Während Sie diese Zeilen lesen, arbeiten Sie, wie ein Großteil der globalen Bevölkerung, aufgrund von COVID-19 wahrscheinlich von zu Hause aus. In den letzten drei Wochen habe ich viele Geschichten über das Virus gelesen, und für mich war die große Frage immer die gleiche: Was ist das eigentliche Problem?
Einige Leute denken vielleicht, das SARS-CoV-2-Virus sei eine Verschwörung; andere finden die Gegenmaßnahmen übertrieben, während es auch eine Gruppe gibt, die in ständiger Angst lebt. Unabhängig davon, was die Leute denken, sind wir alle auf demselben Boot oder Planeten, um genauer zu sein. Auf diesem Boot gibt es getrennte Abteile oder Länder für diese Analogie.
Die aktuelle Situation in den Niederlanden
Ich lebe in den Niederlanden und bin zufrieden damit, wie unsere Regierung auf die Krise reagiert. Anfangs waren wir der Regierung gegenüber skeptisch, weil es an Informationen und einem angemessenen Plan fehlte. Aus diesem Grund war es für mich schwierig, das wirkliche Problem zu verstehen, und aus dem gleichen Grund missachteten viele von uns die Richtlinien der Regierung.
Erst vor drei Wochen, als unser Premierminister das eigentliche Problem mit dem COVID-19-Virus im Fernsehen erklärte, begannen wir, die Gesellschaft, das Problem und die möglichen Lösungen zu schätzen. Mit einfachen Worten erklärte er, was das COVID-19-Virus ist, wie es sich auf unser Leben auswirkt und welche Möglichkeiten wir als Gesellschaft haben. Die folgenden beiden Optionen wurden von unserem Premierminister erläutert:
- Option 1: Keine Maßnahmen, viele Menschen werden so lange krank, bis genügend Herdenimmunität vorhanden ist, um das Virus zu stoppen. Mit anderen Worten: Wenn genügend Menschen gegen das Virus immun sind, gibt es in der Gruppe eine natürliche Barriere, um andere anzustecken. Solange es in unserer Gesellschaft nicht genügend Immunität gibt, wird die Belastung unseres medizinischen Gesundheitssystems so hoch sein, dass letztendlich Menschen sterben werden, weil wir uns nicht um sie kümmern können. Wenn wir diese Option wählen, akzeptieren wir, dass viele Menschen sterben werden, bis es ein Medikament oder eine ausreichende Herdenimmunität gibt.
- Option 2: Wir kontrollieren die Ausbreitung des Virus, um den Druck auf unser Gesundheitssystem zu mindern. Die Ausbreitung kann durch “soziale Distanz” kontrolliert werden, d.h. wir reduzieren soziale Interaktionen, verzichten auf Gruppenaktivitäten und halten einen Abstand von 1,5 bis 2 Metern ein. Wenn wir als Gesellschaft diese Regeln befolgen, ist es für das Virus schwierig, sich auszubreiten. Die Zahl der Infizierten ist kontrollierbar, und unser Gesundheitssystem kann sich um die schwerkranken Menschen kümmern. In der Zwischenzeit wird die Herdenimmunität in unserer Gesellschaft allmählich wachsen, und wir werden hoffentlich bald ein Heilmittel finden.
Die Regierung zieht die Option 2 vor, um Menschen vor dem Tod zu retten.
Was nach der Ansprache geschah
Nach der Erklärung des COVID-19-Virus gab es einen “Aha”-Moment in unserer Gesellschaft, weil wir nun das wahre Problem und unsere Optionen verstanden. Am Tag nach der Rede gab es zwei große Veränderungen in unserer Gesellschaft:
- Das Vertrauen in die Regierung, dass sie die richtigen Dinge tut.
- Die Menschen befolgten die von der Regierung auferlegten Regeln.
Dennoch haben wir viele Fragen, und ja, wir sind alle sehr besorgt über die wirtschaftlichen Auswirkungen. Aber für den Moment haben wir das Gefühl, dass die Situation unter Kontrolle ist, und das gibt uns Zeit, über die nächsten Schritte nachzudenken.
Wenn die Regierung nicht in der Lage ist, das Problem in der Gesellschaft richtig anzugehen (was in den USA teilweise geschieht), dann gibt es einfach nicht genug Vertrauen in die Regierung, um die Menschen zu motivieren, das Richtige mit all seinen Konsequenzen zu tun.
Cyber Security für die OT-Domäne
Als Unternehmensberater für Security bin ich fasziniert davon, wie wir nach der Rede unseres Premierministers unser Verhalten geändert haben. Ist es so einfach? In einfachen Worten das Kernproblem erklären und den Grund, warum ein bestimmter Plan gewählt wurde? Ich glaube, die Antwort lautet: “Ja, so einfach ist es”.
Oft erlebe ich ein ähnliches Phänomen, wenn ich mit Firmen über Cyber Security spreche, und in meinem Fall über Cyber Security für die OT-Domäne (die gleiche wie die Produktionsdomäne). Die Cyber Security in einem Unternehmen ist nur so stark wie das schwächste Glied. Mit anderen Worten: Security muss die Kultur eines Unternehmens sein, die von jedem Mitarbeiter getragen wird. Dies wird nicht immer verstanden; zu oft ist Cyber Security ein Thema für Spezialisten, das mit Anweisungen an die Mitarbeiter kaskadiert wird. Um die Kultur in einem Unternehmen zu verändern, müssen die Menschen das Problem verstehen und verstehen, warum bestimmte Schritte unternommen werden.
Das eigentliche Problem von Cyber Security
Bevor Sie Ihren Kollegen das Problem erklären, müssen Sie jedoch zuerst das eigentliche Problem selbst verstehen, und das ist nicht immer einfach. Das Problem von Security besteht nicht darin, welche Firewall oder welches Softwarepaket eingesetzt werden soll. Ich habe das Problem für die Cyber Security wie folgt definiert:
“Auf welcher Grundlage, wie und in welchem Umfang muss ich in Cyber Security investieren (Budget), um ein Risiko zu haben, das für mich und das Unternehmen akzeptabel ist?”
Ich habe diese Problembeschreibung aus den folgenden Gründen gewählt:
- Sie können das Risiko nicht auf Null reduzieren. Als Unternehmen müssen Sie immer ein bestimmtes Risiko akzeptieren und managen.
- Um das Risiko auf ein akzeptables Niveau zu reduzieren, benötigen Sie ein Budget. Pläne haben keinen Wert, wenn das Budget letztendlich nicht verfügbar ist.
Mit anderen Worten: Cyber Security beginnt mit Risiko versus Budget. Unternehmen, die Yokogawa auf der Grundlage der obigen Problemdarstellung unterstützt hat, konnten einen unternehmensweiten Cyber Security-Plan entwickeln, der von den Mitarbeitern erklärt und angenommen werden konnte.
Bestimmen Sie das Budget für die Risikominderung
Um das Budget für die Reduzierung des Risikos zu bestimmen, benötigen Sie drei Teile:
- Die Risikoexpositions-Basislinie – Welches ist Ihr aktuell identifiziertes Risiko
- Die Sicherheitsvorgaben – Welche Maßnahmen möchten Sie zur Risikominderung ergreifen?
- Richtlinien und Verfahren zur Verbindung von Menschen mit der Technologie
Wenn alle drei Teile entwickelt sind, ist der Schritt zur Berechnung des Budgets nicht mehr so schwierig.
Cyber Security Lifecycle Services für OT Security
Wir haben ein Cyber Security Lifecycle Services– Programm für die OT Security entwickelt, das all diese Schritte verfolgt. Wir führen drei Arten von Risikobewertungen durch: technische, geschäftliche und betriebliche Risikobewertung, um die Ausgangsbasis für die Risikoexposition zu bestimmen. Wir verfügen über 30 Best-Practice-Richtlinien und -Verfahren, die bereit sind, entsprechend den Anforderungen des Unternehmens aktualisiert zu werden. Und wir verwenden die IEC62443 und das NIST, um die Sicherheitsziele zu bestimmen und die richtigen Gegenmaßnahmen zu bestimmen und auszuwählen.
Mit unserem Lifecycle Services-Programm und unserer Struktur helfen wir unseren Kunden, das wirkliche Problem zu verstehen. Zu verstehen, wo sie heute stehen und zu verstehen, wo sie in Zukunft stehen möchten und welche Investitionen erforderlich sind, um das Risiko auf ein akzeptables Niveau zu reduzieren. Mit all diesen Informationen können Sie der Organisation in einfachen Worten erklären, was das wirkliche Problem für die Cyber Security ist und warum Sie sich für einen bestimmten Plan entschieden haben, um das Risiko auf ein akzeptables Niveau zu reduzieren.
Meine feste Überzeugung
Ich bin mir bewusst, dass viele von uns, auch ich selbst, derzeit andere Probleme im Kopf haben als die Cyber Security. Die Auswirkungen des Virus werden wahrscheinlich uns alle betreffen, und das Leben, wie wir es kennen, wird sich wahrscheinlich für lange Zeit ändern. Ich bin jedoch der festen Überzeugung, dass unsere Gesellschaft widerstandsfähig ist, und wenn wir uns gegenseitig unterstützen, können wir diese Herausforderung gewinnen. Bleiben Sie vorerst stark und befolgen Sie die Regeln, damit Sie und Ihre Umgebung sicher sind, und wir hoffentlich bald ein Gespräch über Cyber Security führen können.