BANGKOK. Ein Hacker namens „9Near“ hat kürzlich die Daten einiger thailändischer Bürger durchsickern lassen und damit die für Sicherheitssysteme für persönliche Daten zuständigen Behörden alarmiert.
Die Strafverfolgung allein reicht für Thailand nicht aus, um die grassierenden Cyber Risiken effektiv zu bewältigen. Laut IT-Beamten benötigt das Land auch andere Schlüsselelemente, um die Schlupflöcher zu schließen.
Ein kürzlicher Verstoß, der dazu führte, dass personenbezogene Daten durch den Hacker „9Near“ durchgesickert sind, dient als Weckruf für die Nation, insbesondere für die für Cybersicherheit zuständigen staatlichen Behörden.
Letzte Woche hat ein neues Komitee, das für die Bearbeitung von Technologiebeschwerden im Rahmen des Personal Data Protection Committee (PDPC) zuständig ist, ein dringendes Treffen von Experten für personenbezogene Daten einberufen, um neue Richtlinien für den Umgang mit Datenschutzverletzungen in den staatlichen Behörden festzulegen.
Es wird auch erwartet, dass der Ausschuss prüft, ob alle Maßnahmen der staatlichen Stellen zum Schutz personenbezogener Daten den erforderlichen Standards entsprechen. Die Prüfung beginnt mit staatlichen Stellen, die über Datenbanken mit mehr als 1 Million Personen verfügen.
Thailand hat sowohl das Cybersecurity Act als auch das Personal Data Protection Act (PDPA) erlassen und spezielle Agenturen geschaffen, um kritische Informationsinfrastrukturen zu überwachen und die Privatsphäre der Benutzer zu schützen. Dennoch sagen IT-Firmen, dass die Gesetze und die Vorschriften allein nicht ausreichen.
Datenschutz und Cybersicherheit liegen in der Verantwortung aller.
Zusammenarbeit und gemeinsame Verantwortung aller Beteiligten, Führungsengagement, eine Sicherheitskultur und die Entwicklung sicherheitsorientierter Richtlinien und Fähigkeiten sind für private Organisationen, politische Entscheidungsträger und Bürger von wesentlicher Bedeutung, um Cyberrisiken zu bekämpfen, sagte Prinya Hom-anek, ein Mitglied des Nationalen Ausschusses für Cybersicherheit.
SCHWEIZER KÄSEMODELL
Herr Prinya, der eines der Opfer des Datenlecks ist, sagte, wir sollten keinen bestimmten Interessenvertreter für den Vorfall verantwortlich machen, da Hacker dynamisch und raffiniert seien. Es gibt keine magischen Lösungen, um Cyberbedrohungen vollständig zu verhindern, sagte er.
Cybersicherheit erfordert die Zusammenarbeit aller Parteien, wobei jeder Interessenvertreter die Verantwortung übernimmt, da der Schutz mehrere Anstrengungen erfordert, sagte Herr Prinya.
Er zitierte James Reasons „Schweizer Käsemodell“ des Interventionsversagens. Es ist ein Modell, das in vielen Industriebereichen in der Risikoanalyse und im Management angewendet wird.
Gemäß dem Modell gibt es vier Schlüssel, die negative Vorfälle verursachen, und die Verbesserung eines der vier Schlüssel ermöglicht eine ganzheitlichere Sicht auf die Sicherheit.
Der erste ist der organisatorische Einfluss durch das Management von Ressourcen, Arbeitsumgebung und -prozessen sowie die Kultur innerhalb einer Organisation, der zu Problemen führt.
Das zweite Versehen umfasst unzureichende Überwachung, unangemessene Arbeitsplanung, Versäumnis, bekannte Probleme zu lösen, und Nichteinhaltung.
Zum Beispiel ist Cybersicherheit nicht nur eine IT-Verantwortung, sondern sollte auch eine Anforderung des Top-Managements einer Organisation sein, sagte Herr Prinya.
Der dritte Schlüssel ist eine unsichere Kontextumgebung, z. B. wenn Benutzer keine Sicherheitsschulung haben, Fehler beim Durchsickern von Daten machen und keine Zwei-Faktor Authentifizierung für die Anmeldung verwenden.
Der vierte Schlüssel sind unsichere Handlungen wie Wahrnehmungs-, Entscheidungs- und persönliche Fähigkeiten sowie gewohnheitsmäßige Nichteinhaltung.
DER SCHWÄCHSTE LINK
Er sagte, die Unternehmen müssten das haben, was er „Cyber-Hygiene“ nennt, um ihr Risiko zu messen und zu mindern. Es gibt drei Komponenten für eine Grundlage der Cyber-Hygiene: Menschen, Prozesse und Technologie.
Menschen sind der wichtigste Teil, da sie das schwächste Glied in Sicherheitssystemen sind, da viele Vorfälle auf menschliches Versagen zurückzuführen sind.
Herr Prinya sagte, dass die Menschen ein Sicherheitsbewusstsein brauchen, angefangen beim Top-Management, das sich verpflichtet, in keinem Aspekt Kompromisse einzugehen, von der Budgetierung und Ressourcen bis hin zur Beschaffung von Technologie und Mitarbeiterschulung.
Das PDPA-Gesetz besagt, dass das Top-Management verantwortlich ist, wenn Unternehmen aufgrund mangelnder Cybersicherheit Datenschutzverletzungen erleiden.
Er sagte, private Organisationen wie Banken hätten ein erhöhtes Bewusstsein dafür, wie Cyber-Risiken ihr Geschäft und ihren Ruf beeinträchtigen können.
Die Regierungschefs sollten ihre wichtigsten Aufgaben neu priorisieren und die Budgets für Cybersicherheit verbessern, sagte Herr Prinya. Zum Beispiel sagte er, öffentliche Krankenhäuser seien oft mit Patienten überschwemmt und durch Budgetprobleme eingeschränkt.
Wenn die Leiter der staatlichen Behörden die Cybersicherheit als Schlüsselleistungsindikator einbeziehen, können sie ihr in den Haushalten Priorität einräumen, sagte Herr Prinya.
Die zweite Komponente der Cyber-Hygiene seien Sicherheitsstandards, die dritte die Technologie, sagte er.
Viele Organisationen kaufen Technologie zum Schutz vor Cyber-Risiken, aber proaktive Sicherheitsvorkehrungen erfordern Funktionen zum Identifizieren, Schützen, Erkennen eines Angriffs sowie Reagieren und Wiederherstellen.
„Wenn wir uns nur auf Gesetze und Bestrafung verlassen, während Organisationen und Benutzern das Bewusstsein und die Vorbereitung fehlen, können wir das Problem nicht an der Wurzel lösen“, sagte er.
SICHERHEIT DURCH DESIGN
Rom Hiranpruk, ein Mitglied des Policy Board der National Cyber Security Agency, sagte, Datenschutz könne ohne angemessene Cybersicherheit nicht existieren. Er sagte, aus diesem Grund müssten Beamte des Cybersecurity Act und seine Agentur eng mit dem PDPC zusammenarbeiten.
Herr Rom sagte, dass es im Cybersecurity Act einige Machtgrenzen gibt, da bei seiner Ausarbeitung die öffentliche Angst vor Machtmissbrauch durch die Regierung und dem Abfangen der Daten von Menschen bestand.
Er sagte, das Gesetz habe eine Lücke, die es kleinen privaten Organisationen mit kritischen Missionen, die behaupten, nur wenige personenbezogene Daten zu haben, ermöglichen könnte, sich vom Gesetz abzumelden. Das Gesetz muss für alle gelten, unabhängig von der Unternehmensgröße, wenn es um sensible Daten, das Leben von Menschen und die nationale Sicherheit geht, sagte Herr Rom.
Darüber hinaus werden Regulierungsbehörden nach dem Cybersecurity Act und PDPA neu eingerichtet und haben Budgetbeschränkungen. Er sagte, dass die Agenturen angesichts der Ressourcenbeschränkungen ihr Bestes tun.
„Im Gegensatz zu anderen Regulierungsbehörden des Sektors, die eine lange Geschichte haben, stehen wir noch am Anfang unserer Cybersicherheitsreise. Wir haben im Vergleich zu benachbarten Industrieländern immer noch nicht genügend Cybersicherheitspersonal“, sagte Herr Rom.
Er sagte, Thailand sollte sich glücklich schätzen, da es keine Cyberkriegsführung habe, wie es in anderen Ländern der Fall sei.
Die Nation muss die Praktiken der Cyber-Resilienz und eine vorsichtige Sicherheitsmentalität wie „Security by Design“ fördern, sagte Herr Rom.
Wenn Entwickler beispielsweise Anwendungen entwickeln, die dringend benötigt werden, übersehen sie möglicherweise das Hinzufügen von Sicherheit. Entwickler, die mit einer Security-by-Design Mentalität arbeiten, machen Sicherheit zu einem Schlüsselkriterium bei der Erstellung einer App, abgesehen von der Zuverlässigkeit und der Benutzerfreundlichkeit.
ZERO TRUST ARCHITEKTUR
Ome Sivadith, der nationale Technologiebeauftragte von Microsoft Thailand, sagte, während das Unternehmen die Einzelheiten der Datenschutzverletzung nicht kommentieren werde, stimmte er zu, dass Vorschriften und Richtlinien die Sicherheit allein nicht gewährleisten können.
„Cybersicherheit ist eine Katz-und-Maus Situation, in der sich die Bedrohung ständig weiterentwickelt, und diejenigen, die sich gegen Angriffe verteidigen, müssen sich ebenfalls weiterentwickeln, um einen Schritt voraus zu sein“, sagte Herr Ome.
Organisationen, egal, ob öffentlich oder privat, müssen sich immer der sich entwickelnden digitalen Bedrohungen bewusst sein und ihre eigenen Sicherheitsfähigkeiten neu bewerten, um sich effektiv zu verteidigen, sagte er.
Ein gutes Beispiel ist die „Executive Order on Improving the Nation’s Cybersecurity“ der USA, die die Bundesregierung auffordert, den Zero-Trust-Architektur-Ansatz umzusetzen.
Dies ist ein Sicherheitsmodell, das das implizite Vertrauen in ein Element, einen Knoten oder einen Dienst beseitigt und stattdessen eine kontinuierliche Überprüfung des Betriebsbildes über Echtzeitinformationen aus mehreren Quellen erfordert, um den Zugriff und andere Systemreaktionen zu bestimmen.
Im Wesentlichen ermöglicht eine Zero-Trust-Architektur den Benutzern vollen Zugriff, aber nur auf das absolute Minimum, das sie für ihre Arbeit benötigen.
Da Cybersicherheit ein sich entwickelndes und relevantes Thema ist, ist Microsoft der Ansicht, dass es auf der Tagesordnung jeder Organisation stehen sollte, sagte Herr Ome.
„Jede wirksame Cybersicherheitsmaßnahme muss Menschen, Richtlinien und Technologie umfassen, und wir müssen diese Angelegenheit als die Verantwortung aller betrachten“, sagte er.
Unternehmen werden aufgefordert, einen Zero-Trust-Ansatz zu verfolgen, um Cyberangriffe abzuwehren. Wichan Charoenkiatpakul
RANSOMWARE-BEDROHUNG
Steven Scheurmann, der regionale Vizepräsident bei Palo Alto Networks Inc für ASEAN, zitierte einen Unternehmensbericht, wonach Thailand die meisten Ransomware-Angriffe in Südostasien registrierte, was die entscheidende Bedeutung der Cybersicherheit als Teil der Governance-Agenda demonstriert.
Schlüsselsektoren wie Fertigung, Finanzinstitute, Regierungen und kritische Infrastrukturen bleiben anfällig für Cyberangriffe, die das Leben der Menschen beeinträchtigen können, sagte er.
Investitionen in moderne Cybersicherheitslösungen, der Aufbau einer sicheren Belegschaft und die Förderung öffentlicher Sensibilisierungskampagnen bleiben der Schlüssel, um mit neuen Online-Bedrohungen Schritt zu halten, sagte Herr Scheurmann.
Er sagte, dass staatliche Vorschriften wie PDPA und der Cybersecurity Act nur Leitlinien und grundlegende Leitplanken für die Cybersicherheit bieten.
Mit der Geschwindigkeit, mit der die Technologie voranschreitet, rüstet sie Bedrohungsakteure mit neuen Wegen aus, um in Organisationen und Regierungen einzudringen, sagte Herr Scheurmann. Vorschriften brauchen Zeit, um aktualisiert und kommuniziert zu werden, was manchmal zu Verzögerungen bei der Reaktion auf Angriffe führen kann, wodurch Regierungen und Unternehmen den Verstößen ausgesetzt sind, sagte er.
„Infrastruktur kann überall sein, und alles ist zunehmend miteinander verbunden. Mit der Erweiterung der Angriffsfläche ist es noch wichtiger, Eintrittspunkte für Cyberangriffe zu eliminieren. Man sollte nicht einfach auf IT-Geräte wie Drucker oder von Anbietern bereitgestellte Hardware und Software vertrauen, weil die IT- und Arbeitsplatzinfrastruktur zunehmend mit internetfähigen Apps verbunden ist, die sie zentral steuern und orchestrieren. Der Zugang zum Internet ist ein Risiko für Ihre Organisation“, sagte Herr Scheurmann.
„Zero Trust ist ein strategischer Ansatz für Cybersicherheit, der von den Regierungen übernommen werden muss, um implizites Vertrauen zu beseitigen und jede Phase der digitalen Interaktion kontinuierlich zu validieren. Es ist eine Möglichkeit für staatliche und lokale Regierungen, ihre IT-Umgebungen widerstandsfähiger zu machen“, sagte er weiter.
DIGITALER RISIKOSCHUTZ
Rattipong Putthacharoen, Senior Manager of Systems Engineering bei Fortinet, sagte, die Angreifer würden Sicherheitslücken und Schwachstellen finden, um eine Organisation anzugreifen, indem sie Techniken wie künstliche Intelligenz verwenden, um Angriffe zu Waffen zu machen, und gleichzeitig Angriffs-Toolkits mit Bedrohungsakteuren teilen, um die Angriffe noch fortschrittlicher zu machen.
KI-gestützte Tools wie Endpoint Detection and Response und Network Detection and Response sind erforderlich, um fortgeschrittene Bedrohungen zu analysieren, während alle Sicherheitsereignisse von jedem eingesetzten Sicherheitstool an einem Ort gesammelt, korreliert und analysiert werden müssen, um Ausweichangriffe zu identifizieren, sagte er .
Sobald die Vorfälle identifiziert sind, muss das Security Orchestration, Automation and Response-Tool verwendet werden, um die Bedrohungen schnell zu mindern und einzudämmen sowie sich von den Schäden zu erholen.
Das Digital Risk Protection (DRP)-Tool bietet einen Überblick darüber, was Angreifer sehen, tun und planen, um Unternehmen bei der Abwehr von Angriffen zu unterstützen und das Risiko, den Zeitaufwand und die Kosten für die Abwehr von Bedrohungen in späteren Phasen zu reduzieren, sagte Herr Rattipong. DRP identifiziert Markenidentitäten und überwacht Datenlecks im Zusammenhang mit der Organisation im Darknet.
- Quelle: Bangkok Post