Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Industrial Internet of Things >> Tertanam

Serangan SolarWinds menyoroti perlunya keputusan keamanan siber di tingkat dewan

Peretasan SolarWinds yang terungkap pada Desember 2020 menggarisbawahi kemudahan rantai pasokan perangkat lunak dan sistem yang dapat menjadi sasaran empuk jika tidak ada kebijakan keamanan siber yang baik yang ditanamkan ke dalam suatu organisasi.

Dalam pernyataan resmi, Cybersecurity &Infrastructure Security Agency (CISA), mengatakan kompromi lembaga pemerintah AS, entitas infrastruktur kritis, dan organisasi sektor swasta oleh aktor ancaman persisten tingkat lanjut (APT) dimulai setidaknya Maret 2020. Dan bahwa APT aktor menunjukkan kesabaran, keamanan operasional, dan tradecraft yang kompleks dalam intrusi ini. “CISA mengharapkan bahwa menghapus aktor ancaman ini dari lingkungan yang dikompromikan akan menjadi sangat kompleks dan menantang bagi organisasi.” Vektor infeksi rinci dan mitigasi kompromi tercantum dalam pernyataan di sini.

Membaca detailnya menegaskan banyak hal yang kami sampaikan dalam briefing di embedded.com dan EE Times tentang topik keamanan internet of things (IoT) dan keamanan siber dari pakar keamanan industri semikonduktor dan dari perusahaan yang menawarkan elemen, perangkat, penyediaan, dan keamanan yang aman manajemen siklus hidup.

Sangat mengejutkan saya bahwa pelanggaran seperti itu dapat terjadi ketika departemen pemerintah di seluruh dunia begitu paranoid tentang keamanan, namun membuat diri mereka benar-benar rentan melalui sistem pihak ketiga, pemasok perangkat lunak dan perangkat yang tampaknya mengabaikan mekanisme dan kebijakan keamanan yang tepat. Saya ingat, bahkan bekerja sebagai kontraktor untuk pemerintah Inggris beberapa tahun yang lalu, jumlah pelatihan keamanan, kesadaran yang harus selalu kita waspadai. Hanya satu contoh kecil adalah betapa paranoidnya saya karena tidak pernah meninggalkan laptop saya di dalam mobil yang terkunci atau tempat lain mana pun saat bepergian untuk urusan bisnis. Itu selalu harus pada orang saya atau di dekat saya di mana saya bisa melihatnya. Tentu saja ada banyak hal lain yang harus kami amati dengan rajin.

Tetapi pelanggaran SolarWinds lebih merupakan masalah kebijakan mendasar tentang apakah keamanan seharusnya menjadi tanggung jawab perancang sistem perangkat keras dan perangkat lunak atau dianggap lebih serius di tingkat yang lebih tinggi dalam organisasi.

Oleh karena itu, sudah saatnya penasihat keuangan perusahaan Woodside Capital Partners harus membuat laporan yang menguraikan 'tujuh pelajaran untuk CEO, direktur, anggota dewan, dan perusahaan ekuitas swasta. Ditulis oleh direktur pelaksananya Nishant Jadhav, laporan itu mengatakan serangan rantai pasokan SolarWinds telah menggarisbawahi perlunya pemahaman keamanan siber yang lebih dalam di tingkat eksekutif dan dewan. Di tengah dunia ancaman terus-menerus canggih yang berpotensi mengintai di sebagian besar lingkungan bisnis yang tidak terlihat oleh alat pengawasan, semakin penting untuk melindungi reputasi dan nilai perusahaan dalam menghadapi hal yang tidak diketahui.

Hal utama yang perlu ditanyakan oleh para eksekutif, penasihat, dan investor, katanya, adalah apakah perusahaan dapat menjawab di tingkat dewan apakah ia memiliki jaminan siber. Inilah tujuh pelajarannya.

Pelajaran Satu:terapkan pola pikir yang mengutamakan keamanan versus kepatuhan yang mengutamakan kepatuhan – dari atas ke bawah

Pola pikir keamanan-pertama menyiratkan bahwa tim kepemimpinan eksekutif dan dewan memahami risiko yang disajikan kepada perusahaan tertentu. Ini juga menyiratkan bahwa perusahaan memahami risiko yang ditimbulkannya bagi klien dan mitranya. Pola pikir kepatuhan-pertama di sisi lain adalah perlombaan untuk hanya melakukan minimal untuk menerima nilai kelulusan. Pola pikir kepatuhan-pertama adalah regresif karena mengukur dasar Anda pada hari serangan dan memberi Anda jaminan untuk jumlah waktu yang tetap di masa depan. Sayangnya, itu adalah strategi yang gagal untuk perlindungan keamanan siber karena ancaman terus berkembang dan menjadi lebih canggih dengan musuh negara yang bermain. Tim kepemimpinan eksekutif bersama dengan dewan perlu menandatangani setiap tiga bulan tentang postur ancaman perusahaan.

Pelajaran Dua:kepala petugas keamanan informasi (CISO) harus menjadi bagian dari tim kepemimpinan eksekutif, dan tidak hanya melapor ke kepala teknologi informasi

CISO yang baik dilatih untuk memikirkan vektor ancaman yang sedang berlangsung dan permukaan serangan yang berkembang untuk bisnis Anda secara keseluruhan. Ini termasuk kebocoran data yang tidak disengaja dari peringkat yang dihadapi pelanggan Anda, risiko bagi pelanggan dari penggunaan produk Anda, dan risiko perusahaan Anda dalam menerapkan teknologi untuk penggunaannya sendiri. Akibatnya, CISO harus menyentuh semua aspek bisnis dan memiliki jangkauan pengaruh sebagai pemimpin lini untuk memerlukan perubahan pada tingkat atom. CISO harus bertanggung jawab untuk memastikan bahwa rekomendasi mereka telah meresap melalui jajaran dan bahwa perlindungan berkelanjutan dan paparan risiko dapat diukur pada setiap titik waktu. Ini terdengar berat dan bisa bersifat politis, tetapi kewajiban sebagai akibat dari serangan yang membutakan perusahaan dan tidak dapat menahannya dapat menghancurkan – untuk sementara di pasar modal dan secara permanen dari sudut pandang reputasi.

Pelajaran Tiga:KPI untuk CISO harus menyertakan perlindungan dan perbaikan berkelanjutan

Tampaknya menjadi praktik umum untuk memecat CISO segera setelah pelanggaran baru ditemukan di jaringan, tetapi cara berpikir ini tidak efektif dan kuno. Alih-alih, ini adalah percakapan seputar tanggung jawab CISO setelah adanya ancaman yang perlu diubah. Memberdayakan CISO dengan anggaran keamanan yang sesuai dengan celah keamanan perusahaan. Juga, ukur kesuksesan mereka tidak hanya pada waktu aktif bisnis pada kuartal tertentu, tetapi juga pada kesadaran yang dihasilkan dalam setiap faksi bisnis dari waktu ke waktu. Tambahkan ke campuran KPI ini tentang bagaimana bisnis akan merespons ancaman yang berasal dari luar bidang organisasi Anda sendiri seperti kasus SolarWinds. Modelkan perilaku tersebut dan dampaknya terhadap klien Anda, dan reputasi Anda dan selanjutnya penilaian/harga saham Anda.

Pelajaran Empat:penyedia/mitra solusi tepercaya tidak menyiratkan mitra yang aman

Serangan rantai pasokan SolarWinds telah membuktikan bahwa ancaman dapat berada di luar kendali praktik keamanan terbaik Anda. Intinya, tidak ada mitra yang merupakan mitra aman tidak peduli seberapa besar perusahaan dan seberapa bereputasi praktik keamanan mereka. Menciptakan jaringan “air-gapped” tempat produk baru diinkubasi dapat mengurangi infiltrasi ancaman melalui solusi mitra tepercaya.

Pelajaran Lima:mengorbankan keamanan adalah cara yang salah untuk meningkatkan profitabilitas

Woodside Capital (WCP) memperkirakan metrik penilaian utama untuk sebuah perusahaan adalah nilai penilaian postur keamanannya – sebuah “kelas dunia maya”. Tingkat cyber diukur pada investasi teknologi dan pelatihan untuk kebijakan perlindungan berkelanjutan dari aset perusahaan sendiri serta risiko bagi klien dan mitra perusahaan. Faktor kunci dalam kelas siber ini juga adalah upaya perbaikan yang telah dilakukan perusahaan dalam menghadapi ancaman sebelumnya dan waktu yang dibutuhkan untuk merespons (ditimbang berdasarkan tingkat keparahan ancaman). Semakin tinggi cyber grade, semakin tinggi valuasi perusahaan tersebut. Perusahaan ekuitas swasta (PE) yang berspesialisasi dalam perusahaan keamanan siber harus lebih memperhatikan nilai siber dari perusahaan portofolio mereka, dan tidak mengabaikannya demi keuntungan dalam jangka pendek. Rekomendasi WCP kepada sekitar 5000 perusahaan keamanan siber swasta adalah untuk membuat versi kelas siber mereka yang merangkum komitmen berkelanjutan mereka terhadap keamanan siber dan keterlibatan di tingkat tim kepemimpinan eksekutif mereka untuk mewujudkan hasil ini. Dengan tidak adanya standar industri yang luas, lebih mudah untuk menentukan seperangkat pedoman dasar yang dapat ditampilkan oleh tim kepemimpinan eksekutif dan dewan, yang membedakan mereka sebagai perusahaan yang mengutamakan keamanan.

Pelajaran Enam:asuransi siber perlu melihat lebih dekat di tingkat dewan

Sebagian besar polis asuransi siber memberikan perlindungan atas kerugian finansial akibat pelanggaran data atau akses tidak sah atau pengungkapan informasi pribadi atau yang dilindungi. Beberapa perusahaan asuransi menawarkan dukungan tambahan atau ketentuan polis khusus dan pertanggungan untuk kerugian yang disebabkan oleh berbagai cara lain seperti rekayasa sosial (yaitu, pelanggaran yang disebabkan oleh phishing), pertanggungan khusus untuk kerugian kartu kredit, dan serangan penolakan layanan, seperti ransomware, dan lainnya. Tapi serangan rantai pasokan seperti ini mengubah lapangan permainan. Ini tidak dapat dianggap sebagai tindakan Tuhan karena ada pelaku nyata yang menyebabkan kerugian pada bisnis di luar kendali alat yang dapat dikelola yang dapat digunakan oleh orang yang bijaksana. CISO harus melibatkan dewan untuk mengamanatkan kebijakan asuransi siber baru yang mencakup paparan aktor negara jahat dan serangan rantai pasokan. Kebijakan ini harus mencakup rentang waktu yang lebih luas karena kerusakan meluas berikutnya dari ancaman ini dapat meluas hingga berbulan-bulan dan bertahun-tahun setelah serangan.

Pelajaran Tujuh:perlindungan reputasi berkelanjutan

Terlepas dari upaya terbaik, pelanggaran dapat menghantam perusahaan kapan saja, dan dapat berdampak nyata pada bisnis. Pertanyaan yang jelas di sini adalah:

Jawabannya terletak pada tindakan berkelanjutan yang diambil oleh tim kepemimpinan eksekutif dan dewan direksi untuk menunjukkan bahwa keamanan siber adalah pembeda utama bagi perusahaan mereka – keamanan pertama, peringkat siber. Bahwa mereka telah belajar dari kesalahan mereka sendiri dan kesalahan orang lain untuk terus meningkatkan postur ancaman perusahaan dan mengurangi permukaan serangan untuk dirinya sendiri dan kliennya. Ini termasuk cakupan asuransi cyber yang lebih baik dan kebijakan remediasi yang lebih baik dari perusahaan kepada kliennya. Soroti penting bahwa perusahaan terus berinvestasi dan mendidik tenaga kerjanya tentang keamanan siber. Pada dasarnya jika perusahaan telah menciptakan jaminan siber untuk dirinya sendiri dan dapat menyebarkannya kepada klien dan mitranya, itu akan lebih baik ditempatkan untuk melindungi reputasinya dalam jangka panjang.

Laporan WCP selanjutnya mencantumkan sejumlah perusahaan tahap pertumbuhan yang menawarkan blok bangunan dari strategi jaminan siber holistik, mulai dari manajemen risiko dan remediasi ancaman, hingga asuransi siber. Laporan tersedia di sini.


Tertanam

  1. Keamanan untuk IoT:Apa yang dapat dipelajari IoT Industri dari serangan DDoS baru-baru ini?
  2. Cloud Security adalah masa depan keamanan siber
  3. Inventaris Virtual &Pencetakan 3D:Kebutuhan akan Keamanan
  4. TDK menampilkan sorotan produknya untuk teknologi yang disematkan
  5. Apakah saya benar-benar membutuhkan pelatihan untuk CMMS saya?
  6. Memperkuat keamanan siber
  7. Mengapa keamanan siber penting untuk keamanan fisik ketenangan pikiran
  8. Menyiapkan Tempat Kerja Anda untuk Ganja
  9. 5G dan Edge Meningkatkan Tantangan Keamanan Siber Baru untuk 2021
  10. 10 perusahaan keamanan siber teratas untuk sektor manufaktur