Bei der Cybersicherheit ist der Mensch das Problem und die Lösung

Noch fehlt vielen Mitarbeiter das Bewusstsein für ein verantwortungsvolles Verhalten im Internet. Aber auch die Firmen selbst sind oft schlecht auf Cyberattacken vorbereitet, weil sie den Ernstfall nicht proben.

Der Fall zeigt exemplarisch, wo der grösste Schwachpunkt im Cyberspace liegt: beim Menschen. Wenn ein Mitarbeiter gedankenverloren auf einen Link in einer E-Mail klickt oder eine geschickt fingierte Zahlungsaufforderung «begleicht», helfen die besten technischen Vorrichtungen wenig.

Aus guten Gründen sollte deshalb in erster Linie das Bewusstsein der Mitarbeiter geschärft werden. Sie sollten wissen, auf welche Weise Cyberkriminelle von einer Firma Lösegeld erpressen oder einen missbräuchlichen Zahlungstransfer auslösen können. Mit generischen Online-Trainings und dem Ausfüllen von Fragebögen im Rahmen eines Awareness-Programms sei es nicht getan, erklärt Kai Grunwitz, der sich von Deutschland aus für den japanischen IT-Sicherheitskonzern NTT Security mit solchen Fragen befasst. Mitarbeiter müssten kontinuierlich sensibilisiert und konkret involviert werden, um ein ausgeprägtes Risikobewusstsein zu entwickeln. Als leuchtende Beispiele nennt er die deutschen Grossfirmen BMW und Henkel, die ihre Mitarbeiter mit eigens dafür kreierten Teams laufend und auf spielerische Weise über die neusten Angriffsszenarien informieren und sie für korrektes Verhalten belohnen. Dabei werde auch auf «gute» Hacker zurückgegriffen: auf Experten, die Angriffe simulieren und den Mitarbeitern praktisch vor Augen führen, wo sich die konkreten Schwachstellen befinden und welche Verhaltensweisen gefährlich sind. Mit sogenannten Management-Hacks bezieht man auch die Geschäftsleitung ein und führt ihr vor, wie leicht auch sie Opfer von Cyberkriminellen werden kann. Diese Übungen seien wirksamer als jedes Online-Training, meint Grunwitz, der bei NTT Security für die Region Emea (Europa, Nahost, Afrika) zuständig ist. Der Einzelne ist mit seinem oft naiven Verhalten und seiner Gutgläubigkeit nicht nur die Ursache des Übels, sondern auch Teil der Lösung. «Die erste Verteidigungslinie ist und bleibt der Mitarbeiter», sagt Grunwitz.

Source : NZZ

Défendre la Suisse dans le cyberespace

Pour qualifier l’état de développement des moyens de cybersécurité en Suisse, les commentaires du type « nous ne sommes nulle part » ne sont pas rares. Reflètent-ils la réalité? Non, mais eu égard à la nature des cyberrisques nous devrions être plus avancés. Comme représenté à la figure 5, les défis du cyberespace ne sont pas nouveaux et leur prise en compte remonte même à l’exercice de conduite stratégique (ECS) de 1997. Cet exercice avait pour thème «Les défis d´origine autre que politico-militaire devant être relevés par la Suisse au seuil du XXIe siècle» et une des huit recommandations traitait en particulier la révolution de l’information. Les autres principaux jalons ont été le passage à l’an 2000, la cyberattaque contre l’Estonie en 2007, l’opération Stuxnet de 2010 contre le programme iranien d’enrichissement d’uranium, les révélations de Snowden en 2013 et la cyberattaque contre RUAG découverte en 2016. Ce n’est donc pas fortuit que la dimension cyber appartienne désormais a tout grand exercice et ce sera à nouveau le cas lors de l’ERNS18 en novembre 2019.

Dans le domaine militaire, de nombreux concepts ont fleuri dès la fin des années ’90 en relation avec la dimension informationnelle : RMA – Revolution in Military Affairs, EBAO – Effect Based Approach to Operation, CCW – Command and Control Warfare, IW – Information Warfare, IO – Information operations, etc. Afin de comprendre la signification des changements apportés par cette dimension, le DDPS a réalisé plusieurs chantiers pour les besoins de la défense. En 2010, le Conseil fédéral l’a également chargé de développer la «Stratégie nationale pour la protection de la suisse contre les cyberrisques» (SNPC) dont la mise en œuvre durant la période de 2012–2017 a été confiée au Département fédéral des finances (DFF). L’armée a alors poursuivi ses travaux et élaboré une propre stratégie de cyberdéfense en 2013.

Dispositif national de cybersécurité

La cyberattaque contre RUAG survenue en 2016 a cependant rapidement exigé un pilotage au niveau stratégique et la crise a été conduite depuis le Secrétariat général qui s’est doté à cet effet d’une unité organisationnelle conduite par l’auteur de ces lignes. Le besoin de disposer d’une stratégie couvrant l’ensemble des offices composant le DDPS s’est alors rapidement imposé et le chef du DDPS a ordonné l’établissement du Plan d’Action Cyberdéfense du DDPS (PACD) qui a été approuvé en 2017, puis déjà révisé à fin 2018, alors que sa prochaine refonte est déjà agendée pour 2020. Parallèlement, en avril 2017, le Conseil fédéral a chargé le DFF de réviser la première SNPC. Il l’a approuvée en avril 2018 et sa mise en œuvre est en cours et s’étalera jusqu’en 2022.

Source et article complet : Military Power Revue

Cartographie des métiers de l’Intelligence économique

L’AEGE a mis à jour la précédente cartographie des métiers de l’Intelligence économique qui datait de 2009. En effet, la révolution numérique a fait émerger un certain nombre d’activités qui rentre dans la discipline « Intelligence économique » (management de la cybersécurité, univers du risques, etc.).

Cartographie-Métiers-Intelligence-Economique

Cette nouvelle cartographie se nourrit à la fois de l’expertise des clubs métiers de l’AEGE ainsi que du retour d’expérience des 1800 anciens étudiants de l’École de Guerre Économique.

Source : Portail de l’IE