Blog

Jun 16, 2023

Expertentabelle: Cybersicherheit

Der Minneapolis-St. Das Paul Business Journal veranstaltete kürzlich eine Podiumsdiskussion zum Thema Cybersicherheit. Zu den Diskussionsteilnehmern gehörten Emy Johnson, Chief Security Officer bei Allina Health; Wolf Lewis, Regionalvize

Der Minneapolis-St. Das Paul Business Journal veranstaltete kürzlich eine Podiumsdiskussion zum Thema Cybersicherheit. Zu den Diskussionsteilnehmern gehörten Emy Johnson, Chief Security Officer bei Allina Health; Wolf Lewis, regionaler Vizepräsident, Comcast Business Midwest Region; und Angie Propp, VP Cash Management Sales Manager, Highland Bank. Als Moderator fungierte John Ebert, Professor und Programmdirektor für Cybersicherheit an der Saint Mary's University.

John Ebert: Wenn wir an Cybersicherheit oder die Sicherheitslandschaft im Allgemeinen denken, fallen mir drei Dinge ein: Probleme, Trends und Chancen. Angie, was sind einige der häufigsten Formen oder Arten von Betrug, die Sie täglich im Bankensektor beobachten?

Angie Propp: Der häufigste Betrug, den wir derzeit beobachten, besteht darin, dass Schecks manipuliert, beschönigt und/oder in betrügerischer Absicht ausgestellt werden. E-Mail-Betrug nimmt zu; Ganze Briefkästen und Postwagen wurden gestohlen. Eine weitere Art von Betrug, die wir beobachten, ist E-Mail-Betrug. In einem gängigen Schema wird ein Unternehmen in einer eingehenden E-Mail dazu aufgefordert, die Kontonummern und Bankleitzahlen des Zahlungsempfängers zu ändern, damit Kunden dazu verleitet werden, diese Betrüger und nicht ihre tatsächlichen Lieferanten zu bezahlen. Wir haben auch Fälle gesehen, in denen ein Betrüger sich als Eigentümer oder CFO eines Unternehmens ausgibt und eine E-Mail mit einer dringenden Nachricht an die Kreditorenbuchhaltung sendet: „Hey, ich habe vergessen, eine Rechnung zu bezahlen, und sie ist überfällig.“ Können Sie so schnell wie möglich einen Draht herausbekommen?“ Wenn Ihre Mitarbeiter nicht gewissenhaft sind, könnten sie leicht einen Betrüger statt einen seriösen Anbieter bezahlen. Jede dieser Taktiken wird bei Schecktransaktionen sowie bei ACH- und Wires-Transaktionen ausprobiert.

Ebert: Sie haben einiges von der physischen Seite erwähnt, aber es gibt auch die technische oder die Netzwerkseite. Wolf, über welche Schritte könnten Unternehmen nachdenken und/oder sie ergreifen, um andere Systeme zu schützen?

Wolf Lewis: Es gibt ein paar Elemente. Bildung und Bewusstsein stehen für jede Organisation an erster Stelle. Sie müssen in die Sensibilisierung Ihrer Mitarbeiter investieren, damit sie über die potenziellen Bedrohungen informiert sind, die auf sie zukommen könnten, sei es eine E-Mail oder ein Phishing-Angriff oder das Entsperren eines physischen Geräts, während sie weggehen hol dir etwas Wasser. Sicherstellen, dass die Mitarbeiter die entsprechenden Protokolle zum Schutz von Passwörtern anwenden und dass die Passwörter über das richtige Maß an Komplexität verfügen. Es war viel einfacher, die Daten eines Unternehmens zu schützen, als sich alle in einer stationären Einrichtung befanden, und das war auch möglich das alles auf einem Server oder in der Cloud gesperrt. Es kommt auf diesen Bildungsteil zurück und stellt sicher, dass die Leute, wenn sie sich in ihren Heimnetzwerken befinden, verstehen, dass die Daten, die sie verwenden oder mit denen sie interagieren, dennoch geschützt werden müssen.

Emy Johnson: Die Arbeitnehmerschaft ist ständig einer Überflutung mit Informationen ausgesetzt. Eines der Dinge in der Sicherheitswelt ist eine kontinuierliche Weiterbildung in allen Bereichen. Es geht nicht nur darum, eine E-Mail zu verschicken und den Leuten Informationen beizubringen; Es stellt ihre Fähigkeit auf die Probe, die Informationen immer wieder zu behalten. Wenn Sie der Meinung sind, dass Sie zu viele Informationen über allgemeine und berufliche Bildung gesendet haben, senden Sie mehr.

Lewis: Sie werden Ihre Schulung absolvieren und sagen: Achten Sie auf E-Mails, in denen steht, dass es sich um Comcast handelt, aber vielleicht ist da ein anderer Buchstabe drin. Dann wird [unser IT-Team] damit beginnen, diese E-Mails an Benutzer zu senden, um zu sehen, wie sie damit umgehen. Es ist ein kleiner Test. Um sicherzustellen, dass Ihre Informationen geschützt sind, müssen Sie kontinuierlich über eine solche reale Testumgebung verfügen.

Stopper: Einer der Tipps, die ich meinen Kunden empfehle, ist, dass Mitarbeiter, die finanzielle Aufgaben erledigen, einen separaten Computer verwenden sollten, wenn sie andere tägliche Aufgaben erledigen, insbesondere wenn sie Social-Media-Seiten besuchen, da Schadsoftware von dort stammen kann. Mit der Umstellung auf eine Remote-Arbeitsumgebung ist es nicht mehr so ​​einfach, dies zu verhindern, daher sind kontinuierliche Schulungen und Tests sehr wichtig.

Ebert: Ich stimme nur zu, dass der Kreislauf der Bildung niemals aufhören wird. Angie, welche Tipps, Tools oder Ressourcen können die Leute nutzen?

Stopper: Unternehmen sollten auf jeden Fall über Verfahren für jede Art von Transaktionsaktivität im Zusammenhang mit Geldbewegungen verfügen. Wir empfehlen immer die Doppelkontrolle. Wenn Sie Schecks verschicken, lassen Sie die Schecks von jemandem ausstellen und von einer anderen Person unterschreiben. Legen Sie Regeln fest, wenn Sie Lieferanteninformationen für Zahlungen aktualisieren. Halten Sie immer etwas Schriftliches bereit, eine Telefonnummer zum Anrufen und eine andere E-Mail-Adresse, um sicherzustellen, dass Sie tatsächlich mit dem Anbieter und nicht mit irgendeinem Betrüger sprechen. Wenn ein Eigentümer, ein Direktor oder Ihr Chef Sie auffordert, eine Rechnung zu bezahlen, richten Sie ein Verfahren ein. Stellen Sie sicher, dass Sie über ein System zur doppelten Kontrolle verfügen und stellen Sie sicher, dass die Mitarbeiter die von Ihnen eingeführten Verfahren befolgen.

Lewis: Für jeden in einer Organisation wird es schwierig, wenn man eine riesige Liste verschiedener Richtlinien und Dinge hat, die es zu befolgen gilt. Es geht also darum, wie man zu der einen Regel gelangt, die bei der Lösung vieler Probleme hilft. Ein Beispiel hierfür wäre: Klicken Sie nicht auf Links. Gehen Sie direkt zur Quelle. Auch wenn es von Apple stammt, sollten Sie es sich zur Gewohnheit machen, nicht darauf zu klicken und dann direkt zu Ihrem eigenen Konto zu gehen, wo Sie es authentifizieren.

Ebert: Emy, wie haben Sie gesehen, wie sich die Schnittstelle zwischen Cybersicherheit und dieser Welt der physischen Sicherheit im Laufe der Zeit in Ihrer Rolle bei Allina verändert hat?

Johnson : Die Welten prallen im Inneren immer mehr aufeinander. Und je näher sie kommen, desto sicherer ist es tatsächlich, denn wir verfolgen einen vielschichtigen Ansatz. Unsere Teams müssen zusammenarbeiten, wenn wir über die Technologie nachdenken. Es entwickelt sich organisch zu einer größeren und stärkeren Partnerschaft, sowohl im physischen als auch im Cyber-Bereich. Früher konzentrierten sich physische Teams auf ihre Lane und Cyber-Teams auf ihre Lane. Aber jetzt müssen wir aufgrund der Art der Bedrohungen zusammenarbeiten und alles, was geschieht, abmildern. In zehn oder 20 Jahren wird es keinen Unterschied mehr zwischen den beiden geben, sondern nur noch eine vollständige Sicherheitsfunktion.

Ebert: Wolf, wir schauen uns an, wie sich Unternehmen an diese neuen hybriden Arbeitsmodelle angepasst haben. Wie haben sich die Cybersicherheitsanforderungen Ihres Unternehmens entwickelt? Und dann die Rolle, zumindest in Ihrer Organisation, beim Dienstleister? Wie hat sich auch das in dieser Cybersicherheitslandschaft verändert?

Lewis: In der Vergangenheit ging es darum, sicherzustellen, dass unser Netzwerk so robust wie möglich ist, damit die von Comcast betreuten Unternehmen über das Netzwerk die Dinge tun können, die sie tun möchten. Die Frage, wo die physische Netzwerkarbeit endet und wo das Benutzererlebnis beginnt, und wo die Übergaben dazwischen sind und wer dafür verantwortlich ist, verschwimmt ein wenig. Noch komplexer wird es, wenn man dieses Konzept der hybriden Arbeit mit einbezieht. In Heimnetzwerken gibt es weitaus weniger Sicherheitsmaßnahmen und diese Benutzer sind anfälliger für Social-Engineering-Taktiken und Phishing-Versuche. Gleichzeitig stehen die IT-Mitarbeiter von Unternehmen vor neuen Belastungen und Herausforderungen bei der Verwaltung all dieser Geräte, die mit einem Netzwerk verbunden sind und sich nicht in einer stationären Einrichtung befinden. Wenn wir eine Lösung auf den Tisch bringen können, werden wir versuchen, eine Schnittstelle zu den Anforderungen der Unternehmen herzustellen. Es könnte sich um eine DDoS-Abwehr handeln. Es könnte verwaltete Sicherheit sein; Möglicherweise verfügt das IT-Team nicht über die Ressourcen, um sich so um das Netzwerk zu kümmern, wie es nötig wäre. Die Erkennung und Reaktion von Endpunkten ist etwas, mit dem wir uns in den letzten Jahren intensiv beschäftigt haben. Letztendlich denke ich, dass alles auf dem Konzept des Null-Vertrauens basieren wird und sicherstellen wird, dass unsere Kunden so darüber denken und dass wir Lösungen hervorbringen, die ihnen bei der Lösung dieser Probleme helfen.

Ebert: Was sehen Sie heute bei den Cyber-Produkten, die Sie bei Ihren Kunden einsetzen?

Lewis : Nun, es gibt so viele verschiedene Möglichkeiten, das anzugehen. Manche Unternehmen möchten alles intern erledigen, um das Gefühl zu haben, mehr Kontrolle zu haben und auf diese Weise besser geschützt zu sein. Und sie möchten ihre eigenen erweiterten Layer-7-Firewalls haben; Sie haben das Gefühl, ein starkes Team zu haben, das ausreicht, um einige dieser Probleme zu lösen. Und vielleicht besteht unsere Aufgabe an diesem Punkt einfach darin, die richtigen sicheren Netzwerkdienste bereitzustellen. Oder umgekehrt: Vielleicht müssen wir derjenige sein, der diese Lösungen für ein Unternehmen auf den Tisch bringt, das unterfinanziert ist. Das ist rudimentär, aber es ist wie eine Burg und ein Wassergraben. Man sieht die Straße, die in die Burg hineinführt, den Wassergraben rund um die Burg und dann die Burg selbst und die Menschen darin. Als Analogie zu einem Unternehmen könnte der Weg dorthin das Internet sein. Und hier könnte ein Distributed-Denial-of-Service-Angriff Abhilfe schaffen. Gibt es eine Möglichkeit, diese Straße zu schützen? Was ist mit dem Wassergraben? Das könnte Ihre Firewall sein. Das ist der letzte Widerstandspunkt vor dem Betreten der Burg. Wie lösen sie das? Und schließlich: Was machen sie innerhalb der Burgmauer, sollte etwas durchdringen? Das wird Ihr Phishing-Angriff oder Ihr Ransomware-Angriff sein. Sie müssen im Hinblick auf diese drei Dinge unabhängig voneinander darüber nachdenken, um ihnen dabei zu helfen, das Problem auf die am besten geeignete Weise zu lösen.

Stopper: Die andere zu berücksichtigende Perspektive ist, dass viele Unternehmen nach Effizienz und Geschwindigkeit streben. Ihr Schloss ist also möglicherweise gesperrt, muss aber dennoch in der Lage sein, mit der Bank zu kommunizieren, Ferneinzahlungen vorzunehmen und ACHs zu versenden. Wenn es zu gesperrt ist, können Sie das nicht tun. Wenn es nicht ausreichend gesichert ist, öffnen Sie dem Betrug Tür und Tor. Man muss einen Weg finden, es ins Gleichgewicht zu bringen.

Ebert: Emy, wie können diese Teams zusammenarbeiten, nachdem wir nun die stärkere Interaktion an der Schnittstelle von Sicherheit und Cybersicherheit gesehen haben?

Johnson : Ich kann die kontinuierliche Verbindung nicht nur zwischen dem Physischen und dem Cyber, sondern auch mit Kollegen, die ein begründetes Interesse an der Risikominderung haben, nicht genug betonen. Ich denke an meine Partner in der Personalabteilung, in der Lieferkette und im gesamten Unternehmen, die ein persönliches Interesse haben. Ein großer Teil dieser Arbeit besteht darin, eine strategische Roadmap zu erstellen und die umfassendere Strategie zu prüfen, die wir gemeinsam verfolgen. Und wir fanden das unglaublich hilfreich, denn während wir diese Roadmap vorantreiben, bringen wir diese Partner mit und bilden und lehren. Und es ist ein fließendes Gespräch.

Lewis: Ich stimme vollkommen zu. Es ist unglaublich wichtig, eine übergreifende Strategie für den Umgang mit Cybersicherheitsbedrohungen zu haben. Sie müssen darüber nachdenken: Wer hat Zugriff auf welche Dinge, je nachdem, worauf er Zugriff benötigt? Und welche Risiken entstehen dadurch für das Unternehmen?

Johnson: Es ist auch wichtig, flexibel zu sein und bereit zu sein, diesen Plan anzupassen. Möglicherweise müssen Sie aus einem anderen Grund zu einem anderen Zeitpunkt ein anderes Werkzeug herausziehen. Ich denke, dass der Aufbau dieser Partnerschaften innerhalb von Organisationen hilfreich ist. Denn wenn Sie ein separates Werkzeug hervorholen müssen, um etwas zu bekämpfen, dann heißt es nicht: „Moment mal. Das verändert die Strategie völlig!“ Nein, es ändert nichts an der Strategie. Es wird lediglich ein neues Tool verwendet.

Ebert: Angie, da wir über Chancen sprechen, was kann der Bankensektor sonst noch tun, um seine Vermögenswerte in diesem opportunistischen Umfeld zu schützen?

Stopper : Ich würde vorschlagen, dass sie mit ihrer Bank sprechen; Die meisten Banken bieten verschiedene Produkte an, um ihren Kunden bei der Überwachung von Konten auf Betrug zu helfen. Banken verfügen über Produkte namens „Positive Pay“ – eines hilft bei der Überwachung ausgestellter Schecks, während das andere ACH-Belastungen überwacht. Bei Check Positive Pay lädt ein Mitarbeiter Ihre Scheckausstellungsdateien hoch. Sobald die Schecks eingelöst sind, gleicht die Software den Zahlungsempfänger, den Dollarbetrag, das Datum und die Schecknummer ab. Wenn etwas nicht übereinstimmt, erhalten Sie in Ihrer Organisation Mitarbeiter, die benachrichtigt werden und den Artikel zurücksenden können, bevor er überhaupt auf Ihrem Konto eintrifft. Wenn Sie in der ACH-Umgebung ein Geschäftskonto haben, haben Sie 24 Stunden Zeit, um eine nicht autorisierte Abbuchung zurückzuerstatten. Mit ACH Positive Pay können Sie diese Aktivität überwachen. Sie können dafür sorgen, dass die Mitarbeiter Ihrer Organisation sofort eine Benachrichtigung erhalten, sodass innerhalb dieses 24-Stunden-Fensters Maßnahmen ergriffen werden.

Ebert: Wenn wir uns Möglichkeiten und unsere Verbindungen im Sicherheitsbereich oder in der Sicherheitsbranche ansehen, wie knüpfen wir angesichts der Vertraulichkeit von Prozessen innerhalb von Organisationen Verbindungen und Beziehungen?

Johnson: Es ist ein so wichtiger Teil einer erfolgreichen Führungskraft oder eines Teilnehmers in der Branche, über eine große Anzahl an Verbindungen zu verfügen. Networking und Dialog waren vor der Pandemie definitiv häufiger anzutreffen. Es kam irgendwie zum Stillstand. Wir haben es als unerlässlich empfunden, diese Beziehungen zu entfachen und sie persönlich und nicht virtuell zu pflegen. Ich bin der festen Überzeugung, dass Beziehungen auf lokaler, Landes- und Bundesebene von entscheidender Bedeutung sind. Damit die Arbeit der öffentlich-privaten Partnerschaft nie endet. Und ich denke, am Ende des Tages gilt: Sobald Sie einen Platz am Tisch bekommen, behalten Sie ihn. Wenn Sie jemanden kennengelernt haben, halten Sie an dieser Partnerschaft fest, denn Sie werden sie aus vielen, vielen Gründen nutzen. Außerdem bin ich ständig auf der Suche nach großartigen Talenten, und auch dabei hilft mir mein großes Netzwerk.

Stopper : Wenn Sie an Konferenzen teilnehmen, Kontakte knüpfen und Ihren Kollegen zuhören, können Sie Ihr eigenes Unternehmen vor unbekannten Risiken, potenziellen Verbindlichkeiten und möglichen Schwächen schützen. Sie hören, was in anderen Unternehmen passiert ist, und stellen möglicherweise fest, dass wir dort möglicherweise auch eine Schwachstelle haben. Es ist also immer gut, sich zu vernetzen und bei Bedarf Verbindungen in der Hosentasche zu haben.

Ebert: Welchen Rat würden Sie jemandem empfehlen, der in die Branche einsteigen möchte?

Johnson : Es ist ein Wort, und das ist „Ja“. In der Welt, in der es nur um das Wort „Sicherheit“ geht, haben die Menschen ihre eigene Vorstellung davon, was Sicherheit bedeuten kann und was nicht. Indem Sie „Ja“ sagen, öffnen Sie die Augen für Möglichkeiten und Diskussionen, an denen Sie normalerweise nicht beteiligt sind. Sag einfach ja.

Stopper: Finden Sie einen Mentor oder Orte für Informationsgespräche, gehen Sie raus und sprechen Sie mit Menschen. Suchen Sie nach einem Mentor, der ähnliche Leidenschaften teilt und Ihnen immer dabei hilft, voranzukommen.

Lewis : Leider ist es ein wachsendes Feld. Es gibt also viele Möglichkeiten. Darin stecken eine Reihe von Disziplinen. Machen Sie sich also bekannt und informieren Sie sich darüber, in welchem ​​Teil der Disziplin Sie Experte werden möchten.

Ebert: Wenn Sie Führungskräften in Organisationen etwas empfehlen könnten, was sie tun sollten, um ihre Organisationen auf Cybersicherheit oder allgemeine Sicherheitsanforderungen vorzubereiten, was wäre das?

Lewis: Seien Sie gebildet, haben Sie einen Plan. Los geht's.

Stopper: Training, Training und Training. Die Technologie entwickelt sich ständig weiter, ebenso wie die Art und Weise, wie Ihr Vermögen zusammengestellt werden kann. Fördern Sie daher weiterhin Schulungen darüber, wie Betrüger Konten kompromittieren können und was Sie tun können, um dies zu erkennen und Ihr Vermögen zu schützen.

Johnson: Das muss keine Perfektion sein. Du musst einfach etwas tun. Die Leute denken, dass es perfekt sei, [aber] so etwas wie Perfektion gibt es in diesem Werk nicht.

Moderator und Diskussionsteilnehmer

John Ebert, Moderator, Professor und Programmdirektor für Cybersicherheit, Saint Mary's University of Minnesota: John Ebert ist Hauptprofessor und Direktor des MS in Cybersecurity-Programms, der Cybersecurity Management- und Technology Certificate-Programme sowie des Data Intelligence- und GeoAnalytics-Programms an der Saint Mary's University of Minnesota. Er ist seit 2002 bei Saint Mary's. Neben der Leitung mehrerer Programme übernimmt Ebert auch eine Vollzeit-Lehrtätigkeit und betreut bei Bedarf auch andere Programme, darunter das Marketing-Bachelor-Programm und das Business Intelligence- und Datenanalyse-Graduiertenprogramm. Ebert interessiert sich leidenschaftlich für den Einsatz von Technologie und die damit verbundenen Auswirkungen der Cybersicherheit in verschiedenen Branchen und arbeitet gerne mit Doktoranden an ihren Forschungsprojekten. Er hat Stipendien geschrieben und mit der Mayo Clinic bei einer Reihe von Forschungsinitiativen zusammengearbeitet. Außerdem hat er Forschungsergebnisse in der Google-Zentrale, im Minnesota GIS/LIS Consortium, im Bundesstaat Minnesota, im Upper Midwest GEOCON und beim Business Intelligence Summit der Saint Mary's University of Minnesota präsentiert.

Wolf Lewis, regionaler Vizepräsident von Comcast Business: Wolf Lewis ist regionaler Vizepräsident von Comcast Business in der Region Mittlerer Westen. Er ist verantwortlich für Vertrieb, Marketing, Betrieb und strategische Ausrichtung des Comcast Business-Teams. Bereitstellung von Konnektivität, Sprache, verwalteten Diensten und sicheren Netzwerklösungen für KMU, mittelständische Unternehmen und Unternehmenskunden in sieben Bundesstaaten im Mittleren Westen. Wolf kam 2012 in Colorado zu Comcast und war zuvor Senior Director der Beltway-Region, wo er für 13 Teams in drei Bundesstaaten und Washington DC verantwortlich war. Wolf ist ein erfahrener Unternehmensführer mit Erfahrung in der Leitung von Unternehmensverkaufsteams in verschiedenen Märkten im ganzen Land. Bevor er zu Comcast kam, hatte Wolf Führungspositionen beim Guitar Center inne und besaß eine Musikproduktionsfirma im Südosten, wo er auch als Tourmusiker auftrat.

Angie Propp AAP, Vizepräsidentin, Vertriebsleiterin Cash Management, Highland Bank: Als Vizepräsidentin, Vertriebsleiterin Cash Management, betreut Angie Propp gewerbliche Kunden bei Highland Bank, indem sie über 20 Jahre Bankerfahrung in verschiedenen Rollen einbringt, von der Kreditvergabe bis zur Verwaltung des Cashflows. Bei Angie dreht sich alles um Menschen. Schon in den frühen Stadien ihrer Karriere im Bankwesen hat ihr Eifer, Menschen zu treffen und sich mit „Denkern“ zu umgeben, zu einem Erfahrungsfundament geführt, das sich gut auf die beratende Rolle im Cash Management übertragen lässt. Das digitale Banking verändert die Branche weiterhin, weshalb Angies Fachwissen und Tools für Geschäftsbeziehungen besonders wichtig sind. Angie hat einen BSA in Marketing von der University of North Dakota. Sie investiert auch in ihre eigene Weiterbildung, indem sie die Auszeichnung „Accredited ACH Professional“ (AAP) beibehält, eine Zertifizierung, die Personen mit umfassenden Kenntnissen von ACH und Zahlungssystemen verliehen wird.

Emy Johnson, Chief Security Officer, Allina Health: Emy Johnson, BS, MA, ist Vizepräsidentin und Chief Security Officer bei Allina Health in Minneapolis, Minnesota. Der Umfang und die Dienstleistungen ihres über 300-köpfigen Teams umfassen Untersuchungen, Bedrohungsmanagement, Betrieb, Risikominderung, technologische Integration, Notfallmanagement, Krisenmanagement und physische Sicherheit. Bevor er 2018 zu Allina Health kam, war Johnson Direktor für Diebstahl- und Betrugsschutz bei Target Corporation. Im Laufe ihrer 29-jährigen Karriere bei Target leitete sie Teams in verschiedenen Funktionen, darunter Unternehmensverantwortung, Vermögensschutz, Diebstahl und Betrug im Gesundheitswesen, Marktuntersuchung, Kommunikation und Community Relations. Sie hat zahlreiche herausragende Auszeichnungen erhalten, darunter den Top 10 Global Women in Leadership Forum Connector Award, den Women in Business Award, den Women's Health Leadership TRUST Award und den SIA Women in Security Forum Power 100.