home 製造技術 製造設備
工業製造
産業用モノのインターネット | 工業材料 | 機器のメンテナンスと修理 | 産業プログラミング |
home  MfgRobots >> 工業製造 >  >> Industrial Internet of Things >> 埋め込み

SolarWinds攻撃は、取締役会レベルでのサイバーセキュリティ決定の必要性を浮き彫りにします

2020年12月に明らかになったSolarWindsハックは、組織に適切なサイバーセキュリティポリシーが組み込まれていない場合に、ソフトウェアとシステムのサプライチェーンが簡単に標的になりやすいことを強調しています。

公式声明の中で、Cyber​​security&Infrastructure Security Agency(CISA)は、高度な持続的脅威(APT)アクターによる米国政府機関、重要インフラストラクチャエンティティ、および民間セクター組織の侵害が少なくとも2020年3月に始まったと述べています。俳優は、これらの侵入に対して忍耐力、運用上のセキュリティ、および複雑なトレードクラフトを示しました。 「CISAは、侵害された環境からこの脅威アクターを削除することは、組織にとって非常に複雑で困難になると予想しています。」詳細な感染ベクトルと侵害の軽減策は、ここのステートメントにリストされています。

詳細を読むと、embedded.comとEE Timesのブリーフィングで、半導体業界のセキュリティ専門家や安全な要素、デバイス、プロビジョニング、セキュリティを提供する企業からのモノのインターネット(IoT)セキュリティとサイバーセキュリティのトピックについて多くのことが語られていることがわかります。ライフサイクル管理。

このような違反は、世界中の政府機関がセキュリティについて非常に偏執的であるにもかかわらず、適切なセキュリティメカニズムとポリシーをスキップしているように見えるサードパーティのシステム、ソフトウェア、およびデバイスのサプライヤによって完全に脆弱になっている場合に発生する可能性があることに本当に驚いています。数年前に英国政府の請負業者として働いていたとしても、セキュリティトレーニングの量、私たちが常に意識する必要のある意識を思い出します。ほんの一例は、出張中にラップトップをロックされた車やその他の場所に決して置いたままにしないようになったという妄想です。それはいつも私の人の上か、私がそれを見ることができる私の近くになければなりませんでした。もちろん、私たちが熱心に観察しなければならないことは他にもたくさんありました。

しかし、SolarWindsの違反は、セキュリティをハードウェアおよびソフトウェアシステムの設計者に委ねるべきか、それとも組織のより高いレベルでより真剣に受け止めるべきかについての、より基本的なポリシーの問題です。

したがって、コーポレートファイナンスアドバイザーのウッドサイドキャピタルパートナーズは、「CEO、取締役、取締役会メンバー、プライベートエクイティファームのための7つの教訓をまとめたレポートを作成する必要があります。マネージングディレクターのNishantJadhavが書いたこのレポートによると、SolarWindsのサプライチェーン攻撃は、経営幹部および取締役会レベルでのサイバーセキュリティの理解を深める必要性を強調しています。監視ツールからは見えないほとんどのビジネス環境に潜む可能性のある高度な持続的脅威の世界の中で、未知のものに直面して評判と企業価値を保護することがますます重要になっています。

経営幹部、アドバイザー、投資家が尋ねる必要がある重要なことは、会社がサイバー保証を持っているかどうかを取締役会レベルで答えることができるかどうかだと言います。これが7つのレッスンです。

レッスン1:セキュリティ優先とコンプライアンス優先の考え方を採用–トップダウン

セキュリティ第一の考え方は、エグゼクティブリーダーシップチームと取締役会がその特定の会社に提示されるリスクを理解していることを意味します。また、会社がクライアントやパートナーにもたらすリスクを理解していることも意味します。一方、コンプライアンスファーストの考え方は、合格点を取得するために最低限のことをするための競争です。コンプライアンスファーストの考え方は、攻撃の日にベースラインを測定し、将来の一定期間の保証を提供するという点で退行的です。残念ながら、脅威は絶えず進化し、国家の敵が関与する中でより高度になっているため、これはサイバーセキュリティ保護の失敗した戦略です。経営幹部と取締役会は、会社の脅威の姿勢を四半期ごとに承認する必要があります。

レッスン2:最高情報セキュリティ責任者(CISO)は、情報技術の責任者に報告するだけでなく、エグゼクティブリーダーシップチームの一部である必要があります

優れたCISOは、ビジネス全体で進行中の脅威ベクトルと進化する攻撃対象領域について考えるように訓練されています。これには、顧客が直面しているランクからの不注意なデータ漏洩、顧客が製品を使用することによるリスク、および自社で使用するためのテクノロジーを展開する際の企業のリスクが含まれます。その結果、CISOはビジネスのあらゆる側面に触れ、原子レベルでの変化を必要とするラインリーダーとしての影響力の範囲を持たなければなりません。 CISOは、推奨事項がランク全体に浸透し、継続的な保護とリスクへのエクスポージャーがいつでも測定可能であることを保証するために責任を負わなければなりません。これは面倒に聞こえ、政治的である可能性がありますが、会社を盲目にし、それを封じ込めることができない攻撃の結果としての責任は、一時的に資本市場で、そして評判の観点から永久に壊滅的なものになる可能性があります。

レッスン3:CISOのKPIには、継続的な保護と修復を含める必要があります

ネットワーク上で新しい違反が発見されたらすぐにCISOを起動するのが一般的な方法のようですが、この考え方は効果がなく、古風です。代わりに、変更が必要な脅威をきっかけにしたCISOの責任についての会話です。会社のセキュリティギャップに沿ったセキュリティ予算でCISOを強化します。また、特定の四半期のビジネスの稼働時間だけでなく、ビジネスの各派閥内で時間の経過とともに生み出された認識についても、彼らの成功を測定します。このミックスに、SolarWindsの場合のように、組織の領域外で発生する脅威にビジネスがどのように対応するかに関するKPIを追加します。その行動とクライアントへの影響、評判、そしてその後の評価/株価をモデル化します。

レッスン4:信頼できるソリューションプロバイダー/パートナーは、安全なパートナーを意味するものではありません

SolarWindsのサプライチェーン攻撃は、脅威があなた自身の最良のセキュリティ慣行の制御の及ばない可能性があることを証明しました。本質的に、会社がどれほど大きく、セキュリティ慣行がどれほど評判が良いとしても、どのパートナーも安全なパートナーではありません。新製品がインキュベートされる「エアギャップ」ネットワークを作成すると、信頼できるパートナーソリューションを通じて脅威の侵入を軽減できます。

レッスン5:セキュリティを危険にさらすことは収益性を高めるための間違った手段です

ウッドサイドキャピタル(WCP)は、企業の主要な評価指標であるセキュリティポスチャ評価値(「サイバーグレード」)を予測しています。サイバーグレードは、会社自身の資産の継続的な保護ポリシー、および会社のクライアントとパートナーへのリスクに対するテクノロジーとトレーニングへの投資で測定されています。このサイバーグレードの重要な要素は、以前の脅威に直面して会社がすでに実施している修復作業と、対応にかかる時間(脅威の重大度で重み付け)でもあります。サイバーグレードが高いほど、その企業の評価は高くなります。サイバーセキュリティ企業を専門とするプライベートエクイティ(PE)企業は、ポートフォリオ企業のサイバーグレードにもっと注意を払う必要があり、短期的には収益性を放棄するべきではありません。約5000の非公開サイバーセキュリティ企業に対するWCPの推奨事項は、サイバーセキュリティへの継続的な取り組みとエグゼクティブリーダーシップチームレベルでの関与を要約したサイバーグレードのバージョンを作成して、これらの成果を実現することです。業界全体の標準がない場合は、エグゼクティブリーダーシップチームと取締役会が示すことができるガイドラインのベースラインセットを定義する方が簡単です。これにより、セキュリティファーストの企業として差別化されます。

レッスン6:サイバー保険は取締役会レベルを詳しく調べる必要があります

ほとんどのサイバー保険契約は、個人情報または保護された情報のデータ侵害または不正アクセスまたは開示に起因する経済的損失を補償します。一部の保険会社は、ソーシャルエンジニアリング(つまり、フィッシングによる違反)、クレジットカードの損失に対する特定の補償、およびサービス拒否攻撃など、他のさまざまな手段によって引き起こされた損失に対する追加の承認または特定のポリシー条項と補償を提供します。ランサムウェアなど。しかし、このようなサプライチェーン攻撃は競争の場を変えます。賢明な人が使用できる管理可能なツールの制御外でビジネスに害を及ぼす実際の加害者がいるため、これを神の行為として取り消すことはできません。 CISOは、悪意のある国家関係者へのエクスポージャーやサプライチェーン攻撃を含む新しいサイバー保険ポリシーを義務付けるために取締役会に関与する必要があります。これらの脅威によるその後の広範囲にわたる損害は、攻撃後数か月から数年に及ぶ可能性があるため、これらのポリシーはより広い範囲に及ぶ必要があります。

レッスン7:継続的な評判の保護

最善の努力にもかかわらず、違反はいつでも会社に打撃を与える可能性があり、ビジネスに具体的な影響を与える可能性があります。ここでの明らかな質問は次のとおりです。

その答えは、エグゼクティブリーダーシップチームと取締役会が、サイバーセキュリティが自社のコア差別化要因であることを示すために取った継続的な行動にあります。セキュリティファースト、サイバーグレードです。彼らは、自分の過ちや他の人の過ちから、会社の脅威の姿勢を継続的に強化し、自社とそのクライアントの攻撃対象領域を減らすことを学びました。これには、より良いサイバー保険の適用範囲と、会社からそのクライアントへのより良い修復ポリシーが含まれます。重要なのは、同社がサイバーセキュリティについて従業員に投資と教育を続けていることを強調することです。基本的に、企業が自社のサイバー保証を作成し、それをクライアントやパートナーに渡すことができれば、長期的にはその評判を保護するのに適しています。

WCPレポートには、リスク管理や脅威の修復からサイバー保険に至るまで、包括的なサイバー保証戦略の構成要素を提供する多くの成長段階の企業がリストされています。レポートはこちらから入手できます。


埋め込み

  • 埋め込み
  • センサー
  • クラウドコンピューティング
  • モノのインターネットテクノロジー
    1. IoTのセキュリティ:産業用IoTは最近のDDoS攻撃から何を学ぶことができますか?
    2. クラウドセキュリティはサイバーセキュリティの未来です
    3. 仮想インベントリと3D印刷:セキュリティの必要性
    4. IoTデバイスにはどのようなセキュリティとテストが必要ですか?
    5. TDKは組み込み技術の製品ハイライトを紹介します
    6. CMMSのトレーニングは本当に必要ですか?
    7. サイバーセキュリティの改造
    8. 物理的セキュリティの安心のためにサイバーセキュリティが不可欠な理由
    9. 大麻のためにあなたの職場を準備する
    10. 5Gとエッジが2021年に向けて新たなサイバーセキュリティの課題を提起
    11. 製造業のサイバーセキュリティ企業トップ10