OTTAWA –
Sicherheitsbeamte des Bundes haben Führungskräfte großer Energie- und Versorgungsunternehmen über Cyberbedrohungen informiert, ein Element einer konzertierten Regierungsanstrengung, um auf die ernsthaften Risiken für den Sektor aufmerksam zu machen.
Aus einem neu veröffentlichten Memo von Public Safety Canada geht hervor, dass ein geheimes Treffen im Juni Teil einer Strategie war, um die Führungskräfte des Unternehmens für die Gefahren böswilliger Cyberaktivitäten zu sensibilisieren – und zwar über die technischen Experten hinaus, die bereits über die Risiken Bescheid wissen.
In dem Memo, das The Canadian Press aufgrund des Access to Information Act erhalten hat, heißt es, dass die vertrauliche Diskussion gemeinsam von Public Safety, Natural Resources Canada und dem Communications Security Establishment, Kanadas Cyberspionagebehörde, ausgerichtet wurde.
Das Canadian Centre for Cyber Security des CSE sagte in einer diesjährigen Bewertung, dass finanziell motivierte Cyberkriminalität – insbesondere die Kompromittierung geschäftlicher E-Mails und Ransomware – mit ziemlicher Sicherheit die größte Cyberbedrohung für den kanadischen Öl- und Gassektor sei.
Es hieß auch, dass der Sektor aus kommerziellen oder wirtschaftlichen Gründen wahrscheinlich weiterhin Ziel staatlich geförderter Cyberspionage sein werde.
„Gefährdet sind geschützte Geschäftsgeheimnisse, Forschungsergebnisse sowie Geschäfts- und Produktionspläne.“
In dem im Frühsommer erstellten Memo zur öffentlichen Sicherheit wird darauf hingewiesen, dass der Energiekonzern Nunavut und das in Calgary ansässige Unternehmen Suncor Energy in diesem Jahr Ziel von Cyberangriffen waren.
In dem Memo heißt es, dass Public Safety zusätzliche Ansätze prüft, die eine stärkere Zusammenarbeit mit der Industrie, der Wissenschaft sowie den Provinzen und Territorien umfassen – einschließlich eines Forums zum Informations- und Bedrohungsaustausch.
Die Vision besteht wie beim Briefing im Juni darin, „die Führungskräfte des Unternehmens zu erreichen und nicht nur die technischen Experten, die sich der Risiken bereits bewusst sind“, heißt es in dem Memo weiter.
„Die Zusammenarbeit mit Unternehmensführungskräften ist von entscheidender Bedeutung, um Sicherheit im gesamten Geschäftsökosystem zu verankern und einen gemeinsamen Ansatz zur Stärkung unserer Cyber-Resilienz sicherzustellen.“
An dem Briefing im Juni nahmen auch Branchenverbände, Regulierungsbehörden und andere Regierungsstellen teil. Unter den Teilnehmern war auch der Chief Information Officer von Enbridge, der virtuell teilnahm, teilte das Unternehmen mit.
„Wir verfügen über ein engagiertes Team von Cybersicherheitsexperten und ein robustes Cybersicherheitsprogramm, das eine 24/7-Überwachung gegen Cyberbedrohungen ermöglicht“, sagte Enbridge.
„Um Bedrohungen weiter einzudämmen, arbeiten wir mit Regierungen und Aufsichtsbehörden zusammen und nehmen an externen Veranstaltungen teil, um zu lernen und Informationen darüber auszutauschen, wie wir unsere Verteidigung verbessern können.“
Während in dem Memo ein einziges Briefing erwähnt wird, das am 21. Juni stattfand, sagte CSE-Sprecherin Robyn Hawco, das Cyber Center and Natural Resources habe „gezielte Informationsbriefings zu Bedrohungen für CEOs des Energiesektors in einer Reihe sicherer Einrichtungen im ganzen Land“ organisiert.
„Dadurch konnte das Cyber Center mehr Informationen weitergeben, als wir in einem öffentlichen Bericht veröffentlichen können. Dies zeugt vom Grad des Vertrauens und der Zusammenarbeit, die wir mit unseren Partnern im Energiesektor aufgebaut haben.“
Die Gesetzgebung zur Cybersicherheit, die jetzt dem Parlament vorliegt, würde den Critical Cyber Systems Protection Act einführen und damit einen Regulierungsrahmen zur Stärkung der Sicherheit in staatlich regulierten Sektoren, einschließlich Energie, schaffen.
Die Gesetzgebung werde dazu beitragen, zu verhindern, dass böswillige Cyberaktivitäten Kanadas interprovinzielle und internationale Pipeline- und Stromleitungssysteme untergraben, sagte Public Safety.
Mehrere zivilgesellschaftliche Gruppen haben Änderungen am Cybersicherheitsgesetz gefordert und erklärt, dass dies die Privatsphäre, die Rechenschaftspflicht und die Transparenz der Justiz untergraben würde.
Die Gesetzgebung würde die kanadische Energieregulierungsbehörde ermächtigen, die Einhaltung zu überwachen und Verpflichtungen durchzusetzen.
Die Sitzung im Juni veranlasste den damaligen CEO der Energieregulierungsbehörde, Gitane De Silva, ein Treffen mit dem stellvertretenden Minister für öffentliche Sicherheit und dem Chef des CSE zu beantragen, um weiter zu besprechen, „wie und was die drei Organisationen weiterhin zusammenarbeiten können“. Die Rolle des CER sollte sein.“
De Silva, der inzwischen die Aufsichtsbehörde verlassen hat, lehnte eine Stellungnahme ab.
Amanda Williams, eine Sprecherin der Regulierungsbehörde, sagte, sie habe sich mit den von ihr beaufsichtigten Unternehmen getroffen und „die Erwartungen in Bezug auf Cybersicherheit bestätigt“.
Das Cyber Center des CSE gibt Ratschläge und Anleitungen zu Best Practices für Cybersicherheit sowie Informationen, die Anbietern bei der Risikobewertung helfen.
Hawco sagte, das Zentrum unterhalte außerdem zwei laufende Kooperationen mit Partnern aus dem Energiesektor, die den wechselseitigen Informationsaustausch über Cyberbedrohungen, die den Sektor betreffen, beinhalten – das Blue Flame-Programm mit der Canadian Gas Association und die Lighthouse-Initiative, die von Ontarios Independent Electricity System Operator geleitet wird .
„Im Rahmen dieser Programme teilen teilnehmende Organisationen Netzwerkdaten mit dem Cyber Center und erhalten im Gegenzug maßgeschneiderte Bedrohungsberichte“, sagte sie. „Wir arbeiten mit Branchenverbänden zusammen, um diese Programme zu erweitern und zu verbessern.“
Dieser Bericht von The Canadian Press wurde erstmals am 25. November 2023 veröffentlicht.
:strip_icc()/i.s3.glbimg.com/v1/AUTH_da025474c0c44edd99332dddb09cabe8/internal_photos/bs/2024/7/B/Q3HjoARz6Osn9x4Lx0KA/106625410-pa-brasilia-18-04-2024-manifestacao-dos-tecnicos-da-educacao-das-universidades-federais-pa.jpg?fit=300%2C300&ssl=1)
