Einblicke und Highlights: FAIR Institute Summit Europe 2024
Der FAIR Summit Europe 2024 war eine ereignisreiche eintägige Veranstaltung, die Cyber-Experten, Regulierungsbehörden, Praktiker und Entscheidungsträger aus ganz Europa und den USA zusammenbrachte. Das diesjährige Thema "Managing Cyber Risk Management in the Age of New Incident Disclosure Rules" (Cyber-Risikomanagement im Zeitalter der neuen Regeln zur Offenlegung von Vorfällen) zog sich durch alle Präsentationen und Diskussionsrunden. Es gab auch Präsentationen über die neuen FAIR Arbeitsgruppen und Werkzeuge: FAIR-MAM, FAIR-CAM, FAIR-AIR und FAIR-TAM.
In seiner Begrüßungsrede gab Nick Sanna, Gründer des FAIR-Instituts, die Richtung des Gipfels vor. Er zeichnete ein anschauliches Bild der aktuellen Cyber-Risikolandschaft, in der Angreifer immer profitabler werden, während der finanzielle Aufwand für Sicherheitsmaßnahmen und die Kosten von Sicherheitsverletzungen steigen. "Man kann den Kampf um die Einhaltung von Vorschriften nicht gewinnen, wenn man die wirtschaftlichen Aspekte außer Acht lässt. Nick argumentierte, dass die traditionellen, trägen Compliance-Modelle ineffizient sind und betonte die Dringlichkeit eines Paradigmenwechsels hin zu einem risikobasierten Cyber-Risikomanagement, das mit der schnellen Entscheidungsfindung in Unternehmen Schritt hält. Seine Vision ist eine rigorose Geschäftswissenschaft - ein quantitatives, geschäftsorientiertes Modell, das den Aufsichtsbehörden die Einhaltung der Vorschriften nachweist, Verschwendung reduziert und den Wettbewerbsvorteil erhöht.
Das erste Panel des Tages, moderiert von Anne Leslie von IBM, diskutierte die Bedeutung der NIS2-Richtlinie und des Digital Operational Resilience Act (DORA) der EU. Die Redner gingen auf die Gemeinsamkeiten und Unklarheiten der beiden Rechtsakte ein und konzentrierten sich dabei auf das Risikomanagement, Dritte, die Meldung von Vorfällen und den grenzüberschreitenden Datenverkehr. Damit die neuen Vorschriften zu positiven Veränderungen führen, müssen alle an einem Tisch sitzen. IT-, Rechts- und Geschäftsfunktionen müssen ein gemeinsames Glossar von Begriffen definieren, um ein besseres Verständnis und eine bessere Priorisierung zu erreichen.
GenAI ist eine neue Art von Risiko, mit der die Experten für Cyber-Risiken konfrontiert sind. Gérôme Billois, Partner bei Wavestone, Sabine Marcellin, Anwältin für IT-Recht bei Oxygen+, und Jacqueline Lebo, Risk Advisory Manager im Bereich Security Services bei Safe Security, sprachen über die Herausforderungen und Misserfolge von GenAI, wie z.B. die erweiterte Videoüberwachung bei den Olympischen Spielen in Paris, die Chatbot-Klage von Air Canada und die Misserfolge von RiteAid bei der Gesichtserkennung. GenAI ist eine neue Art von Technologie, die neue Risiken für Unternehmen mit sich bringt. Der Konsens war, dass KI-Richtlinien intern mit allen Beteiligten entwickelt werden müssen, vorzugsweise vor der Einführung von GenAI-Tools.
Führende Experten für die Quantifizierung von Cyber-Risiken von Richemont und Econocom berichteten über den Aufbau und die Entwicklung eines internen quantitativen Cyber-Risikomanagementprogramms und darüber, wie sie die Unterstützung des Vorstands und das Interesse anderer Unternehmen innerhalb der Gruppe gewinnen.
Meena Martin, VP of Cyber Risk and Assurance bei GSK, berichtete, wie GSK ein datengesteuertes, risikobasiertes, flexibles und kontinuierliches Risikomanagementmodell für Dritte entwickelt. Dieses Programm wird von FAIR-TAM unterstützt.
Die Keynote am Nachmittag wurde von Jack Jones, emeritierter Präsident des FAIR-Instituts, gehalten. Jack betonte, dass technische Raffinesse nicht gleichbedeutend mit fachlicher Reife sei. Wenn man nicht in der Lage ist, das Wesentliche zu erkennen und zu priorisieren, wird man nicht in der Lage sein, von einem reaktiven Risikomanagement zu einem wirklich proaktiven Cyber-Risikomanagement überzugehen.
Das CXSO-Panel, moderiert von Thiébaut Meyer, Director, Office of CISO bei Google Cloud, diskutierte die Herausforderungen des Cyber-Risikomanagements im Zusammenhang mit den neuen regulatorischen Offenlegungen. Benoit Fuzeau, CISO bei CASDEN und Präsident von CLUSIF, betonte, dass Schulungen ein wesentliches Element der Compliance sind. Die Diskussionsteilnehmer waren sich einig, dass Compliance nicht mit Sicherheit gleichzusetzen ist.
Rob Moore von Mastercard und David Steng von Fresinus berichteten über ihre Erfahrungen bei der Einführung von FAIR in ihren eigenen Unternehmen. Rob sagte, seiner Erfahrung nach sei "FAIR wie eine Supermacht". David pflichtete ihm bei und sagte, dass die monetären Maßnahmen die Verwaltung des Sicherheitsbudgets und die Kommunikation mit dem Management erleichtern.
Zum Abschluss des Tages moderierte Tom Callaghan, Mitbegründer von C-Risk, eine Podiumsdiskussion mit Frédéric Bouveresse und Francesco Chiarini über MITRE und FAIR-CAM. Eine der Fragen des Panels lautete: "Wie verändert ein regulatorischer Rahmen die Resilienz? Sie wiesen darauf hin, dass ein Rahmen nur ein Ausgangspunkt sei und angepasst werden müsse, um wirksam zu sein. Francesco schloss die Diskussion mit einer zum Nachdenken anregenden Aussage: "Resilienz ist die Wissenschaft der Antizipation.
Der wunderschöne Salon Hoche in Paris bot den Referenten des FAIR Summit Europe den perfekten Rahmen, um neue Erkenntnisse darüber auszutauschen, wie man Cyber-Risiken mit risikobasierten Methoden erfolgreich managen und einen proaktiven Ansatz verfolgen kann, der die sich entwickelnden regulatorischen Anforderungen übertrifft.
Die Präsentationen und Podiumsdiskussionen zeigten aus verschiedenen Perspektiven, wie quantitatives Cyber-Risikomanagement mit FAIR dazu beitragen kann, Compliance-Ziele zu erreichen und die operative Widerstandsfähigkeit zu verbessern. Mit FAIR können Cyber-Risiko-Experten die gleiche Sprache wie Unternehmensleiter und Entscheidungsträger sprechen und Daten als Grundlage für ihre Risikostrategien nutzen.
Es ist spannend zu sehen, wie das quantitative Cyber-Risikomanagement in Europa weiter wächst.