ALLES WIRD SMART. WIE WIRD ES AUCH CLEVER UND SICHER? - SWISST.NET COMMUNICATION CONFERENCE 2021 - SWISST ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Alles wird smart. Wie wird es auch clever und sicher?
SwissT.net Communication Conference 2021
und Menschen
Wir machen Infrastrukturen digital sicher
www.electrosuisse.ch/cybersecurity
1 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Electrosuisse 1889 gegründet als Schweizerischer Elektrotechnischer Verein (SEV). 2002 Neupositionierung als Electrosuisse, Fachverband für Elektro-, Energie- und Informationstechnik. Hauptsitz in Fehraltorf, 230 Mitarbeitende. Mitglieder: 4500 Fachleute und mehr als 2000 Firmen. Akkreditierte und neutrale Fachstelle mit Angeboten zu Normung, Inspektion/Prüfung, Zertifizierung, Beratung und Weiterbildung. Seit über 130 Jahren engagiert für Sicherheit in der Elektrotechnik. Seit 2018 auch engagiert für Cybersicherheit. 2 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Digitalisierung birgt auch Sicherheitsrisiken 3 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Alles wird smart – alles wird IoT
Heilsversprechen: Risiken:
Vernetzung Sicherheit vernachlässigt
Fernsteuerung Komfortfunktionen und
Automatisierung Kosten vs. Sicherheit
Komfort & Lebensqualität Vervielfachung der
Effizienz Angriffsflächen
Beispiel 5G:
Mehr Bandbreite und Kapazität, niedrigere Latenzzeiten und höhere
Netzzuverlässigkeit bei geringerem Energieverbrauch.
Mehr Sicherheit wurde nicht angestrebt und war nicht Ziel des Designs.
4 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Security Patches
IT System Administrator
Laufen Sie jeden Abend um Ihr Haus
Er schon.
und flicken Löcher in der Mauer?
5 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Aktuelle Sicherheitslösungen
sind ein Flickwerk zur Symptombekämpfung
… und vergrössern womöglich die Angriffsfläche
6 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Aktuelle Bemühungen um Cybersecurity
Wie sinnvoll ist es, nur den Leuten beizubringen,
mit solchen Fahrzeugen sicher zu fahren?
7 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Ursachen von Sicherheitslücken
in vernetzten «smarten» Produkten
Komplexität Designfehler Fehlerhafte
Implementierung
Unsichere «Backdoors»
Werkseinstellungen
Komfortfunktionen
Kurze Produkt- und Geschäftsmodelle «Nachhause
Entwicklungszyklen
telefonieren»
Sicherheitsfunktionen
Security Patches
Einfache Angriffsziele, prädestiniert zur Einbindung in Bot-Netze
8 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Die Krux mit der smarten ICT- & IoT-Welt
Hersteller wollen billig produzieren und
kümmern sich selten um die Sicherheit ihrer Produkte.
Hersteller und Dienst-Anbieter schützen primär ihr Geschäftsmodell
und nicht die Sicherheit ihrer Kunden.
Hacker sind um ein Vielfaches kreativer und smarter als Hersteller.
Sicherheits-Zertifizierungen allein helfen nicht wirklich:
Prüfung der Umsetzung von generischen Sicherheitsgrundsätzen.
Prüfung der Abwesenheit von bekannten Sicherheitsmängeln.
Zertifizierung mit bis dato unbekannten Sicherheitsmängeln.
Fokussierung auf Sicherheit von IoT-Produkten in kritischen
Infrastrukturen greift zu kurz.
9 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Welchen Toaster würden Sie wählen?
Toaster gestern (vor 100 Jahren) Toaster heute
ICT & IoT heute ICT & IoT morgen?
10 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseDas Cybersecurity Grundproblem
Drittes newtonsches Axiom im Cyberspace?
ACTIO: REACTIO:
Unreife Software Security Patches
auf löchriger Hardware Security Tools
Sicherheitsgefährdende Threat Intelligence
Geschäftsmodelle Nutzungsrichtlinien
Malware & Stalkerware Awareness Training
Cyber-Kriminalität Notfallvorbereitung
Fehlende Empfehlungen
Sicherheitsvorschriften
Reagieren wir richtig auf die Probleme?
11 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseCybersecurity Status Quo und Quo Vadis?
Problembereich Nachlässigkeit
Awareness
Lösungsbereich
Ransomware Gesetze
Phishing
DDoS Unwissen
Normen
Malware
«Telemetrie»
Das schwächste Glied Prüfung & Zertifizierung
Ignoranz
Komplexität
Schwachstellen
Fachkräftemangel
? Anreize & Belohnung
Empfehlung 957
Sanktionierung
Cloud IoT
Empfehlung
Empfehlung32
Bildung
Empfehlung 1
Organisation & Sponsoring
Gesetz des
Smart Everything
Big Data
Stärkeren Gleiche Regeln für alle
12 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseVergleich verbindlicher Sicherheit
beim Strassenverkehr und Datenverkehr
Strassenverkehr Datenverkehr
Produkte & Hersteller Anwender
Strassenverkehrsgesetz ISO/IEC 27xxx,
Technische Normen Datenschutzgesetz
Verkehrsregeln IEC 62443, …
Sicherheitsvorschriften Halterhaftpflicht- Governance &
?
für Hersteller Versicherung Compliance (implizit)
Produkthaftung Verkehrszulassung
Typenprüfung Fahrprüfung
Digitaler Wilder Westen
Periodische
Verkehrskontrollen
Fahrzeugkontrolle
13 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseCybersecurity Pfeiler
Cybersecurity
Risikoverteilung
Verordnungen
Zertifizierung
Technische
Gesetze &
Prüfung &
Normen
Bildung
Organisation & Finanzierung
14 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseProblemstellungen (IST) Aktuelle Standards sind in verschiedener Hinsicht ungenügend, nicht einfach umsetzbar, nicht skalierbar («one size fits all») und unverbindlich. Wildwuchs an Initiativen und Empfehlungen für Anwender mit dürftigem Erfolg. Hersteller und Dienst-Anbieter als Gefahrenverursacher vernachlässigt → Symptombekämpfung. Fehlende Risiko-Transparenz. Fehlende System- und Daten-Souveränität. 15 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © Electrosuisse
Cybersecurity-Vision (SOLL)
Sicherheit braucht Regeln: Ganzheitliche Rechtsgrundlage für digitale
Sicherheit mit Vorschriften für Herstellung, Inverkehrbringung, Wartung
und Betrieb digitaler Lösungen über gesamten Lebenszyklus.
Sicherheit dank Normen: Verordnung verweist auf Normen als
«anerkannte Regeln der Technik».
Umsetzungsnorm: verständliche, skalierbare und praktikable Standards
und Anleitungen (analog Niederspannungs-Installationsnorm NIN).
Cybersecurity Label für Produkte und Dienste als Orientierungshilfe für
Kunden (analog Energieeffizienz Label)
und eine Prüf- und Zertifizierungsorganisation dazu.
Cybersecurity ist nicht alles, aber ohne Cybersecurity ist alles nichts.
16 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseWirklich smart ist nur, was auch sicher ist!
Die Zukunft ist jetzt schon digital.
Machen wir sie auch sicher!
17 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseKontakt
Levente J. Dobszay
Cybersecurity Specialist
Electrosuisse
Luppmenstrasse 1, CH-8320 Fehraltorf
+41 58 595 15 54, Levente.Dobszay@electrosuisse.ch
www.electrosuisse.ch/cybersecurity
18 Cybersecurity | Levente J. Dobszay | 10.06.2021 | © ElectrosuisseSie können auch lesen
