Wie geht es Ihrer Supply Chain heute so?

Transcript

1. 1 Wie geht es Ihrer Supply Chain heute so? Supply

   Chain & Cyber Security in einem Atemzug

2. 2 2010 © http://blog.pikarl.de/tag/vulkanausbruch/ (Martin Rietze)

3. 3 2017 © http://i.imgur.com/bzMzH8B.jpg (Reddit)

4. 4 2017 Maersk Not-Petya Security Incident 2017 Chairman at World

   Economic Forum Technical Impact - 10 days offline - Reinstall entire infrastructure - Reinstall 4.000 Servers - Reinstall 45.000 PCs - Reinstall 2.500 applications Business Impact - Ships with 10-20k containers entering a port every 15 minutes - 250-300 Mio USD Learning #1 We were basically average when it comes to Cyber Security – like many other companies… Final Conclusion But the next level of dependency on digital will be <<everyhthing is digital>> […] the boats will be autonomous. […] you cannot overcome with human resilience anymore. https://www.youtube.com/watch?v=VaqIYlYmDbA

5. 5 Allianz Risiko Barometer 2019 SBA Research, © 2019 https://www.allianz.com/de/presse/news/studien/190115_allianz-risk-barometer-2019.html

6. 6 BCI Supply Chain Resilience Report 2019 SBA Research, ©

   2019 https://www.thebci.org/resource/bci-supply-chain-resilience-report-2019.html

7. 7 50 %

8. 8 Mein Risiko? Ist “Supply-Chain-Cyber-Risiko” Teil meiner Risikoanalyse? SBA Research,

   © 2019 50% 50% 50% 50% 50% 50% 50% 50% ??? %

9. 9 Herausforderungen Typische Auswirkung SBA Research, © 2019 ???% =

   Nicht bewertetes Risiko Unklarer Investitionsbedarf Materialisiertes Risiko „Warten“ auf Vorfall

10. 10 Herausforderungen Typische Auswirkung SBA Research, © 2019 Zulieferer-Zugriff nicht

    bewertet Keine Verantwortlichkeit Verschlüsselung der zugreifbaren Infra Zulieferer „bringt Malware mit“

11. 11 Herausforderungen Typische Auswirkung SBA Research, © 2019 https://twitter.com/philippederyck/status/1204028175417782272?s=11 https://www.zdnet.com/article/two-malicious-python-libraries-removed-from-pypi/

12. 12 Herausforderungen Typische Auswirkung SBA Research, © 2019 Nicht bewertetes

    Risiko Kein Invest in Dependency Checks Python libraries stealing SSH & GPG keys „Warten“ auf Vorfall

13. 13 VERTRAUEN

14. 14 „Vertrauen ist ein Phänomen, das in unsicheren Situationen oder

    bei risikohaftem Ausgang einer Handlung auftritt.“ https://de.wikipedia.org/wiki/Vertrauen

15. 15 Wohin soll die Reise gehen? SBA Research, © 2019

16. 16 Mögliche Handlungsfelder Was kann ich morgen Früh als Erstes

    angehen? SBA Research, © 2019 • Verantwortlichkeit(en) herausfinden und an einen Tisch bringen • Kritische Lieferanten identifizieren und hinsichtlich Cyber Security Bedrohungen hinterfragen • Datenfluss sensibler Unternehmensinformationen verfolgen • Self-Assessment Fragebogen entwerfen, in Einkaufsprozess sowie Akquisitionsvorhaben integrieren • Sichtbarkeit über Third Party Risk Management Tooling erhöhen • Review der Versicherungslandschaft, ob Cyber Risiken entsprechend berücksichtigt sind • Outsourcing von Audits • Incident Response Fähigkeiten verbessern (Notfallplanung) • „Supply-Chain-Cyber-Risiken“ in Unternehmensrisikomanagement einbetten • 3 Verteidigungslinien sicherstellen 1. Verantwortung definieren 2. Third Party Risk Management etablieren 3. Internal Audit aufbauen • Security Incident Monitoring essentieller Lieferanten

17. 17 Infoflyer: Supply Chain Risk Mgmt Was kann ich morgen

    Früh als Erstes angehen? SBA Research, © 2019 RT 2

18. 18 Wie geht es Ihrer Supply Chain heute so? Software

    Security Kontext

19. 19 Supply Chain Risk Mgmt Software Security Kontext SBA Research,

    © 2019 unkritisch heikelst Macht sichtbar/steuerbar Ohnmacht Unsichtbar/unsteuerbar Risikoakzeptanz Kompensierende Maßnahmen Risikotransfer (Versicherung & Verträge) ---------------------------------------------------- Managemententscheidung Dependencies

20. 20 Dependecies Ausgewählte Bedrohungsszenarien SBA Research, © 2019 RT 2

    Schwachstellen Bekannt Unbekannt Manipulation Ungezielt Gezielt Lizenzstrafen Zu große Angriffsfläche Verlust („DoS“) End of Life Forking …

21. 21 Dependecies Maßnahmen “für die grüne Wiese” SBA Research, ©

    2019 RT 2 • Dependency vermeiden o Nicht für jedes Problemchen eine neue • Dependencies reduzieren o Bewusstes auswählen/raushauen • Konservative Auswahl o Großes Unternehmen? o Zuverlässiges Unternehmen / Ruf? o Community? o Security track record?

22. 22 Dependecies Maßnahmen “für danach” SBA Research, © 2019 RT

    2 • Isolation & Hardening o Microservices o Least privilege o Nicht verwendete Features abdrehen o Dead code elimination (z.B. Tree Shaking) o Internetzugriff am Server verbieten (exfiltration) o Frontend – CSP + Feature Policy – Subresource integrity

23. 23 Dependecies Maßnahmen “für danach” SBA Research, © 2019 RT

    2 • Dependency Inventar o Inkl. Lizenzinfos und Aktualität > Automatisierung o Bei Forks: Änderungen upstreamen • Last but definitely not least! o Auf bekannte Schwachstellen checken o Monitoring aufbauen

24. 24 Supply Chain Risk Mgmt Software Security Kontext SBA Research,

    © 2019 unkritisch heikelst Macht sichtbar/steuerbar Ohnmacht Unsichtbar/unsteuerbar Risikoakzeptanz Kompensierende Maßnahmen Risikotransfer (Versicherung & Verträge) ---------------------------------------------------- Managemententscheidung „Alles ok“ außer Ignoranz oder Unsichtbarkeit @ Risiken Monolith Microservice Microservice Microservice Microservice

25. 25 SBA Research, © 2019 https://nielharper.com/2018/08/01/should-it-be-mandatory-for-cisos-to-be-part-of-the-board-of-directors/

26. 26 Supply Chain (Cyber) Risk Management SBA Research, © 2019

27. 27 Forschung & Beratung unter einem Dach