In Dezember 2024, The Cyber Resilience Act (CRA) Eingetragen in Europa und markiert den Beginn der Übergangszeit für Organisationen und Unternehmen, um sich an die neuen Cybersicherheitsanforderungen anzupassen. Dieses regulatorische Dokument zielt darauf ab, die Qualitäts- und Sicherheitsstandards zu verbessern, indem Hersteller und Einzelhändler erforderlich sind, um digitale Komponenten während des gesamten Lebenszyklus ihrer Produkte zu unterstützen und zu aktualisieren. Die CRA deckt sowohl Hardware als auch Software ab und betrifft nicht nur die EU -Hersteller, sondern auch die Importeure. Daher werden auch die US -Unternehmen, die ihre Produkte in EU -Ländern betreiben oder verkaufen, betroffen sein. Die Gesetzgebung wirkt sich stark auf mehrere Marktsegmente wie das Internet of Things -Produkte aus. Während Unternehmen bis 2027 haben, wenn die Compliance -Verpflichtungen obligatorisch werden, markiert der CRA einen wichtigen Schritt, um die Bedeutung der Cybersicherheit für eine große Reihe von Produkten zu erkennen und Strukturen zu schaffen, die die Interessen der Endkunden schützen. Anton Snitavets, ein leitender Ingenieur für Informationssicherheit bei Doppel ihre Kunden und sich selbst zu schützen.
Die Verschiebung in Richtung eines integrierten Ansatzes
Anton Snitavets weist darauf hin, dass die Cybersicherheit ein wesentlicher Bestandteil ihres Betriebs für mehr Unternehmen geworden ist, nicht nur für einige Schutzmaßnahmen oder Sicherheitsregeln, die vorhandenen Prozessen auferlegt werden. Dies gilt insbesondere für Unternehmen, die sich auf die Softwareentwicklung spezialisiert haben. Anton traf 2017 auf ein ähnliches Problem, als er als DevSecops -Ingenieur bei Aras Corp anfing. Um den Softwareentwicklungsprozess zu verbessern, implementierte er den Secure Software Development Lifecycle (SSDLC), wodurch der Softwareentwicklungsprozess durch Hinzufügen neuer Mittel zum Erkennen und Beseitigen von Cybersicherheitsrisiken wesentlich sicherer wurde, bevor sie zu negativen Folgen führen. Er integrierte die vorhandenen Softwarelösungen zusammen mit den benutzerdefinierten, die er selbst entwickelt hat, wodurch produktiver und zuverlässigerer Softwareentwicklungsprozess. Insbesondere verbesserte er den Prozess der Entwicklung von Aktualisierungen für die ARAS Innovator -Software, eine von den Kunden von ARAS -Kunden verwendete Ingenieur -Produktmanagement -Lösung, wobei große Engineering -Unternehmen wie General Motors und Airbus unter ihnen verwendet wurden. Infolgedessen erhöhte er innerhalb von 3,5 Jahren die Produktqualität erheblich, eliminierte mehrere Schwachstellen in der Software und erhöhte ihre Stabilität und Sicherheit, was für eine Softwarelösung, die für komplexe technische Aufgaben verwendet wird, besonders wichtig ist. Nachdem er vor kurzem zu Doppel beigetreten ist, implementiert er ähnliche Ansätze als leitender Informationssicherheitsingenieur und arbeitet an der Integration des SSDLC in die Cloud -Infrastruktur.
“Die Tatsache, dass mehr Unternehmen, ähnlich den beiden oben genannten, erhebliche Anstrengungen auf die Entwicklung der Entwicklungsprozesse konzentrieren, die sicherere Highlights dafür haben, dass Sicherheitsmaßnahmen effizient sind, ein wesentlicher Bestandteil des Softwareentwicklungszyklus werden müssen. “ er kommentiert. „Die Unternehmen, die diesen Ansatz noch nicht implementiert haben, müssen lernen, ihn während des gesamten Entwicklungslebenszyklus anzuwenden.“
Entwicklung maßgeschneiderter Lösungen
Diese Verschiebung in Richtung eines integralen Ansatzes zur Informationssicherheit führt zu einer weiteren bedeutenden Änderung. Unternehmen müssen maßgeschneiderte Lösungen entwickeln, die genau ihre Bedürfnisse beantworten, anstatt sich auf leicht erstellte zu verlassen. „Vorgefertigte Lösungen decken nicht häufig alle Fälle und Szenarien ab und lassen bestimmte Schwachstellen nicht geschützt oder umgekehrt die Ressourcen für Unternehmen für Maßnahmen verschwenden, die in einem bestimmten Fall nicht erforderlich sind“, erklärt Anton Snitavets. „Aus diesem Grund benötigen Unternehmen Lösungen, die die Besonderheiten ihrer Geschäftstätigkeit und die damit verbundenen gemeinsamen Risiken ausmachen.“ Seine Erfahrung liefert genügend Beispiele dafür, warum die Entwicklung maßgeschneiderter Lösungen und die Berücksichtigung spezifischer Situationen und Bedrohungen unerlässlich ist, da es den Entwicklungsprozess verbessert und das Produkt für den Endbenutzer sicherer macht. Bei ARAS CORP entwickelte und implementierte er eine Lösung für die Codeanalyse, mit der Entwickler Schwachstellen wie SQL -Injektionen und Pfad -Durchlaufrisiken im Produktcode sowie Schwachstellen, die für ein bestimmtes Produkt spezifisch sind, erfassen konnten. Nach der Implementierung des Analysators wurden mehrere Dutzend Schwachstellen festgestellt und festgelegt. Die Implementierung des Analysators hat das Produkt für Endbenutzer sicherer und sicherer gemacht, um benutzerdefinierte Lösungen zu entwickeln, sodass sie potenzielle Risiken in den frühen Entwicklungsstadien erkennen und beheben können.
Anton Snitavets erwähnt, dass ein weiteres kritisches Konzeptunternehmen übernehmen muss: Sie müssen sich darauf konzentrieren, Bedrohungen zu verhindern und proaktiv zu handeln, anstatt sich ausschließlich darauf zu konzentrieren, sich vor bekannten Bedrohungen zu schützen und auf bereits stattfindende Verstöße zu reagieren. Um dieses Ziel zu erreichen, ist ein flexibles Analyse- und Berichtssystem erforderlich, mit dem das Unternehmen den aktuellen Stand der Infrastruktur überwachen, potenzielle Risiken vorhersagen und erkennen und diese beseitigen, bevor sie Verluste verursachen. Dies ist die Art von Arbeit, die Anton Snitavets bei Jabil Inc. durchgeführt hat, wo er von 2022 als Cloud -Sicherheitsingenieur tätig war. Um die Haltung der Sicherheitskonformität im Unternehmen zu verbessern Die Cloud -Ressourcen. Zu diesem Zweck passte er bestehende Sicherheitsstandards an. Er integrierte eine Softwarelösung, um Daten über den Zustand der Cloud -Informationen zu aggregieren, die eine entscheidende Rolle im Unternehmensbetrieb spielten und dazu beitrugen, die Sicherheitsvorschriftenbewertung auf höchstem Maße zu halten.
Die Notwendigkeit des kontinuierlichen Lernens
Es ist wichtig hinzuzufügen, dass die Technologie ständig voranschreitet und zusammen mit neuen Schutzmaßnahmen neue Bedrohungen entstehen. „Während Cybersecurity -Fachkräfte neue, robustere und widerstandsfähigere Möglichkeiten entwickeln, Daten zu schützen und die stabilen Betriebsabläufe der digitalen Infrastruktur zu gewährleisten, finden bösartige Akteure neue Angriffsvektoren und versuchen, aufkommende Technologie zu ihrem Vorteil zu nutzen.“ erklärt Anton Snitavets. Aus diesem Grund ist es notwendig, dass ein Cybersicherheitsprofi kontinuierlich in Theorie und Praxis lernt, neue Methoden und Lösungen erforscht und effiziente Möglichkeiten finden, sie auf die vorliegenden Aufgaben anzuwenden.
Während seiner Karriere hat Anton Snitavets diesem Prinzip verfolgt. Selbst während des Studiums arbeitete er als Softwareentwickler und sammelte Erfahrungen, die eine solide Grundlage für seine zukünftige Karriere bildeten. Anschließend arbeitete er kontinuierlich an der Erwerb von professionellen Zertifizierungen, einschließlich des Certified Information Systems Security Professional (CISSP), das als eine der anspruchsvollsten Cybersicherheitszertifizierungen angesehen wird, die er erhalten sollten.
„ICHT ist wichtig, um den Erwerb formalen Zertifizierungen, die die beruflichen Fähigkeiten des Einzelnen beweisen, mit einer ständigen Erforschung neu auftretender Technologien und der in die Praxis umsetztem Kenntnissen zu kombinieren. “ erklärt Anton Snitavets. „Ein Cybersicherheitsexperte zu werden erfordert ein hohes Engagement und eine hohe Disziplin, da die Fehlerkosten erheblich sein können.
Man muss ständig voranschreiten und proaktiv handeln, um effiziente Informationssicherheitsprozesse zu implementieren. Neue regulatorische Maßnahmen wie CRA werden Unternehmen dazu veranlassen, bessere Sicherheitspraktiken einzuführen. Aber noch bevor sie obligatorisch werden, müssen Unternehmen ihren Ansatz zur Cybersicherheit vorantreiben, um sich und ihre Kunden vor aufkommenden Drohungen zu schützen. “
