Millionen Computer weltweit gingen am Freitag offline, nachdem ein fehlerhaftes CrowdStrike-Software-Update Fluggesellschaften, Krankenhäuser, Banken und Rundfunkanstalten beeinträchtigt hatte. Cyber-Experten sagen, dass Kanada im Vergleich zu anderen Ländern bei der Reaktion auf Angriffe unzureichend ist, was darauf hindeutet, dass es anfällig und auf zukünftige Angriffe nicht vorbereitet ist.
„Kanada liegt irgendwo in der Mitte. Ich würde ihm eine sehr schlechte Bewertung geben; Sagen wir drei von zehn“, sagte der Cybersicherheitsexperte Brian O’Higgins am Sonntag in einem Zoom-Interview. „Einige Länder sind etwas besser organisiert.“
„Kanada ist nicht bereit“, sagte ein anderer Cybersicherheitsexperte, Ritesh Kotak, in einem Zoom-Interview. „Es gibt noch viel zu tun.“
Cyber-Sicherheitsexperten sagen, dass Kanada über keinen effizienten Prozess zur Reaktion auf Cyber-Einbrüche oder -Angriffe verfügt. Stattdessen sei Kanada bei der Bewältigung von Cyberproblemen auf mehrere separate Einheiten angewiesen.
„Für all das ist es sinnvoll, einen Cyber-Leiter oder einen einzigen Ansprechpartner zu haben“, sagte O’Higgins. „Im Moment sind es zehn Leute, vielleicht auch mehr, und es gibt jede Menge Fachwissen. Die meisten sind jedoch im Reich der Geheimnisse und verbringen den größten Teil ihres Lebens damit, nicht mit anderen Menschen zu sprechen, und wir brauchen das Gegenteil. Es kommt also auf die Organisation an.“
Cyber-Analysten sagen, dass der IT-Ausfall am Freitag viele Unternehmen und Provinzbehörden dazu veranlasste, selbst Lösungen für den Ausfall zu finden – anstatt eine Regierungsbehörde um Hilfe zu bitten.
O’Higgins und andere verweisen auf Australien als „Goldstandard“, das einen Minister für Cybersicherheit hat, dessen Hauptaufgabe darin besteht, die Hauptverantwortung zu übernehmen, wenn Cyberprobleme wie Stromausfälle das Land treffen.
„Auf der Makroebene brauchen wir eine bessere Koordinierung zwischen allen Regierungsebenen, um sicherzustellen, dass ausreichende Ressourcen vorhanden sind und eine Koordinierung erfolgt, wenn es zu Cyberangriffen oder Ausfällen kommt“, sagte Kotak. „Wir brauchen einen einzigen Ansprechpartner, jemanden, der die Verantwortung trägt, jemanden, der koordiniert, wenn es zu einem Angriff kommt. Ich denke, es wird chaotisch, wenn es sektoral ist, sei es die Industrie, die Verteidigung oder die öffentliche Sicherheit – und sie alle haben ihre eigenen Antworten auf die Cybersicherheit.“
Cybersicherheitsexperten sagen auch, dass Kanada keine starke Strategie wie andere Länder hat, die Finanzmittel und andere Ressourcen für Cybersicherheitsinitiativen bereitstellt, einschließlich der Haftung von Technologieunternehmen für Lücken in ihren Cybersicherheitsinitiativen.
„Wir (Kanada) „Wir haben keine anwendbaren Gesetze.“ Wir haben keinen Rahmen“, sagte Technologieexpertin Carmi Levy am Sonntag in einem Zoom-Interview
„Die Europäische Union hat ein Cyber-Resilienzgesetz, das Unternehmen dafür verantwortlich macht, sicherzustellen, dass sie alles tun, um sich selbst und ihre Stakeholder zu schützen. Und sie haben die in diesen Gesetzen aufgeführten Konsequenzen, wenn Sie sich nicht daran halten“, fügte Levy hinzu.
Auch Cybersicherheitsexperten weisen darauf hin Australiens siebenjährige CybersicherheitsstrategieEnde 2023 veröffentlicht, das bis 2030 Hunderte Millionen Dollar an Finanzmitteln und anderen Ressourcen für den Cybersicherheitssektor bereitstellt.
„Australiens Cybersicherheitsstrategie hat konkrete Termine und Mittel, um sicherzustellen, dass diese Termine eingehalten werden. Sie haben im Vorfeld Prioritäten gesetzt und ihre Gesetze und Initiativen gestärkt.“
„Unterdessen haben wir in Kanada Anfang des Jahres eine nationale Cybersicherheitsstrategie eingeführt, aber diese verfügte über ein sehr geringes Budget, keinen Zeitplan und absolut keine Vorstellung davon, wohin dies die Kanadier führen würde“, sagte Levy.
Cybersicherheitsexperten sagen, dass mehr Gesetze und Mittel erforderlich sind, um Unternehmen zu helfen, die möglicherweise nicht über die Ressourcen verfügen, um auf Cyberangriffe oder Stromausfälle zu reagieren. „Auch diese Zuschüsse und Mittel müssen barrierefrei sein“, sagte Kotak.
„Auf der Mikroebene wünsche ich mir mehr Zuschüsse und mehr Ressourcen für kleine und mittlere Unternehmen, um sie auf das Unvermeidliche vorzubereiten.“
O’Higgins sagt, dass es mehr Vorschriften – und eine Durchsetzung dieser Vorschriften – braucht, damit Kanada zu anderen Ländern aufschließen kann.
Als Reaktion darauf sagte die Canadian Communications Security Agency (CSE): „Die kanadische Regierung führt derzeit eine Aktualisierung ihrer nationalen Cyber-Sicherheitsstrategie durch, die ursprünglich im Jahr 2018 eingeführt wurde.“
Er fügte hinzu: „Bill C-26 (Cybersecurity Act) ist ein wichtiger nächster Schritt, der der Regierung neue Instrumente und Befugnisse gibt, um die Verteidigung zu stärken, die Sicherheit in wichtigen, staatlich regulierten Sektoren zu verbessern und Kanadier und Kanadas kritische Infrastruktur vor Cyberbedrohungen zu schützen.“ Der Gesetzentwurf geht an den Senat und sieht vor, dass Unternehmen in vier kritischen Infrastruktursektoren (Energie, Telekommunikation, Finanzen und Transport) Cyber-Vorfälle an das Cyber-Center melden müssen, und verlangt gleichzeitig mehrere wichtige Schutzmaßnahmen – wie etwa einen Cyber-Sicherheitsplan, Zum Beispiel.”
