0:00:01.6 Emily Wearmouth: Hallo und willkommen zu einer weiteren Ausgabe des Security Visionaries Podcasts. Die heutige Folge ist ein absoluter Hammer für jeden, der ein Sportfan ist, oder ich nehme an, für jeden, der jede Art von physischem Live-Event mag. Mein heutiger Gast ist Ben Morris. Er ist Group Head of Cybersecurity für World Rugby. Und heute spricht er mit mir über die Schnittstelle von Cybersicherheit und physischer Sicherheit. Also willkommen zum Podcast, Ben.
0:00:25.5 Ben Morris: Vielen Dank, dass Sie mich eingeladen haben, und ich freue mich darauf, in die Welt einzutauchen, nicht nur in die Welt der Cybersicherheit, die ich natürlich voreingenommen sein werde, sondern natürlich auch in den Sport und wie er sich mit der Welt austauscht, in der wir uns heute befinden. Also ja, ich bin sehr aufgeregt, mich heute damit zu beschäftigen.
0:00:38.7 Emily Wearmouth: Ausgezeichnet. Nun, wenn es Ihnen nichts ausmacht, es gibt so vieles, worüber ich Sie fragen möchte und ich weiß, dass wir auf der Uhr stehen, also kann ich einfach direkt eintauchen?
0:00:45.6 Ben Morris: Absolut, ja. Gerne.
0:00:47.3 Emily Wearmouth: Brillant. In Ordnung. Meine erste Frage: Wenn wir über moderne Sicherheitsherausforderungen sprechen, zoomen wir sehr oft direkt auf das Fehlen einer konsistenten physischen Umgebung und sehen es als Problem. Wir sprechen zum Beispiel viel über die Herausforderungen der Remote-Arbeit, und ich nehme an, dass wir das auch tun. Wir erinnern uns an eine geradlinigere Zeit, in der der physische Standort eine kontrollierte Umgebung war. Aber ich vermute, Sie werden mir sagen, dass physische Umgebungen die Komplexität erhöhen können und das Leben nicht unbedingt einfacher machen. Könnten Sie uns also einen kurzen Überblick über einige der Komplexitäten geben, die damit verbunden sind, wenn der Standort selbst eine dominierende Rolle in Ihren Sicherheitsplänen spielt?
0:01:21.7 Ben Morris: Ja, da World Rugby ein großer Veranstalter ist, ist man so stark auf den physischen Veranstaltungsort und die Präsenz angewiesen. Und wenn man nicht die Möglichkeit hat, ein Stadion von Land zu Land zu verlegen, wird das nicht der Fall sein. Die Herausforderung, vor der wir stehen, besteht also darin, dass wir Veranstaltungsorte sichern müssen, wir haben Geräte, die immer in Bewegung sind. Wir haben lokale Betriebsgesellschaften auf der ganzen Welt. Es ist eine vielfältige Herausforderung. Wie schafft man also eine sichere Umgebung für diese physischen Veranstaltungsorte, die Coffeeshop-Enthusiasten und all diese Dinge? Und ich glaube nicht, dass der Sport in dieser Herausforderung einzigartig ist, aber ich denke, der Sport war wirklich gezwungen, in Bezug auf Sicherheit anders zu denken.
0:02:06.5 Ben Morris: Wenn wir also heute über die Organisation einer Großveranstaltung sprechen, müssen wir all diese Elemente berücksichtigen. Es hat sich also erheblich weiterentwickelt. Heutzutage verbringe ich mehr Zeit mit der physischen Sicherheit des Veranstaltungsortes als mit irgendetwas anderem. Und damit beeinträchtigt die Komplexität, wie wir diese Art von Null-Leistung bereitstellen können, wirklich robuste Sicherheit und dergleichen. Wir mussten also zuerst unser Ökosystem und unsere Architektur rund um die Zero Trust Cloud weiterentwickeln, um eine Fülle von DLP zu bieten, aber auf der ganzen Welt. Also ja, es ist kein leicht zu verdauendes Thema, aber es ist erheblich mit der Komplexität des Managements von Großveranstaltungen heutzutage verbunden.
0:02:51.1 Emily Wearmouth: Ich denke, für Zuhörer, die mit World Rugby weniger vertraut sind, ist es wahrscheinlich erwähnenswert, dass Sie nicht der Sicherheitschef an der Stanford Bridge sind oder ich einen Namen für ein US-Stadion nachgeschlagen habe, also werde ich Michigan Stadium sagen. Sie sind kein Sicherheitsmanager an einem physischen Ort wie diesem. Du bist für die Sicherheit eines Sports verantwortlich, der um die Welt reist. Und ähnlich wie so etwas wie die Formel 1 in verschiedenen Städten bei verschiedenen Turnieren auftaucht, unterscheidet sich Ihre Arbeit dadurch völlig von der der Leute, die für eine bestimmte statische Sportstätte verantwortlich sind?
0:03:20.4 Ben Morris: Das tut es. Das tut es. Und es liegt eine große Verantwortung darin, wirklich solide Beziehungen zu engagierten Veranstaltungsorten aufzubauen, wie zum Beispiel die Stanford Bridge. In Großbritannien veranstalten wir nächstes Jahr den Frauen-Weltcup und es gibt acht bis neun Austragungsorte. Wir übernehmen keine Verantwortung für diese Veranstaltungsorte. Wir haben eine vertragliche Vereinbarung, aber es gibt keine Verpflichtung für diese Veranstaltungsorte, zu gehen, ja, wir lassen Sie einfach unser gesamtes Netzwerk neu aufbauen. Diese Veranstaltungsorte sind vielseitig einsetzbar. An einem Samstag und Sonntag kann es also sein, dass sie ein Rugby-Event veranstalten. Am Montag veranstalten sie vielleicht ein Live-Konzert oder eine ganz andere Veranstaltung. Die Herausforderung, vor der wir als Organisation stehen, besteht also darin, wie wir die Standards, die wir als Dachverband und großer Verband wirklich suchen, an diesen Veranstaltungsorten vermitteln können, aber es auch für den Veranstaltungsort lohnend machen, uns auf diesem Weg zu helfen.
0:04:14.8 Ben Morris: Die Komplexität, wenn es um die Veranstaltungsorte geht, stelle ich nur fest... Wenn ich ein Veranstaltungsortmanager wäre, könnte ich nicht nach den Standards bauen, die World Rugby sagt. Bauen Sie auch nach Standards auf, dass vielleicht ein großes Konzert wie ein Taylor Swift bleiben wird und wir 2028 eine EM haben, vielleicht wird die UEFA auch einige Standards festlegen. Wir können nicht einfach weiterbauen. Was also als World Rugby und meine Rolle wirklich erforderlich ist, sind die Mindestanforderungen, die auf den Veranstaltungsort auf andere große Veranstalter übertragbar sind. Wenn wir also nächstes Jahr, 2025, fertig sind, kann die UEFA kommen und sagen: "Oh, sie haben das alles schon an Ort und Stelle." Und der Veranstaltungsort fühlt sich wohl, dass er diese Standards zeigen kann, die wir mitentwickelt haben. Und das ist die Verantwortung eines jeden großen Verbandes, nicht nur des World Rugby, sondern wir sprechen über Unternehmen wie FIFA und die Olympischen Spiele und die UEFA, die NFL, ich könnte die Verbände noch einmal nennen. Es liegt in unserer Verantwortung als globaler Sport, sicherzustellen, dass wir die Standards der Austragungsorte anheben und bei dieser Risiko-Belohnungs-Situation helfen, wenn es um Investitionen und Kosten für einen Austragungsort geht.
0:05:23.7 Ben Morris: Also ja, das ist meine Rolle, ich bin fast ein Aufzug der Standards und ich habe meine Mindestanforderungen zu erfüllen, Sie müssen sicherstellen, dass Sie MFA haben, oder Sie müssen sicherstellen, dass Sie Ihre Geräte richtig sichern. Sie schulen Ihre Mitarbeiter für diesen Fall. Es geht darum, sicherzustellen, dass wir den gesamten Sport aufwerten, nicht nur sehr egoistisch zu sein, sondern auch meinen Standards zu folgen, denn das bringt einfach niemanden weiter.
0:05:46.6 Emily Wearmouth: Wenn Sie also im Wesentlichen zu einer Art Normungsgremium werden oder zu jemandem, der eine Best Practice festlegt, wie eng stimmen Sie sich dann mit anderen Organisationen ab, die dies tun? Ich denke da vielleicht an Regierungen, die auch Sicherheitsstandards haben. Gibt es einige Best Practices, die Sie aus staatlichen Vorschriften ableiten, oder wenden sich die Regierungen in gewisser Hinsicht an Sie, um Rat zu erhalten, was sie in ihre nationalen Anforderungen aufnehmen sollten?
0:06:11.7 Ben Morris: Es ist ein bisschen von beidem. Natürlich ist die Regierung also nicht nur dem Sport oder der Unterhaltung verpflichtet. Sie haben eine Vielzahl von Anforderungen in verschiedenen Sektoren. Ich werde das Vereinigte Königreich als Paradebeispiel verwenden. Das NCSC, wir haben eine wirklich starke Beziehung zum NCSC, weil wir wissen, dass wir in Bezug auf Veranstaltungsorte und Stadien aufholen und die Technologie sich so schnell weiterentwickelt, dass sie nicht auf dem neuesten Stand der Technologieinvestitionen ist. Sie brauchen also auch unser Feedback und unsere Anforderungen als großer Veranstalter. Das ist der Punkt, an dem wir die Zielpfosten verschieben, und ich werde mich hier auf den Aspekt der Cybersicherheit stützen, nämlich dass es nicht wirklich einen globalen Standard für die Sicherung eines Veranstaltungsortes gibt, wenn es um Cybersicherheit geht. Ich denke, dass sich das in den nächsten vier Jahren erheblich weiterentwickeln wird, denn in der Vergangenheit waren Veranstaltungsorte ein sehr physisches Gesundheits- und Sicherheitsökosystem.
0:07:09.9 Ben Morris: Und natürlich stand die Sicherheit der Fans, die Sicherheit der Spieler, das Wohlergehen all dieser Elemente immer an erster Stelle. Es gibt also bereits einen wirklich guten Prozess auf nationaler Ebene, nicht nur in Großbritannien. Wir sprechen hier weltweit darüber. Es gibt also sehr strenge Anforderungen an die physische Sicherheit. Wie Sie alle wissen, hat sich die Cybersicherheit erst im letzten Jahr verändert, ganz zu schweigen von den letzten 10 Jahren. Die Regierung, und nicht nur in Großbritannien, hat also einen Rückstand, wenn es um die Anforderungen an die Cybersicherheit geht. Eines der Dinge, die mir wirklich am Herzen liegen, ist sicherzustellen, dass wir alle Stadien und alle Veranstaltungsorte auf bestimmte Standards bringen und das Vereinigte Königreich mit seiner Verstärkung und seinen Verbindungen nutzen, um zu sagen: "Okay, wir mögen diese Standards aus dem privaten Sektor, aus dem Sport, und warum fassen wir das nicht in eine Blaupause auf."
0:07:57.9 Ben Morris: Wenn also ein neues Stadion gebaut wird, es werden mehrere Stadien gebaut, auch erst in diesem Jahr, stellen Sie sicher, dass sie diesen Standards entsprechen. Und wenn wir dann das gleiche Framework und die gleichen Auditverfahren verwenden, die sie in Bezug auf die physische Sicherheit haben, warum stellen wir nicht sicher, dass wir auch die Cybersicherheit überprüfen, und versuchen, die Reife dafür zu schreiben und aufzubauen. So arbeiten wir mit der Regierung nur auf dieser Seite zusammen. Es gibt viele andere Bereiche, in denen wir mit der Regierung zusammenarbeiten, aber das ist ein spezieller Bereich, der mir am Herzen liegt und an dem ich wirklich stark beteiligt bin: die Aufwertung von Stadia als Ganzes und die Nutzung der britischen Regierung und ihrer Verbindungen, um die Botschaft zu verstärken.
0:08:35.1 Emily Wearmouth: Und wie wäre es, wenn Sie dort ein wenig darüber gesprochen haben, dass die physische Sicherheit in Bezug auf Vorschriften, Erwartungen und Standards vielleicht etwas voraus ist. Wenn es hart auf hart kommt und Sie sich ein bestimmtes Ereignis ansehen, wie arbeiten Sie dann mit diesem physischen Sicherheitsteam zusammen? Sind sie komplett getrennt von Ihnen oder sind Sie integriert?
0:08:52.7 Ben Morris: Es gibt zwei verschiedene Teams mit unterschiedlichen Zielen, wenn es um ein Großereignis geht. Wenn Sie mich jedoch vor 10 Jahren gefragt haben, kann ich Ihnen garantieren, dass sie wahrscheinlich keine Kommunikation hatten, oder wenn überhaupt, sind Sie heutzutage sehr eng miteinander verbunden, wenn es um physische Sicherheit geht. Das ist absolut notwendig. Wenn man also darüber nachdenkt, wie vernetzt Veranstaltungsorte sind, hat man so viele Berührungspunkte. Sie haben viele IoT-Geräte, Sie haben Point-of-Sale-Geräte, Sie haben Drehkreuze, Sie haben HLK-Systeme, all das ist jetzt digital. Sie sind digitale Verbindungspunkte. Früher haben Sie es vielleicht einfach von selbst isoliert. Vielleicht kommt ein Auftragnehmer in den Veranstaltungsort und unterstützt das. Das ist nicht mehr der Fall. Viele davon sind jemand, der ein System aus der Ferne überwacht. Heutzutage sind wir als World Rugby einfach nur noch ein und dasselbe. Deshalb haben wir regelmäßig kollaborative Arbeitsgruppen, wenn es um die großen Veranstaltungen geht.
0:09:49.9 Ben Morris: Wir arbeiten also jeden einzelnen, ich glaube, alle vierzehn Tage treffen wir uns und sprechen über die physische Sicherheit des Veranstaltungsortes, die Cybersicherheitspraktiken und wie all das miteinander verknüpft ist. Denn man kann das beste physische Sicherheitssystem der Welt haben, aber wenn es aus der Perspektive der Cybersicherheit offengelegt wird, ist es so verwundbar, dass man jetzt Horrorgeschichten von Menschen hört, die Drehkreuze ausschalten, wenn es um Großveranstaltungen geht. Das wollen wir nicht. Und das ist das Element, das Cybersicherheit in die physische Sicherheit einfließen lassen kann. Denn wenn man die Drehkreuze ausschaltet, kann man nicht mehr nur die Gesundheit und Sicherheit der Menschen außerhalb des Veranstaltungsortes garantieren, die versuchen, hineinzukommen, sondern auch der Menschen im Veranstaltungsort. Das ist also nur ein Ein- und Ausstiegssystem. Dann geht es um die Akkreditierung, um sicherzustellen, dass die richtigen Leute zur richtigen Zeit in einen Veranstaltungsort gehen, um sicherzustellen, dass sie den richtigen Zugang haben.
0:10:38.4 Ben Morris: Was ist, wenn etwas dieses System kompromittiert? Heutzutage haben physische Sicherheit und Cybersicherheit also irgendwie die gleiche Priorität, was wirklich, wirklich gut ist. Aber die Herausforderung, die wir in der Cybersicherheit haben, besteht darin, dass wir keine wirklich vorgeschriebenen Standards haben, die physische Sicherheit, die wirklich gut etabliert ist. Sie haben wirklich starke Verbindungen zur lokalen Regierung und auch zur örtlichen Polizei. Wenn man also über die Arbeitsgruppe in World Rugby spricht, dann hat man nicht nur die Cybersicherheit und die physische Sicherheit, sondern auch die Metropolitan Police, das Transportwesen, das Home Office, DCMS, wir sind alle in einem Gespräch. Dafür gibt es einen Grund. Weil es in diesem Fall so miteinander verbunden ist. Du hast also völlig Recht. Eine wirklich klare Trennung gibt es nicht mehr, wenn es um physische Sicherheit und Cyber geht. Es ist irgendwie dasselbe. Und Sie haben in jedem Bereich verantwortungsbewusste Mitarbeiter, die ihre eigenen Initiativen vorantreiben, aber mit jedem von ihnen zusammenarbeiten.
0:11:32.8 Emily Wearmouth: Meine nächste Frage ist also ein bisschen wie von Herzen. Als wir das erste Mal miteinander sprachen, habe ich leichtfertig eine Menge Beispiele aus Filmen und Fernsehsendungen rausgeworfen. Die mit der Idee der physischen und Cybersicherheit spielen. Wir sprachen über Ocean's Eleven, Logan Lucky, Prison Break, und tatsächlich dauerte es etwa 24 Stunden, bis das britische Justizministerium bekannt gab, dass die Gefängnispläne im Dark Web durchgesickert waren, was ich sagte. Nun, ist der Gefängnisausbruch ein echtes Problem? Ich fühlte mich also sehr vorausschauend. Aber ich wollte herausfinden, wer es am meisten richtig gemacht hat, denkst du, in Bezug auf die Popkultur, wo finden wir eine möglichst genaue Darstellung deiner Welt in Filmen oder im Fernsehen?
0:12:11.5 Ben Morris: Ja, ich erinnere mich, als wir uns kurz darüber unterhalten haben. Es ist ziemlich interessant, denn wenn man sich die Dramatisierung von Ocean's Eleven ansieht, gibt es Elemente, die ziemlich realistisch sind, aber vieles davon ist ziemlich weit hergeholt. Ich denke, dass Ocean's Eleven ein wirklich gutes Element hat, denn wenn es um Social Engineering und Verkleidungen geht, ist es für jemanden sehr einfach, eine Organisation zu erkunden, wie sich die Leute verkleiden, wie sich das Sicherheitspersonal verkleidet, wenn man sich die Akkreditierung ansieht, sich die Schlüsselkarten anschaut und das repliziert und versucht, den Weg in einen Veranstaltungsort zu finden. Also, Ocean's Eleven, ja, obwohl absolut wild und weit hergeholt, gibt es Elemente von dem, was übertragbar ist. Wenn ich dann an den Gefängnisausbruch denke, ist es ähnlich.
0:12:56.5 Ben Morris: Wenn es um die Insider-Ärger geht, kennen Sie wirklich alle Ihre Mitarbeiter? Wie viele Hintergrundüberprüfungen führen Sie durch und die Leute, können Sie ihnen vertrauen? Sind sie zuverlässig? Und das ist auch bei einem großen Veranstaltungsort so. Wenn Sie all diese Stewards und die physische Sicherheit einsetzen, können Sie dann jeden überprüfen, wer er vorgibt zu sein? Hat jemand die Vergangenheit eines anderen geklont und es geschafft, einzudringen? Also ja, nochmal, Prison Break ist sehr dramatisiert und natürlich, um es unterhaltsam zu machen. Aber es gibt auch Elemente, denn Sie haben erwähnt, wer der Cybersicherheit wirklich gerecht wird. Wenn es um Unterhaltung geht, gibt es keinen Ausreißer. Ich glaube, ich benutze Mr. Rover, es ist wahrscheinlich der wichtigste, den ich besuche, weil er eine Mischung daraus zeigt, wie viel Raffinesse in diesen ersten Zugang fließt, wie viel Aufklärung, wie viel Social Engineering, wie viel kann man auf Facebook oder LinkedIn kratzen, kann man die Identität einer Person herausfinden und damit herumspielen?
0:13:52.1 Ben Morris: Und dann ist es die technische Fähigkeit, all diese Aufklärung, Intelligenz und Wissen über eine Umgebung zu übertragen und sie dann in technische umzuwandeln. Also ja, es ist alles sehr dramatisiert und ich kann mit hoher Sicherheit sagen, Prison Break, Ocean's Eleven und so weiter, es gibt wahrscheinlich 95% davon, was weit hergeholt ist, aber es gibt diese 5%, die ziemlich genau sind. Und es ist ein Bereich, der uns auch von Cybersicherheitsexperten nachts wach hält, weil es um das Was-wäre-wenn-Szenario und solche Dinge geht.
0:14:23.3 Emily Wearmouth: Nun, danke, dass ich das fragen durfte. Ich komme zu einer ernsteren Frage, meiner nächsten, die lautet: Wenn man an Dinge wie die Rugby-Weltmeisterschaft, die Fußball-Weltmeisterschaft und die Olympischen Spiele denkt, scheinen diese Vier-Jahres-Zyklen sehr wichtig zu sein. Ich weiß nicht, warum vier Jahre. Aber ich habe mich gefragt, wenn man an diesen Vierjahreszyklen arbeitet, sozusagen das Lager verlässt und dann für den nächsten alles neu angreift, oder muss man sich für jede Weltmeisterschaft einen ganz neuen Sicherheitsansatz einfallen lassen? Oder haben Sie Kontinuität in Teams und Prozessen? Wie bauen Sie das als langfristigen Ansatz auf?
0:14:56.3 Ben Morris: Ich denke, wenn Sie mir diese Frage vor vier Jahren stellen, dann war es vor allem ein Ansatz: "Bauen, abreißen, neu anfangen". Und das ist nicht nur eine einzigartige Sache für World Rugby. Jeder hat das schon gemacht. Sie kennen wahrscheinlich alle die Geschichten von den Olympischen Spielen, bei denen sie zu einem Gastgeberland gehen, die gesamte Infrastruktur aufbauen, die Veranstaltung durchführen und dann zur nächsten Veranstaltung aufbrechen. Heutzutage ist das einfach kein nachhaltiges Modell mehr. Für den gesamten Verband ist Nachhaltigkeit und Wiederverwendung eines der wichtigsten Ziele für uns. Und wir wissen, dass wir in diesem Vierjahreszyklus unsere Zeit in anderen Bereichen binden und diesen Rahmen verfeinern. Diese Blaupause zu verfeinern. Beim World Rugby zum Beispiel arbeiten wir wahrscheinlich eher in Zweijahreszyklen. Alle vier Jahre haben wir also eine Weltmeisterschaft der Männer, dann haben wir zwei Jahre später eine Weltmeisterschaft der Frauen.
0:15:42.3 Ben Morris: Es sind also eher Zwei-Jahres-Zyklen. Aber jetzt, mit den Leitungsgremien, haben wir Veranstaltungen in diesen, ich würde sagen, ruhigen Jahren. Das verfeinert diese Blaupause wirklich. Wenn wir jetzt in ein Gastland gehen, haben wir eine Liste von Rahmenwerken. Bei World Rugby haben wir 45, ich denke, das sind Rahmenbedingungen, die wir in dieser Zeit entwickelt haben. Ich denke, World Rugby gibt es seit 137 Jahren, also sind wir jetzt ziemlich gut darin, wenn es darum geht, in ein Gastgeberland zu gehen, wir haben ein großes Ereignis und okay, das sind die Dinge, die wir tun müssen. Der Grund dafür ist, dass es in einer Art Vier-Jahres-Zyklus ist, weil es eine Menge Vorbereitung und Planung gibt, die in Großveranstaltungen gesteckt werden müssen. Und das ist der Teil der Nachhaltigkeit: Das kann man nicht mit Zeitarbeitskräften machen, die kommen und wieder rauskommen. Deshalb stellt World Rugby Spezialistenteams ein.
0:16:33.5 Ben Morris: Ich war Teil dieses Spezialistenteams, als World Rugby beschloss, dass wir die Großveranstaltungen selbst durchführen wollen. Anstatt diese Verantwortung auf das Gastgeberland abzuwälzen, wird World Rugby es selbst tun. Und die FIFA hat jetzt dieses Modell übernommen, und die Olympischen Spiele haben dieses Modell übernommen, bei dem es so ist, dass wir einen ständigen Mitarbeiter haben, der für diese Rahmenbedingungen verantwortlich ist, die es dann standardisieren und die Wiederholbarkeit verbessern. Und deshalb wollen wir bestehende Veranstaltungsorte und Stadias verwenden, weil es sehr schwierig ist, dieses wiederholbare Modell zu machen, wenn man ständig Dinge baut. Jetzt gehen wir also zu den Gastgeberländern, wo sie die Infrastruktur eingerichtet haben, sie haben das schon einmal gemacht. Jetzt geht es also nur noch um die Organisation des Großereignisses, nicht um die Infrastruktur und den Transport und so weiter. Das Ganze, das ist alles im Sport. Aus diesem Grund ist es viel nachhaltiger und wiederverwendbarer geworden, was gut für mich ist, weil wir diese Blaupause im Laufe der Zeit iterieren können.
0:17:26.8 Ben Morris: Wir werden also viel aus 2025 lernen, und für die Männer-WM 2027 in Australien haben wir einige Lektionen gelernt. Wir sagten, das hat wirklich gut funktioniert, das hat es nicht funktioniert, und dann können wir es im Laufe der Zeit verfeinern. Wenn ich glaube, dass die Weltmeisterschaft 2031 in den USA stattfindet, wird dieses Modell seit 10 Jahren verfeinert sein, und es hält uns auf dem neuesten Stand, wenn es um neue Technologien und Bedrohungen geht. Das ist also wirklich der Punkt, an dem alle Leitungsgremien und großen Organisatoren von Veranstaltungen jetzt ins Spiel kommen, nämlich die Verfeinerung, das Blaupausenmodell, die Standardisierung und die Wiederholbarkeit.
0:18:03.1 Emily Wearmouth: Wenn Sie also eine kürzliche Fußball-Weltmeisterschaft vergleichen, die an einen Markt ging, auf dem viele Stadien gebaut wurden, und das war der Grund, warum sie die Weltmeisterschaft wollten, ist der Aufbau ihrer Infrastruktur mit etwas wie den letzten Olympischen Spielen, bei denen es um die Wiederverwendung von Austragungsorten ging, welche von ihnen würden Sie bevorzugen, wenn Sie für die Sicherheit für einen kompletten Neuaufbau verantwortlich wären oder sich mit einem Erbe auseinandersetzen müssten Herausforderungen, aber Infrastruktur, die bereits vorhanden ist?
0:18:29.0 Ben Morris: Aus einer reinen Cyber-Perspektive würde ich gerne Neues entwickeln, denn man kann die neueste Technologie einbringen und sicherstellen, dass sie effektiv nach Security by Design entwickelt wird. Das wäre mir persönlich lieber. Wenn es um Großveranstaltungen geht, ist die Cybersicherheit jedoch nur ein kleiner Bruchteil des Gesamtbildes, wenn es um ein Großereignis geht. Also ich als Sportbegeisterter und Fan, und Sie haben die Formel 1 erwähnt, ein riesiger Fan. Fußball, Rugby, all diese Sachen. Als Fan denke ich, dass es nicht skalierbar ist und nicht gesund für Regionen ist, in denen sie all diese Veranstaltungsorte bauen, sie einmal verwenden und dann einfach altern. Sie haben die bei den Olympischen Spielen gesehen, und ich denke, das ist ein schrecklicher Zustand. Als Fan bevorzuge ich also das Wiederverwendungsmodell. Als Cyber-Profi ist es eine größere Herausforderung, weil man dieses Alter und diese Infrastruktur hat, die man modernisieren muss.
0:19:16.8 Ben Morris: Aber das ist ein Teil der Rolle, die man wirklich übernimmt. Also ja, es ist wie ein 50/50. Ich bin hin- und hergerissen zwischen: "Oh, ich würde es lieben. Wie ein frischer Neuaufbau. Ich baue alles von Grund auf neu. Zum Beispiel, dass ich die White Heart Lane, Tottenhams neues Stadion, nutzen werde. Sie haben alles von Grund auf neu aufgebaut. Es ist alles modernisiert. Die beste Technologie, die brillant wäre, wenn sie vor Ort wäre, um Dinge auf der Grundlage der richtigen Standards zu bauen, aber sie ist nicht wiederverwendbar, insbesondere für eine Großveranstaltung, bei der sie alle vier Jahre ihren geografischen Standort ändert. So funktioniert die Welt einfach nicht. Als Fan bevorzuge ich also das Modell, das heißt, in ein Land zu gehen, die physische Infrastruktur zu nutzen, die dort vorhanden ist, und sie bis zu einem gewissen Grad zu modernisieren, damit sie immer wieder verwendet werden kann. Wir könnten in acht Jahren, 10 Jahren, 12 Jahren zurückgehen, was auch immer es sein mag. Das Einzige, was die Leute vielleicht nicht verstehen, wenn es um Sport geht, ist, dass alle Verbände aus diesem Grund sehr eng miteinander zusammenarbeiten.
0:20:07.1 Ben Morris: Es könnte also sein, dass wir 2031 eine Großveranstaltung in den USA veranstalten. Wir könnten viele der Austragungsorte nutzen, die die FIFA für 2026 nutzt. Und der Grund dafür ist, dass wir durch die Wiederverwendung von Dingen ein gewisses Maß an Selbstvertrauen haben, bei dem wir sagen: "Oh, die FIFA Fussball-Weltmeisterschaft war in diesen Stadien." Es muss also in der Lage sein, unsere Sachen auszuführen und umgekehrt. Das Gleiche gilt für die Olympischen Spiele. Also versuchen wir, den Sport insgesamt in diesem Maße zu verbessern. Also ja, ein langer Weg, um Ihre Frage zu beantworten. Aber ja, ich denke, ich bevorzuge das Wiederverwendungsmodell genau aus diesem Grund. Wir verbessern die bestehende Infrastruktur. Ich denke, es modernisiert auch die Region, die Menschen, die dort leben, die Bürger, die Öffentlichkeit. Es gibt also viele Gründe, warum ich denke, dass dieses Modell der richtige Weg ist.
0:20:47.1 Emily Wearmouth: Ich wusste, dass das eine schwierige Frage sein würde, als ich sie stellte. Ich dachte, du wärst groß. [Gelächter] Okay. Ich werde Sie nach der Bedrohungslandschaft fragen, denn offensichtlich haben Sie es mit der großen, bösen Welt einiger ziemlich großer Bedrohungen zu tun, wenn Sie ein riesiges Sportturnier veranstalten. Und ich habe mich gefragt, wie Sie mit dieser Entwicklung der Bedrohungslandschaft Schritt halten können, wie Sie persönlich und organisatorisch Schritt halten und wie sich dies dann, wenn überhaupt, auf Ihre Pläne auswirkt.
0:21:12.9 Ben Morris: Rechts. ja. Es gibt also mehrere Stränge. Ich werde jetzt mehr lokal sprechen und dann werde ich mehr in den Nationalstaat gehen. Also, wenn es um die Art und Weise geht, wie ich Bedrohungsinformationen sammle und über meine Netzwerk-Schlüsselpartner komme. Wir haben also viele strategische Investitionen mit Technologiepartnern, die in dieser Hinsicht für uns arbeiten. Da wir bei World Rugby nur ein kleines Team sind, werden wir auf keinen Fall in der Lage sein, die gesamte Frachtlandschaft auf praktische Weise abzudecken. Und diese Informationen zu verdauen, wird einfach zu schwierig sein. Arbeiten Sie also mit wichtigen Partnern aus verschiedenen Spezialisierungen zusammen. Als Beispiel könnten wir mit AWS zusammenarbeiten, um uns Informationen über die Cloud und das, was sie sehen, zu liefern. Sie könnten zum Beispiel mit Netskope arbeiten, wenn es darum geht, was wir an der Netzwerkfront aus einem Globalisierungsteil sehen. Deshalb arbeiten wir mit wichtigen Partnern zusammen, wenn es um lokale Informationen geht, die sich auf unsere Infrastruktur auswirken könnten.
0:22:05.5 Ben Morris: Dann gibt es noch andere Branchenkollegen. Also habe ich gerade erst unsere Arbeit in Zusammenarbeit mit den Verbänden erwähnt. Wir tauschen Geheimdienstinformationen miteinander aus, denn höchstwahrscheinlich werden die Bedrohungen, die auf uns oder die Olympischen Spiele abzielen werden, genau die gleichen sein. Auf diese Weise tauschen wir also Geheimdienstinformationen aus. Wir haben bereits eine Arbeitsgruppe zwischen allen Verbänden, die diese Erkenntnisse aus der Cybersicherheit austauscht. Und Dinge, die wir dieses Jahr rund um die Olympischen Spiele erwähnt haben. Wir hatten die Erkenntnisse aus diesem Ereignis, die wir wiederverwendet haben, und haben dafür gesorgt, dass wir einen Teil unserer Pläne und die Informationen, die wir bei den Olympischen Spielen haben, berücksichtigten und die mit der FIFA geteilt werden. Es gibt also die Bedrohungsinformationen auf dem Gehaltsniveau, und dann gibt es eher die nationalen oder nationalen Bedrohungsinformationen. Und genau hier ist die Zusammenarbeit mit dem NCSC so wichtig. Wir haben nicht die Verbindungen, wenn es um Nationalstaaten und die Vorgänge in diesem Ökosystem geht.
0:22:58.2 Ben Morris: Wir müssen also mit dem NCSC zusammenarbeiten, um zu verstehen, ob wir ein Ziel für einen Nationalstaat sein werden, und können Sie uns unterstützen und uns die Informationen geben, die wir brauchen, um sicherzustellen, dass wir bestmöglich vorbereitet sind? Wenn es um eine Großveranstaltung in einem Land geht, arbeiten Sie oft mit diesem Cybersicherheitsspezialisten, dem NCSC, zusammen. In diesem Beispiel generieren Sie einen FRET-Bericht für das Ereignis und dann erhalten Sie die Ergebnisse daraus, die wahrscheinlichste glaubwürdige Quelle wird X sein und diese werden verwendet. Und das ist der Reaktionsplan, und das ist es, was Sie berücksichtigen müssen. So haben wir... Bei diesem dreigleisigen Ansatz gibt es lokale mit wichtigen Partnern, mehr Föderationsebene mit Peers und dann gibt es mehr Nationalstaaten, die zu dieser Zeit die lokale Regierung sind.
0:23:41.4 Ben Morris: Und alle drei Bereiche geben Ihnen ein klares Bild davon, wie die Bedrohungslandschaft derzeit aussieht. Und das ändert sich ständig. Und das ist der interessante, herausfordernde und stressige Teil der Cybersicherheit in Großbritannien. Okay, du wirst ein Ziel sein, denn du bist eines der fünf Augen. Sie werden also eine Reihe von Zielen bekommen. Aktivismus ist im Moment sehr groß, also sind das die Bereiche, die dich in Großbritannien am ehesten betreffen werden. Dann verlegen wir unsere Großveranstaltungen nach Australien. Das wird sich also wieder ändern, und danach ziehen wir wieder in die USA. Die Bedrohung ändert sich also jedes Jahr. Es ist also ein Bereich, in den man viel Zeit investieren muss, um diese Threat-Intelligence-Communities aufzubauen. Und das ist es, was ich den Zuhörern raten würde. Wenn Sie diese Bedrohungsintelligenz nicht festgelegt haben, denken Sie an diese drei Ebenen, um Ihnen zu helfen. Und das ist es, was für mich funktioniert und es ist hübsch, extrem von unschätzbarem Wert. Erklären Sie dem Vorstand die Bedrohungen, artikulieren Sie das Risiko und die Wahrscheinlichkeit, dass diese Risiken wesentlich sind, und dann die Investitionen, die Sie als Cyber-Profi tätigen müssen, um die Auswirkungen von Störungen bei einer Großveranstaltung zu verhindern und zu reduzieren.
0:24:43.0 Emily Wearmouth: Und es hat mich nur zum Nachdenken gebracht, wenn Sie sich damit beschäftigen, Ihre Pläne für den Fall, dass etwas schief geht, zu verwirklichen, beinhalten Ihre Pläne Dinge wie das Militär? Wenn Sie es mit einem Großereignis zu tun haben, würden Polizei und Militär in Ihren Plänen zur Eindämmung der Pandemie eine Rolle spielen?
0:24:56.8 Ben Morris: Die Polizei. Und zwar ganz groß.
0:24:58.3 Emily Wearmouth: Beeindruckend.
0:24:58.9 Ben Morris: Von allen acht Veranstaltungsorten gibt es also eine massive Polizeipräsenz. Sie sind in unserem Block präsent, der das wichtigste Betriebszentrum ist, sie sind überall präsent. Die Polizei ist ein entscheidender Bestandteil jedes Großereignisses in einem Land. Und das ist nicht nur das Vereinigte Königreich, das global vertreten ist, sie müssen einbezogen werden, und das tut sie sehr früh, insbesondere wenn es um Finanzierung und Vorbereitung geht. Die Polizei hat nicht unendlich viel Geld. Sie haben auch nicht unendlich viel operatives Personal. Je weiter sie also verstehen, dass ein großes Ereignis stattfinden wird. Normalerweise ist es Teil des Bewerbungsprozesses für eine Großveranstaltung. Sie würden im Rahmen des Bewerbungsverfahrens für eine laufende Großveranstaltung konsultiert werden, wie ist die Verfügbarkeit der Polizei für dieses Jahr?
0:25:35.9 Ben Morris: Und ein Teil dieser Vorbereitung umfasst auch das Home Office, wo sie das koordinieren und in der Regel einen Kommissar zuweisen, der bei der Planung hilft. Die Polizei ist also absolut entscheidend. Sie sind während des gesamten Prozesses involviert. Militär ist ein bisschen seltsam. Wenn es also ein Großereignis gibt und es einen Streik gibt oder es etwas gibt, das die Stabilität der lokalen Polizei zum Schutz der Öffentlichkeit beeinträchtigt, ist das ein sehr seltener Fall, der passieren würde. Normalerweise kommen Freiwillige aus anderen Bezirken, um diese Bandbreite zu unterstützen. Ich war noch nicht in einem Fall, in dem das Militär eingezogen wurde, aber ich verstehe, dass es in der Vergangenheit bei anderen Ereignissen der Fall war, ich denke, dass es für die britische Regierung das Worst-Case-Szenario war, das Militär einzusetzen.
0:26:18.4 Ben Morris: Sie haben nicht das Personal, sie haben nicht die Polizei zur Verfügung und dann vielleicht die Ordner vor Ort. Es gibt nicht diese private Unterstützung von Unternehmen, um das zu unterstützen. Es gibt also mehrere Entscheidungspunkte, und das läuft auf das Homeoffice hinaus. Das Home Office ist die letzte Person, die das sagen hat, und es basiert auf den operativen Risiken für die Öffentlichkeit und die Fans vor Ort und der Organisation der Großveranstaltungen. Also ja, zum Glück das Militär weniger, also die Polizei absolut. Sie sind ein entscheidender Teil dieses Prozesses.
0:26:47.3 Emily Wearmouth: Brillant. Und dann ist meine letzte Frage, du reist um die Welt. Sehen Sie signifikante Unterschiede in der Art und Weise, wie verschiedene Länder an Veranstaltungen wie Ihre herangehen, und möchten Sie bei den Veranstaltungen, die Sie veranstalten, mit Ihnen zusammenarbeiten?
0:27:01.4 Ben Morris: Ja, ich denke, wenn es darum geht, Großveranstaltungen auf der ganzen Welt zu organisieren, hat jede Region ihren eigenen Reifegrad. Wenn es um Cybersicherheit geht, sind gerade in meiner Welt einige viel ausgereifter und es ist ein angesehener Standard. Ich denke, Nordamerika ist im Moment die Blaupause, und ich denke, sie haben das Glück, dass viele ihrer Veranstaltungsorte und Stadien von Grund auf mit diesem Gedanken im Hinterkopf gebaut wurden. Ich denke, Europa ist sehr stark, wenn es um seine Standards und seine praktischen Aspekte geht. Ich habe den Auditing-Prozess rund um die physische Sicherheit erwähnt, wir sind also sehr, sehr stark, aber es sind noch viel mehr Investitionen erforderlich, wenn es um Cyber geht. Ich habe das Gefühl, dass APAC für Rugby wächst, zum Beispiel, wir sehen derzeit das größte Wachstum im Rugby in Asien. Das heißt, wenn ich das zu Leuten sage, denke ich: Wow, wirklich? Aber ja, Japan und diese Regionen, es ist gerade riesig.
0:27:49.4 Ben Morris: Und wir sehen massive Investitionen in Stadien, weil sie nicht wirklich die Infrastruktur haben, um eine Großveranstaltung aufrechtzuerhalten, und sie würden es wirklich wollen, wenn sie das irgendwann tun würden. Die erste Seite ist also die Infrastruktur und das Setup, um eine Großveranstaltung durchzuführen. Es hat sich sehr stark auf Nordamerika und Mitteleuropa konzentriert. Das ist schon sehr, sehr lange der Fall. Ich denke, es gibt wirklich Möglichkeiten in anderen Regionen, in denen sie vielleicht noch nie eine Großveranstaltung veranstaltet haben. Also bauen sie unsere eigene Infrastruktur auf, um wirklich zu modernisieren. Der Hauptunterschied besteht jedoch in der Kultur und darin, wie viel Unterstützung das lokale Land bereit ist, einer Großveranstaltung zu geben. Die Begeisterung für ein Großereignis ist die gleiche. Die Herausforderung besteht darin, dass die Infrastruktur und die Reife des Landes für ein Großereignis unterschiedlich sind. Und hier kommt meine Rolle ins Spiel, um diese Blaupausen zu erstellen. Und deshalb müssen wir als Leitungsgremien helfen, uns für das nächste große Ereignis zu stärken. Und so war es dann auch mal übertragbar, aber aus kultureller Sicht ändert sich nichts, würde ich sagen. Es ist nur eine Herausforderung, wenn es um den Reifegrad der Infrastruktur geht.
0:28:50.2 Emily Wearmouth: Sport ist also eine internationale Weltsprache, und das gilt auch für die Cybersicherheit?
0:28:55.0 Ben Morris: Nun, ja, das würde ich sagen. In den verschiedenen Stadien der gemeinsamen Sprache, und ich denke, beobachten Sie diesen Raum in den nächsten Jahren. Ich denke, der Sport wird derjenige sein, der uns wirklich aufmuntert. Und ich denke, dass der Grund dafür einfach die Übertragbarkeit und die Nachhaltigkeit des Spiels ist. Und es ist mittlerweile weltweit anerkannt, nicht nur im Sport, sondern in den meisten Sektoren, dass die Cybersicherheit eines der größten Risiken ist, auf das wir abzielen werden. Und ich denke, damit wird es jetzt als einer der Bereiche anerkannt, auf die wir uns konzentrieren müssen. Also ja, es ist eine übertragbare Sprache, weniger in anderen Regionen als in anderen, aber ich bin sicher, dass sich das ändern wird.
0:29:32.5 Emily Wearmouth: Brillant. Nun, Ben, das war absolut faszinierend. Ehrlich gesagt, ich könnte ewig mit Ihnen darüber reden und meine Schwester ist ein großer Rugby-Fan, also holen wir uns mit dieser Folge mindestens eine weitere Zuhörerin, also wird sie dieses Gespräch auch lieben. Es ist ein Gewinn. [Gelächter] Vielen Dank, dass Sie mir Ihre Zeit geschenkt haben.
0:29:51.3 Ben Morris: Vielen Dank, dass Sie mich eingeladen haben, und hoffentlich haben Ihre Zuhörer ein wenig mehr über Sport, Cybersicherheit und Austauschbarkeit gelernt. Aber ja, es ist mir ein Vergnügen, heute zu reden und ich freue mich auf viele weitere in der Zukunft.
0:30:01.0 Emily Wearmouth: Brillant. Danke, Ben. Sie haben den Podcast "Security Visionaries" gehört und ich war Ihre Gastgeberin, Emily Wearmouth. Wenn Ihnen diese Episode gefallen hat und Ihnen diese Episode definitiv gefallen hat, teilen Sie sie bitte. Folgen Sie uns auf Ihrer bevorzugten Podcast-Plattform und stellen Sie sicher, dass Sie keine Folge verpassen. Wir fangen Sie beim nächsten Mal ein.
){kind=icon}
