Cyber Risk Resilience Human Factor

Transkript

1 Cyber Risk Resilience Human Factor We don t have intellectually a way of thinking about how cyber situational awareness looks, so we need to build a cyber common operational picture. Keith B. Alexander, General US Army und Ex-Director National Security Agency (DIRNSA) Welche Informationen, Fähigkeiten und Kompetenzen brauche ich, um die bewusste Entscheidung zu fällen, ein ganzes Rechenzentrum oder Teile davon ausser Betrieb zu nehmen? Kann ich diese Entscheidung auch postum rechtfertigen und belegen? In diesem Artikel soll für einmal nicht die Technik beleuchtet werden, sondern hauptsächlich der Einfluss des Human Factors im Rahmen der Cyber Risk Resilience denn am Schluss entscheidet noch immer ein Mensch, ob am Montag 09:15 das Handelssystem einer Bank abgeschaltet wird, da dieses Ziel eines Angriffs ist. Cyber Risk Resilience (CRR) Rolle des Menschen Das Konzept von Cyber Risk Resilience kann unterschiedlich beschrieben werden. Eine brauchbare Definition aus der Studie Human Factors for Cyber Defence der European Defence Agency (EDA) ist die folgende: Cyber Risk Resiliency is defined as the organizational and individual ability of a cyber defence system to prevent disruptions from occurring as well as the ability to respond quickly to and recover from a disruption in the protection of information and communication systems. Resilient behaviour is shown when efficient coping with changes is combined with continuous integration of new information with existing knowledge, goals and intentions in order to maintain of response functionalities. Cyber Risk Resilience ist ein notwendiger Bestandteil von Kommunikations- und Informationssystemen moderner Unternehmen, aber auch von Behörden und Armeen. CRR sorgt für einen sicheren Datenaustausch und beinhaltet eine Vielzahl von technischen und organisatorischen Komponenten. Ein weiterer, ganz elementarer Teil von Cyber Risk Resilience ist der Mensch. So ist er in der Rolle als Operateur, der verdächtige s aussortiert oder achtsam gegenüber Angriffen aus dem Bereich Social Engineering ist, genauso Teil des CRR-Systems wie IDS/IPS, Antiviren-Software und Ingenieure, die das Netzwerk nach Sicherheitsaspekten planen und das Netz im laufenden Betrieb auf sicherheitskritische Ereignisse überwachen und Gegenmassnahmen ergreifen. Elemente der modernen Cyber Risk Resilience Moderne Cyber Risk Resilience besteht aus den unten aufgeführten Elementen. Bei fast jedem spielt der Mensch eine ganz wesentliche Rolle und muss deshalb in die Gesamtbetrachtung einbezogen werden. Systemengineering, Systemdesign Benutzerorientiertes, ausgewogenes Design Automatisiertes Visualisierungs und Decision Supporting Tool Lagebild der Situation (cyber situational awareness) und Entscheidungsunterstützung

2 Cyber Defence Team zukunftsorientierte Trainings im Bereich Cyber Resilienz Security Hard- und Software Security- und Risk-Framework Im Hinblick auf den Human Factor werden nachfolgend einige ausgesuchte Elemente von CRR etwas genauer betrachtet. Systems Engineering - Ambivalente Systemziele Kommunikations- und Informationssysteme weisen verschiedene Qualitäten wie Variabilität, Sicherheit, Verfügbarkeit, Integrität, Stabilität, Performance und Kosten auf. Diese Qualitäten sind zum Teil gegenläufig, denn es ist nicht möglich, sie alle gleichermassen zu maximieren bzw. zu minimieren. Ein Ausbalancieren ist notwendig, um unter angemessener Risikoabschätzung eine Gesamtleistung des Systems zu erzielen, die die optimale Erfüllung des Auftrags gewährleistet. Im Kontext von Cyber Risk Resilience steht die Systemqualität Sicherheit im Fokus, darf aber aufgrund ihrer Wechselwirkung mit anderen Systemqualitäten nicht isoliert betrachtet werden. Die Menschen in der Rolle als Operateure sind hinsichtlich Sicherheit kritische, aber auch notwendige Komponenten, denn sie stehen mit ihrer Möglichkeit, durch Querdenken Schwachstellen im System oder auch Angriffe zu entdecken, den menschlichen Angreifern als ausgleichendes Element gegenüber. Der Faktor Mensch muss u.a. hinsichtlich Situationsbewusstsein, Fehler, Vertrauen, Workload und Motivation in die Systembetrachtung einbezogen werden. Wenn aus Sicht Systems Engineering das zu schützende System betrachtet wird, so gibt es viele verschiedene Faktoren, die auf dieses System einwirken. Es sind unter anderen externe Faktoren wie neue Technologien (Technology Push), die umgesetzt werden müssen (beispielsweise BYOD) oder andere Bedrohungen des Systems schlechthin. Dies können beispielsweise elementare Gefahren wie Feuer, Wasser, Einbruch, Vandalismus oder Cyberthreats aller Ausprägungen (Threat Push) sein. Nebst den konventionellen und systemisch bedingten Anforderungen (Requirements Pull) führen diese externen Faktoren zu neuen Cyber Security Anforderungen an das System. Human Factors im Systems Engineering Folgende Human Factors sind im Kontext von Cyber Risk Resilience und Systemsengineering zu berücksichtigen: Der Prozess der Entscheidungsfindung, menschliche Fehler ganz generell, das Bewusstsein für die aktuelle Lage (Situational Awareness), die Arbeitslast, die Motivation, die Kommunikation und das Vertrauen des Menschen in die System- und Arbeitsumgebung. Lösungsansätze und Konzepte, um die zum Teil ambivalenten Systemziele (siehe oben) und die Eigenheiten der Human Factors erfolgreich miteinander vereinbaren zu können, sind unter dem Begriff Human Systems Integration (HSI) zusammengefasst und beinhalten üblicherweise: Visualisierung der Lage für verschiedene Abstraktionsebenen (nicht nur im Netzwerk) Definieren von Policies auf allen technischen, betrieblichen und organisatorischen Ebenen Automation von Routinearbeiten (z. B. Mustererkennung und Datenanalyse) Bedienbarkeit (usability) Kooperation Ausbildung und Training (education) Es lässt sich eine gute Analogie zu Air Traffic Management Systemen (ATM) herstellen, denn bei solchen Flugsicherungssystemen sind neben der Technik die Human Factors seit Jahrzehnten Gegenstand von Untersuchungen: Beim Bau von neuen Systemen wird dem Faktor Mensch sehr viel Gewicht gegeben.

3 Die folgenden acht zentralen Themengebiete (Quelle: die bei einem ATM System Design zwingend berücksichtigt werden müssen, sind den Themen bei Cyber Risk Resilience sehr ähnlich: Workload Human error Workstation design Situation awareness Automation Teamwork Safety Human factors integration Diese Themen müssen beim Design eines neuen Systems adäquat berücksichtigt werden, um das Risiko in einem für das jeweilige Business akzeptablen Rahmen zu halten. Die nachfolgende Grafik verdeutlicht einige Wechselwirkungen verschiedener Human Factors. Er wird ersichtlich, dass die Zusammenhänge komplex und mit technischen Massnahmen alleine nicht kontrollierbar sind. Die oben erwähnten Lösungsansätze helfen, die Human Factors besser zu steuern. Wechselwirkung von Human Factors Quelle Studie Human Factors for Cyber Defence der European Defence Agency (EDA)

4 Benutzerorientiertes, ausgewogenes Design Es wurden verschiedene Methoden für die Entwicklung der Mensch-Technik-Interaktion im Cyber-Defence Umfeld entworfen. Die wichtigsten zwei Methoden sind die folgenden: Entscheidungsfindung mittels einer Decision Ladder: Mit Hilfe dieser Methodik soll mit einem standardisierten Verfahren eine bewusste Entscheidung oder eine Aktion herbeigeführt werden. Decision Ladder Quelle Studie Human Factors for Cyber Defence der European Defence Agency (EDA) Ecological Interface Design: Die Mensch-Maschine-Schnittstelle soll möglichst so ausgestaltet werden, dass auch bei komplexen Systemen wie etwa Kernkraftwerken ein sehr schnelles Systemverständnis und Situationsbewusstsein - speziell in unerwarteten Situationen - möglich ist. Damit sind Visualisierungskonzepte mit Abstraktionshierarchien und Visual Analytics sowie entsprechende Displays für die verschiedenen Abstraktionsebenen gemeint. Das Design folgt somit immer einem User Centric/User Oriented Design Approach. Ecological Interface Design Quelle

5 Menschliche Risiken versus Resilienz der Organisation Die Komplexität beim Thema menschliche Risiken versus Resilienz ist erheblich und hat einen Einfluss auf den Problemlösungs- und den Entscheidungsfindungsprozess. Es muss analysiert werden, wie sich menschliche Fehler im Kontext der IT-Sicherheit auswirken können. Diese Risiken und Verhalten lassen sich jedoch mit technischen Massnahmen alleine nicht kontrollieren. Nachfolgende Graphik zeigt einige Risiken. Menschliche Risiken Quelle Studie Human Factors for Cyber Defence der European Defence Agency (EDA) Beispiele von risikoreichem Verhalten (Gefährdungen und deren Ursachen) Es gilt immer eine Balance zu finden zwischen Sicherheit, Restrisiko/-unsicherheit, Usability und dem Umgang mit Routine. Im Falle eines Users existiert ein Zielkonflikt zwischen Sicherheit versus Flexibilität sowie Sicherheit versus Umgang mit Gewohnheiten. Beispiele dafür sind: Bring your own device / Bring your own app Ignorieren von Vorschriften Im Falle eines Computer Emergency and Response Team (CERT) geht es um Probleme wie Informationsrauschen, hoher Workload, kein oder ein unzweckmässiger Einsatz von Automatisierung. Beispiele dafür sind: Übersehen von Gefahren (Routinefalle) Wahrnehmen von Gewohntem (Stereotypen) Komplexitätsfallen in der Informationsbewertung (Verzerrung) Expertenrisiken, beispielsweise. Frequency Gambling * 1) Im Falle des Executives sind die Gefährdungen ein fehlendes Lagebild oder fehlende resp. ungenügende Kommunikation mit IT- und Informationssicherheits-Experten. Beispiele dafür sind: - Fehlendes Verständnis in der Cyber Risikobewertung - Fehlattribution eine unnötige Eskalation wird ausgelöst * 1) Frequency-gambling: Eine Planungsstrategie, die sich nach dem Erfolg bisheriger Pläne und Massnahmen richtet, ist das...'frequencygambling' (Reason, 1990). Es besagt, dass diejenige Massnahme als nächste ergriffen wird, die in den bisherigen (dieser Situation ähnlichen) Situationen am erfolgreichsten war.

6 Aufbau von Cyber Defence Teams Wie an der Cyber Defence Conference 2013 mehrfach erwähnt wurde sind Cyber Defence Teams heute mehrheitlich noch nicht fit genug, um innovative Cyber-Vorfälle zu verhindern und basieren eher auf Reflektion/Forensik statt auf proaktiven Ansätzen. Die folgende Graphik zeigt ein paar Themenbereiche, die beim erfolgreichen Aufbau eines Cyber Defence Teams eine Rolle spielen sollten. Themenbereiche wie Monitoring, Antizipation, Team Learning und natürlich Incidentmanagement müssen betrachtet und entsprechend verknüpft werden. Ein Red Team ( ist eine unabhängige Gruppe, welche eine Organisation herausfordert und deren Leistungsfähigkeit in Bezug auf CRR prüft. E.g. Cyber Key Performance Indicator E.g. Red Team Wargaming Monitoring Antizipieren E.g. Erkennen von neuen Angriffsroutinen und Trends E.g. Incidentmanagement, Profiling Auswertung Team Learning Reagieren Cyber Defence Teams Quelle Studie Human Factors for Cyber Defence der European Defence Agency (EDA) Beispiele für zukunftsorientierte Trainings im Bereich Cyber Resilienz Folgende Themenbereiche sollten in kritischen Organisationen adäquat geschult werden, um die Cyber Resilienz nachhaltig zu erhöhen und um bereit zu sein für die Abwehr eines Cyberangriffs. Automationstraining - Situation Awareness - Verhaltenstraining sensibilisieren für Automatisierungseffekte - Szenario-Training, z. B. Cyber Friendly Fire Cyber Crew Resource Management - Teamunterstützung unter Stress - Cyber Security Assessment - Expertenkommunikation - Kommunikation mit der Governancestufe Resilienz Training und Assessment - Entwickeln von Stressstrategien - Mentale Fähigkeiten, um Unsicherheiten zu bewältigen - Entwickeln von produktiven Denkweisen

7 FAZIT Der Mensch hat beim Thema Cyber Risk Resilience eine enorm grosse Bedeutung. Aufgrund der komplexen Zusammenhänge sind seine kognitiven Fähigkeiten, mehr als jemals zuvor, unabdingbar. Beim Thema Cyber Risk Resilience ist es jedoch für den Menschen entscheidend, über ein adäquates Lagebild der Situation im Netzwerk sowie der benachbarten Bereiche zu verfügen. Der entscheidende Mensch (z.b. CIO) muss ein sehr gutes Situationsbewusstsein besitzen. Dazu gehört auch der Zugriff auf Mitarbeiterdaten, Riskmanagement-Unterlagen wie BCM Pläne etc. Im besten Fall bekommt er dabei Unterstützung von einem Tool und/oder einer Gruppe von Security Analysten, welche inhouse oder extern sein können. Der Mensch muss in der Lage sein, auch in unsicheren Situationen zu entscheiden, immer unter Einbezug aller ihm zur Verfügung stehenden Informationen und unter Einhaltung der Vorgaben des Risk Managements oder Compliance. ISPIN erarbeitet aktuell einige Grundlagen, um eine Lösung zu erarbeiten, welche Unterstützung bei der Entscheidungsfindung aber auch während des gesamten Attack Continuums before, during and after an attack bietet. Wir würden uns deshalb freuen, den Dialog mit Ihnen führen zu dürfen, um diese Lösung gemeinsam auszugestalten. Autor: Andreas Rieder Senior Security Architect / Senior Project Manager ISPIN AG