Cybersicherheit: Mythen & Realitäten

Ist Cybersicherheit der Elefant im Raum, wenn es um die digitale Reise eines Versorgungsunternehmens geht? Wir finden es in der QTalks-Episode dieses Monats über Cybersicherheit: Mythen und Realitäten heraus.

Mit der Implementierung digitaler Lösungen verfügen Versorgungsunternehmen über detailliertere Daten und Erkenntnisse als je zuvor. Aber zu welchem Preis? Wassersysteme sind mit neuen Technologien wie digitalen Netzwerken, Remote-Operationen, Echtzeitsensoren und Datenerfassungsanalysen potenziell weniger sicher.

Zu dem Umweltjournalisten Tom Freyberg:

• Roger Caslow, Chief Information Security Officer bei Hampton Roads Sanitation Districts (HRSD)
• Paula González Domínguez, Digitale Transformation bei Acciona
• Eric Ervin, Global Cybersecurity Director für Versorgungsunternehmen (Power & Water) und Fertigung bei 1898 & Co., (Teil von Burns and Donald)

Tom hob zunächst die Fortschritte hervor, die bei der Digitalisierung des Wassers erzielt wurden und wie granularere Erkenntnisse und Daten nun daraus gewonnen werden können. Er erwähnte auch, dass mit der Einführung neuer Technologien wie digitale Netzwerke, Fernbetrieb, Echtzeitsensoren und Datenerfassungsanalysen neue Fragen zur Sicherheit von Wassernetzen aufkommen.

Er warf auch die Frage auf, ob Cybersicherheit der Elefant im Raum ist, wenn es um die digitale Reise des Wassers geht.

Roger eröffnete die Diskussion, indem er über die Herausforderung der Nachrüstung der Cybersicherheit angesichts der Digitalisierung des Wassers sowie über die Interoperabilitätsherausforderungen in Bezug auf die Vielzahl von Sensoren aus verschiedenen Organisationen sprach. Paula erwähnte die „Verschmelzung zweier verschiedener Welten“ und hob hervor, wie schwierig es sein kann, traditionelle Industrien und neue Technologien zusammenzubringen.

Eric fuhr fort zu diskutieren, wie die Zunahme von Geräten, die über große geografische Gebiete verstreut sind, die potenzielle „Angriffsfläche“ aus Sicht der Cybersicherheit erweitert hat. Er erwähnte jedoch auch das Potenzial, Sicherheit in die SCADA-Ersatzinitiativen zu integrieren, die auf breiter Front stattfinden.

Tom fragte dann die Experten, wie ihrer Meinung nach Cyber-Resilienz innerhalb von Teams geschaffen werden kann und wie die Fähigkeiten und Erfahrungen, die zur Aufrechterhaltung der Cyber-Resilienz erforderlich sind, gefördert werden können.

Roger sprach darüber, wie seiner Erfahrung nach Cyber-Resilienz von innen heraus trainiert werden muss und dass jeder – von Ingenieuren über HR bis hin zu Finanzen – die Notwendigkeit dafür verstehen muss. Er sagte, dass es neben einem Bewusstsein für Kundendaten auch ein Bewusstsein für Denial-of-Service-Bedrohungen geben muss.

Paula brachte zur Sprache, dass mit der Digitalisierung des Wassers das Potenzial für mehrere Arten von Sicherheitsangriffen und Bedrohungen einhergeht, was bedeutet, dass ein breiteres Spektrum an Fähigkeiten erforderlich ist, um diesen direkt zu begegnen. Sie erwähnte auch, dass die Sicherheitskultur für Mitarbeiter, die in Anlagen arbeiten, unterschiedlich sein kann, da sie von Anfang an keine Sicherheitsbedenken und -protokolle in ihrer Arbeit verankert hatten. Dies unterstreicht auch, wie wichtig es ist, sicherzustellen, dass alle Mitarbeiter in Fragen der Cybersicherheit geschult sind.

Eric fuhr dann fort zu erwähnen, wie die meisten kritischen Infrastrukturunternehmen Sicherheit in ihre Kernaufgaben integriert haben und ihre IT-Abteilung nutzen können, um mit dem ersten Cybersicherheitstraining zu beginnen. Er wies auch auf die intrinsischen Herausforderungen der rasanten Ausweitung der Digitalisierung über Betriebsumgebungen hinweg hin und wie sich dies auf den Schutz von Vermögenswerten auswirken kann.

Zum Abschluss der Sitzung bat Tom die Experten, über alle erfolgreichen Änderungen nachzudenken, die sie kürzlich implementiert haben.

Roger erklärte, wie er zum Aufbau des Cybersicherheitsprogramms bei Hampton Roads Sanitation Districts (HRSD) hinzugezogen wurde, und dachte darüber nach, wie sie die Zusammenarbeit mit SCADA- und DCS-Partnern homogenisiert haben, um alles in einem einzigen Profil unterzubringen. Indem sie genau wissen, mit wem sie arbeiten und woran sie arbeiten, konnten sie solide Beziehungen aufbauen. Roger erwähnte auch, wie die Auswahl eines Sicherheitspartners, der für die jeweilige Organisation am besten geeignet ist, und nicht einer, der für alle anderen am besten geeignet ist, dazu beiträgt, eine bessere Anpassung an die Kultur zu gewährleisten.

Paula kommentierte den Wissensaustausch zwischen Abteilungen und Abteilungen und betonte, wie wichtig es ist, angesichts der Herausforderungen der Cybersicherheit proaktiv zu sein. Sie sagte, dass Unternehmen nicht warten sollten, um Lektionen zu lernen – besonders in der Wasserindustrie, aufgrund der realen Auswirkungen auf echte Menschen – sondern sich bemühen sollten, zu antizipieren und zu lernen, wie man am besten verhindert, dass Fehler auftreten.

Im Anschluss daran erwähnte sie auch, dass Cybersicherheit keine Trickle-Down-Übung sein sollte, sondern eine unternehmensweite Priorität, bei der Mitglieder aller Teams das relevante Wissen, die Tools und die Ausbildung zur Verfügung gestellt werden.

In Bezug auf die sich entwickelnde regulatorische Landschaft hat Eric schließlich deutlich gemacht, wie wichtig es für ganze Unternehmen ist, den Wandel in der Cybersicherheit zu verstehen, insbesondere in Bezug auf die Erwartung, dass jeder eine Rolle zu spielen hat. Er betonte auch, wie wichtig es für Unternehmen ist, sicherzustellen, dass Cybersicherheit ein Teil der Struktur von Organisationen ist.

Besuchen Sie Qatiums YouTube-Kanal, um diese und frühere Episoden anzusehen.