SolarWinds-aanval benadrukt de noodzaak van cyberbeveiligingsbeslissingen op bestuursniveau

De hack van SolarWinds die in december 2020 werd onthuld, onderstreept het gemak waarmee toeleveringsketens van software en systemen een gemakkelijk doelwit kunnen zijn als er geen goed cyberbeveiligingsbeleid is ingebed in een organisatie.

In de officiële verklaring zei de Cybersecurity &Infrastructure Security Agency (CISA) dat de compromissen van Amerikaanse overheidsinstanties, kritieke infrastructuurentiteiten en organisaties uit de particuliere sector door een geavanceerde persistent threat (APT)-actor ten minste in maart 2020 zijn begonnen. En dat de APT acteur toonde geduld, operationele veiligheid en complexe ambachten bij deze inbraken. "CISA verwacht dat het voor organisaties zeer complex en uitdagend zal zijn om deze dreigingsactor uit gecompromitteerde omgevingen te verwijderen." De gedetailleerde infectievectoren en compromisbeperkingen worden hier in de verklaring vermeld.

Het lezen van de details bevestigt veel van wat ons is verteld in briefings op embedded.com en EE Times over de onderwerpen Internet of Things (IoT)-beveiliging en cyberbeveiliging van beveiligingsexperts in de halfgeleiderindustrie en van bedrijven die veilige elementen, apparaten, voorzieningen en beveiliging aanbieden levenscyclusbeheer.

Het verbaast me echt dat dergelijke inbreuken kunnen optreden wanneer overheidsafdelingen over de hele wereld zo paranoïde zijn over beveiliging, maar zichzelf volledig kwetsbaar maken via externe systemen, software en apparaatleveranciers die de juiste beveiligingsmechanismen en -beleid lijken over te slaan. Ik herinner me, zelfs toen ik een paar jaar geleden als aannemer voor de Britse regering werkte, de hoeveelheid veiligheidstraining, het bewustzijn waar we ons altijd bewust van moesten zijn. Slechts een klein voorbeeld was hoe paranoïde ik werd om mijn laptop nooit in een afgesloten auto of op een andere plaats achter te laten als ik op zakenreis was. Het moest altijd op mijn persoon of bij mij in de buurt zijn waar ik het kon zien. Er waren natuurlijk nog genoeg andere dingen waar we goed op moesten letten.

Maar de inbreuk op SolarWinds is meer een fundamentele beleidskwestie over de vraag of beveiliging alleen de taak van de ontwerpers van hardware- en softwaresystemen moet zijn of serieuzer moet worden genomen op een hoger niveau in de organisatie.

Daarom is het hoog tijd dat de corporate finance-adviseur Woodside Capital Partners een rapport opstelt met 'zeven lessen voor CEO's, directeuren, bestuursleden en private equity-bedrijven'. Het rapport, geschreven door algemeen directeur Nishant Jadhav, zegt dat de aanval op de toeleveringsketen van SolarWinds de noodzaak heeft onderstreept van een dieper begrip van cyberbeveiliging op directie- en directieniveau. Te midden van een wereld van geavanceerde aanhoudende bedreigingen die potentieel op de loer liggen in de meeste zakelijke omgevingen die onzichtbaar zijn voor bewakingstools, wordt het steeds belangrijker om de reputatie en bedrijfswaarde te beschermen in het aangezicht van het onbekende.

Het belangrijkste dat executives, adviseurs en investeerders zich moeten afvragen, zegt het, is of het bedrijf op bestuursniveau kan antwoorden of het cyberverzekering heeft. Dit zijn de zeven lessen.

Les één:pas een security-first versus een compliance-first mentaliteit toe – top-down

Een security-first mindset houdt in dat het executive leadership team en de raad van bestuur de risico's begrijpen die aan dat specifieke bedrijf worden gepresenteerd. Het houdt ook in dat het bedrijf de risico's begrijpt die het creëert voor zijn klanten en partners. Aan de andere kant is een compliance-first mentaliteit een race om gewoon het absolute minimum te doen om een ​​voldoende te behalen. Een compliance-first mindset is regressief in die zin dat het je baseline meet op de dag van de aanval en je zekerheid geeft voor een vaste hoeveelheid tijd in de toekomst. Helaas is dat een falende strategie voor cyberbeveiligingsbescherming, aangezien bedreigingen voortdurend evolueren en geavanceerder worden met staatsvijanden in het spel. Het uitvoerend leiderschapsteam moet samen met de raad van bestuur elk kwartaal aftekenen wat de dreigingshouding van een bedrijf is.

Les twee:Chief Information Security Officers (CISO's) moeten deel uitmaken van het uitvoerend leiderschapsteam en niet alleen rapporteren aan het hoofd van de informatietechnologie

Goede CISO's zijn getraind om na te denken over voortdurende bedreigingsvectoren en evoluerende aanvalsoppervlakken voor uw bedrijf als geheel. Dit omvat onbedoelde gegevenslekkage van uw klantgerichte gelederen, risico's voor klanten door het gebruik van uw producten en de risico's van uw bedrijf bij het inzetten van technologieën voor eigen gebruik. Als gevolg hiervan moet de CISO alle facetten van het bedrijf raken en de invloedssfeer hebben als lijnleider om verandering op atomair niveau noodzakelijk te maken. De CISO moet verantwoordelijk worden gehouden om ervoor te zorgen dat hun aanbevelingen door de gelederen zijn doorgesijpeld en dat voortdurende bescherming en blootstelling aan risico's op elk moment meetbaar is. Dit klinkt zwaar en kan politiek zijn, maar de aansprakelijkheden als gevolg van een aanval die het bedrijf verblindt en niet in bedwang kan houden, kunnen verwoestend zijn - tijdelijk op de kapitaalmarkten en permanent vanuit het oogpunt van reputatie.

Les drie:KPI's voor CISO's moeten voortdurende bescherming en herstel omvatten

Het lijkt gebruikelijk om een ​​CISO te ontslaan zodra een nieuwe inbreuk op een netwerk wordt ontdekt, maar deze manier van denken is ineffectief en archaïsch. In plaats daarvan is het het gesprek over de verantwoordelijkheden van de CISO in de nasleep van een dreiging die moet veranderen. Geef de CISO een beveiligingsbudget dat in lijn is met de beveiligingslacune van het bedrijf. Meet hun succes ook niet alleen op de uptime van het bedrijf in een bepaald kwartaal, maar ook op het bewustzijn dat in de loop van de tijd binnen elke factie van het bedrijf is gegenereerd. Voeg aan deze mix KPI's toe over hoe het bedrijf zal reageren op een dreiging die zijn oorsprong vindt buiten het domein van uw eigen organisatie, zoals de SolarWinds-case. Modelleer dat gedrag en de impact ervan op uw klanten, en uw reputatie en vervolgens uw waardering/aandelenkoers.

Les vier:een vertrouwde leverancier/partner van een oplossing betekent geen veilige partner

De aanval op de toeleveringsketen van SolarWinds heeft bewezen dat bedreigingen buiten de controle van uw eigen beste beveiligingspraktijken kunnen vallen. In wezen is geen enkele partner een veilige partner, hoe groot het bedrijf ook is en hoe betrouwbaar hun beveiligingspraktijken ook zijn. Het creëren van een "air-gapped" netwerk waarop nieuwe producten worden geïncubeerd, kan de infiltratie van bedreigingen verminderen door middel van betrouwbare partneroplossingen.

Les vijf:de beveiliging in gevaar brengen is de verkeerde hefboom om de winstgevendheid te vergroten

Woodside Capital (WCP) voorziet in een belangrijke waarderingsmaatstaf voor een bedrijf, namelijk de waarde voor de beoordeling van de veiligheidshouding - een 'cyberklasse'. De cyberscore wordt gemeten op basis van de technologie- en opleidingsinvesteringen voor doorlopend beschermingsbeleid van de eigen activa van het bedrijf, evenals de risico's voor de klanten en partners van het bedrijf. Een belangrijke factor in deze cybergraad zijn ook de herstelinspanningen die het bedrijf al heeft geleverd in het licht van eerdere dreigingen en de tijd die nodig is om te reageren (gewogen naar de ernst van de dreiging). Hoe hoger de cybergrade, hoe hoger de waardering van dat bedrijf. Private equity (PE)-bedrijven die gespecialiseerd zijn in cyberbeveiligingsbedrijven zouden meer aandacht moeten besteden aan de cyberkwaliteiten van hun portfoliobedrijven, en deze niet in de steek laten voor winstgevendheid op de korte termijn. De aanbeveling van WCP aan de ongeveer 5000 particuliere cyberbeveiligingsbedrijven is om een ​​versie van hun cyberscore te maken die hun voortdurende inzet voor cyberbeveiliging en betrokkenheid op het niveau van hun uitvoerend leiderschapsteam samenvat om deze resultaten te realiseren. Bij gebrek aan een industriebrede standaard, is het gemakkelijker om een ​​basislijn van richtlijnen te definiëren die het executive leadership team en de raad van bestuur kunnen presenteren, waardoor ze zich onderscheiden als een security-first bedrijf.

Les zes:cyberverzekeringen moeten op bestuursniveau nader bekeken worden

De meeste cyberverzekeringspolissen bieden dekking voor financiële verliezen als gevolg van een datalek of ongeoorloofde toegang tot of openbaarmaking van persoonlijke of beschermde informatie. Sommige verzekeringsmaatschappijen bieden aanvullende goedkeuringen of specifieke polisbepalingen en dekking voor verliezen veroorzaakt door verschillende andere middelen, zoals social engineering (dwz een inbreuk veroorzaakt door phishing), specifieke dekking voor creditcardverliezen en denial-of-service-aanvallen, zoals ransomware en meer. Maar een supply chain-aanval zoals deze verandert het speelveld. Dit kan niet worden afgeschreven als een daad van God, aangezien er echte daders zijn die schade toebrengen aan een bedrijf buiten de controle van beheersbare tools die een voorzichtig persoon zou kunnen gebruiken. De CISO moet de raad van bestuur inschakelen om nieuwe cyberverzekeringspolissen te verplichten, waaronder blootstelling aan kwaadwillende statelijke actoren en aanvallen op de toeleveringsketen. Dit beleid moet een grotere tijdspanne omvatten, aangezien de daaropvolgende wijdverbreide schade door deze bedreigingen zich kan uitstrekken tot vele maanden en jaren na een aanval.

Les zeven:continue reputatiebescherming

Ondanks alle inspanningen kan een inbreuk een bedrijf op elk moment treffen en een tastbare impact hebben op het bedrijf. De voor de hand liggende vragen hier zijn:

• Wordt SolarWinds in dit geval getroffen?
• Lijdt Microsoft omdat de broncode werd vrijgegeven omdat ze de SolarWinds Orion-software gebruikten?
• Kan SolarWinds zijn verloren reputatie terugwinnen?
• Zal Microsoft een goede overnemer zijn voor beveiligingsbedrijven?

Het antwoord ligt in de voortdurende acties die het uitvoerend leiderschapsteam en de raad van bestuur hebben ondernomen om te laten zien dat cyberbeveiliging een essentiële onderscheidende factor is voor hun bedrijf – beveiliging eerst, cyberkwaliteiten. Dat ze hebben geleerd van hun eigen fouten en de fouten van anderen om de dreigingshouding van het bedrijf voortdurend te verbeteren en aanvalsoppervlakken voor zichzelf en zijn klanten te verkleinen. Dit omvat een betere dekking van de cyberverzekering en een beter herstelbeleid van het bedrijf naar zijn klanten. Het is belangrijk om te benadrukken dat het bedrijf blijft investeren en zijn personeel blijft informeren over cyberbeveiliging. Als het bedrijf cyberverzekering voor zichzelf heeft gecreëerd en dit kan doorgeven aan zijn klanten en partners, is het in wezen beter in staat om zijn reputatie op de lange termijn te beschermen.

Het WCP-rapport vermeldt vervolgens een aantal bedrijven in de groeifase die de bouwstenen bieden voor een holistische cyberverzekeringsstrategie, van risicobeheer en bestrijding van bedreigingen tot cyberverzekeringen. Het rapport is hier beschikbaar.