Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken

Transkript

1 Informatiksteuerungsorgan des Bundes ISB Nachrichtendienst des Bundes NDB Melde- und Analysestelle Informationssicherung Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken Auswirkungen auf kritische Teilsektoren Visit, Park Hyatt Hotel, Wien 29. Oktober 2014 Dr. Stefanie Frey, Koordinatorin Umsetzung NCS

2 Die NCS: Eine integrale Strategie Wirksamkeitsüberprüfung Massnahmen 16 Massnahmen 16 Massnahmen 16 Massnahmen 2

3 Strategische Ziele Strategische Ziele (Frühzeitige) Erkennung der Bedrohungen & Gefahren im Cyber Bereich Stärkung der Widerstandsfähigkeit der kritischen Infrastrukturen Kritische Infrastrukturen Reduktion von Cyber- Risiken (Cyber- Kriminalität, Cyber- Spionage, Cyber- Sabotage) Lagebild, Beziehungen zu KI- Betreibern, CERTs Staatliche Behörden und Verwaltung KI: im nationalen Interesse der Schweiz, Wirtschaft fatale Kettenreaktionen Trojans, zero-dayexploits: Beobachtung, Gegenmassnahmen 3

4 Organisatorisch Die Logik der NCS Sicherheitsmassnahmen Personell (IT-)Technisch Physisch Entscheidet Schafft über Grundlagen die zur Implementierung der geeigneten von Sicherheitsmassn ahmen Geschäftsleitung NCS Versteht Schafft das Grundlagen Gesamtrisiko zur für Identifikation einen Prozess von Cyber-Risiken Cyber - Risiken= Risiken die durch den Einsatz von vernetzten IT-Systemen, über die vermehrt alle Arten von Prozessen ausgeführt und betrieben werden, entstehen Physische Risiken Physical Risk (IT-)Technisch Personelle Risiken Personel Risk Cyber Risiken Cyber Risk 4

5 Umsetzungsplan NCS Prävention Risiko und Verwundbarkeits Analyse Reaktion Incident handling und aktive Massnahmen Kontinuität Kontinuitäts und Krisen MGMT Unterstützend Risiko- und Verwundbarkeitsanalyse (M2) ICT Prüfkonzept (M3) Lagebild (M4) Incident Handling (M5) Fallübersicht (M6) Identifikation Täterschaft (M14) Kontinuitäts MGMT (M12) Krisen MGMT (M13) Konzept Krisen MGMT (M15) Forschung /Kompetenzbildung (M1,7,8) Int. Kooperationen (M9,10,11) Rechtsgrundlagen (M16) Dezentrale Umsetzung: Risikobasiert und in Eigenverantwortung Zentrale Unterstützung: Subsidiäre Unterstützung vom Staat Flexibilität: Bedarfsgerechte Lösungen Technische und nicht Technische Kooperationen: Public Private Partnership (PPP) und Swiss Cyber Experts 5

6 Massnahmenpakete in Abhängigkeit NCS M2: Risiko & Verwundbarkeits analyse M3: IKT Verwundbarkeiten Bund M12: Kontinuitätsmanagement M13: Krisenmanagement Prävention BWL und BABS: Bestehende Arbeiten weiterführen und einheitlicher Methode Kontinuität 6

7 Kritische Infrastrukturen und ihre Kritikalität 28 Kritische Teilsektoren Umsetzungsplanung Q SKI Strategie = Mantelstrategie im KTS Bereich Energie KI der Schweiz Erdgasversorgung ist abgeschlossen Stromversorgung Q NCS Erdölversorgung Strategie = Schutz Q der KI vor Cyber Risiken KTS NCS Finanzen Massnahmen welche KI betreffen Banken Q4 sind 2015 aud SKI abgestimmt Versicherungen Q Umsetzung erfolgt in Zusammenarbeit mit BWL und BABS 7

8 M2: Risiko & Verwundbarkeitsanalyse Risiko- und Verwundbarkeitsanalyse Ziel Risiko- und Verwundbarkeitsanalysen für die 28 kritischen Teilsektoren sind nach einheitlicher Methode und eng aufeinander abgestimmt, durchgeführt worden Ist-Zustand Methodik und Vorgehen sind definiert und zwischen den Stakeholders abgesprochen Risiko- und Verwundbarkeitsanalysen für die 1. Gruppe der kritischen Teilsektoren ist abgeschlossen. Massnahmen Identifikation der kritischen Prozesse und Ressourcen Identifikation der wichtigsten Gefährdungen, die zu einem Ausfall der Prozesse führen können 8

9 M12 und M13: Kontinuitäts & Krisen MGMT Kontinuitäts & Krisen MGMT Ziel In den 28 kritischen Teilsektoren sind in Zusammenarbeit mit den entsprechenden Fachbehörden und Verbänden die Ergebnisse der Risiko- und Verwundbarkeitsanalysen in entsprechende Kontinuitäts- und Krisenmanagementpläne umgesetzt. Ist-Zustand Da es aufbauend ist auf der Risiko & Verwundbarkeitsanalyse wird mit der Umsetzung erst 2015 begonnen Massnahmen Nach einheitlicher Methodik Ziele und Vorgehen werden gemeinsam mit den relevanten Unternehmen und den zuständigen Fachstellen abgesprochen und entsprechende Massnahmen, Instrumente und Prozesse erarbeitet 9

10 NCS ist SMART Specific Measurable Achievable Realistic Timely 10

11 Operative Unterstützung Verantwortlichkeiten : Informationsdrehscheibe M2 M3 M4 M5 M6 Geschlossener Kundenkreis: Kritische Infrastruktur Betreiber M10 M11 M12 M13 M14 Geschlossener Kundenkreis Sektoren: Chemie/Pharma Energie Finanz Gesundheit Industrie Telecom Transport/ Logistik Versicherungen Administration Identifikation, Einschätzung, Auswertung, Kontextualisierung Nachrichtendienst Nachrichtendienstliche Informationen, Polizeierkenntnisse, Internationaler Austausch, Bedrohungslage Technik Technische Informationen, Forensische Erkenntnisse, Internationaler Austausch, Technische Entwicklung und Trends 11

12 Strategieumsetzung Strategie NCS hat einen Prozess ausgelöst Erste Wirkungen auf operativer Ebene für mehr als die Hälfte der Massnahmen Weitere Wirkungen werden auf operativer Ebene erziehlt und ersichtlich Mehr als die Hälfte der Massnahmen sind schon abgeschlossen Wirkungsanalyse: Umsetzungsprozess ist auch nach 2017 nicht abgeschlossen: kontinuierlicher Prozess Prozess läuft weiter und wird stetig der neuen Bedrohungslage angepasst 12

13 Danke für Ihre Aufmerksamkeit Dr. Stefanie Frey Koordinatorin Umsetzung Nationale Cyber-Risiken Strategie NCS Informatiksteuerungsorgan Bund ISB Melde- und Analysestelle Informationssicherung Schwarztorstrasse 59 CH-3003 Bern Tel