Cyber Security: Empfehlungen an den Bundesrat

Der Bundesrat hat die vom Beirat Zukunft Finanzplatz erarbeiteten Empfehlungen zum Schutz vor Cyber-Risiken zur Kenntnis genommen. Die Banken begrüssen die vorgeschlagenen Massnahmen.

Ein Schwerpunktthema des Beirats bildet Cyber Security. Das Thema gehört zu den wichtigsten Herausforderungen des Schweizer Finanzsektors, wie im Jahresbericht des Beirats zu lesen ist. Im Januar 2018 hat der Bundesrat die vom Beirat mit dem Fokus „Digital Finance“ erarbeiteten Empfehlungen zum Schutz vor Cyber-Risiken zur Kenntnis genommen. Der Beirat hat drei Empfehlungen zu Cyber Security an den Bundesrat gerichtet:

  • sicherzustellen, dass das MELANI-Serviceangebot im Bereich Cyber-Prävention und -Response von der gesamten Finanzindustrie genutzt werden kann, nicht nur wie bisher von den grösseren Banken und wenigen Versicherern
  • ein Fachgremium zur institutionalisierten Zusammenarbeit zwischen den Fachleuten der Finanzindustrie und den Behörden zu Fragen der Cyber-Sicherheit einzusetzen
  • mit diesem neuen Fachgremium die Grundlagen für eine finanzsektorspezifische Cyber-Sicherheits-Krisenorganisation zu erarbeiten

Die Banken beschäftigen sich – auch im Rahmen des Expertengremiums Information Security & Cyber Defence der Schweizerischen Bankiervereinigung (SBVg) – intensiv mit diesen Fragen und hatten verschiedentlich Gelegenheit, an Vorarbeiten mitzuwirken. Die Banken sowie die SBVg unterstützen daher die Empfehlungen des Beirats. Gravierende Cyber-Vorfälle schaden nicht nur den betroffenen Instituten, sondern zugleich der Reputation des Finanzplatzes insgesamt, wie der Beirat in seinem Jahresbericht festhält und auch Bundesrat Guy Parmelin kürzlich in einem Vortrag ausgeführt hat. Es ist deshalb nur folgerichtig, dass öffentliche Hand und Privatwirtschaft eng zusammenarbeiten.

Source : Swissbanking

Bundesrat verstärkt Anstrengungen im Bereich Cyber-Sicherheit

Der Bund intensiviert seine Anstrengungen bei der Prävention und der Bekämpfung von Cyber-Risiken. Im Hinblick auf den Aufbau eines entsprechenden Kompetenzzentrums hat der Bundesrat an seiner Sitzung erste Grundsatzentscheide gefällt und verschiedene Aufträge erteilt. Definitiv entscheiden wird er Ende 2018.

Gemäss den Vorentscheiden des Bundesrates soll das Kompetenzzentrum im Eidgenössischen Finanzdepartement (EFD) angesiedelt werden. Im Kampf gegen Cyber-Risiken wird dieses die Koordination der Aufgaben in der Bundesverwaltung übernehmen, die Prävention fördern und als zentrale Ansprechstelle für die Anliegen der Wirtschaft und der Kantone dienen. Weiter soll die Zusammenarbeit mit der Wissenschaft und Forschung intensiviert werden. Dem Kompetenzzentrum vorstehen soll ein hochrangig angesiedelter „Mr./Mrs. Cyber“. Zudem soll ein neuer Bundesratsausschuss geschaffen werden, welcher sich Fragen der Cyber-Sicherheit annehmen wird. Ihm werden die Vorsteher bzw. die Vorsteherin des EFD, des VBS und des EJPD angehören.

Das EFD ist vom Bundesrat beauftragt worden, unter Einbezug der Departemente verschiedene offene Fragen, unter anderem bezüglich Schnittstellen, Abgrenzungen und Zuständigkeiten zwischen den Bereichen Cyber-Sicherheit, -Strafverfolgung und –Defense, zu klären. Es wird dem Bundesrat die Resultate dieser Abklärungen Ende Jahr zum Entscheid unterbreiten.

Der Bundesrat strebt ein hohes Niveau an Cyber-Sicherheit an, um so das Vertrauen der Bevölkerung in die digitalen Errungenschaften zu gewährleisten. Mit der Schaffung des Kompetenzzentrums kommt er unter anderem Forderungen des Parlaments entgegen, das in verschiedenen Vorstössen den Ausbau der Cyber-Kompetenzen und die Schaffung einer klaren Struktur verlangte.

Source : Bund

La cybersécurité doit créer un cluster romand

La présence de trois acteurs forts dans le domaine de la cybersécurité dans un rayon de seulement 100 km, sans structure dédiée forte, est un signe fort à lui seul. ELCA, Kudelski et WISeKey montrent que la Suisse romande a une carte à jouer à l’échelle mondiale dans ce domaine-là.

Il s’y ajoute une forte présence des Hautes écoles, non seulement de l’EPFL, mais aussi de l’Université de Genève, de Lausanne, ainsi que d’HES comme la HEIG-VD. Cependant, malgré plusieurs initiatives et la création du Centre for Digital Trust à l’EPFL associant cette institution et plusieurs entreprises importantes du secteur privé, les efforts manquent de coordination.

Comparé à d’autres modèles, notamment en Israël, il manque en particulier un engagement fort de l’Etat. Car un cluster romand de la cybersécurité devait idéalement être chapeauté par un partenariat public-privé. Pour Christophe Gerber, responsable de la cybersécurité d’ELCA, la création d’un cluster est indispensable à l’objectif de créer une alternative crédible aux grands groupes américains. Il s’agit aussi de tirer bénéfice de la neutralité de la Suisse, un aspect qui gagnera en importance, tout comme le lieu de stockage des données, malgré le cloud.

Source : Agefi

Les premières cyber-recrues de l’armée suisse entrent en phase de sélection

Pour la première fois, des recrues de l’armée suisse vont recevoir une instruction spécifique consacrée à la cyberdéfense. Durant les deuxièmes écoles de recrues de l’année 2018, qui ont débuté ce lundi 25 juin, une formation pilote dans le domaine «cyber» sera prodiguée à des jeunes amenés ensuite à être affectés à une cyberunité de l’armée suisse. Pour rappel, en mars, le parlement suisse a accepté une motion chargeant le Conseil fédéral de mettre en place une organisation de cyberdéfense rattachée à l’armée. La nouvelle unité réunira 100 à 150 professionnels de l’informatique et 400 à 600 miliciens.

Les recrues qui recevront une instruction à la cyberdéfense seront sélectionnées au cours des prochaines semaines. La formation, qui débutera en août, durera 40 semaines (800 heures) et se déroulera dans un lieu dédié (l’Electronic Warfare School 64) deux fois par an, renseigne le site de l’armée suisse. Les participants au cours peuvent ensuite passer un examen pour obtenir un certificat fédéral de «Cyber Security Specialist».

Source : ICT Journal

Cryptographie et enquêtes criminelles

Les attentats ou les faits criminels passent tous par une étape numérique: il y a toujours un smartphone ou un ordinateur portable saisi. Mais ces derniers sont verrouillés. Les données sont chiffrées à l’aide de cryptographie inviolable. Et l’enquête piétine.

On perd plus en sécurité à limiter la cryptographie que l’on peut gagner éventuellement par la capture d’un terroriste. Forcer les fabricants de téléphone à prévoir un moyen de déchiffrer leur contenu ou de les déverrouiller, sur demande, c’est mettre au point un mécanisme qui doit être sûr et incassable pour des centaines de millions d’appareils, les tester tout en évitant l’obsolescence.

On oublie que les données chiffrées ont été créées par un humain. C’est lui la solution. On peut le forcer à donner son empreinte pour débloquer son appareil (ce n’est pas l’obliger, comme pour le mot de passe, à témoigner contre lui-même). Aujourd’hui, les enquêtes progressent le plus en jouant sur ce facteur, en piégeant la cible, en détectant son PIN, en injectant une vulnérabilité connue dans son appareil. C’est plus simple et moins cher que de développer une nouvelle vulnérabilité que les autorités se feront toujours voler ou de demander aux fabricants de prévoir une porte dérobée qui sera publique tôt ou tard. Savoir où un suspect a été, avec qui il a communiqué est parfois plus utile. Et ça, ça n’est pas chiffré.

Source : Le Temps