Susan Peterson Sturm (siehe ihr LinkedIn-Profil hier) ist eine Führungspersönlichkeit im Bereich Operational Technology mit 20 Jahren Erfahrung in der profitablen Skalierung innovativer softwarebasierter Unternehmen, einschließlich Automatisierung, IIOT und Cybersicherheit. Susan hat eine nachgewiesene Erfolgsbilanz bei der Entwicklung und Strukturierung von profitablen, digitalen, softwarebasierten Unternehmen in der Frühphase mit einem Umsatz von über 150 Millionen Dollar. Sie ist spezialisiert auf Change Management, Produktmanagement, M&A und strategische Allianzen. Susan ist Vice President für Sicherheit bei Cognite in Nord- und Südamerika und ist Vorstandsmitglied bei One Warm Coat.

Interview zur Cybersicherheit 2022

1. Zunächst einmal vielen Dank, dass Sie sich an dieser Kampagne beteiligen. Können Sie uns etwas über Ihren beruflichen Hintergrund und Ihre Interessengebiete erzählen, Susan?

Ich bin seit 20 Jahren eine Führungspersönlichkeit im Bereich der Betriebstechnologie (OT) und habe Erfahrung in der gewinnbringenden Skalierung innovativer softwarebasierter Unternehmen, einschließlich Automatisierung, IIOT und Cybersicherheit. Ich habe in Energie-, Öl- und Gasunternehmen sowie in Unternehmen der Betriebstechnologie gearbeitet.

Ich konzentriere mich oft auf neue Märkte und innovative Technologien, was eine Menge Arbeit in den Bereichen Änderungsmanagement, Produktmanagement, Fusionen und Übernahmen sowie strategische Allianzen beinhaltet. Vor Kurzem bin ich bei Cognite als Vice President für den Bereich Sicherheit in Nord- und Südamerika eingestiegen, wo ich mich darauf freue, der Schwerindustrie im Bereich Sicherheit dabei zu helfen, Daten zu nutzen, um größere Probleme wie Nachhaltigkeit in großem Maßstab zu lösen. Ich bin Vorstandsmitglied einer fantastischen digitalen und virtuellen gemeinnützigen Organisation namens One Warm Coat.


2. Können Sie uns ein Projekt oder eine Inspiration nennen, die Sie zu Ihrem Engagement im Bereich der Cybersicherheit veranlasst hat?

Ich begann vor 15 Jahren im Bereich der OT-Sicherheit zu arbeiten, als die US-Vorschriften für Sicherheitskontrollen in Stromerzeugungs-, Übertragungs- und Verteilungsnetzen noch relativ neu waren. Kurz darauf rüttelte Stuxnet, der bösartige mehrteilige Wurm, der dem iranischen Atomkraftprogramm erheblichen Schaden zufügte, die Betreiber kritischer Infrastrukturen wach. In der darauffolgenden Eile kämpften viele Branchen darum, die Menschen, Prozesse und Technologien programmatisch einzuführen.

Seitdem konzentrieren sich viele Teams für kritische Infrastrukturen nicht mehr nur auf die Einhaltung von Vorschriften, sondern haben begonnen, über Cybersicherheit auf die gleiche Weise nachzudenken wie über Teams für Umwelt, Gesundheit und Sicherheit. Es ist mir ein grosses Anliegen, Wege zu finden, wie wir ganze Organisationen in die Lage versetzen können, ihre Abläufe zu sichern, und nicht nur das Sicherheitsteam oder die IT-Abteilung.


3. Warum ist es für Unternehmen wichtig, ihre Cybersicherheitsmassnahmen eng mit den allgemeinen strategischen Zielen des Unternehmens abzustimmen?

Die Unternehmen wissen, dass es viele Bedrohungen für ihre Organisation gibt. Das Engagement aller Mitarbeiter ist erforderlich, um diesen potenziellen Bedrohungen zu begegnen (in diesem Sinne ist Sicherheit wirklich wie Sicherheit). In Unternehmen mit kritischer Infrastruktur gibt es jeden Tag neue Risiken.

Diese Risiken ergeben sich aus der zunehmenden Einführung von IoT-Geräten, aus statischen Umgebungen, die dynamischer werden, oder sogar aus der Einführung von Low-Code-Anwendungen (und Mitarbeitern, die die Bedeutung des Secure Development Lifecycle für ihre Entwicklung noch nicht verstehen).

Angesichts dieser dynamischen Bedrohungslandschaft ist es von entscheidender Bedeutung, dass die Cybersicherheit eng mit der allgemeinen Geschäftsstrategie des Unternehmens abgestimmt ist.


4. Was sind Ihrer Meinung nach die wichtigsten Faktoren für die künftige Cybersicherheit? Die Raffinesse von Cyberangriffen? Sicherheitsautomatisierung und Intelligenz? Dezentralisierung und Blockchains?

Log4J, eine aus der Ferne ausnutzbare Schwachstelle, hat uns gezeigt, wie wichtig es ist, den Bestand an Anlagen zu kennen. Es reicht nicht mehr aus, eine aktuelle Software Bill of Materials (SBOM) zu führen, um die Gefährdung zu verstehen. Vielmehr müssen wir in der Lage sein, die potenzielle Gefährdung auf der Grundlage der Kritikalität der betroffenen Anlagen und des tatsächlichen Betriebsrisikos zu priorisieren.

Ich denke, wir werden sehen, dass kritische Infrastrukturunternehmen danach streben werden, eine einzige Wahrheitsquelle in nahezu Echtzeit zwischen IT- und Betriebsbeteiligten zu schaffen, um eine bessere Abstimmung und gezielte Interventionen zu ermöglichen. Ich bin wirklich begeistert von dem Potenzial von Industrial Data Operations in der Betriebstechnologie und davon, wie es die Referenzarchitektur in Umgebungen mit vielen Geräteanbietern und Servicegruppen vereinfachen kann.

Die Einführung der Cloud in der OT und die Anpassung von Konzepten wie Infrastructure as a Service und Security Orchestration, Automation and Response (SOAR) können viel dazu beitragen, die in diesen Umgebungen erforderliche Ausfallsicherheit zu gewährleisten.

Das Management des Wandels – die Herausforderungen für Menschen und Prozesse – ist schwieriger als der technologische Teil der Gleichung. Um es ganz direkt zu sagen: Mit dem uns heute zur Verfügung stehenden Tech-Stack ist es unmöglich, dass ein neues Unternehmen, das in diesen Bereich einsteigt, mit den Teamstrukturen und Prozessen organisiert wird, die wir gewohnt sind.

Es ist an der Zeit, darüber nachzudenken, wie wir die OT-Sicherheit in kritischen Infrastrukturen einfacher aufrechterhalten und skalieren können, indem wir uns auf die Nutzererfahrung konzentrieren. Der Mangel an Sicherheitsressourcen ist eine weitere große Herausforderung. Ich bewundere die Arbeit von Institutionen wie der Norwegischen Universität für Wissenschaft und Technologie, die mit ihrem Cyber-Bereich Bildungsprogramme mit praktischer Ausbildung anbieten, und Siemen’s Energy Internships, die uns nicht nur dabei helfen, die Ressourcen in der Branche zu erhöhen, sondern dies auch auf eine Weise zu tun, die Gleichberechtigung und Integration fördert.


6. Sind Ihnen im letzten Jahr bemerkenswerte Beispiele für den digitalen Wandel in der Cybersicherheit begegnet?

Am meisten freue ich mich über die Einführung von mehr Automatisierung in Richtung SOAR. Je mehr wir automatisieren können, desto besser können wir unsere Infrastruktur schützen. Ich begrüsse es, dass einige sehr traditionelle Unternehmen mit überwiegend vor Ort installierten Infrastrukturen die Cloud übernehmen und sich mit Konzepten wie Shared Responsibility und DevSecOps vertraut machen. COVID – und im US-Energiesektor – hat die Alterung der Belegschaft die Einführung der Cloud wirklich beschleunigt.


7. Was hat Ihnen persönlich den Erfolg ermöglicht, den Sie in Ihrer Rolle als Führungskraft im Technologiebereich haben?

Ich denke, Einfühlungsvermögen ist für Führungskräfte in diesem Bereich wichtig. Teams, die die vierte industrielle Revolution oder grosse Cybersicherheitsinitiativen vorantreiben, versuchen nicht nur, neue Konzepte zu erproben, sondern sie auch in ihrem Unternehmen zu verbreiten. Der Versuch, die Bedenken und Herausforderungen anderer Interessengruppen zu verstehen, ist bei jeder grösseren Veränderungs- oder Innovationsinitiative von grundlegender Bedeutung.

Klicken Sie hier, um mehr über den Ansatz des Swiss Cyber Institute zur Verbesserung der digitalen Sicherheit von Gesellschaft und Wirtschaft durch Bildung und wöchentliche Blogbeiträge zu erfahren. Glauben Sie, dass Sie gut in unsere Interviewreihe mit Sicherheitsexperten passen? Nehmen Sie Kontakt mit uns auf, um weitere Informationen zu erhalten.