Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget, V2
Früher waren ICT-Prozesse eher reaktiv gestaltet und initiiert worden
In den guten, alten Zeiten vor dem beängstigenden Erfolg und Siegeszug der organisierten Cyberkriminalität und deren äusserst erfolgreichen und finanziell einträglichen Kampagnen basierend auf dem beliebten Angriffsvektor „Social Engineering“ durch z.B. Phishing Attacken, Ransom / Spy Ware, Verschlüsselungs Trojaner etc. waren viele Wartungs- und Support-Prozesse eher reaktiv gestaltet.
Dafür gab es damals Gründe infolge z.B. der damalig mitunter noch kleineren Abhängigkeit des Business von der EDV und damals noch nicht so dynamischen und vitalen Bedrohungslage durch die Cyberkriminalität.
Entsprechend wurde mehr oder minder das repariert und optimiert was gerade anfiel bzw. nicht mehr funktionierte. Die Systemwartung, Programmierung und klassischer ICT-Support war vielfach für die Gegenwart und die rasche Bereinigung / „Flick“ ausgerichtet für das Aufrechterhalten der nötigen, bisherigen Basis-Funktionalität.
Proaktive Prävention und Innovation, auch zugunsten der künftigen Business Kontinuität
Die Zeiten von „Set it & forget it“ sind vorbei
Damit die Angriffs- und Betriebs-Sicherheit eines ICT-Systems zugunsten einer möglichst hohen Resilienz (Widerstandsfähigkeit zugunsten der Verfügbarkeit und die Fähigkeit, Krisen zu bewältigen), Verfügbarkeit und Datenschutz / Datensicherheit aufrechterhalten werden kann, braucht es angepasste organisatorische und technische Massnahmen und Methoden für die dringlich nötige, systematische Orientierung zugunsten der „System-Störung- und Unterbruch-Prävention“. Zu solchen Präventionen gemäss „Stand der Technik“ und je nach Kritikalität des ICT Risk Management können z.B. Hybrid-Cloud-Lösungen, Cloud-Backup, Managed Services, Monitoring Systeme bis hin zu einem sogenannten „Security Operation Center (SOC)“ gehören.
Ganz einfach sollte man sich z.B. folgende Beispiel-Frage eines ganzen Katalogs stellen und sich die systemseitig nötige Antworten geben bzw. implementieren können anhand eines erweiterten „ICT Risk Management“ oder „Contingency Planning“: „Was muss präventiv geändert, anders implementiert oder überwacht werden damit eine Störung oder gar Unterbruch vom System oder Funktion X oder Y schneller behoben oder überbrückt werden kann?“
Sicherheit und Vertrauen ist ein „nicht kaufbares (Bauch)Gefühl“, aber trainierbar
Ein gutes Mass an Sicherheit kann man trotzdem nicht einfach so kaufen. Das Grundbedürfnis der Sicherheit erfordert weitergehend zu finanziellen Investitionen ebenso auch ein gutes, „nicht kaufbares“ (Bauch)Gefühl und Vertrauen. Ein solches gutes Gefühl und Vertrauen ist entsprechend besser zu erreichen und zu erhalten mit einem guten, trainierten und auch getesteten „Business Contingency Plan“ in Abstimmung mit dem eigenen Risk Managment und der dringlich nötigen Involvierung und Sensibilisierung der Mitarbeiter als „Human CyberResilienz Firewall“
Schlagfertige Präventivmassnahmen oder Präventivkampagnen – wie bei z.B. der SUVA
Die fortwährenden und stark ansteigenden Angriffe und Risiken seitens Cyberkriminalität bedürfen entsprechend laufende, schlagfertige Präventivmassnahmen oder regelrechte «Präventivgegenangriffe» in gar intelligent orchestrierten Kampagnen.
In Analogie zur SUVA mit den umfassenden Kampagnen gegen Unfälle auf der Arbeit oder im Haushalt / Alltag braucht es ebenfalls entsprechend «deutlich mehr als bisher» in den betriebskritischen ICT-Infrastrukturen.
Fahrlässiges oder falsches Verhalten im Bereich von CyberSecurity-Resilienz ist asozial
Mitverantwortung tragen und auch andere Mitmenschen auf Gefahren hinweisen – oder mitunter auch proaktiv davor schützen versuchen – ist in der Unfallprävention, diversen Versicherungen, bei alltäglichen Schutzmassnahmen und diversen «Safety First»-Kampagnen seit Jahren gang und gäbe. Wenn es gelingt, ein solches «soziales» Verhalten vom Grundgedanken her zu adaptieren zugunsten der «digitalen Selbstverteidigung» bzw. «Mitverantwortung bei CyberRisiken in der digitalisierten Gesellschaft und Firmen» können die erfolgreichsten CyberCrime-Angriffsvektoren und deren weltweiten Schadenspotentiale mit Fokus auf «Social Engineering» (Clevere Manipulation der menschlichen Tendenz zum Grundvertrauen) stark gemindert werden zum Wohle der «Digital-Gesellschaft». Es gibt also durchaus diverse Möglichkeiten – nicht nur im «analogen» Umfeld – einen sozialen und für die ganze «Digital-Gesellschaft» spürbaren Beitrag zu leisten im digitalen Raum unter der Anwendung von diversen, längst bekannten Verhaltensregeln. Einfache Verhaltensregeln beginnend in der Basis-Sicherheit wie z.B. «Komplexe – und vorallem von Firmenzugängen getrennte – Kennwörter» verwenden, gesundes Misstrauen anwenden bei Mails mit Anhängen / integrierten Internet-Links oder gar Anweisungen, aufgrund (sicherzustellenden) unterschiedlichen Daten-Backups keine Erpressungs-Gelder bezahlen, empfohlene und/oder voreingestellte Datensicherheit- und Datenschutz-Einstellungen (security / privacy by design) möglichst nicht negativ verändern und mitunter auch «gefährliches Halbwissen» / «vermeintlich hochinformiert sein» ablegen und offen sein für «security minded» neues, schützendes Wissen in der dynamischen Bedrohungslage durch CyberCrime und technologischen Entwicklungssprüngen bei z.B. auch «Digitalisierung», Clouds, «Künstliche Intelligenz» oder «cyber physical systems».
Nochmals sei angemerkt: Die Zeiten von „Set it & forget it“ ohne Prävention und ohne „digital-soziale Mitverantwortung“ sind gemäss auch „Stand der Technik“ längst vorbei im Bereich der ICT-Wartung, ICT-Support, ICT-Architektur und speziell der ICT-CyberSecurity zugunsten einer möglichst ausgereiften CyberSecurity-Resilienz.
Publizierter Print-Artikel in „Schwyzer Gewerbe“ – ksgv – CyberSecurityResilienz Sensibilisierung – Von der Reaktion zur Prävention und Kampagnen in ICT-Prozessen und ICT-Budget – Nov 19
