Ich bin schon fast mein ganzes Erwachsenenleben lang IT- und Sicherheitsexperte.
Ich habe meine Karriere als Netzwerktechniker begonnen und bin dann ziemlich schnell zum Sicherheitsingenieur geworden.
Es begann mit einer Firewall-Zertifizierung, dann fügte ich Intrusion Detection und Prevention hinzu.
Die Bereiche der Sicherheit wuchsen weiter; es kamen forensische Untersuchungen, eDiscovery, Projektberatung und vieles mehr hinzu.
Bei der Projektberatung konzentrierten wir uns darauf, sicherzustellen, dass das Risikoniveau eines Projekts innerhalb eines für das Unternehmen akzeptablen Rahmens liegt.
In meinen letzten drei Funktionen war ich an der Spitze der Cybersicherheitsorganisation, aber ich wollte schon immer Pilot werden.
Im Jahr 2018 wurde ich zum zertifizierten Piloten und 2019 zum Ausbilder für Fortgeschrittene und Instrumentenflug.
Vor kurzem habe ich einen formellen Grundschulkurs für etwa 15 Schüler mit unterschiedlichem Kenntnisstand, Alter und Zielen für ihre Pilotenkarriere abgeschlossen.
Einer meiner jüngsten Schüler ist etwa so alt wie ich selbst, träumt schon sein ganzes Leben lang vom Fliegen und möchte es einfach nur zum Spaß tun, während ein anderer Schüler 16 Jahre alt ist und für die Fluggesellschaften fliegen möchte und ein weiterer junger Schüler den Wunsch hat, Pilot bei der United States Air Force zu werden.
Auch wenn es für jeden dieser Schüler unterschiedliche Beweggründe und Investitionsniveaus gibt, so gibt es doch einige wichtige Grundlagen des Berufs, die sie verstehen und sich zu eigen machen müssen.
Während ich diesen Artikel schreibe, werfe ich einen Blick auf mein Bücherregal, das voll ist mit Schulungsmaterial für die Luftfahrt, technischen Büchern und Sicherheitsbüchern.
Wenn Sie die Federal Aviation Regulations (FAR) und das Airmen Information Manual (AIM) zur Hand nehmen, werden Sie feststellen, dass es auf 540 Seiten die Regeln und Vorschriften des Titels 14 Code of Federal Regulations enthält, der Piloten, Flugzeuge, das Fliegen und damit zusammenhängende Dinge regelt.
Die Version des Buches, die ich besitze, wurde für Piloten geschrieben und enthält daher keine der unzähligen Regeln und Vorschriften, die für die Luftfahrtindustrie als Ganzes gelten. „Die Luftfahrt an sich ist nicht von Natur aus gefährlich. Aber in noch höherem Maße als die See ist sie furchtbar nachtragend gegenüber jeglicher Unachtsamkeit, Unfähigkeit oder Nachlässigkeit.“ – Kapitän A. G. Lamplugh, British Aviation Insurance Group, London.
1930’s Wenn ich zurückdenke an meinen ersten Tag in der Bodenschulung, an dem ich die Geschichte der Luftfahrt und der Federal Aviation Administration (FAA) unterrichtete, und an die Geschichte der Luftfahrt im Allgemeinen, die 117 Jahre zurückreicht, gab es keine dieser Vorschriften oder Regeln.
Im Laufe der Zeit, als die Luftfahrtindustrie wuchs und Piloten, Passagiere und Zivilisten ihr Leben verloren, wurden diese Gesetze, leider mit Blut geschrieben, geschaffen, um den weiteren Verlust von Menschenleben zu verhindern.
Und wenn ich an die aktuellen Sicherheitsvorschriften und -anforderungen in der Cyberwelt denke, wie z.B. HIPAA, SOX oder in jüngster Zeit in Bezug auf den Datenschutz mit GDPR, CCPA und anderen Datenschutzvorschriften, dann sind auch diese mit Leben geschrieben.
Auch wenn diese Gesetze nicht geschrieben wurden, weil jemand sein Leben verloren hat, so haben doch einige ihren Lebensunterhalt, ihre Identität oder ihre Ersparnisse verloren.
Die meisten Vorschriften in den FARs sind präskriptiv, das heißt, Sie müssen Folgendes tun.
In der Cybersicherheit gibt es einige Regeln und Richtlinien, die strikt befolgt werden müssen.
Die meisten anderen Bereiche sind eher suggestiv und offen für Interpretationen, wie z.B. die Fragen „Sollte ich?“ oder „Was kann ich tun, um die Wahrscheinlichkeit zu verringern, dass das passiert?“.
Hier kommen Risikomanagement und Ermessensspielraum ins Spiel.
Fliegen ist eine sehr lohnende Tätigkeit, und es gibt Maßnahmen, um das Risiko zu verringern.
Wenn ich unterrichte, bringe ich die Studenten gerne dazu, darüber nachzudenken, welche Risikomanagementtechniken sie anwenden würden, um ein positives Ergebnis zu erzielen, falls etwas nicht wie geplant verläuft.
Das Gleiche gilt für Cyber: Welche Schritte werden Sie unternehmen, um den Erfolg eines Projekts zu gewährleisten und die Wahrscheinlichkeit, dass etwas schief geht, zu verringern, und wie werden Sie diese Risiken angehen, falls es doch schief geht, damit Sie die Auswirkungen der Sache, die schief gegangen ist, minimieren können.
(Risikomanagement und Reaktion auf Zwischenfälle).
Ich beabsichtige, eine kurze Artikelserie zu veröffentlichen, in der ich das Risikomanagement in der Luftfahrt mit dem Risikomanagement in der Cybersicherheit vergleiche und gegenüberstelle.
Ich würde gerne mit anderen Cybersicherheitsexperten, die ebenfalls Piloten sind, über die Gemeinsamkeiten und Unterschiede in zukünftigen Artikeln zusammenarbeiten.
Im nächsten Artikel werde ich auf Checklisten eingehen, was sie sind und was nicht, und wie man sie in einem risikobasierten Ansatz verwendet.
Als nächstes werde ich mich mit den Unterschieden in der Ausbildung und der Mentalität zwischen der Luftfahrt und dem Cyberspace beschäftigen.
Danach werde ich auf das Bohren von Prozeduren eingehen und darauf, wie Sie den Umgang mit Problemen üben, z.B. bei Triebwerksausfällen, und wie Sie Ihre Cybersicherheitsprozesse und -prozeduren regelmäßig testen sollten, z.B. Backups, Patches, Reaktion auf Vorfälle usw.