig? Ich denke, es ist sehr wichtig, mit den Teams für operationelle Risiken und anderen Risikoteams zusammenzuarbeiten, um herauszufinden, wie wir Cyber-Inhalte einbeziehen können, oder? Und Sie werden feststellen, dass es für ein Unternehmen mit einer starken Risikokultur einfacher ist, die Cyber-Content-Linse darauf anzuwenden und damit zu beginnen, dies voranzutreiben, als wenn es nur eine schlechte oder schwache Risikokultur gibt, richtig? Das ist also ein breiteres thematisches Problem, für das die Organisation eine Lösung finden muss.
Aber als Führungskraft im Unternehmen liegt es vielleicht in Ihrer Verantwortung oder in der Verantwortung der Sicherheitsverantwortlichen, dieses Problem zu beleuchten und ganzheitlich zu lösen. Für mich ist die Risikokultur das größere Thema, nicht so sehr die Kultur des Cyber-Risikobewusstseins. Ich denke, es geht darum [unhörbar 00:22:14], wie man die Organisation und die Arbeiter bekommt. Die Drittparteien, die Partner, die Auftragnehmer, müssen sich ein sicheres Arbeitsumfeld zu eigen machen und die positiven, proaktiven Maßnahmen ergreifen, die sie benötigen, um in diesem Umfeld erwartungsgemäß zu arbeiten.
Garrett O'Hara: Und eines der Dinge, über die wir gesprochen haben, als wir uns darauf vorbereiteten, war der Gedanke, dass man bei jeder Sensibilisierungskampagne oder Veränderung, sei es im Bereich der Cybersicherheit oder im sozialen Bereich, die Gefahr der Selbstgefälligkeit besteht. Wissen Sie, die Leute sind irgendwie... es ist aufregend, dass der Anfang, die Leute sind davon überzeugt. Sie, wissen Sie, sie haben gerade die Kurse gemacht oder, Sie wissen schon, die Online-Schulung gemacht, die Kampagne für sie, ähm, verschickt. Aber dann stößt man auf das potenzielle Problem, dass es von vorne nach hinten geht, von der Mitte nach hinten. Und dann, wissen Sie, es ist Montag um 12:29 Uhr. Und weißt du, du denkst einfach nicht wirklich über diese Dinge nach. Was haben Sie getan oder wie erhalten Sie dieses Gefühl der ständigen Wachsamkeit aufrecht, wenn Sie an eine vielfältige Belegschaft denken, die sich vielleicht interessiert, vielleicht aber auch nicht? Wie bringt man sie dazu, sich weiter zu kümmern?
David Fairman: Sicher. Es wird nie perfekt sein, oder? Es wird also immer Momente geben, in denen der Einzelne nicht unbedingt so denkt, wie er es eigentlich müsste. Und sie werden es tun, wissen Sie, wir sind menschliche Wesen, die anfällig für Fehler sind, richtig? Dafür sind wir alle anfällig. Ich würde es also hassen, wenn ich in diesem Gespräch sagen würde, wie wir das narrensicher machen können, denn das können wir nicht. Aber ich denke, es geht auch darum, wie wir das so gut wie möglich in den Vordergrund stellen können. Wissen Sie, ich denke, das ist es, was wir als Führungskräfte brauchen - um herauszufinden, was wir... wie kommen wir an diesen Punkt?
Ich denke, es gibt eine Reihe von Möglichkeiten, die wir nutzen können. Erstens werden diese Bereiche ständig gestärkt. Und damit sind wir wieder bei dem Punkt, den ich vorhin angesprochen habe: Wie kann man das messen? Wie können wir diese Echtzeitdaten, die auf all den verschiedenen Datenquellen basieren, die wir heute in unserer Organisation haben, nutzen, um uns einen Überblick über die Aufrechterhaltung dieser Daten zu verschaffen und zu verstehen, wo die Dinge in die falsche Richtung tendieren, verstehen Sie? Wie wollen wir also vorgehen? Handelt es sich dabei um eine individuelle Kurskorrektur für bestimmte Mitarbeiter, für eine Gruppe von Mitarbeitern oder für das Unternehmen insgesamt?
Sogar, wenn Sie sich das hier ansehen und ein wenig in die Tiefe gehen oder hier doppelklicken, kann ich Ihnen helfen. Wir sprechen über einen sehr datengestützten Ansatz, wie wir einige dieser Probleme lösen können. Ja. Wenn wir erkennen, wenn wir sagen, dass viele Sicherheitsprobleme das Ergebnis menschlicher - menschlicher - Aktivitäten in irgendeiner Form sind, und das ist es, was diese Warnungen in unserer Software und unseren Sicherheitstools verursacht, weil ein Mensch versucht, etwas zu tun. Offensichtlich nicht immer ein Mensch, aber manchmal ein Mensch. Sie wissen, dass der größte Teil davon auf diese Aktivität zurückzuführen ist. Vielleicht können wir diese Informationen nutzen, um zu verstehen, was unsere größten Angriffsbereiche oder Angriffsvektoren sind, die unsere Endbenutzer treffen. Und dann können wir sagen: Okay, jetzt können wir sehen, dass dies die riskanteren Nutzer sind. Das sind die U- und das sind die Wege, auf denen sie angegriffen werden. Wir sollten nicht nur darüber nachdenken, wie wir das Problem der Menschen lösen, sondern sie weiter ausbilden. Was sagt uns das noch?
Es zeigt, dass Sie vielleicht rennen und sagen: "Hey, das sind unsere wichtigsten Angriffsflächen. Gehen wir noch einmal zurück und überprüfen unsere technischen Kontrollen, die wir eingeführt haben. Haben wir die richtigen technischen Kontrollen, um dieses spezifische Bedrohungsszenario oder diesen spezifischen Angriffsvektor zu bekämpfen?" Wie können wir also... denn für mich geht es beim Aufbau einer echten Sicherheitskapazität und eines Sicherheitsprogramms nicht um... Sie wissen, dass wir über Menschen, Prozesse und Technologie sprechen, aber was bedeutet das wirklich? Es geht nicht nur darum, Werkzeuge wegzuwerfen. Es geht nicht nur darum, einen Prozess zu entwickeln und dafür zu sorgen, dass man die richtigen Leute hat und so weiter. Es geht darum, sicherzustellen, dass die richtigen Fachkräfte über die Fähigkeiten und Fertigkeiten verfügen, die sie benötigen, um diese Tools und Prozesse zu bedienen, aber auch um sie im gesamten Unternehmen einzusetzen.
Es geht darum, sicherzustellen, dass wir alles getan haben, um den Nutzen zu maximieren, den diese Mitarbeiter mitbringen. Für mich bedeutet dieses Gebäude also mehr Sicherheit. Beim Aufbau dieser Sicherheitskapazität müssen die technischen und verfahrenstechnischen Elemente mit qualifizierten Personen kombiniert werden. Aber auch die Mentalität aller Angestellten oder aller Arbeitnehmer. Alle Endnutzer in der Belegschaft bringen das zusammen.
Garrett O'Hara: Ja, das verstehe ich. Und wissen Sie, Sie haben die Technologie als Teil davon erwähnt und darüber nachgedacht, welche Oberflächen angegriffen werden könnten oder hinter welchen Daten die Leute her sein werden. Aber ich habe gesehen, dass Sie viel über Nullvertrauen und diese Art von Philosophie gesprochen haben, und ich habe das Gefühl, dass das, was Sie gerade gesagt haben, uns irgendwie in diese Richtung führt. Wenn Sie darüber nachdenken, gleicht diese Art von Ansatz einen Teil des menschlichen Risikos aus? Wenn Sie sehr granulare, mikrosegmentierte Kontrollen auf Datenebene durchführen können, wird dadurch das Risiko des Menschen gemildert?
David Fairman: Nun, in gewisser Weise glaube ich schon. Ich denke, die Branche hat das Wort, die Terminologie oder den Begriff "zero trust" verwendet. Ich glaube, wir haben es missbraucht. Wenn man bis ins Jahr 2010 zurückgeht, als das erste Papier zum Thema Nullvertrauen geschrieben wurde, ging es eigentlich um das Vertrauen zwischen zwei Personen in einer Transaktion. Es ging nicht um technisches oder digitales Systemvertrauen, wozu uns die Cyberindustrie, offen gesagt, gebracht hat. Richtig? In dem ersten Papier ging es darum, wie die beiden Personen, die an diesen Transaktionen beteiligt sind, einander vertrauen können. Und sollten sie sich gegenseitig vertrauen? Wenn wir das auf den heutigen Stand der Dinge anwenden, dann geht es um das Vertrauen in unsere digitalen Systeme. Wie viel Vertrauen haben wir in diese Transaktion? Egal, ob es sich dabei um eine Einzelperson zu einer Einzelperson, um eine Einzelperson zu einer Anwendung, um ein Stück Daten oder um eine Maschine zu einer Maschine handelt. Wie hoch ist das Vertrauen, das wir haben?
Wenn wir nun zu einigen der ursprünglichen Prinzipien zurückkehren, mit denen gute Sicherheitsexperten gearbeitet haben und auf denen wir unseren Beruf aufgebaut haben, dann ist das das geringste Benutzerprivileg. Nun, Nullvertrauen fügt sich da irgendwie ein, oder? Sie wissen, dass es nicht darum geht, jegliches Vertrauen zu entziehen, Vertrauen zu entziehen und es nur zu gewähren, wenn man es kann. Das können Sie nicht wirklich tun. Es geht darum, sicherzustellen, dass wir Dinge wie das geringste Benutzerrecht durchsetzen. Was sind aber auch die anderen Signale, die wir erhalten können, um zu verstehen, ob wir dieses hohe Maß an Vertrauen haben oder nicht?
Also, wenn ich - wenn Sie - mit diesem als eine bestimmte Ebene gesetzt, wie ich denke über Null Vertrauen ist, ich denke über den Begriff "Null Vertrauen". Ich beschreibe es gerne als kontinuierliche Bewertung im Verlauf einer Transaktion oder einer Sitzung. Das gibt uns die Möglichkeit, verschiedene Signale kontinuierlich zu bewerten. Ob das nun Signale vom Endpunkt, den Daten, dem Endbenutzer, dem Benutzerverhalten oder dem Netzwerk sind. Damit wir zu einem bestimmten Zeitpunkt ein gewisses Maß an Vertrauen in diese Transaktion haben. So stelle ich mir das Nullvertrauen vor.
Und daher - um auf Ihre Frage zurückzukommen und zu erkennen, dass wir uns nicht zu weit vom Kern Ihrer Frage entfernt haben - wird dadurch etwas von dem menschlichen Element entfernt? Ja, ich glaube schon. Denn wir haben diese kontinuierliche Auswertung von Signalen aus verschiedenen Elementen der Transaktion, die uns ein gewisses Maß an Vertrauen geben, um zu entscheiden, ob wir die Transaktion oder die Sitzung zulassen oder korrigierend eingreifen wollen oder nicht. Und diese Korrekturmaßnahme könnte dazu beitragen, das menschliche Element oder die menschliche Sorge, die wir haben könnten, zu minimieren.
Garrett O'Hara: Das verstehe ich auf jeden Fall, und gibt es ein Element von, Sie wissen schon, dem Prinzip der Transparenz, bei dem die Sicherheit dem Endbenutzer nicht mehr im Weg steht. Sehen Sie... ist das etwas, das Sie in einer Art Null-Vertrauens-Philosophie praktisch umsetzen können? Denn die Sicherheitskontrollen werden auf sehr intelligente Weise mit Hilfe zahlreicher Telemetriedaten von zahlreichen Systemen, die dem Benutzer hoffentlich nicht mehr im Weg stehen, aufgestockt. Sie haben keinen komplexen Authentifizierungs-/Autorisierungsprozess, den die ZT-Philosophie vielleicht im Hintergrund übernimmt. Damit sie ihre Arbeit leichter erledigen können? Oder ist das ein bisschen zu hoffnungsvoll?
David Fairman: Das ist ein interessanter Punkt, ja, das ist ein interessanter Punkt. Und ich denke, dass es für mich, der ich eine Reihe von Sicherheitsthemen, -funktionen und -fähigkeiten entwickelt habe, immer drei Dinge gab, die ich auf hohem Niveau zu messen versucht habe. Ähm, Sie wissen schon, das gesamte Team oder die Gesamtkapazität. Erstens: Reduziere ich die Betriebskosten? Zweitens: Verringere ich mein Risiko und erhöhe ich meine Sicherheitslage? Und drittens: Verringere ich die Reibung in diesem Prozess? Und ich denke, das ist der Teil, auf den Sie sich gerade konzentriert haben. Unsere Reibungsreduzierung. Ich denke, Zero Trust ist kein Produkt, es ist keine Anbieterlösung. Es ist ein Rahmen dafür, wie wir gemeinsam an einem Strang ziehen können, oder es ist ein Rahmen, der es uns ermöglicht, den Zugang je nach Bedarf zu erweitern oder zu reduzieren.
Heißt das nun, dass wir die Reibung verringern werden? Wir sollten immer versuchen, die Reibung so weit wie möglich zu reduzieren. Wir wollen das Unternehmen in die Lage versetzen, das zu tun, was es tun muss, und unsere Endbenutzer in die Lage versetzen, das zu tun, was sie tun müssen, wenn sie es tun müssen. Aber in einigen Fällen, und auch hier wird es sich um eine risikobehaftete, risikogetriebene Entscheidung handeln. Es könnte Elemente geben, bei denen wir Reibung einführen [inaudible 00:32:28], die Authentifizierung verstärken oder den Zugang sperren, die Sitzung beenden, je nachdem, welche Risikobewertung wir auf der Grundlage der Auswertung dieser Signale gesehen haben. Aber in einigen Fällen, um auf Ihren Punkt einzugehen, könnten wir mehr Zugang eröffnen. Das macht es einfacher, Transaktionen durchzuführen, je nachdem, wie hoch das Risiko ist, das wir sehen. Zu diesem Szenario und zu diesen Datenpunkten. Es ist also schwer, diese Frage mit ja oder nein zu beantworten. Ich denke, es ist ein Gleichgewicht.
Garrett O'Hara: Jepp. So wie es bei den meisten Dingen zu sein scheint. Weißt du, es gibt nie einen Punkt... oder hoffentlich tun die Leute das nicht, also machen sie Pause oder stoppen den Podcast, weil du ihnen nicht die kategorische "Das wird alles für dich lösen."
David Fairman: [Lacht].
Garrett O'Hara: Ich denke, dass, äh, hoffen, ja hoffen, dass die Leute das irgendwie verstehen. Ähm, und David, etwas, wofür Sie sich eingesetzt haben, ist der umfassendere Sicherheitsansatz für Unternehmen, der Betrug, Cyberangriffe, physische Bedrohungen und all diese verschiedenen Arten einbezieht. Und Sie meinen, dass es dabei natürlich Überschneidungen geben wird, auf jeden Fall Überschneidungen im physischen und im Cyber-Bereich. Aber welchen Vorteil sehen Sie in dieser tieferen Integration dieser Risikobereiche?
David Fairman: Ja. Wissen Sie, ich denke, und jeder weiß, warum ich bei der NAB bin. Ich bin zur NAB gekommen, um die vier Ermittlungs-, Sach-, Sicherheits- und Cyber-Teams sowie die Teams für Informationssicherheit zusammenzubringen. Wissen Sie, ich bin ein großer Befürworter des Sicherheitsmodells für Unternehmen, des Modells der vorderen und hinteren Sicherheit. Wir haben noch eine andere, wissen Sie, es gibt noch ein paar andere Organisationen, ich denke hier speziell an NBN und IAG, die Commonwealth Bank, um nur diesen Weg zu gehen. Aber wenn Sie einen Blick auf äh... wissen Sie, lassen Sie uns zurückgehen zu einigen meiner frühen Tage bei äh, RBS. Mitte 2004, 2005, 2006. Sie wissen, dass sie - wie die Organisationen zu dieser Zeit - bereits fast die Sicherheitsfunktion eines Unternehmens erfüllten. Es gab Sicherheitsfunktionen [inaudible 00:34:25], ähm, die zusammen unter dem Chief Security Officer oder einem Director of Security saßen, [inaudible 00:34:31] zu dieser Zeit.
Der Grund dafür ist, dass mit dem Aufkommen digitaler Dienstleistungen und digitaler Transaktionen, wie z. B. Online-Banking, immer mehr... eine enge Beziehung zwischen Cybersicherheit und Informationssicherheit in der digitalen Umgebung und Betrug und diesen Elementen besteht. Und wenn man dann über Cyber-Bedrohungen nachdenkt, spielt auch die physische Sicherheit eine Rolle. Und tatsächlich spielt die physische Sicherheit eine Rolle, egal ob es sich um eine Bedrohung von innen oder von außen handelt. Sie wissen, dass Sie Ihre kritischsten Anlagen schützen müssen, und diese kritischen Anlagen sind Geschäftsgebäude, Rechenzentren und Zweigstellen. Richtig? Um also die betriebliche Widerstandsfähigkeit Ihrer Organisation zu gewährleisten. Ja, ich bin definitiv ein großer Befürworter davon, dass diese Funktionen aufeinander abgestimmt werden. Das bedeutet nicht unbedingt, dass sie Teil derselben Organisationsstruktur sein müssen, das möchte ich klarstellen. Ich denke, es ist von großem Wert, wenn das zusammenkommt. Ich denke, es gibt definitiv einen Trend in der Branche, aber wie ich schon sagte, sogar [inaudible 00:35:33] Lloyd's Bank, RBS, waren Mitte der 2000er, Mitte, Anfang der 2000er sehr stark in diesem Bereich.
Ich glaube, das wird jetzt immer mehr anerkannt, und wir sehen mehr Fortschritte in diesem Bereich. Aber ich habe auch schon in Organisationen gearbeitet, in denen sie nicht unter demselben Dach saßen. Aber man kann... mit den richtigen Leuten an den richtigen Plätzen, mit den richtigen, Sie wissen schon, mit übereinstimmenden Zielen kann man das genauso gut zusammenbringen, richtig. Aber ich glaube nicht, dass man die Cybersicherheit isoliert betrachten kann. Man kann Betrug nicht mehr isoliert betrachten, und man kann auch nicht mehr isoliert die physischen Aspekte betrachten. Es funktioniert einfach nicht. Und ich denke, es ist sehr wichtig, dass Sie als Risiko- oder Sicherheitsverantwortlicher in Ihrem Unternehmen anfangen, darüber nachzudenken, wie Sie einen größeren Plan verfolgen, Ihre Kollegen und Partner in ihrer Agenda unterstützen und wie wir das gemeinsam tun können und wie wir aus diesem wichtigen Gut, den Daten, wieder einen Nutzen ziehen können.
Garrett O'Hara: Und Sie sind eindeutig ein Befürworter davon, aber gibt es irgendwelche "Probleme", die die Leute beachten sollten? Bringt dieser Ansatz zusätzliche Komplexität mit sich, z. B. in Bezug auf den Management-Overhead?
David Fairman: Oh ja, absolut, absolut. Es gibt Fähigkeiten, die eine Herausforderung darstellen, weil man verschiedene Organisationen und Funktionen zusammenbringt, die eine andere Sprache sprechen. Wissen Sie, die Cyber-Leute reden anders als die Betrugsleute, reden anders als die Leute von der physischen Sicherheit. Hier gibt es also Herausforderungen. Es gibt eine Angleichung der Prozesse und der grundlegenden Fähigkeiten wie Fallmanagement und Ermittlungen und wie diese Dinge zusammengeführt werden. Es gibt also eine Angleichung bei den Prozessen, den Produkten und den Fähigkeiten. Aber wissen Sie, die Vorteile, wenn man das durcharbeitet, können enorm sein und für eine Organisation wirklich fruchtbar sein.
Garrett O'Hara: Und Sie haben eine beratende Funktion bei Istari und arbeiten im Bereich der Cyber-Resilienz. Aber in diesem Fall geht es um mehr als nur um den Cyberspace. Und als wir uns auf das Interview vorbereiteten, sprachen Sie davon, dass digitale Risiken mehr als nur Cyberrisiken umfassen.
David Fairman: Ja.
Garrett O'Hara: Und ich frage mich, ob Sie uns das irgendwie erklären können?
David Fairman: Ja, absolut. Wir haben bei Istari viel darüber nachgedacht, und wir haben ein Programm zur digitalen Restaurierung ins Leben gerufen, das in Zusammenarbeit mit der Columbia University durchgeführt wird. Und wir haben unseren Rahmen und unsere Überlegungen zur Definition des digitalen Risikos zusammengetragen. Und wieder geht es um das Element, über das ich vorhin gesprochen habe: Warum gehen Unternehmen diesen Weg der digitalen Transformation oder digitalisieren ihre Organisation?
Es geht darum, aus diesen Daten einen Nutzen zu ziehen, die Organisation zu rationalisieren und Kosten zu senken. Aber, [inaudible 00:38:11] damit wie alles andere. Jede Veränderung in einem Umfeld birgt gewisse Risiken. Und das digitale Risiko ist das Risiko der Digitalisierung, und wir als Cybersicherheitspraktiker denken über Cyberrisiken nach, und Cyberrisiken sind ein großer Teil des digitalen Risikos. Aber ich denke, es gibt noch zwei weitere, sehr wichtige Elemente, die manchmal übersehen werden. Es gibt ein digitales Betriebsrisiko, was wirklich der alte Begriff ist, den wir früher verwendet haben. Das war doch ein technologisches Risiko, oder? Potenzielle Auswirkungen oder Ausfälle von Technologie oder digitalen Systemen.
Und dann gibt es noch einen wirklich wichtigen Aspekt, der meiner Meinung nach nie so viel Aufmerksamkeit erhalten hat, wie es nötig wäre, und der jetzt an Schwung und Dynamik gewinnt: das digitale Wertschöpfungsrisiko. Was bedeutet das nun? Wenn Unternehmen diesen Weg der Digitalisierung und der digitalen Transformation beschreiten, basiert dies auf dem Business Case. Denn wenn der Business Case nicht stimmig wäre, würde man nicht die Mittel investieren, um dies zu tun. Sie erwarten also von der Digitalisierung eine gewisse Rendite und einen gewissen Wert. Ob das nun die Kosten sind, ob das die Fähigkeit ist, einen größeren Marktanteil zu erreichen, ob das die Fähigkeit ist, einen größeren Anteil an der Brieftasche zu bekommen, all diese Elemente. Was passiert, wenn Ihre Transformation, Ihre digitale Transformation nicht zu den Vorteilen führt, die Sie im Business Case [inaudible 00:39:52] erstellt haben? Es gibt also eine Herausforderung im Bereich der Wertschöpfung, die meiner Meinung nach wichtig ist und nicht übersehen werden sollte.
Das sind für mich die drei Elemente: das digitale Wertschöpfungsrisiko, das Cybersicherheitsrisiko und die digitalen Betriebsrisiken. Und es ist nicht unbedingt die Aufgabe der Sicherheitschefs, alle drei Elemente zu steuern. Da wir im Bereich der Cyberrisiken eine so große Rolle spielen, können wir unseren Kollegen vielleicht helfen, umfassender darüber nachzudenken, wie digitale Risiken aussehen.
Garrett O'Hara: Vereinfache ich das Risiko des digitalen Betriebs vielleicht zu sehr, wenn ich es als eine Art Kontinuität bezeichne, also den Zugang zu Diensten, den Zugriff auf Daten während eines Ereignisses und so weiter? Oder gibt es hier eine andere Geschmacksrichtung?
David Fairman: Für das digitale Betriebsrisiko?
Garrett O'Hara: Ja.
David Fairman: Ja, richtig. Und... und Misserfolg, ja, Unterstützung bei Misserfolg, IT-Unterstützung bei Misserfolg, Misserfolg bei der Änderungskontrolle, diese Art von Dingen auf jeden Fall.
Garrett O'Hara: Jepp. Ja, das stimmt. Okay, verstanden. Ähm, und dann ja, wir nähern uns irgendwie schnell... wir nähern uns der Zeit viel schneller als ich erwartet habe, nehme ich an. Ähm, aber es gibt ein paar Dinge, zu denen ich Sie gerne befragen würde, und eines davon ist das Thema künstliche Intelligenz und maschinelles Lernen. Und ich würde sagen, dass wir uns als Branche, wie so oft, etwas übernommen haben. Und die Prospekte sind toll und versprechen viel, und dann kommt irgendwann der Nutzen. Und das ist, glaube ich, der Punkt, an dem wir im Moment sind. Was sind Ihre Gedanken zu künstlicher Intelligenz und maschinellem Lernen?
David Fairman: Nun, ich denke, es ist... wir haben einige große Fortschritte in diesem Bereich gemacht. Ich denke, das ist heutzutage von großer Bedeutung. Aber ich denke auch, dass dieser Begriff überstrapaziert wird. Ich denke, jeder wird Ihnen sagen, dass er KI und ML einsetzt. Was bedeutet das eigentlich und wie nutzen Sie es? Aber abgesehen davon glaube ich, dass KI und ML einen Wert haben. Wenn ich bedenke, wie sich unsere Gegner in den letzten Jahren entwickelt haben, dann nutzen sie die technologischen Möglichkeiten schneller als wir. Und wenn ich darüber nachdenke, was KI und ML speziell im Hinblick auf die Sicherheit bedeuten, dann gab es immer zwei operative Maßnahmen, auf die ich mich konzentriert habe. Mittlere Zeit bis zur Entdeckung und mittlere Zeit bis zur Reaktion. Und wenn wir die Menschen, die Probleme und den Prozess weiter vorantreiben, dann tun wir das nicht mit Maschinengeschwindigkeit, sondern mit Langsamkeit. Wie können wir also diese technologischen Möglichkeiten wie KI und ML nutzen, damit wir mit Maschinengeschwindigkeit arbeiten können?
Wir sehen, dass viele Anbieter dies in ihre eigenen Fähigkeiten einbauen, aber innerhalb Ihrer eigenen Organisation müssen Sie anfangen, darüber nachzudenken, wie Sie Ihre Prozesse automatisieren können. Es geht nicht nur um Automatisierung, es geht nicht nur darum, einen Prozess durch Robotik zu rationalisieren und zu automatisieren. Wie schafft man eine Fähigkeit, damit diese Maschine anfängt zu funktionieren und selbständig zu denken oder auf Bedingungen durch einen Prozess in der richtigen Weise zu reagieren? Ich glaube also, dass das einen Wert hat. Ich denke, wir werden sehen, dass unsere Cyber-Sicherheitsexperten einen viel stärkeren datenwissenschaftlichen Ansatz wählen werden. Richtig? Und in der Tat werden Ihre Datenwissenschaftler bis zu einem gewissen Grad zu Cybersicherheitsexperten, und ich denke, das ist wirklich... Sie brauchen die zwei Hände zum Klatschen. Um voranzukommen, braucht man das Fachwissen im Bereich der Cybersicherheit und der Datenwissenschaft.
Aber ich denke, wir werden immer mehr davon sehen. Aber natürlich, das habe ich ja schon erwähnt. Jede Veränderung des Umfelds birgt ein potenzielles Risiko. KI und ML sind mit Risiken verbunden. Erstens, die Geschwindigkeit, mit der sich negatives Verhalten oder negative Handlungen in einer Organisation durchsetzen können. Wie können Sie also die Integrität Ihres Modells überprüfen und sicherstellen, dass es funktioniert und die von Ihnen erwarteten Ergebnisse liefert und nicht zu negativen Ergebnissen führt?
Es gibt auch Verzerrungen im Zusammenhang mit um, Modellen und dem Training dieser Algorithmen. Algorithmen werden von Menschen trainiert. Menschen sind voreingenommen, und wir fangen an, Voreingenommenheit bei einigen dieser Elemente zu beobachten, und man muss einfach darüber nachdenken, wie man das auflösen kann. Und der dritte wichtige Punkt ist die Vergiftung der Trainingsdaten, die Vergiftung des Modells. Vergiftung dieser Daten. Denn wenn Sie ihm die falschen Daten geben, wird das Modell anfangen, sich falsch zu verhalten. Ähm, ich komme wieder auf das [unhörbar 00:44:22] des Modells zurück und wie Sie das darstellen. Es gibt also ein paar Dinge, über die wir nachdenken müssen.
Garrett O'Hara: Also, im Großen und Ganzen sehr nützlich, aber mit der Einschränkung, dass man auf die Möglichkeiten des Missbrauchs achten sollte. Ja, ja.
David Fairman: Auf jeden Fall. Und ich denke, wir haben einige großartige Fortschritte in den Bereichen KI und ML gesehen, vor allem die nächste Generation von AV ist ein gutes Beispiel dafür. Und wir sehen einige automatische Fähigkeiten zur Bedrohungsjagd. Jetzt nutzen sie diese Fähigkeiten, um unsere Bedrohungsjagd zu beschleunigen, und Sie wissen, dass wir das brauchen, um skalieren zu können. Der Aufbau eines guten Jagdteams ist zum Beispiel sehr, sehr schwierig. Es gibt immer mehr Bedrohungen, und die Sicherheitsteams werden heute mit Daten überschwemmt, um diese zu bewältigen. Wie schaffen wir es also, das Tempo und den Umfang zu steigern? Hier können wir also einen Hebel ansetzen, aber wie alles andere muss auch dies gut durchdacht sein.
Garrett O'Hara: Ja, auf jeden Fall, und entfernen Sie so viel von der Eselsarbeit, wissen Sie, die angesprochen wurde [inaudible 00:45:12], wissen Sie, [inaudible 00:45:14] zur Mitarbeiterbindung. Denn wenn Sie so viel von der Eselsarbeit automatisieren können, und dann nur Menschen diese, wie Sie sagen, die kritischen Entscheidungspunkte machen lassen, wo es eine Chance für ein negatives Ergebnis gibt. Cool, wir lassen die Menschen daran teilhaben, aber die ganze Routinearbeit wird von den Maschinen erledigt.
David Fairman: Und auch nicht so sehr, dass ein Mensch in einen Prozess eintreten muss, bei dem es sich um ein großes, schweres Problem handelt. Vielleicht sollten wir sogar sicherstellen, dass es die Menschen sind, die das Modell bauen, um diese großen, schwerwiegenden Probleme zu lösen. Sie übernehmen die Arbeit der Esel, lassen aber die Maschinen auch die großen, schweren Arbeiten erledigen. Aber unter der Anleitung und Aufsicht der Menschen.
Garrett O'Hara: Ja, ja, absolut. Wir haben die Zeit übersprungen, aber ich wollte noch eine letzte Frage stellen, und zwar wahrscheinlich eine wichtige. Man bekommt einen Zauberstab und kann damit ein Problem der Cyber-Resilienz lösen, aber nur ein Problem. Ähm, was wirst du dir wünschen?
David Fairman: Oh, tolle Frage, tolle Frage. Es gibt so viele verschiedene Möglichkeiten, wie das Ganze ablaufen könnte, und du bittest mich, mich für eine zu entscheiden. Ich denke, das ist wirklich schwierig. Ich glaube, ich bin ein sehr datenorientierter Typ. Und ich spreche immer von einem datenzentrierten, also, Sie wissen schon, Sicherheitsprogramm. Das kritische Gut verstehen. Und für mich sind die Daten das wichtigste Gut. Es geht also wahrscheinlich um die automatische Klassifizierung von Daten. Wir sind in der Lage, einem Unternehmen sehr schnell und mit hoher Genauigkeit dabei zu helfen, die kritischen Daten zu verstehen und herauszufinden, wo sich diese kritischen Daten in diesem Unternehmen befinden. Denn ich denke, wenn wir das genau wüssten, könnten wir unsere begrenzten Ressourcen auf die Bereiche mit dem höchsten Risiko konzentrieren.
Garrett O'Hara: Ich denke, es wird viele Unternehmen geben, die sich den gleichen Zauberstab wünschen, und dieser Wunsch [lacht] wird sich erfüllen. David, vielen Dank, dass Sie sich die Zeit genommen haben, heute mit uns zu sprechen. Ich schätze die Einblicke und das Gespräch sehr. Ähm, ja, ich habe es sehr geschätzt.
David Fairman: Richtig, ich bin sehr froh, hier zu sein. Ich weiß das wirklich zu schätzen. Vielen Dank für diese Gelegenheit.
Garrett O'Hara: Vielen Dank an David, dass er sich uns für diese Folge angeschlossen hat. Wie immer vielen Dank, dass Sie sich den Podcast Get Cyber Resilient angehört haben. Stöbern Sie in unserem Episodenkatalog, mögen Sie uns, abonnieren Sie uns und hinterlassen Sie eine Bewertung. Bis dahin, bleiben Sie sicher und ich freue mich darauf, Sie in der nächsten Folge zu sehen.