Get Cyber Resilient Ep 86 | Behind the breach: Die Geschichten, die die Medien übersehen - mit Peter Soulsby
Diese Woche ist unser Gast Peter Soulsby, Direktor für Sicherheitspraxis bei NTT. Peter Soulsby kommt aus dem Finanzwesen und hat seine Erfahrungen in der Zusammenarbeit mit Unternehmen, die gerade einen Verstoß gegen die Cybersicherheit erlitten haben, mit einem geschäftlichen Blickwinkel betrachtet.
Peter blickt hinter die Kulissen der Sicherheitsverletzung und spricht über die Geschichten, die die Medien übersehen, darüber, wo IR-Pläne scheitern können, über die psychologische und menschliche Seite des Umgangs mit einer Sicherheitsverletzung, bei der die Emotionen hoch und tief gehen, über den Wert externer IR-Teams und darüber, wie sie am besten mit internen Teams zusammenarbeiten können, sowie über das beliebte Thema der Vorbeugung gegenüber der Reaktion/Wiederherstellung und darüber, wofür wir unsere Zeit und unser Geld verwenden sollten.
Die Get Cyber Resilient Show Episode #86 Transkript
Garrett O'Hara: Willkommen zum Get Cyber Resilient-Podcast, ich bin Garrett O'Hara. Heute sprechen wir mit Peter Soulsby, dem Leiter der Sicherheitsabteilung bei NTT. Durch seinen Hintergrund im Finanzwesen hat Peter Soulsby eine betriebswirtschaftliche Sichtweise auf seine Erfahrungen bei der Arbeit mit Organisationen, die durch die Hölle gehen, die eine Verletzung der Cybersicherheit darstellt. Peter blickt hinter die Kulissen der Sicherheitsverletzungen und spricht darüber, was bei den Berichten über Sicherheitsverletzungen in den Medien übersehen wird, wo IR-Pläne scheitern können, über die psychologische und menschliche Seite des Umgangs mit Sicherheitsverletzungen, da die Emotionen hoch und auch niedrig sind, über den Wert externer IR-Teams und wie sie am besten mit den internen Teams zusammenarbeiten können, und dann über das beliebte Thema der Vorbeugung gegenüber der Reaktion/Wiederherstellung und darüber, wo wir unsere Zeit und unser Geld investieren sollten. Zurück zum Gespräch.
Heute habe ich Peter Soulsby zu Gast, den Leiter der Sicherheitspraxis bei NTT. Wie geht es Ihnen heute, Peter?
Peter Soulsby: Ja, gut, Gar, wie geht es dir?
Garrett O'Hara: Mir geht es gut. Wir sprachen gerade, bevor wir mit den Aufnahmen begannen, und ich sagte, dass es hier gerade ein riesiges Gewitter gibt. Wenn Sie also die dramatischen Soundeffekte hören, während Peter spricht, dann ist das alles, was dort passiert. Wie ist das Wetter bei Ihnen? Ich schätze, das ist nicht dasselbe.
Peter Soulsby: Gar, das ist einer der Gründe, warum ich im sonnigen Melbourne lebe, [Crosstalk 00:01:16]-
Garrett O'Hara: Ja. (lacht)
Peter Soulsby: ... heute in der Sonne.
Garrett O'Hara: Gut zu hören, gut zu hören. Nun, wir sind uns beim Summer Leadership Institute über den Weg gelaufen, also eine kostenlose Werbung für diese Leute, nehme ich an. Sie wissen schon, sie,
Peter Soulsby: Ja.
Garrett O'Hara: ... sie leisten gute Arbeit und bieten gute Kurse an, und ja, durch diese Art von gegenseitigem Kontakt sind wir in Kontakt gekommen, und so...
Peter Soulsby: Ja.
Garrett O'Hara: ... schön, Sie im Podcast zu haben.
Peter Soulsby: Ja, danke, vielen Dank, dass ich dabei sein durfte, Gar, ich weiß das zu schätzen. Und das Cyber Leadership Institute, das Cyber Leadership Programm, ist ein fantastisches Programm für jeden, der mit CISOs zu tun hat oder ein CISO werden will, ich empfehle Ihnen dringend, sich den Kurs anzusehen. Aber, aber das ist eine Werbung für das Programm, aber-
Garrett O'Hara: [lacht]
Peter Soulsby: ... [inaudible 00:02:00] eine, eine andere Sichtweise auf die Branche, auf das, was erforderlich ist, um als CISO erfolgreich zu sein, und es hat mir sicherlich viel mehr Einfühlungsvermögen in die Rolle und das Leben eines CISO gegeben.
Garrett O'Hara: Ja, da stimme ich voll und ganz zu. Und es hört sich so an, als ob sie das gesponsert hätten, das haben sie nicht, aber es ist ein ph- ein phänomenaler Kurs, da ich ihn mitgemacht habe. Ich habe wirklich [inaudible 00:02:18] so viel davon mitgenommen, und einfach, ja, ich meine, die, die Jungs sind, ich glaube, sie kommen von der richtigen Seite, und das merkt man, weißt du, wenn du, wenn du durch den Kurs gehst. Peter, es wäre toll, wenn du das irgendwie verstehen könntest. Offensichtlich sind Sie der Direktor für die Sicherheitspraxis bei NTT. Es wäre schön zu verstehen, wie Sie zu dieser Rolle gekommen sind und wie Sie dorthin gekommen sind, wo Sie jetzt sind.
Peter Soulsby: Sicher, also so Gar, ich, ja, ich bin eigentlich im Finanzwesen aufgewachsen. Ich habe einen Bachelor in Rechnungswesen an der Wits University in Südafrika studiert und bin vor 10 Jahren, im Jahr 2011, bei Dimension Data eingestiegen, damals noch im Bereich Management Accounting. Und ich habe mir nach diesem Abschluss versprochen, dass ich niemals Buchhalter oder Finanzmanager werden würde. Und nachdem ich in dieser Position bei Dimension Data angefangen hatte, wurde ich zum Finanzmanager befördert, und ich war [inaudible 00:03:04] mit meinem Job sehr unzufrieden. Nach dem zweiten Monat wurde es ein bisschen langweilig.
Also sprach ich mit meinem damaligen Chef, und ich war schon immer der Kapitän des Cricket-Teams und sozusagen der Vorsitzende des Sportvereins gewesen, also dachte ich: "Nun, ich kann Leute von einem Sportplatz aus führen, also kann ich sicher auch ein Unternehmen leiten." Also hat mein Chef damals sozusagen ein bisschen auf mich gesetzt. Er schickte mich nach Kapstadt, um das Anwendungsgeschäft von Dimension Data zu leiten, und so verbrachte ich drei Jahre in der Anwendungsbranche und lernte die Welt von SAP, Oracle und Microsoft kennen. Wir haben ziemlich gute Arbeit geleistet und das Geschäft in diesen drei Jahren ganz erheblich ausgebaut. Und dann ergab sich die Gelegenheit, in die Welt der Cybersicherheit einzusteigen. Und so wurde ich in den Bereich Cybersicherheit versetzt und gebeten, diesen Bereich für Dimension Data im Westkap in Südafrika zu leiten.
Das habe ich eine Zeit lang gemacht, und dann habe ich beschlossen, etwas anderes zu machen. Nach sieben Jahren in der Gruppe gründete ich mein eigenes Unternehmen. Ich kam nicht sehr weit von Dimension Data weg, denn als ich mein eigenes Unternehmen gründete, war mein erstes Unternehmen - nein, mein erster Kunde war Dimension Data, und mein zweiter Kunde war eine Tochtergesellschaft von Dimension Data. Und dann haben sie mir auf die Schulter geklopft, damit ich nach [inaudible 00:04:11] Australien komme und die Sicherheitspraxis für Victoria leite. Das war Dimension Data zu der Zeit auch, wir haben uns vor zwei, zweieinhalb Jahren in NTT umbenannt. Ich bin jetzt seit drei Jahren in dieser Position und genieße sie sehr. Also -
Garrett O'Hara: Ja.
Peter Soulsby: ... Ich denke, ich bringe einen etwas anderen Aspekt in das Thema Cyber ein, da ich nicht in der Branche aufgewachsen bin. Ich betrachte das Ganze eher von der geschäftlichen, kommerziellen, zahlenmäßigen und menschlichen Seite. Ich verlasse mich also in hohem Maße auf die Beratung und Anleitung meines Teams, und ja, ich verlasse mich auf meine Führungs- und Geschäftsfähigkeiten, um in meiner Rolle erfolgreich zu sein.
Garrett O'Hara: Ja. Es ist eine interessante Perspektive, und ich denke, einige der besten Leute im Cyberspace, die ich kennengelernt habe, und die Hardcore-Praktiker kommen von anderen Orten. Und ich denke, das ist eine wirklich nützliche Linse, um die Funktion der Cybersicherheit zu sehen, wissen Sie, es ist eine Geschäftsfunktion, im Grunde genommen, und sobald man sich von der Technologie entfernt, denke ich, dass diese Geschäftslinse unglaublich, unglaublich nützlich ist.
Peter Soulsby: Ja. Was du sagst, Gar, viele von uns in der Branche sind in die Branche gekommen und nicht in ihr aufgewachsen. Und es ist auch eine relativ junge Branche, so dass ich denke, je mehr sie reift, je mehr sie sich auf das Geschäft konzentriert, je mehr sie sich mit dem Geschäft auskennt, je mehr sie die Vorstandsebene erreicht und je mehr man auf Englisch über ein sehr komplexes Problem sprechen muss, desto besser für die Branche, je mehr Leute aus verschiedenen Sektoren, verschiedenen Bereichen in die Branche kommen.
Garrett O'Hara: Jepp. Nein, ich stimme völlig zu. Als wir uns vor den Feiertagen unterhielten, ich glaube, es war im Dezember, wahrscheinlich zu diesem Zeitpunkt, als wir uns ursprünglich unterhielten, kamen wir auf einige der Dinge zu sprechen, die Sie in der Vergangenheit getan hatten, und ich wollte Sie unbedingt dazu bringen, speziell über Verstöße und die Hintergründe von Verstößen zu sprechen, als eine Art Thema für...
Peter Soulsby: Aha [bejahend].
Garrett O'Hara: ... die heutige Folge. Und in den Medien liest man heutzutage so viele Geschichten über Sicherheitsverletzungen. Es scheint, als ob jeden Tag etwas passiert. Und sicherlich auch in den Mainstream-Medien. Aber ich frage mich, ob die Berichte, die ich gelesen habe, wirklich ein Gefühl für die Achterbahn vermitteln, die sich im Hintergrund innerhalb einer Organisation abspielt, während sie diese frühen Phasen der sofortigen Reaktion durchläuft und eine Sicherheitsverletzung auftritt. Was fehlt Ihrer Meinung nach in der Mehrzahl der Fälle von Verstößen?
Peter Soulsby: Das ist eine faszinierende Frage, Gar. Ich war also selbst in eine ganze Reihe von Vorfällen verwickelt, und dann habe ich verstanden, was in den Medien über diese Vorfälle veröffentlicht wird, und ich habe gesehen, wie empfindlich sowohl die Unternehmen, mit denen wir zusammenarbeiten, als auch die Medien und der allgemeine Markt sind, die wissen wollen, was los ist und was passiert ist. Ich denke, das ist bei jedem Unternehmen anders. Ich denke, jedes Unternehmen hat seine eigenen Empfindlichkeiten in Bezug auf das, was es tut und was es nicht tut, und das ist absolut verständlich. Ich weiß, dass jedes Unternehmen aus unterschiedlichen Gründen eine andere Risikobereitschaft hat. Sie wollen vielleicht nicht, dass bestimmte Dinge öffentlich zugänglich sind, und das ist, ich meine, das ist, das ist in Ordnung. Das muss jedes Unternehmen für sich selbst herausfinden und verstehen.
Ich denke, dass in den Berichten, die über Sicherheitsverletzungen und Vorfälle veröffentlicht werden, einige der Dinge fehlen, die wir als Branche besser machen könnten, also die Wiederherstellung. Es geht also nicht nur um die Sicherheitsverletzung selbst und darum, was schief gelaufen ist, sondern auch darum, wie sich das Unternehmen selbst wieder erholt hat, wie es in der Lage war, seine Anwendungen wieder in Betrieb zu nehmen, um seine Kunden zu betreuen und zum Tagesgeschäft zurückzukehren. Denn ein Einbruch kann kurz und bündig sein, wenn es darum geht, ein Netzwerk zu isolieren oder Endpunkte zu isolieren und dann Malware und so weiter von den Systemen zu löschen.
Aber der Aspekt der Wiederherstellung und der Wiederaufnahme des Geschäftsbetriebs ist ein langer und mühsamer Prozess. Und ich glaube nicht, dass die Branche genügend Zeit damit verbringt, über die Rückgewinnung zu sprechen oder Erfahrungen mit der Rückgewinnung auszutauschen. Das wäre also eine faszinierende Sache für Unternehmen, über die sie diskutieren könnten, wenn sie sich gegen Cybervorfälle wappnen [inaudible 00:08:09]. Und ich denke, die andere Sache, über die oft nicht gesprochen wird, und die ein bisschen eine traurige Tatsache bei Cybersecurity-Vorfällen ist, sind die menschlichen Auswirkungen eines Vorfalls. Die Auswirkungen auf das Geschäft werden also oft verstanden, das ist sichtbar. Sie wissen, dass Unternehmen nicht handeln können, dass sie kein Geld abheben können, was auch immer der Vorfall im Bereich der Cybersicherheit aus geschäftlicher Sicht bedeutet.
Aber die Menschen hinter den Kulissen, die rund um die Uhr arbeiten, um das Unternehmen online zu bringen, also ihre individuellen Geschichten, wie sind sie mit dem Druck, mit dem Stress umgegangen? Sie wissen schon, die langfristigen Auswirkungen von [inaudible 00:08:42]? Denn auch hier gilt: Ein Vorfall dauert nicht nur eine Woche, und dann ist alles wieder im Lot. Es dauert lange, sich von einem Vorfall zu erholen. Und ich denke, diese menschlichen Geschichten wären wirklich interessant, ebenso wie die Frage, wie die Unternehmen ihr Geschäft tatsächlich physisch wiederhergestellt haben.
Garrett O'Hara: Ja, absolut. Es gibt einen Artikel, der in der Lawyer Weekly stand, und den [lacht] habe ich gelesen. Ich bin kein Jurist, also fragen Sie mich nicht, wie ich dazu gekommen bin, diesen Artikel zu lesen, aber es ging um die Erfahrung von DLI und DLA Piper. Und es war unglaublich, es war eine Art 15-seitiger tiefer Einblick in die Zeitachse aus der Perspektive verschiedener Beteiligter, von der buchstäblich, Sie wissen schon, jemand, der in einem Besprechungsraum sitzt und eine WhatsApp-Nachricht erhält, in der es heißt: "Bist du dir des Problems mit den IT-Systemen bewusst?" Das ist das erste Anzeichen dafür, dass etwas schief läuft. Aber es läuft durch...
Peter Soulsby: Ja.
Garrett O'Hara: ... und wie nah am Abgrund sie tatsächlich waren, und die langen Tage, die Erschöpfung und, wie Sie sagten, das Gerangel um die Aufrechterhaltung des Geschäftsbetriebs zuallererst, und dann, Sie wissen schon, der lange Weg zur Wiederherstellung. Ich nehme an, die Bemerkung wäre, dass wir in den Medien so oft das Gefühl haben, dass wir von dem Bruch hören, aber wir lesen nie etwas über die ganze Arbeit, die es braucht, um sich davon zu erholen.
Peter Soulsby: Jepp. Und ich denke, Gar, das ist wahrscheinlich das Wichtigste, was man als Unternehmen tun kann, nämlich die Wiederherstellung zu üben und sicherzustellen, dass man in der Lage ist, sich schnell zu erholen. Denn das ist der einzige wichtige Teil eines Vorfalls. Eindämmen, ja, isolieren, sicher. Um Ihr Unternehmen wieder online zu bringen, werden Sie den Löwenanteil Ihrer Zeit nach einem Vorfall aufwenden.
Garrett O'Hara: Ja. Ja, nein, absolut. Und das ist etwas, worauf ich im weiteren Verlauf des Gesprächs gerne näher eingehen möchte. Aber, aber ich konzentriere mich auf den Moment des Vorfalls. Und ich habe gesehen, wie viele Leute über Mike Tysons, Sie wissen schon, das berühmte Zitat, "Jeder hat einen Plan, bis er ins Gesicht geschlagen wird." Diese Art von Zitat sehe ich in letzter Zeit häufig. Und ich nehme an, das trifft zu, oder? Wissen Sie, man erstellt diesen unglaublichen Plan, und wenn die Sache dann wirklich passiert, ist das eine sehr, sehr emotionale und ganz andere Sache, und, wissen Sie, unabhängig von Tischübungen oder, wissen Sie, vollständigen Simulationen, bin ich sicher, dass es unmöglich ist, auch nur annähernd das zu erreichen, was in der Realität passiert, wenn man, wissen Sie, in diesem Moment, in einem Augenblick ist.
Peter Soulsby: Ja.
Garrett O'Hara: ... und ich denke, dass jeder einen Notfallplan haben sollte, oder? Aber wenn der Schlag kommt, dann haben Sie das sicher schon ein paar Mal erlebt. Wo sehen Sie das Problem? Wo, zum Beispiel, hören die Notfallpläne auf zu funktionieren?
Peter Soulsby: Puh. Pläne zur Reaktion auf Zwischenfälle sind meiner Meinung nach ... Das ist ein großartiger Startpunkt. Ich denke, jede Organisation muss einen IR-Plan haben. Und wenn Sie das nicht tun, dann sollten Sie als Erstes Ihre Reaktionspläne für Zwischenfälle überdenken und, Sie wissen schon, einen [unhörbar 00:11:30] Plan aufstellen, wenn Sie noch keinen haben. Denn in dem Chaos, das bei einem Zwischenfall entsteht, hat man ohne einen Plan, ehrlich gesagt, wahrscheinlich keine Chance. Aber ich würde sagen, der nächste Schritt oder die nächste Iteration besteht in der Planung, dem Testen, der Planung, dem Testen und der Sicherstellung, dass Sie diesen IR-Plan für so viele verschiedene Szenarien wie möglich durchspielen.
Ich sehe viele Unternehmen, die sich DFIR-Organisationen ansehen und einen Eimer von uns kaufen, um einen Vorschuss zu bekommen, und das ist fantastisch. Und dann machen Sie weiter und denken: "Okay, gut, ich habe meine Reaktion auf einen Vorfall vorbereitet, ich habe meine Planung gemacht, ich habe meinen Vorschuss bekommen, ich bin zufrieden. Jetzt werde ich mich auf die nächste Sache konzentrieren." Sie sollten viel mehr Zeit in diese Pläne und in die Bereitschaft zur Reaktion auf Zwischenfälle investieren, um sicherzustellen, dass jeder seine Aufgaben und Verantwortlichkeiten kennt, wenn das Unvermeidliche passiert. Jeder weiß genau, was passieren muss und warum es passieren muss.
Und in den ersten 24 Stunden, 48 Stunden, einer Woche geht es oft nur darum, die Katzen zu hüten, sozusagen. Weil alle nur herumrennen und versuchen, Brände zu löschen, versteht niemand seine Rolle und Verantwortung. Es werden Ausschüsse gebildet, Unterausschüsse gebildet, WhatsApp-Gruppen gebildet. Es passiert alles Mögliche, aber nicht unbedingt auf koordinierte Weise. Was also die Reaktion auf Zwischenfälle und Pläne angeht, und wenn Mike Tyson zuschlägt, dann sollten Sie sicherstellen, dass Sie bereits 12 Runden mit Mike Tyson absolviert haben, denn dann ist der Schlag nicht mehr so heftig, sozusagen. Ja, das wäre mein Rat an die Organisationen. Holen Sie sich nicht einfach einen Plan und gehen Sie weiter, um etwas anderes zu tun. Üben, üben, üben, üben, üben. Denn Sie werden nicht wissen, wie sehr Sie diesen Plan und diese Bereitschaft für eine Reaktion brauchen, bis zu dem Tag, an dem es passiert, und dann, wissen Sie, bricht das Chaos aus, wenn Sie es nicht, nicht durchgespielt haben. Tabletop-Übungen, was auch immer Sie tun müssen, und stellen Sie sicher, dass Sie mit dem Plan vertraut sind und wissen, was Ihre Rolle ist und wie Ihr Unternehmen reagieren wird.
Garrett O'Hara: Ja. Was halten Sie von einigen Dingen, die ich in letzter Zeit gelesen habe? Die Analysten von Gartner haben darüber geschrieben, aber man liest manchmal von CISOs, die gefeuert werden, oder von Sicherheitsverantwortlichen, die gefeuert werden, weil eine Sicherheitslücke passiert ist, und, Sie wissen schon, das auf den Kopf zu stellen und zu sagen: "Nun, eigentlich sind sie viel wertvoller, denn sie haben es ja schon hinter sich." Sie haben den Schrecken eines Einbruchs erlebt und sind auf der anderen Seite wieder herausgekommen, und sie verstehen das auf eine Art und Weise, die jemand, der das nicht erlebt hat, natürlich nicht versteht. Was denken Sie darüber? Denn ich habe das Gefühl, dass Leute, die das alles schon erlebt haben, mehr wert sind als das, was oft passiert: Der CISO wird gefeuert, und das ist wahrscheinlich nur eine PR-Übung, aber in Wirklichkeit [lacht] feuert man jemanden, der jetzt besser qualifiziert und wertvoller für das Unternehmen ist. Es sei denn, sie sind fahrlässig, aber ...
Peter Soulsby: Ja, Gar, wenn Fahrlässigkeit im Spiel ist, oder wenn es sich um einen völligen Mangel an Sorgfalt handelt [unhörbar 00:14:34], dann könnte man natürlich argumentieren, dass dies die richtige Vorgehensweise ist. Aber ich bin jedes Mal ein bisschen enttäuscht, wenn ich davon höre, denn das hilft der Branche nicht. Das ist für angehende CISOs nicht hilfreich. Es ist für CISOs in ihrem derzeitigen Job nicht hilfreich zu wissen, dass ich meinen Job verlieren werde, wenn etwas schief geht. Ich glaube nicht, dass das die Positivität oder die Kultur ist, die wir in der Branche fördern müssen.
Wenn ich mir die Menschen ansehe, mit denen ich zu tun hatte, die einen Vorfall erlebt haben, dann ist da eine Veränderung. Es gibt eine Veränderung nach dem Einbruch, sie sind ein bisschen zögerlicher, sie sind ein bisschen rücksichtsvoller und vorsichtiger in dem, was sie tun und wie sie es tun, und, ja, ich meine, das ist, das ist, das ist interessant. Ich habe mit Organisationen zu tun gehabt, bei denen man abends mit dem CEO der Geschäftsseite spricht, und die können sich keinen Reim darauf machen. Der CISO kann seinen Job behalten oder auch nicht, oder was auch immer, Unternehmen müssen sich daran erinnern, dass es unglaublich wertvoll ist, Leute zu haben, die das durchgemacht haben, die es verstehen, die über praktische Erfahrung verfügen, denke ich.
Wir sind jetzt an einem Punkt angelangt, an dem ich CISOs und Mitgliedern der Sicherheitsgemeinschaft im Allgemeinen raten würde, dass wir viel Zeit auf Präventivmaßnahmen und den Schutz von Unternehmen und die Einrichtung von Kontrollen verwendet haben, um sicherzustellen, dass wir die bösen Jungs fernhalten. Aber jetzt muss viel mehr Zeit darauf verwendet werden, was zu tun ist, wenn es passiert. Mein Rat ist also fast 50/50. 50 % Ihrer Zeit sollten Sie für Präventivmaßnahmen aufwenden, 50 % Ihrer Zeit sollten Sie für die Vorbereitung des Wiederaufbaus Ihres Unternehmens, für die Vorbereitung auf die Reaktion verwenden. Denn es wird passieren, und es gibt Dinge, die man kontrollieren kann, und es gibt eine Menge Dinge, die man nicht kontrollieren kann. Und diese Dinge, die man nicht kontrollieren kann, sind es, die schief gehen werden, und dann jemanden mit einem Stammbaum zu haben, der schon einmal einen Vorfall durchlaufen hat, und einen CISO oder ein Sicherheitsteam, ist meiner Meinung nach unglaublich wertvoll für ein Unternehmen. Das erste Mal, wenn jemand da durchgeht, ist es ziemlich offensichtlich, es ist Panik, es ist Chaos.
Garrett O'Hara: Hm.
Peter Soulsby: Und sie brauchen ein paar Tage, um sich zu beruhigen und sich daran zu erinnern, was sie zu tun haben. Und dieses erste 48-72-Stunden-Fenster, wenn Sie jemanden haben, der über Erfahrung und einen Stammbaum und eine gewisse Erfolgsbilanz in Bezug auf Zwischenfälle verfügt, was sich vielleicht nicht gut im Lebenslauf macht, aber aus praktischer Sicht unglaublich wertvoll ist, wird Ihnen helfen, sich von einem Zwischenfall zu erholen und darauf zu reagieren, und zwar viel schneller und besser als jemand, der diesen Prozess noch nie durchlaufen hat.
Ich glaube, das Unglückliche an einer Sicherheitslücke ist, dass man sie nicht kennt, bevor man sie nicht erlebt hat und die absolute Panik eines massiven Ausfalls der Informationstechnologie, der Zahlungsfähigkeit, der Handelsfähigkeit, bis man das erlebt hat, ist es schwer zu erklären. Und es geht darum, so viel wie möglich zu üben, zu üben, zu üben, diese Erfahrung ist sehr wertvoll. Was Sie also sagen wollen: Sicher, wenn es ein bisschen Fahrlässigkeit gibt, muss man sich das genau überlegen. Das ist, aber für mich sind CISOs und Sicherheitsteams die Champions, wenn es um diese Verstöße geht, und sie sollten, ähm, Sie wissen schon, sie sollten auf ein Podest gestellt werden. Denn ohne diese Fähigkeiten und Erfahrungen werden Sie nach einem Einbruch in Schwierigkeiten geraten, das wissen Sie.
Garrett O'Hara: Auf jeden Fall. Gibt es irgendetwas in, du weißt schon, ohne dass wir hier zu weit in den Kaninchenbau der Psychologie abdriften [lacht], aber wenn du darüber sprichst, scheint es im Leben so zu sein, dass manchmal die Angst vor der Sache schlimmer sein kann als die Sache selbst. Und da Burnout bei CISOs ein so großes Problem ist, frage ich mich, ob ein Teil davon die Befürchtung ist, dass ein potenzielles Ereignis irgendwann eintreten wird, und zwar auf einer vernünftigen Zeitachse für einen CISO, wenn er über ein paar Jahrzehnte praktiziert. Sie werden das durchstehen müssen. Siehst du, dass die Veränderung, auf die du dich beziehst, dass sie es durchgemacht haben, dass die Widerstandsfähigkeit irgendwie zunimmt, weil jetzt die ... Es ist nicht mehr unbekannt, sie haben es tatsächlich, wissen Sie, es ist real, sie gehören zum Team oder zu der Kohorte von Menschen, die tatsächlich beschreiben können, wie es ist, etwas durchgemacht zu haben, ist es das, worauf Sie hinauswollen, wenn Sie sagen, dass sie danach belastbarer sind?
Peter Soulsby: Ja. Und um noch einmal auf die Rollen und Verantwortlichkeiten zurückzukommen, und um zu verstehen, wie Sie als Individuum beschaffen sind, wie Ihr Charakter als Individuum beschaffen ist, ist nicht jeder dazu bestimmt, ein Feuerwehrmann an vorderster Front zu sein. Und ich denke, es ist für uns alle in der Cybersicherheitsbranche wichtig zu verstehen, wie Sie persönlich beschaffen sind, welche Fähigkeiten Sie haben und ob Sie die richtige Person sind, um bei einem Vorfall an vorderster Front zu stehen. Sie, da gibt es eine, da gibt es ein bisschen Verhärtung, da gibt es ein bisschen ja, ich meine, da gibt es ... Wenn man mit all dem Druck konfrontiert wird, und ich habe in und neben Organisationen gearbeitet, wenn dieser Druck auf einen einwirkt, gibt es definitiv eine Veränderung in der Psyche, eine Veränderung des Aufbaus, wenn man das durchgemacht hat.
Für mich sind die DFIR-Berater, die Incident Responder-Berater, die Leute, die rund um die Uhr im Einsatz sind und auf diese Vorfälle reagieren, etwas ganz Besonderes. Ich selbst weiß, dass ich von meinem Charakter her nicht die richtige Person für diese Aufgabe wäre. Es gibt eine gewisse Besonderheit in ihrem Wesen, die sie im Angesicht von Widrigkeiten ruhig bleiben lässt, die sie im Angesicht von schreienden Menschen ruhig bleiben lässt, die sie im Angesicht von panischen Menschen ruhig bleiben lässt, die nicht richtig kommunizieren können, die nicht klar denken können. Und auch hier gilt: Wenn man diese Erfahrung macht, wenn man einen Bruch durchgemacht hat, dann eignet man sich einige dieser Fähigkeiten an. Man nimmt sozusagen etwas von dieser Widerstandsfähigkeit mit, und das wird beim nächsten Mal definitiv eine bessere Reaktion fördern.
Garrett O'Hara: Sie haben etwas angesprochen, das ich für ein interessantes Gespräch halte, und ich habe mit einigen der Gäste schon darüber gesprochen, aber Sie sind Teil dieser internen Teams. Sie haben mit dem Szenario der Sicherheitsverletzung gesprochen und wissen, dass es vermutlich ein internes IT-/Sicherheitsteam gibt. Sie wissen schon, idealerweise [lacht] ein Sicherheitsteam. Und ich war schon immer neugierig auf die Dynamik, wie diese beiden Gruppen von Menschen im Moment zusammenarbeiten. Ich gehe davon aus, dass man intern über die Systeme, die vorhandenen Integrationen, die Menschen und die Persönlichkeiten, die in dieser Organisation eine Rolle spielen, Bescheid weiß. Und dann bringen die externen Teams diese Art von, wie ich vermute, Ablösung von den Emotionen des Geschehens ein. Wissen Sie, Ihre Hoffnung ist eine Art klares Denken. Ich bin sehr daran interessiert, Ihre tatsächlichen Erfahrungen zu hören, z. B. wenn es gut gelaufen ist und es so funktioniert hat, oder, Sie wissen schon, Zeiten, in denen es vielleicht einen Groll darüber gibt, dass ein externes Team kommt, und, Sie wissen schon, "Es sind unsere Systeme und wir können damit umgehen," oder, oder ist das einfach nicht das, was in der Realität passiert?
Peter Soulsby: Sie haben auf jeden Fall interessante [unhörbare 00:21:26] Perspektiven dazu. Wenn ich also sehe, wie interne und externe Organisationen zusammenarbeiten, wenn etwas schief geht, wenn es nicht funktioniert, möchte ich dort ansetzen. Wenn also zu viele Interessengruppen beteiligt sind. Wenn es zu viele Dritte gibt und die Koordinierung über mehrere Türme, Organisationen, Drittanbieter und Menschen hinweg erfolgt. Sie müssen sich auch mit Ihrer internen Komplexität auseinandersetzen. Wenn zu viele Parteien beteiligt sind, wird es sehr schwierig, in einer solchen Situation schnell und effektiv zu handeln.
Mein Rat wäre also, mit externen Parteien zusammenzuarbeiten, denn sie bringen die Fähigkeiten, die Möglichkeiten und die Erfahrung mit, die Sie brauchen, wenn etwas schief geht. Aber denken Sie sorgfältig über Ihre Lieferkette nach, über die Dritten, die an Ihrem Unternehmen beteiligt sind, und versuchen Sie, diese so weit wie möglich zu vereinfachen. Aus meiner Erfahrung weiß ich, dass es schwierig ist, im Falle einer Sicherheitsverletzung die vielen verschiedenen Dienstanbieter und Türme zu koordinieren. Es gibt unterschiedliche Genehmigungen durch das Management, unterschiedliche Prozesse, unterschiedliche SLAs, unterschiedliche IT-Systeme, Ticketing-Systeme und so weiter und so fort, mit denen Sie möglicherweise arbeiten. Und das ist hart und bringt Sie nicht so schnell voran, wie Sie es wahrscheinlich brauchen.
Wo es wirklich gut funktioniert hat, ist dort, wo Organisationen, wissen Sie, sicherlich für, für mich, wo Organisationen uns anvertraut haben, uns wirklich in ihre Unternehmen einzubringen und ihnen zu helfen. Von einem Kommunikationsstandpunkt aus betrachtet, von einem Reaktionsstandpunkt aus betrachtet, betrachten wir Dinge wie Office 365 und bringen E-Mails wieder zum Laufen, helfen ihnen, Entscheidungen zu treffen, die sie für ihr Geschäft treffen müssen, Sie wissen schon, sie auf dem Weg zu begleiten, was erforderlich ist, um ihr Geschäft wieder online zu bringen, das ist der Punkt, an dem ich immer dazu tendieren würde, wenn das Modell so einfach wie möglich ist und es weniger Beteiligte gibt, oder die geringstmögliche Anzahl von Beteiligten für eine effiziente Reaktion.
Ich denke, der Versuch, mit ... Und auch hier möchte ich einen Vorbehalt anbringen: Der Versuch, Verstöße nur intern zu behandeln und sie für sich zu behalten und zu versuchen, sie nicht nach außen dringen zu lassen oder Dritte um Hilfe zu bitten, ist wahrscheinlich auch, wissen Sie, am anderen Ende der Skala, völlig schädlich. Sie haben nicht die Größe, die Erfahrung und alles andere, was Sie brauchen, um angemessen zu reagieren und Ihr Unternehmen wieder zum Laufen zu bringen. Es ist also gut, wenn Dritte beteiligt sind. Auch wenn Sie wissen, dass die internen Parteien Systeme und Prozesse verstehen und wissen, wie man Dinge tut, bringt Ihre externe Partei Größe und Schnelligkeit mit, was Sie brauchen, wenn ein Problem auftritt. Überlegen Sie aber genau, wie viele Dritte beteiligt sind, denn je mehr beteiligt sind, desto schwieriger wird es.
Es gibt auch, und das ist sehr bedauerlich, immer noch viele Unternehmen, die von einer Sicherheitsverletzung erfahren und schmollen wollen. Und ich denke, dass die Begrenzung der Anzahl von Drittanbietern, mit denen Sie interagieren, auch dazu führt, dass die Kontrolle über die Nachricht oder den Verstoß bei einer kleinen Gruppe von Anbietern oder Drittanbietern verbleibt, was auch immer Sie tun wollen, und dass Sie nicht den ganzen Tag lang Anrufe von verschiedenen Dienstleistern und Technologieanbietern erhalten, die versuchen, Ihnen die neuesten Geräte zu verkaufen, um alle Ihre Probleme zu lösen, und das ist einfach nicht hilfreich.
Ich denke, das ist etwas, was wir als Industrie ebenfalls sehr sorgfältig bedenken müssen, denn es handelt sich um heikle Situationen. Wissen Sie, Sie haben es mit Menschen zu tun, mit deren Leben. Wenn du hörst, dass etwas schief gelaufen ist, kannst du mitfühlend und rücksichtsvoll sein, denn diese Leute werden in einer Welt des Schmerzes versuchen, herauszufinden, wie man das Problem beheben kann. Und du weißt, es gibt eine Zeit und einen Ort ... Sehen Sie, ich führe ein Geschäft. Es gibt eine Zeit und einen Ort für ein Verkaufsgespräch. Ein Bruch ist, wenn man sich offensichtlich engagieren muss, wenn man verfügbar ist, wenn man bereit ist, zu helfen, und wenn man das tut, was das Unternehmen, mit dem man arbeitet, braucht. Also Einfühlungsvermögen und, und die ... Rücksichtnahme auf die Organisation, die den Schmerz erleidet, ist sehr wichtig. Ich weiß nicht, ob ich das so beantwortet habe, wie Sie es von mir erwartet haben, aber ja, ich denke, dass es sehr wichtig ist, die Dinge einfach zu halten und einen vertrauenswürdigen Dienstleister zu haben, der in Ihrer Nähe ist und von dem Sie wissen, dass Sie ihn erreichen können und er Ihnen helfen wird.
Seien Sie sehr wählerisch, wer das ist, denn Sie wollen nicht, dass die falschen Leute in Ihrem Unternehmen herumlaufen und versuchen, Ihnen Dinge zu verkaufen und inmitten eines Verstoßes Chaos zu verursachen. Und dann mit diesem externen Anbieter üben, üben, üben, üben. Wir wissen also, dass, wenn man ein externes Team aufsucht und sagt: "Ich habe ein Problem," keine Panik aufkommt, sondern eine ruhige Reaktion erfolgt. Jeder weiß, wo er hingehört, jeder kennt seine eigene Verantwortung, und man geht damit eher schwarz auf weiß um, als dass man in absolute Panik verfällt.
Garrett O'Hara: Ja, absolut. A - und um auf Ihren Punkt einzugehen: Im Moment eines Verstoßes oder wenn etwas schief geht, ist es der schlechteste Zeitpunkt, um eine Entscheidung über einen neuen Anbieter zu treffen. Wenn die Emotionen hochkochen und man verzweifelt ist, ist das der letzte Zeitpunkt, an dem man versuchen sollte, eine Entscheidung darüber zu treffen, wer einem irgendwie helfen wird. Ich kann Ihren Standpunkt in dieser Hinsicht also durchaus nachvollziehen. Ich wäre sehr daran interessiert, dass die Befehlsstruktur zwischen intern und extern, um einen besseren Ausdruck zu finden, und, um auf Ihren Punkt zurückzukommen, das Management oder das Hüten von Katzen, um zu versuchen, die Arbeit zu erledigen, sicherlich in den ersten Tagen, wenn die Emotionen hochgehen. Wie sieht das aus? Was bedeutet das für die Kommandostruktur, um es mal so auszudrücken? Wem gehört sie, wer kann andere Teams leiten, wie sieht die Hierarchie aus?
Peter Soulsby: Ja, das ist eine interessante Frage, und es ist eine wichtige Frage, die sich Unternehmen stellen müssen, wenn sie überlegen, wie sie auf eine Sicherheitsverletzung reagieren. Denn es ist sehr einfach für eine Führungskraft, sich zu begeistern und, Sie wissen schon, sich einzumischen und hochgradig operativ zu werden. Und das, aber das ist wahrscheinlich nicht das richtige Ziel für diese Person, oder? Sie brauchen etablierte Ausschüsse und Kommunikationsmethoden, damit Sie als CISO nicht 100 Anrufe pro Minute erhalten, weil jeder ein Update will. Ich halte es für außerordentlich wichtig, diese Hierarchie für die Reaktion auf einen Vorfall festzulegen und sie in den Plan aufzunehmen.
Was den Umgang mit Dritten angeht und wie sie involviert werden, denke ich, dass das eine ziemlich interessante Frage ist, und es ist, es ist, es ist, es ist, wahrscheinlich muss man ehrlich sein [inaudible 00:28:00] von Fall zu Fall. Manche Organisationen sind ganz froh, wenn sie die Werkzeuge oder sozusagen die Schlüssel zum Königreich aus der Hand geben und zurücktreten und sagen: "Ich muss wieder online gehen," " Ihr habt die Kontrolle, und lasst mich wissen, was ich tun muss." Andere Unternehmen ziehen es vor, die Kontrolle zu übernehmen, und haben eine andere Risikobereitschaft. Sie werden nur sehr genau angeben, wofür sie DFIR oder Incident Responder einsetzen. Auch hier kommt es darauf an, dass man, wenn man genug übt, wenn man bereit ist und wenn man weiß, was man im Falle eines Zwischenfalls braucht, recht schnell die Kommunikationswege festlegen kann, wer was und wo macht, wie die externen Dienstleister arbeiten und was die internen Teams tun.
Und es ist auch etwas so Einfaches wie, na ja, wer hat die Autorität und die Entscheidungsbefugnis zu sagen, Sie wissen schon, "Schalten Sie das Internet aus," als Beispiel. Und wer hat dann die Befugnis, den Internetzugang von jeder einzelnen Geschäftsanwendung aus zu aktivieren?
Dies sind wichtige Fragen, die oft nicht vor einem Einbruch beantwortet werden. Und oft fehlt es bei einer Sicherheitsverletzung einfach an Koordination und einem definierten Reaktionsplan, wer was tun kann, wer die Befugnis hat, wer mit wem reden kann. Es gibt nichts Schlimmeres, als ein CISO oder ein Sicherheitsteam zu sein und alle fünf Minuten angerufen zu werden, um ein Update vom Vorstand zu erhalten. Das ist nicht hilfreich. Weil Sie Ihre Zeit damit verbringen, Ihren Vorstand zu verwalten. Sie sollten Ihre Zeit lieber damit verbringen, den Vorfall oder die Sicherheitsverletzung zu bewältigen. Die Einrichtung dieser Kommunikationslinien, dieser Gruppen und der von Ihnen erwähnten Hierarchie sollte nicht nur geplant und etabliert werden, sondern auch respektiert werden. Und dann, im Falle eines Einbruchs, respektieren Sie die Tatsache, dass Sie vielleicht Sicherheitsingenieure haben, die herumlaufen, Änderungen an Firewalls vornehmen, EDR-Software auf Endgeräten installieren und versuchen, Patient Zero zu finden und Löcher zu stopfen. Darauf sollten sie sich konzentrieren, und alles andere sollte sie nicht stören, denn das ist ihre Priorität.
Wenn die Organisationen das verstehen, wenn sie verstehen, dass die Rolle des Vorstands und die Rolle der Geschäftsleitung der Rolle der Sicherheits-, Netzwerk-, Betriebs- und Anwendungsteams gegenübersteht und sie diese Grenzen respektieren, ist es sehr einfach, diese Grenzen nicht zu respektieren. Denn wenn ich ein Unternehmen leite, will ich wissen, was los ist, und ich will alle fünf Minuten ein Update. Aber im Falle eines Verstoßes ist das oft nicht sehr hilfreich. Man braucht Teams, die sich konzentrieren können, man braucht Teams, die in der Lage sind, ruhig zu bleiben, und das Mehr an Kommunikation und das Chaos, das dadurch entsteht, dass jeder jeden anruft und versucht, sich auf den neuesten Stand zu bringen, das ist nicht, das ist nicht hilfreich.
Und ich komme zurück auf die Frage nach den Dienstleistern und dem Unterschied zwischen intern und extern. Das ist interessant. Mein Rat ist daher oft, die externe Partei ihre Arbeit machen zu lassen. Sie haben sie nicht umsonst engagiert, Sie haben sie nicht umsonst unter Vertrag genommen, vertrauen Sie ihnen. Sie wissen, was sie tun, das ist ihr Job, das ist ihre tägliche Arbeit. Und sich dem in den Weg zu stellen, ist oft nicht hilfreich und bringt nicht das bestmögliche Ergebnis für Ihr Unternehmen. Also ja, das ist eine faszinierende Frage. Ich denke, dass es viele verschiedene Möglichkeiten gibt, das zu beantworten... Es hört sich so an, als würde ich mich hier oft wiederholen, aber ich denke, es ist außerordentlich wichtig, seine Rolle zu verstehen, seine Verantwortung zu verstehen, zu verstehen, mit wem man wann kommunizieren muss, und den Leuten zu erlauben, ihre Arbeit in [unhörbar 00:31:42], Sie wissen schon, in einer strukturierten Weise zu tun.
Garrett O'Hara: Ja. Und Sie erwähnten, dass Sie natürlich diese Dritten in Anspruch genommen haben. Ich habe darüber nachgedacht, und vielleicht ist es nur mein Hut aus Alufolie, aber der Gedanke, dass, wenn wir einen wirklich bedeutenden und sehr weit verbreiteten Angriff erleben, der viele, viele Organisationen gleichzeitig trifft, gibt es dann eine Möglichkeit, dass wir eine Art von Kollisionen auf den Drittparteien sehen könnten? Die, ihre Verfügbarkeit, ihre Ressourcen? Wir haben 10 Unternehmen, und es gibt eine, Sie wissen schon, sie arbeiten sozusagen an der Wahrscheinlichkeit, dass jemand zu einem bestimmten Zeitpunkt verletzt wird, und stellen entsprechend Ressourcen zur Verfügung. Aber wenn es auf breiterer Basis geschieht, könnten Sie sich vorstellen, dass 10 Unternehmen versuchen, Zugang zu denselben drei Einheiten einer externen Organisation für die Reaktion auf Zwischenfälle zu erhalten?
Peter Soulsby: Ja. Und, ja, ich habe das live gesehen.
a- eine Organisation wurde über ein Problem benachrichtigt, und die Vorfallsreaktion hat nicht so gut funktioniert, wie sie hätte funktionieren sollen, weil sie eine von vielen Organisationen ist, die betroffen waren. Und der Rat des IR-Teams in diesem Fall war, dass ihr [inaudible 00:32:58] Anbieter "Es gibt eine Menge in den Schlund, und wir glauben nicht, dass Sie so stark betroffen sind, also, wissen Sie, geben Sie uns, haben Sie einfach Geduld mit uns, während wir, während wir auf die Unternehmen reagieren, die stärker betroffen sind, und wir werden, wir werden auf Sie zurückkommen."
Und das ist ein sehr erschütternder Ratschlag, oder er war für ein Unternehmen sehr schwierig zu hören. Wissen Sie, das ist nicht das, was Sie hören wollen. Wie kann man dem entgegenwirken? Vielleicht ist die Antwort, dass man mehrere IR-Parteien und mehrere IR-Pläne hat. Das wird wahrscheinlich teuer und lästig sein, also ... und vielleicht nicht wirklich helfen, weil Sie dann mit mehreren externen Parteien üben werden, und das kann vielleicht nicht den Nutzen haben, den Sie beabsichtigen.
Die [inaudible 00:33:47] und sagen, wenn Sie, wenn Sie ... Je schneller Sie wiederherstellen können, je besser und belastbarer Ihre Backups sind, und je schneller Sie Anwendungen wiederherstellen und Systeme wieder zum Laufen bringen können, desto weniger müssen Sie sich über diese Eventualität Sorgen machen. Ich denke, mit, ... Ich stelle die Rolle eines Soforthelfers nicht in Frage, ich denke, das ist ganz wichtig. Sie wissen, was sie tun, Sie müssen sie ihre Arbeit machen lassen. Aber wenn Sie wissen, dass Sie besser geplant und vorbereitet sind, und wenn Sie wissen, dass Sie den Betrieb schnell wieder aufnehmen können, weil Sie die richtigen Systeme, Prozesse und Techniker für die Wiederherstellung haben, dann sind Sie wahrscheinlich in einer besseren Position, wenn dieser Fall eintritt.
Es liegt leider in der Natur der Sache, dass unsere digitalen Fußabdrücke so groß sind, dass es eine sehr reale Möglichkeit gibt, dass all die DFIR-Unternehmen da draußen morgen einen Anruf erhalten, weil etwas passiert ist und eine Drittanbieter-Software für die Lieferkette Schwachstellen in Tausenden von Unternehmen geschaffen hat. Und, wissen Sie, wir haben ein großes Problem. Es ist schon einmal passiert, es wird wieder passieren. Ich kann mir vorstellen, dass wir wahrscheinlich die DFIR-Industrie ausbauen und mehr IR-Kapazitäten schaffen müssen. Das ist eine echte Chance in der Cybersicherheitsbranche, und diese Leute mit der richtigen Persönlichkeit und dem richtigen Ansatz zu finden, wird für die Branche entscheidend sein.
Aber noch einmal zurück zu meinem vorherigen Rat. Wenn Sie sich auf ... Konzentrieren Sie sich nicht nur auf vorbeugende Maßnahmen, sondern konzentrieren Sie sich als CISO, als Unternehmen, auf die Wiederherstellung, dann denke ich, dass Sie sich fast fragen müssen, welche Sicherheit ist gut genug? Und wenn Sie das geschafft haben, sollten Sie sich darauf konzentrieren, wie Sie die Anwendungen wiederherstellen, wie Sie sie wieder online bringen und wie Sie sicherstellen, dass Ihre Backups nicht verschlüsselt werden. Und je schneller man reagieren kann, desto weniger problematisch ist ein Vorfall im Bereich der Cybersicherheit.
Garrett O'Hara: Ja, absolut. Es ist interessant, ich glaube, Sie sprachen von einem Verhältnis von 50:50, was die Ressourcen angeht, die für den Schutz der Umgebung/Prävention und die Reaktion/Wiederherstellung eingesetzt werden. Ich weiß nicht, ob jemand einen Zauberstab geschwungen hat oder ob ich mir dessen einfach nur bewusster geworden bin, aber ich habe das Gefühl, dass dieses Thema viel häufiger im Gespräch ist und dass die Analysten über minimale lebensfähige Sicherheit sprechen, und es macht für mich Sinn, dass die Erträge abnehmen. Ich meine, man sieht das so oft in Organisationen, wo sie eine Wagenladung Geld für eine Unmenge von Präventivkontrollen ausgeben, und je mehr Geld man ausgibt, desto geringer wird die Rendite, weil man mit den Dingen, die bereits vorhanden sind, schon den größten Teil des Weges zurückgelegt hat, aber für einen zusätzlichen Dollar bekommt man wirklich nur noch Cent-Beträge. Aber die Broschüren sind erstaunlich und beeindruckend, also, warum, warum nicht, und...
Peter Soulsby: [Crosstalk 00:36:42]-
Garrett O'Hara: ... auf der RSA-Konferenz gut aussehen? Und wenn man sich das einmal vor Augen führt, wird die Zeit, die für die Verwaltung dieser Plattformen verbrannt wird, oder wenn sie falsch konfiguriert sind, manchmal eher zu einem Problem, als dass sie helfen. Aber ja, es scheint auf jeden Fall viel, viel, viel sinnvoller zu sein, einen Teil des Budgets auf die Reaktions- und Wiederherstellungsseite zu verlagern, weil man weiß, dass es irgendwann schiefgehen wird.
Peter Soulsby: Ja, ja. Und Gar, das mag vielleicht etwas kontrovers klingen, aber ich, ich, wissen Sie, es gibt ein Sprichwort in der Branche, das besagt, dass man niemals einen guten Verstoß oder ein gutes Audit verschwenden sollte. Denn dann hat man Zugang zu Budgets, um Dinge zu reparieren. Aber vielleicht würde ich sagen, dass man auch damit vorsichtig sein sollte. Verstehen Sie mich also nicht falsch: Wenn es zu einem Sicherheitsverstoß gekommen ist, sollten Sie sicherstellen, dass Sie Maßnahmen ergriffen haben, um zu verhindern, dass sich ein solcher Verstoß wiederholt, denn wenn Sie zweimal auf die gleiche Weise getroffen werden, ist das ein absolutes Tabu. Sie, ich meine, das ist nicht das, was wir als Industrie anstreben sollten. Sie müssen Kontrollen zur Schadensbegrenzung einführen und sicherstellen, dass Ihre Sicherheitsvorkehrungen nach dem Einbruch gewährleisten, dass so etwas nicht noch einmal passiert. Das ist eine Selbstverständlichkeit.
Wir haben in der Branche viel Zeit damit verbracht, herumzurennen und zu versuchen, auf so viele verschiedene Dinge wie möglich zu reagieren, und nach einem Einbruch wird oft ein Audit durchgeführt. Oftmals wird ein Drei-Jahres-Fahrplan aufgestellt, und das kann für Organisationen wie uns eine Menge Arbeit und Möglichkeiten mit sich bringen, und das ist, das ist wunderbar. Verstehen Sie mich nicht falsch, ich bin Betriebswirtin. Aber ich frage mich oft, wie wirksam das ist. Denn bei einer Prüfung wird oft versucht, alle Möglichkeiten und Eventualitäten zu berücksichtigen, was dazu führt, dass die Komplexität eines Unternehmens erhöht wird, was möglicherweise nicht nötig ist, und das Unternehmen im Falle eines weiteren Verstoßes oder einfach nur im Tagesgeschäft verlangsamt.
Sie müssen also, und ich denke, auch hier ist die Rolle, wie Sie sagten, von großer Bedeutung. Einige der CISOs, mit denen ich zu tun habe und die in diesem Bereich unglaublich effektiv sind, können den Wert eines Audits und den Wert einer Nachbesserungsübung nach einem Einbruch quantifizieren und sagen: "Nun, mit klarem Verstand, was ist richtig und was ist falsch? Muss ich alles tun, was mir gerade gesagt wurde? Weil wir gerade eine Menge Geld an einen Berater gezahlt haben, der uns sagt, was wir tun sollen? Oder, oder, oder, wissen Sie, was ist besser für meine Organisation geeignet? Weil ich weiß, wie mein Unternehmen funktioniert, weiß ich auch, was Risiko für mein Unternehmen bedeutet." Lassen Sie mich also meine eigene Sichtweise auf diese Prüfung anwenden, lassen Sie mich meine eigene Sichtweise auf diesen Bericht mit den Feststellungen oder den Bericht mit den Abhilfemaßnahmen anwenden und ihn auspacken und hinterfragen. Meiner Erfahrung nach hilft es nämlich nicht, einfach den Bericht über die Sanierung zu nehmen und dann alles zu tun, was einem aufgetragen wurde.
Denn das wird ein relativ allgemeiner Bericht sein, der von Leuten erstellt wird, die Ihr Unternehmen vielleicht nicht so gut kennen wie Sie selbst. Es ist also nicht unbedingt eine Frage des Wertes, ich meine, es ist gut, wenn Leute kommen und Ihre Prozesse und Ihr Denken in Frage stellen und Cybersicherheit, Sie wissen schon, Branchenwissen und Erfahrung anwenden und Ihnen diese Sichtweise und diesen Fahrplan und diese Prüfung geben, das ist absolut wichtig. Aber Sie können nicht einfach alles tun, was Ihnen aufgetragen wurde, um Ihre Stakeholder zu beschwichtigen, wenn Sie einen Verstoß begangen haben. Sie müssen das auf der Grundlage Ihres Verständnisses Ihres Unternehmens hinterfragen und sicherstellen, dass Sie keine Komplexität um der Komplexität willen einführen, sondern Ihre Sicherheitslage so verbessern, dass Sie sicherer und besser sind als zuvor, da Sie nun wissen, wie ein Verstoß funktioniert und was passiert ist. Aber nicht, dass wir alles nur tun, weil es in einem Bericht steht.
Das ist ein schmaler Grat, denn man muss auch die Erfahrung und das Vertrauen des Unternehmens haben, um diesen Bericht zu argumentieren. Aber ich denke, dass es immer noch in Ihrer Verantwortung als Interessenvertreter liegt, alles, was nach dem Einbruch herauskommt, mit der Linse Ihres Unternehmens zu betrachten.
Garrett O'Hara: Auf jeden Fall. Mit diesen gemessenen und positiven Kommentaren und Einsichten haben wir die Zeit ziemlich genau getroffen. Ich wollte mich nur bei Ihnen bedanken. Das Gespräch hat mir sehr gut gefallen, und ich hatte das Gefühl, dass es eine ganz andere Sichtweise war, dieses Gespräch mit jemandem zu führen, der das erlebt hat, was Sie erlebt haben, und ich schätze die Einblicke und das Gespräch sehr, Peter.
Peter Soulsby: Ja, Gar, vielen Dank, dass ich dabei sein durfte. Vielen Dank, dass Sie sich die Zeit genommen haben, und schön, sich wieder mit Ihnen zu treffen.
Garrett O'Hara: Vielen Dank an Peter, dass er sich uns angeschlossen hat, und wie immer vielen Dank, dass Sie den Get Cyber Resilient-Podcast gehört haben. Stöbern Sie in unserem Episodenkatalog, mögen Sie uns, abonnieren Sie uns und hinterlassen Sie uns eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.