Die Bedeutung von R-Score als öffentlich-private Bildungsinitiative

HYCU hat zusammen mit wichtigen Partnern aus der Sicherheitsbranche, Lösungspartnern und der Wissenschaft R-Score eingeführt.

R-Score ist das erste Bewertungstool seiner Art, das die Bereitschaft eines Unternehmens zur Wiederherstellung von Ransomware bewertet, ähnlich wie Fair and Isaac vor mehr als dreißig Jahren das FICO-Scoring-System einführte. Wir sprachen mit Kevin Powers, JD, dem Gründer und Direktor der Cybersecurity Graduate Programs am Boston College und einem Cybersecurity Research Affiliate an der MIT Sloan School of Management (CAMS), um mehr darüber zu erfahren, warum es so wichtig ist, im Falle eines Ransomware-Angriffs optimal vorbereitet zu sein.

Q: Warum ist R-Score eine interessante Initiative?

KP: Was mein Interesse am Anfang wirklich geweckt hat, war die Möglichkeit einer echten Zusammenarbeit zwischen der Privatwirtschaft, der Regierung und der akademischen Welt bei der Entwicklung einer kostenlosen, öffentlichen Ressource, die sich mit den heutigen Cyberbedrohungen, insbesondere Ransomware, befasst.

Am Boston College haben wir im Rahmen unserer Graduiertenprogramme für Cybersicherheit und nationale Sicherheit sowie meiner Arbeit am MIT als Forschungspartner mit der Regierung, der Privatwirtschaft und Akademikern zusammengearbeitet, um Ideen zu entwickeln, wie wir alle Beteiligten zusammenbringen können, um diese Cyber-Bedrohungen zu bekämpfen und Unternehmen dabei zu helfen, ihre Geschäftsabläufe und Daten zu schützen.

Und genau das haben wir mit R-Score getan. Ähnlich wie bei der Boston Conference on Cybersecurity, einer Veranstaltung, die wir gemeinsam mit dem FBI am Boston College veranstalten und bei der wir Führungskräfte aus allen Branchen und Regierungssektoren zusammenbringen, um von führenden Experten und Praktikern im Bereich der Cybersicherheit zu hören, wie man am besten mit den aktuellen Problemen umgeht.

Sie haben eine Reihe von Initiativen gesehen, die von verschiedenen Gruppen und Branchen ausgehen. Kürzlich hat Präsident Biden ein Gipfeltreffen mit führenden Vertretern des privaten Sektors und des Bildungswesens einberufen, um die Bemühungen der gesamten Nation zu erörtern, die notwendig sind, um die zunehmenden Bedrohungen der Cybersicherheit, einschließlich der Ransomware-Bedrohungen, zu bekämpfen. Um diese Bedrohungen zu bekämpfen, müssen wir zusammenarbeiten. Ich bin ganz Ihrer Meinung: Wir brauchen einen Ansatz, bei dem alle an einem Strang ziehen. Das ist es, was mich an R-Score so begeistert hat, und deshalb bin ich so froh, an dieser Initiative beteiligt zu sein.

Q: Wo sehen Sie einige der kurzfristigen Anwendungsfälle oder Einsatzmöglichkeiten für R-Score?

KP: Ich denke, für private und staatliche Organisationen - auf lokaler, bundesstaatlicher und föderaler Ebene - ist R-Score von Anfang an geeignet, R-Score ist ein benutzerfreundliches Tool, das Ihnen ein übersichtliches Dashboard bietet, das die wichtigsten Fragen für jede Organisation im Zusammenhang mit Ransomware beantwortet - "Wo stehe ich jetzt? Wenn ich heute von Ransomware getroffen werde, wie schnell kann ich mich erholen und wieder einsatzbereit sein?" Allein mit dieser Information sind die meisten Unternehmen der Zeit voraus. Aus der Perspektive der Anwendungsfälle ist dies eine sehr nützliche Funktion. Wenn ich zum Beispiel im Vorstand eines Unternehmens sitze oder ein leitender Angestellter bin, kann ich mir die Daten ansehen und sagen: "Auf der Grundlage unseres R-Scores müssen wir dieses Problem jetzt angehen." Oder: "Es sieht so aus, als ob es uns gut geht, aber wir müssen unsere Fähigkeit verbessern, uns gegen einen Angriff zu verteidigen und ihn abzuschwächen, und so können wir das tun", basierend auf den Erkenntnissen, die R-Score liefert.

Q: Wir wissen, dass Sie viel in der Branche und auch mit privaten Unternehmen arbeiten. Wo sehen Sie die Diskussion auf Vorstandsebene zum jetzigen Zeitpunkt?

KP: Das Thema wird immer mehr zu einer Diskussion auf Vorstandsebene, und das schon seit einer Weile. Als wir unser Programm am Boston College ins Leben riefen (und das ist auch heute noch so), bestand die Idee darin, die Kommunikationslücke zwischen der IT-Abteilung und den Führungskräften der oberen Ebene und dem Vorstand zu schließen. Da gibt es immer noch eine Kluft. Die CISOs haben ihre Aufgabe. Sie machen ihre Arbeit übrigens sehr gut, aber es liegt immer noch an der Kommunikation. Manchmal wissen die CISOs nicht, was sie dem Vorstand präsentieren sollen, oder sie wissen es, aber sie tun es nicht so, dass es leicht verdaulich ist. Dann sagen Vorstandsmitglieder und leitende Angestellte: "Hey, ich verstehe die Bedrohung durch die Cybersicherheit", aber es wird dann als ein IT-Problem betrachtet. Ich sage das jetzt schon eine ganze Weile: "Cybersicherheit ist kein technisches Problem. Es ist eigentlich ein geschäftliches Problem, ein Problem des Risikomanagements in Unternehmen, das von oben nach unten und nicht von unten nach oben gesteuert werden muss." Wir müssen wirklich einen besseren Weg finden, um auf beiden Ebenen zu kommunizieren, von der IT-Abteilung über die leitenden Angestellten bis hin zum Vorstand und im gesamten Unternehmen.

Ob Sie nun in der C-Suite oder im Vorstand sitzen oder eine Geschäfts- oder IT-Einheit leiten, ich denke, R-Score bietet Ihnen eine leicht verdauliche, nicht-technische Dashboard-Ansicht Ihres aktuellen Status in Bezug auf den Schutz Ihrer Geschäftsabläufe und sensiblen Daten vor einem Ransomware-Angriff. Sobald Sie Ihr Ergebnis sehen, können Sie die notwendigen Maßnahmen ergreifen, um Ihre Cybersicherheit zu verbessern.

Q: Wo können Leser mehr darüber erfahren, worauf Sie sich konzentrieren und welche Veranstaltungen Sie in den kommenden Monaten durchführen werden?

KP: Nun, wir beginnen das akademische Jahr mit dem ersten unserer "Cyber & National Security Webinars" am Boston College am 16. September. Das Webinar hat das Thema "Cybersecurity Risk Management": Ransomware Planning, Response, Mitigation, and Recovery" und unsere Diskussionsteilnehmer sind: Supervisory Special Agent Doug Domin, Criminal Cyber Squad beim FBI - Boston Division, und Simon Taylor, CEO und Gründer von HYCU, Inc. Ransomware wird zweifelsohne ein zentrales Thema der Diskussion sein. Weitere Informationen finden Sie auf unserer Webseite unter: www.bc.edu/mscybersecurity

Außerdem gibt es viele Gespräche und Interesse an Cloud-Sicherheit und wir konzentrieren uns im Unterricht und in unserer Webinar-Reihe darauf. Die Leute denken: "Oh, ich verlagere alles in die Cloud, und alles ist gut. Wir reduzieren das Risiko. Wir reduzieren die Kosten." Nun, Sie reduzieren zwar beides, aber die Haftung bleibt bestehen, und es gibt eine Menge zu beachten, wenn Sie von einem Netzwerk in die Cloud wechseln. Es gibt eine Reihe von Dingen zu bedenken - Wie konfigurieren Sie es? Wie verwalten Sie es? Wer speichert die Daten für Sie? Was sind die vertraglichen Auswirkungen? Und dann kommt es darauf an, dass die Leute denken: "Hey, es ist ja in der Cloud. Wir sind doch alle abgesichert, oder?" Das ist in der Regel nicht der Fall.

Schauen Sie sich die Ratschläge und Anleitungen der Bundesbehörden an, ob FBI, CISA, FTC und andere, und sie beginnen mit "Sichern Sie Ihre Daten". Ich erinnere mich an unsere erste Bostoner Konferenz für Cybersicherheit im Jahr 2017, bei der FBI-Direktor Comey als Hauptredner auftrat. Einer seiner wichtigsten Ratschläge an die Teilnehmer war "Sichern Sie Ihre Daten". Zweifellos ist die Sicherung Ihrer Daten ein wichtiger Teil des Puzzles.

Am 24. September werde ich außerdem zusammen mit Simon Taylor einen Vortrag an der MIT Sloan School of Management halten. Dabei handelt es sich um eine virtuelle Veranstaltung, bei der wir über Strategien zur Wiederherstellung von Ransomware sprechen werden.

Und natürlich liegt es noch ein wenig in der Zukunft, aber wir planen bereits die 6. jährliche Boston Conference on Cyber Security (BCCS 2022), die für den 2. März geplant ist und wieder "persönlich" bei BC stattfinden wird.

Um mehr über R-Score und die Beteiligung von Professor Kevin Powers zu erfahren, können Sie sich sein jüngstes Gespräch mit Boston College News unter "GetRScore hilft Unternehmen bei der Einschätzung ihrer Fähigkeit, sich von einem Ransomware-Angriff zu erholen." Um den R-Score zu machen und herauszufinden, ob Sie bereit sind, sich von einem Ransomware-Angriff zu erholen, besuchen Sie www.getrscore.org.