Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Wie geht es Ihrer Supply Chain heute so?

Wie geht es Ihrer Supply Chain heute so?

Können Sie diese Frage mit „gut“ beantworten? Digitale und Cyber-Risiken werden mittlerweile als Top-Risiken für Unternehmen betrachtet. Aktuelle Entwicklungen wie Industrie 4.0, Digitalisierung, Internet of Things oder Smart Home werden diesen Trend weiter verstärken. Aber verstehen wir diese Risiken auch entlang unserer Wertschöpfungskette? Weltweit gibt es vermehrt Angriffe auf Unternehmen und deren Supply-Chain-Partner, bei denen entweder heikle (Kunden-) Daten gestohlen oder die Produktionsabläufe beeinträchtigt werden – in manchen Fällen bis hin zum Produktionsstopp.

Speaker:
Stefan Jakoubi, SBA Research

Über den Speaker:

Stefan Jakoubi ist Geschäftsleiter für den Bereich „Professional Services“ bei SBA Research. Er ist seit über 13 Jahren im Großraum der Informationssicherheit tätig und "Sicherheits-Architekt" für Kunden und Forschungspartner. Hierbei liegt sein spezieller Fokus auf dem balancierten Zusammenspiel geschäftlicher Anforderungen und erforderlicher Sicherheitsmaßnahmen, um Entscheidungsträger in der Erfüllung ihrer Sorgfaltspflichten entsprechend zu unterstützen. Am liebsten hält er allerdings Security Awareness Vorträge, um komplexe Themengebiete zielgruppengerecht "zu übersetzen".

30c94b96aa264994559fc0556b207bd8?s=128

Thomas Konrad

January 15, 2020
Tweet

Transcript

  1. 1 Wie geht es Ihrer Supply Chain heute so? Supply

    Chain & Cyber Security in einem Atemzug
  2. 2 2010 © http://blog.pikarl.de/tag/vulkanausbruch/ (Martin Rietze)

  3. 3 2017 © http://i.imgur.com/bzMzH8B.jpg (Reddit)

  4. 4 2017 Maersk Not-Petya Security Incident 2017 Chairman at World

    Economic Forum Technical Impact - 10 days offline - Reinstall entire infrastructure - Reinstall 4.000 Servers - Reinstall 45.000 PCs - Reinstall 2.500 applications Business Impact - Ships with 10-20k containers entering a port every 15 minutes - 250-300 Mio USD Learning #1 We were basically average when it comes to Cyber Security – like many other companies… Final Conclusion But the next level of dependency on digital will be <<everyhthing is digital>> […] the boats will be autonomous. […] you cannot overcome with human resilience anymore. https://www.youtube.com/watch?v=VaqIYlYmDbA
  5. 5 Allianz Risiko Barometer 2019 SBA Research, © 2019 https://www.allianz.com/de/presse/news/studien/190115_allianz-risk-barometer-2019.html

  6. 6 BCI Supply Chain Resilience Report 2019 SBA Research, ©

    2019 https://www.thebci.org/resource/bci-supply-chain-resilience-report-2019.html
  7. 7 50 %

  8. 8 Mein Risiko? Ist “Supply-Chain-Cyber-Risiko” Teil meiner Risikoanalyse? SBA Research,

    © 2019 50% 50% 50% 50% 50% 50% 50% 50% ??? %
  9. 9 Herausforderungen Typische Auswirkung SBA Research, © 2019 ???% =

    Nicht bewertetes Risiko Unklarer Investitionsbedarf Materialisiertes Risiko „Warten“ auf Vorfall
  10. 10 Herausforderungen Typische Auswirkung SBA Research, © 2019 Zulieferer-Zugriff nicht

    bewertet Keine Verantwortlichkeit Verschlüsselung der zugreifbaren Infra Zulieferer „bringt Malware mit“
  11. 11 Herausforderungen Typische Auswirkung SBA Research, © 2019 https://twitter.com/philippederyck/status/1204028175417782272?s=11 https://www.zdnet.com/article/two-malicious-python-libraries-removed-from-pypi/

  12. 12 Herausforderungen Typische Auswirkung SBA Research, © 2019 Nicht bewertetes

    Risiko Kein Invest in Dependency Checks Python libraries stealing SSH & GPG keys „Warten“ auf Vorfall
  13. 13 VERTRAUEN

  14. 14 „Vertrauen ist ein Phänomen, das in unsicheren Situationen oder

    bei risikohaftem Ausgang einer Handlung auftritt.“ https://de.wikipedia.org/wiki/Vertrauen
  15. 15 Wohin soll die Reise gehen? SBA Research, © 2019

  16. 16 Mögliche Handlungsfelder Was kann ich morgen Früh als Erstes

    angehen? SBA Research, © 2019 • Verantwortlichkeit(en) herausfinden und an einen Tisch bringen • Kritische Lieferanten identifizieren und hinsichtlich Cyber Security Bedrohungen hinterfragen • Datenfluss sensibler Unternehmensinformationen verfolgen • Self-Assessment Fragebogen entwerfen, in Einkaufsprozess sowie Akquisitionsvorhaben integrieren • Sichtbarkeit über Third Party Risk Management Tooling erhöhen • Review der Versicherungslandschaft, ob Cyber Risiken entsprechend berücksichtigt sind • Outsourcing von Audits • Incident Response Fähigkeiten verbessern (Notfallplanung) • „Supply-Chain-Cyber-Risiken“ in Unternehmensrisikomanagement einbetten • 3 Verteidigungslinien sicherstellen 1. Verantwortung definieren 2. Third Party Risk Management etablieren 3. Internal Audit aufbauen • Security Incident Monitoring essentieller Lieferanten
  17. 17 Infoflyer: Supply Chain Risk Mgmt Was kann ich morgen

    Früh als Erstes angehen? SBA Research, © 2019 RT 2
  18. 18 Wie geht es Ihrer Supply Chain heute so? Software

    Security Kontext
  19. 19 Supply Chain Risk Mgmt Software Security Kontext SBA Research,

    © 2019 unkritisch heikelst Macht sichtbar/steuerbar Ohnmacht Unsichtbar/unsteuerbar Risikoakzeptanz Kompensierende Maßnahmen Risikotransfer (Versicherung & Verträge) ---------------------------------------------------- Managemententscheidung Dependencies
  20. 20 Dependecies Ausgewählte Bedrohungsszenarien SBA Research, © 2019 RT 2

    Schwachstellen Bekannt Unbekannt Manipulation Ungezielt Gezielt Lizenzstrafen Zu große Angriffsfläche Verlust („DoS“) End of Life Forking …
  21. 21 Dependecies Maßnahmen “für die grüne Wiese” SBA Research, ©

    2019 RT 2 • Dependency vermeiden o Nicht für jedes Problemchen eine neue • Dependencies reduzieren o Bewusstes auswählen/raushauen • Konservative Auswahl o Großes Unternehmen? o Zuverlässiges Unternehmen / Ruf? o Community? o Security track record?
  22. 22 Dependecies Maßnahmen “für danach” SBA Research, © 2019 RT

    2 • Isolation & Hardening o Microservices o Least privilege o Nicht verwendete Features abdrehen o Dead code elimination (z.B. Tree Shaking) o Internetzugriff am Server verbieten (exfiltration) o Frontend – CSP + Feature Policy – Subresource integrity
  23. 23 Dependecies Maßnahmen “für danach” SBA Research, © 2019 RT

    2 • Dependency Inventar o Inkl. Lizenzinfos und Aktualität > Automatisierung o Bei Forks: Änderungen upstreamen • Last but definitely not least! o Auf bekannte Schwachstellen checken o Monitoring aufbauen
  24. 24 Supply Chain Risk Mgmt Software Security Kontext SBA Research,

    © 2019 unkritisch heikelst Macht sichtbar/steuerbar Ohnmacht Unsichtbar/unsteuerbar Risikoakzeptanz Kompensierende Maßnahmen Risikotransfer (Versicherung & Verträge) ---------------------------------------------------- Managemententscheidung „Alles ok“ außer Ignoranz oder Unsichtbarkeit @ Risiken Monolith Microservice Microservice Microservice Microservice
  25. 25 SBA Research, © 2019 https://nielharper.com/2018/08/01/should-it-be-mandatory-for-cisos-to-be-part-of-the-board-of-directors/

  26. 26 Supply Chain (Cyber) Risk Management SBA Research, © 2019

  27. 27 Forschung & Beratung unter einem Dach