Upload
others
View
17
Download
0
Embed Size (px)
Citation preview
KRITIS CYBERSECURITY HEALTHCHECK WASSERVERSORGUNG
Transparenz schaffen über den Erfüllungsgrad der Anforderungen aus dem IT-Sicherheitsgesetz
Angesichts einer steigenden Anzahl von Cyber-Attacken bei Wasserversorgern und dem IT-Sicherheitsgesetz besteht hoher Handlungsbedarf für den Schutz von IT-Systemen
SICHERHEITSVORFÄLLE BEI WASSERVERSORGERN (BEISPIELE)
KÖNNEN SIE DIESE FRAGEN BEANTWORTEN?
Welche Konsequenzen hätte eine erfolgreiche Cyber-Attacke auf unsere Organisation?
Wie würde sich eine Betriebsunterbrechung auf unsere Kunden sowie andere KRITIS-Betreiber auswirken?
Welche Informationen und Systeme sind in unserer Organisation schützenswert?
Hat meine Organisation erforderliche Sicherheitsmaßnahmen implementiert, um kritische Steuerungselemente (z.B. SCADA) zu schützen und Angriffe rechtzeitig zu detektieren?
Habe ich die notwendigen Kompetenzen, um die zunehmende Komplexität und Vernetzung der IT-Systeme zu bewältigen?
Können wir der Geschäftsführung, den Aufsichtsbehörden und unseren Kunden die Erfüllung des erforderlichen Sicherheitsniveaus demonstrieren?
Welche Anforderungen ergeben sich aus dem neuen IT-Sicherheitsgesetz (ITSiG) für unsere Organisation?
Hackerangriff auf Stadtwerke Lübeck
Hacker verschaffen sich Zugriff auf interne Systeme (06‘2014)
Hacker kontrolliert Stadtwerke Ettlingen
Ein Hacker brauchte nur 2 Tage, um die Kontrolle über die Stadtwerke in Ettlingen zu übernehmen (04‘2014)
Massive Cyber-Angriffe auf simuliertes Wasserwerk
In 8 Monaten mehr als 60.000 (teilweise feindliche) Zugriffe auf Simulation (Honeypot) des TÜV Süd (07’2015)
Copyright © 2015 Capgemini Consulting. All rights reserved.
2
Organisation & Management
Intransparenz über Sicherheit
Uneinheitliche Steuerung für Büro- und Prozess-IT
Unklare Verant-wortlichkeiten
Fehlende Kompetenzen
Technisch
Zunehmende Komplexität/ Vernetzung
Heterogene IT-Systeme
Detektion von Vorfällen
Steuerung der Zulieferer
Regulatorisch
Unklare Regelungen
Wachsende Datenschutz-Anforderungen
Einbindung Hersteller in Definition von Standards
Die Umsetzung des IT-Sicherheitsgesetzes wird bei Wasserversorgern durch spezifische Herausforderungen erschwert
ZIELSETZUNG DES IT-SICHERHEITSGESETZES
HERAUSFORDERUNGEN IM WASSER-SEKTOR
Schutz der kritischen Infrastruktur (KRITIS) gegen Cyber-Attacken
Verbesserung des Sicherheitsniveaus von KRITIS-Betreibern in ausgewählten Sektoren, u.a. Wasser
Gemeinsame Verabschiedung von branchenspezifischen Mindeststandards
Einführung empfindlicher Strafen bei Verstößen
WOZU VERPFLICHTET DAS GESETZ?
Mindeststandards: Umsetzung Branchen-spezifischer Sicherheitsstandards
Meldepflicht: Detektion und Bewertung von Sicherheits-vorfällen sowie Meldung an das BSI
Audits: Regelmäßige Auditierung der Mindeststandards
Kontaktstelle: Einrichtung einer Schnittstelle zum BSI
Fristen: 2 Jahre nach Verordnung (vorauss. März 2018)
GESCHÄTZTER AUFWAND FÜR UMSETZUNG DES IT-SICHERHEITSGESETZES: 2 BIS 3 JAHRE (UMFRAGE, VERBAND
KOMMUNALER UNTERNEHMEN, 04‘15) – FANGEN SIE HEUTE AN, UM GESETZLICHE FRISTEN NICHT ZU VERSÄUMEN
Copyright © 2015 Capgemini Consulting. All rights reserved.
3
Capgemini‘s erprobter Ansatz KRITIS CYBERSECURITY HEALTHCHECK unterstützt Ihre Organisation bei der Erfüllung der Anforderungen aus dem IT-Sicherheitsgesetz
ZIELE – KRITIS HEALTHCHECK
Vorbereitung zur Erfüllung des IT-Sicherheitsgesetzes
Schaffung von Transparenz zu Ihrer Sicherheitssituation
Ableitung einer Strategie für den Aufbau einer pragmatischen Sicherheitsfunktion
Verbesserung des Schutzes Ihrer Informationen und Systeme (sowohl Büro- als auch Prozess-IT)
Sensibilisierung für Cyber-Risiken
VORGEHENSWEISE – KRITIS HEALTHCHECK
Capgemini‘s strukturierter und ganzheitlicher Ansatz :
Pragmatische Überprüfung des aktuellen Schutzniveaus Ihrer Informationen und IT-Systeme
Risikoorientierte Bewertung der identifizierten Schwachstellen und Risiken
Ableitung und Planung von priorisierten Handlungsempfehlungen
Man
age
me
nt &
Go
vern
ance
Int.
Org
aniz
atio
n &
Clie
nt
Applications & Operating System Network & Hardware
Q4 2014 2015 2016
Analyze data privacy organization
Design IS policy framework
Outline governance principles for data
Describe governance profiles and roles
Transform to new organization
Analysis business & IT requirements
Develop security architecture model
Design technical solutions
Build and customize designed solution
Test and deploy services
Conduct risk and stakeholder analysis
Perform survey to assess awareness level
Develop awareness concept
Design awareness objects
Define business continuity strategy
Develop decision structures
Develop organization plan
Implement awareness objects
Perform 2. survey to measure effectiveness
Define business impact analysis (BIA)
Conduct business impact analysis
Formulate SLAs
Define business continuity plans
Define business continuity plans
2-4 Wochen
Bewertung des Reifegrades der Organisation, Prozesse und Technologien
Benchmarking mit Wettbewerbern
Risiko-basierte Darstellung der Ergebnisse und Schwachstellen
Ableitung und Priorisierung von Maßnahmen
Definition einer Umsetzungsplanung zur Vorbereitung auf das ITSiG
Abstimmung mit relevanten Stakeholdern
Erhebung Ist-Situation Definition der Bewertungs-
Dimensionen Festlegung von
Bedrohungsszenarien Übersichtsdarstellung geschäfts-
kritischer Systeme/Informationen
Man
agem
ent &
Gov
erna
nce
Int.
Org
aniz
atio
n &
Clie
nt
Applications & Operating System Network & Hardware
Q4 2014 2015 2016
Analyze data privacy organization
Design IS policy framework
Outline governance principles for data
Describe governance profiles and roles
Transform to new organization
Analysis business & IT requirements
Develop security architecture model
Design technical solutions
Build and customize designed solution
Test and deploy services
Conduct risk and stakeholder analysis
Perform survey to assess awareness level
Develop awareness concept
Design awareness objects
Define business continuity strategy
Develop decision structures
Develop organization plan
Implement awareness objects
Perform 2. survey to measure effectiveness
Define business impact analysis (BIA)
Conduct business impact analysis
Formulate SLAs
Define business continuity plans
Define business continuity plans
“1.2 Governance Structure” is below peer group average (COMPANY: 2 vs. peers: 2.47). Recommendation: Definition of security steering committee with relevant stakeholders, direct report to top management
“1.4 IT Risk Management” is significantly below peer group average (COMPANY: 1 vs. peers: 2.45). Recommendation: Definition of processes, roles & responsibilities, regular assessments, mgmt of mitigation measures, reporting, definition of KRIs
“1.6 Audits” is below peer group average (COMPANY: 2 vs. peers: 2.91). Recommendation: Definition of data collection methods for auditor support, immediate response to findings by automated process
A
C
B
COMPANY lies in 6 out of 8 areas below the peer group
average in the domain “Strategy & Governance”
0
1
2
3
41.1 Strategy
1.2 Governance Structure
1.3 IT Compliance Management
1.4 IT Risk Management
1.5 BCM/DRM
1.6 Audits
1.7 Data Privacy
1.8 Security Incident Reporting
COMPANY Financial Services
Top Performer in Peer Group Total Average (All Participants)
A
BC
Low risk Medium risk High riskNo riskCapgemini’s high-level risk evaluation:Page 16
ECR & SCC 2025. GUIDING PRINCIPLES FOR THE TARGET PICTURE DEVELOPMENT.
BMW Strategy
Global & industry trends
INFLUENCERS & DRIVERS CONTROL CENTRE DESIGN PRINCIPLES
Focus on core
activities
Create synergies
Maintain quality & service
level
Pursue international
standardisation
Use state of the art
technology
Stay agile and ensure scalability (Modules)
Ensure cost efficiency
Meet regulatory
requirements
Control
Room
2025
P H A S E
REIFEGRADBEWERTUNG UMSETZUNGSPLANUNG IST-SITUATION & UMFANG
U M
S E
T Z
U N
G
A K T I V I T Ä T E N
Copyright © 2015 Capgemini Consulting. All rights reserved.
4
Unser strategischer Ansatz, ein erprobtes Vorgehen und jahrelange Erfahrung im Bereich Cybersecurity sind Gründe, aus denen sich Kunden für uns entschieden haben
WARUM CAPGEMINI?
Management-orientierte Analyseergebnisse
Strategischer Gesamtblick auf Ihre Organisation
Erprobtes Vorgehen mit standardisierten Fragebögen
Benchmark mit vergleichbaren Organisationen
Jahrelange Projekterfahrung im Bereich Cybersecurity
Kenntnisse relevanter Standards und der Wasserwirtschaft
Sicherheitsberatung aus einer Hand, weltweit 2500 Berater
PROJEKTREFERENZEN (AUSWAHL)
Capgemini Information Security Benchmark Studie
Analyse und Definition von Sicherheitsmaßnahmen für das Wasser-Management-System von Eau de Paris
Definition eines Sicherheitskonzepts für die Standorte der AREVA-Gruppe
Analyse und Neuausrichtung von Sicherheits- leitstellen und Energieleitwarten
CAPGEMINI‘S EXPERTISE IHR ANSPRECHPARTNER
DR. PAUL LOKUCIEJEWSKI Leiter Cybersecurity Consulting
Phone: +49 151 40 25 08 55 E-Mail: paul.lokuciejewski AT capgemini.com Transform to the power of digital
Information Security Benchmarking 2015
Information Security assessment of companies in Germany, Austria and Switzerland
May 2015
www.de.capgemini-consulting.com/cybersecurity
Copyright © 2015 Capgemini Consulting. All rights reserved.
5