TORONTO, 21. September 2021 – Relay Medical Corp. (Relay oder das Unternehmen) (CSE: RELA, OTCQB: RYMDF, Frankfurt: EIY2) freut sich, eine Aufzeichnung des jüngsten Webinars mit dem Titel State of Cybersecurity Industry – The Roots of SBoM mit den Hauptrednern Kate Stewart, Steve Springett und Chris Blask, VP of Strategy bei Relay, zur Verfügung zu stellen. Für Relay ist es das zweite einer ganzen Reihe von Webinaren. Die Diskussionsteilnehmer erörterten wichtige Fragen zur Cybersicherheit und setzten sich auch mit der aktuellen Durchführungsverordnung (Executive Order/EO) der Regierung Biden zur Verbesserung der bundesweiten Cybersicherheit auseinander. Die National Telecommunications and Information Administration (NTIA) wurde dabei mit der Festlegung von Sicherheitsstandards einschließlich der Definition von SBoMs beauftragt.
Zu den namhaften Teilnehmern zählten auch:
– Allan Friedman, ehemals Director of Cybersecurity Initiatives bei der NTIA im US-Handelsministerium
– Tom Alrich, derzeit als Co-Leader des Energy Sector SBoM Proof of Concept in der NTIA verantwortlich
Vergangene Woche veranstaltete Relay ein Live-Webinar mit drei führenden Experten im Bereich Cybersicherheit: Kate Stewart, Steve Springett und Chris Blask. Kate Stewart ist Vice President of Dependable Embedded Systems bei der Linux Foundation. Sie gilt als renommierte Innovatorin und führende Entwicklerin von Systemsoftware und Anwendungstools und zählt zum ursprünglichen Gründungsteam des Standardformats Software Package Data eXchange (SPDX). An ihrer Seite: Steve Springett, Chair der Core Working Group zum SBoM-Standard CycloneDX, der sich international als führender Experte für defensives Design, Programmierung und Automatisierung einen Namen gemacht hat. Wieder mit dabei auch Chris Blask, Vice President of Strategy bei Relay und ebenfalls ein angesehener Meinungsbildner, der als innovativer Erfinder an der Entwicklung von Digital Bill of Materials (DBoM), eines der ersten kommerziellen Firewall-Produkte, beteiligt war. Die Podiumsdiskussion wurde vom Branchenexperten Evgeniy Kharam, Co-Moderator des Security Architecture Podcast, moderiert.
Unter den einflussreichen Teilnehmern war auch Allan Friedman, den viele als Vater des SBoM-Konzepts betrachten, weil er das Konzept in die NTIA einbrachte. Als die Diskussionsteilnehmer während der Veranstaltung gefragt wurden, ob SBoMs von Angreifern für die Vorbereitung eines Angriffs genutzt werden könnten, brachte er das Argument der Roadmap für den Angreifer. Allan Friedman ist derzeit bei der Cybersecurity and Infrastructure Security Agency als Senior Advisor und Stratege verantwortlich. Davor beriet er Präsident Joe Biden bei der Erstellung der Durchführungsverordnung www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
, bei der es auch um die Implementierung der SBoM ging.
Richard Brooks, Senior Consultant und Mitbegründer der Firma Reliable Energy Analytics LLC, meinte: Ich finde die Unterstützung der Community von SPDX und CycloneDX großartig; aus diesem Grund bin ich auch optimistisch, dass SBoM ein Erfolg werden wird.
Tom Alrich, seines Zeichens Co-Leader des Energy Sector SBoM Proof of Concept in der National Technology and Information Administration des US-Handelsministeriums, bejahte mit dem Satz Der Konzeptnachweis für das Gesundheitswesen ist nach wie vor im Gange als Chris Blask die Frage aus dem Publikum in Bezug auf die Relevanz des Themas für Medizintechnik und Pharma beantwortete. Chris Blask sagte: Im medizinischen Bereich gab es ein Proof of Concept-Verfahren, wo das Handelsministerium, die National Telecommunications and Information Center Administration (NTIA), vor eineinhalb Jahren mit der Community zusammengearbeitet hat, um SBoMs bereitzustellen. Und wie bei jeder anderen kritischen Infrastruktur würden wir erwarten, dass das Gesundheitswesen mit dem Markt Schritt hält oder ihm sogar voraus ist. Ich kann mir vorstellen, dass das Gesundheitswesen zu den ersten Anwendern gehört.
Steve Springett beantwortete die Frage von Duncan Sparell, einem Mitglied der Software Component Transparency Working Group der NTIA, der Folgendes wissen wollte: Zugegebenermaßen haben viele Softwareprojekte noch keine SBoMs, einige aber schon. Könnte uns jeder der Sprecher mitteilen, wie viele SBoMs bereits existieren und einige Beispiele von SBoMs nennen, die ihnen bekannt sind? Steve Springett erklärte: Die Frage, welche Projekte tatsächlich von SBoMs profitieren, ist recht vielschichtig. Beispielsweise ist das offene Java Development Kit (JDK) gerade dabei, SBoMs zu erstellen, und es gibt einige andere große bibliotheksähnliche Projekte, also Software Development Kit-Projekte (SDKs), die sich ebenfalls mit einer Aufnahme befassen, was ich toll finde. Betrachtet man jedoch einzelne Bibliotheken, dann stellt sich die Frage, ob es Sinn macht, diese mit SBoMs auszustatten. In der Realität sieht es so aus, dass bei der Wiederverwendung dieser Komponenten in der eigenen Anwendung der Abhängigkeitsgraph erst im Lebenszyklus des eigenen Builds vollständig aufgelöst wird. Für diese Projekte lohnt es sich deutlich weniger, SBoMs anzuschaffen, während bei anderen Projekten SBoMs einen weitaus größeren Nutzen bringen.
Die Aufzeichnung ist im Youtube-Kanal des Unternehmens verfügbar:
www.youtube.com/watch?v=jlWPPNuCZTQ&t=740s
Wichtigste Fragen und Antworten
Warum brauchen wir SBoM und wozu? (Zeitstempel 2:42)
Antwort von Kate Stewart: Mit der Software Bill of Materials beschreibt man, was in der betreffenden Software und in den Systemen enthalten ist. Sie erklärt uns, welche Softwareteile verwendet werden, in welcher Beziehung sie zueinander stehen und welche Quelldateien eine Komponente ausmachen. All das sind Informationen in einer Software Bill of Material, die wir benötigen, um den Aufbau zu kennen. Sobald hier eine entsprechende Transparenz gegeben ist, können wir die Automatisierung einrichten, um anstelle der manuellen Kontrolle eine richtige Überwachung zu ermöglichen.
Welche Beispiele aus der Praxis gibt es für SBoM-Implementierungen? (Zeitstempel 5:31)
Antwort von Steve Springett: Der wichtigste Anwendungsfall, der die SBoM zu einem so brandheißen Thema macht, ist aus meiner Sicht in der Möglichkeit, Schwachstellen in der von uns verwendeten Software zu erkennen. Dabei kann es sich um Software wie einen Microservice, einen IoT-Toaster oder eine andere beliebige Software handeln, die jedenfalls Komponenten von Drittanbietern enthält. Auf diesen Baublöcken errichten wir dann die Software, da der Aufbau einer Software von Grund auf ziemlich teuer ist. Wenn wir also Komponenten wiederverwenden, übernehmen wir die Verantwortung für einen Code, den wir nicht selbst geschrieben haben. Aus diesem Grund ist es wichtig, genau sagen zu können, welches Inventar quasi vorhanden ist, wie der Name und die Version dieser Komponenten lautet, woher diese Software stammt und wie sie möglicherweise aufgebaut ist. Damit kann man verschiedene Arten von Analysen des Stammbaums und der Herkunft durchführen und die unterschiedlichen Modifizierungsarten nachvollziehen, die vorgenommen wurden. Wir sind nun endlich in der Lage, folgende Fragen zu beantworten: Wer hat was geschrieben? Was ist in diesem Code enthalten? Wer hat ihn gemacht? Habe ich diesen Code aus einem Land erhalten, mit dem mein Land nicht einverstanden ist? Neben den Schwachstellen, die den eigentlichen Hauptgrund der Einführung der SBoM darstellen, sind all diese unterschiedlichen Anwendungsfälle extrem interessant.
Antwort von Kate Stewart: Darauf sind wir zum Beispiel bei Amnesia 33 gestoßen, wo wir uns bis zur Ebene der Quelldateien vorarbeiten mussten, um herauszufinden, ob wir von bestimmten Dingen betroffen sind. Was mich an der Automatisierung unter anderem begeistert hat, ist die Möglichkeit, diese Informationen automatisch zu übermitteln. Mit dieser Thematik im Hinblick auf Vex und die Mitteilung von Schlüsselschwachstellen ist derzeit die CSAF-Gruppe (Common Security Advisory Framework) befasst.
Können SBoMs von Angreifern für die Vorbereitung eines Angriffs genutzt werden? (Zeitstempel 13:36)
Antwort von Chris Blask: Die kurze Antwort ist nein, aber hier müssen wir auf die allererste Frage in puncto Sicherheit eingehen. Wenn wir damit beginnen, diese Informationen aufzuschreiben, bedeutet das dann nicht auch, dass all unsere Feinde auf die gesamte Information zugreifen können? Jeder, der im Bereich Sicherheit arbeitet, weiß, die Antwort darauf lautet es kommt darauf an. Wenn man Software besitzt, die in hohem Maße urheberrechtlich geschützt oder anfällig ist, und wenn man nicht will, dass sie in die Hände von Bösewichten oder Konkurrenten fällt, dann sollte man in der Lage sein, sie mit Hilfe der bestehenden operativen Abläufe und der verfügbaren Technologien zu schützen. Wenn man sich jedoch die einzelnen Schritte ansieht, die mit Cyber-Mitteln verbessert bzw. repliziert werden sollen, dann stellt man fest, dass die Unternehmen, die diese Informationen austauschen, in den meisten Fällen Mechanismen zum Schutz dieser Informationen verwenden, die möglicherweise für einen sicheren Austausch nicht ausreichen oder nicht geeignet sind, und dass die verwendeten Prozesse im Einzelfall möglicherweise nicht so sicher sind, wie man eigentlich dachte.
Einwurf von Evgeniy Kharam: Der Anbieter ist somit gezwungen, bessere Bibliotheken und bessere Versionen anzuschaffen bzw. für bessere Programmierkenntnisse zu sorgen, um potenziell anfällige Bibliotheken auszuklammern.
Hilft die SBoM dem Käufer oder dem Produktentwickler? (Zeitstempel 19:28)
Antwort von Kate Stewart: Die kurze Antwort ist, sie hilft beiden. Für den Käufer wird damit das Risiko bestimmter Komponenten transparent, er weiß also genau, was er kauft. Dazu zählt natürlich auch, dass man weiß, wovon das angekaufte Softwareprodukt möglicherweise abhängt. Damit ist eine Risikobewertung und Risikominderung möglich. Wenn man als Hersteller innerhalb der Lieferkette Komponenten von Drittanbietern bündelt und weiterverkauft, für die man standardmäßig die Verantwortung übernimmt, dann sind SBoMs ein sehr nützliches Instrument zur Risikoanalyse und helfen bei der Einhaltung und Erstellung von Richtlinien. Manchmal kommt von der Rechtsabteilung die Warnung, unter bestimmten Lizenzen diverse Komponenten nicht einzubauen, weil sie bekanntlich mit großen Risiken verbunden sind und es bessere Lösungen gibt. Sobald wir SBoMs auf eine Art und Weise austauschen können, der jeder vertraut – ähnlich wie das bei DBoM der Fall ist -, ist eine Automatisierung auch bei Unternehmen möglich, die Open-Source-Komponenten einbauen, und die Richtlinien anderer Anbieter können standardisiert und abgeglichen werden. Aus Sicht des Käufers können solche Dinge das Risiko verringern.
Könnte man mit SBoM Risiken in der Software-Lieferkette eliminieren oder reduzieren? (Zeitstempel 32:50)
Antwort von Chris Blask: Im Zuge der fortschreitenden Akzeptanz von SBoM werden Firmen in der Lage sein, Vertragsklauseln einzuführen, die es ihnen ermöglichen, Bedingungen festzulegen, unter denen Informationen zur Verfügung gestellt werden. Das klassische Beispiel ist eine Vertragsklausel, die besagt, dass ein Verkäufer eine SBoM ganz oder teilweise zur Verfügung stellt, wenn eine Schwachstelle von einer seriösen Quelle entdeckt und später veröffentlicht wird, die sich auf ein erworbenes Produkt auswirken kann. Das hat mehrere Vorteile. Die Reparatur einer neuen Schwachstelle kann von den Kosten her erheblich günstiger ausfallen, und man benötigt deutlich weniger Zeit für die Problembehebung. Wichtig ist vor allem, dass die Anbieter die Kontrolle über ihr geistiges Eigentum deutlicher zum Ausdruck bringen können und besser in der Lage sind festzustellen, ob diese Kontrolle beeinträchtigt wurde. Solche Informationen werden heute größtenteils ad hoc zwischen Einzelpersonen in Partnerunternehmen ausgetauscht, über verschiedenste Kanäle, wie z. B. E-Mails, was mitunter teuer ist oder wo eine Rückverfolgung unmöglich ist. Diese Aspekte von SBoM und Systemen wie Cybeats sind notwendig, um SBoM zu unterstützen, was tendenziell zu Kostensenkungen und Effizienzsteigerungen an verschiedenen Punkten bzw. in den Lieferketten führen wird. Daraus ergeben sich Wettbewerbsvorteile für jene Unternehmen, die diese Tools frühzeitig und effektiv einsetzen.
Antwort von Kate Stewart: Man muss in der Lage sein, die Software, die man hat, klar zu beschreiben. Man muss sich auch darüber im Klaren sein, welche Auswirkungen eine Lizenzierung hat, was passiert, wenn Probleme entdeckt werden. Man muss Fragen wie Brauchen wir Updates? beantworten können. Das sind reale Dinge und die Leute müssen hier in der Lage sein zu agieren. Es ist also ein großer Pluspunkt, wenn es hier Vereinfachungen gibt.
Wo sehen Sie die SBoM in 5 Jahren? (Zeitstempel 44:45)
Antwort von Chris Blask: In fünf Jahren wird die SBoM aus meiner Sicht überall eingebaut werden. Wenn man Software herstellt, bei der keine SBoM erstellt wird, dann geht es dabei vermutlich um keine interessanten Sachen und man wird mit Sicherheit kaum RFP-Anfragen im Rahmen von Regierungsausschreibungen erhalten. Wenn man als Konsument in einem Unternehmen tätig ist, das für die Wirtschaft oder den Nationalstaat von hoher Relevanz ist, dann muss man sich wahrscheinlich nicht erst mit der Nutzung der SBoM vertraut machen, sondern man nutzt sie bereits. Sie sollte ein Teil des Beschaffungswesens, der Sicherheitsmaßnahmen und auch aller anderen Abläufe sein.
Wenn Sie über weitere virtuelle Veranstaltungen von Cybeats informiert werden möchten, dann abonnieren Sie bitte den Youtube-Kanal
www.youtube.com/channel/UCqtoSrovJvXcIJZz9uRxXbg
Aktuelle News: Relay unterzeichnet Vereinbarung mit dem globalen IT-Lösungsentwickler Unisys (NYSE: UIS) www.nyse.com/quote/XNYS:UIS
zur Vermarktung einer kombinierten Lösung für die Bereiche COVID-19 und Biosicherheit:
bit.ly/3AqDI0h
REGISTRIERUNG: Für weitere Informationen über Relay oder um sich auf der Mailingliste des Unternehmens registrieren zu lassen, besuchen Sie bitte www.relaymedical.com/news
Über Relay Medical Corp.
Relay Medical ist ein Technologie-Innovator mit Sitz in Toronto (Kanada), dessen Hauptaugenmerk auf die Entwicklung neuer Lösungen in den Bereichen Diagnostik, KI-Datenanalyse und IoT-Sicherheit gerichtet ist.
Internet: www.relaymedical.com
Kontakt:
Destine Lee
Media & Communications
Relay Medical Corp.
Büro: 647-872-9982
Gebührenfreie Rufnummer: 1-844-247-6633
Medienanfragen: media@relaymedical.com
Investor Relations: investor.relations@relaymedical.com
Bernhard Langer
EU Investor Relations
Büro: +49 (0) 177 774 2314
E-Mail: blanger@relaymedical.com
Vorsorglicher Hinweis bezüglich zukunftsgerichteter Informationen
Abgesehen von Aussagen zu historischen Tatsachen enthält diese Pressemitteilung bestimmte zukunftsgerichtete Informationen im Sinne der einschlägigen Wertpapiergesetze. Zukunftsgerichtete Informationen erkennt man häufig anhand von Begriffen wie planen”, erwarten”, prognostizieren, beabsichtigen, glauben, vorhersehen, schätzen und an anderen ähnlichen Wörtern oder Aussagen darüber, dass bestimmte Ereignisse oder Bedingungen eintreten können oder werden. Zukunftsgerichtete Aussagen basieren auf den Meinungen und Schätzungen zum Zeitpunkt der Äußerung dieser Aussagen und unterliegen einer Reihe von Risiken und Ungewissheiten sowie anderen Faktoren, die dazu führen könnten, dass sich die tatsächlichen Ereignisse oder Ergebnisse erheblich von jenen in den zukunftsgerichteten Informationen unterscheiden. Dazu zählen unter anderem auch Verzögerungen oder Unsicherheiten bei den behördlichen Genehmigungen, wie z.B. durch die CSE. Zukunftsgerichtete Informationen enthalten typischerweise Unsicherheiten, wie etwa auch Faktoren, auf die das Unternehmen keinen Einfluss hat. Es gibt keine Gewähr dafür, dass die in dieser Pressemeldung beschriebenen Vermarktungspläne für die Technologie tatsächlich zu den hier dargelegten Bedingungen und in dem hier dargelegten zeitlichen Rahmen in Kraft treten werden. Das Unternehmen ist nicht verpflichtet, zukunftsgerichtete Informationen zu aktualisieren, falls sich die Umstände oder die Schätzungen oder Meinungen des Managements ändern sollten, es sei denn, dies wird in den entsprechenden Gesetzen gefordert. Den Lesern wird empfohlen, sich nicht vorbehaltslos auf zukunftsgerichtete Aussagen zu verlassen. Weitere Informationen über Risiken und Unsicherheiten, welche die Finanzergebnisse beeinflussen könnten, sind in den Unterlagen enthalten, die das Unternehmen bei den kanadischen Wertpapierbehörden einreicht und die unter www.sedar.com veröffentlicht werden.
Die Ausgangssprache (in der Regel Englisch), in der der Originaltext veröffentlicht wird, ist die offizielle, autorisierte und rechtsgültige Version. Diese Übersetzung wird zur besseren Verständigung mitgeliefert. Die deutschsprachige Fassung kann gekürzt oder zusammengefasst sein. Es wird keine Verantwortung oder Haftung für den Inhalt, die Richtigkeit, die Angemessenheit oder die Genauigkeit dieser Übersetzung übernommen. Aus Sicht des Übersetzers stellt die Meldung keine Kauf- oder Verkaufsempfehlung dar! Bitte beachten Sie die englische Originalmeldung auf www.sedar.com, www.sec.gov, www.asx.com.au/ oder auf der Firmenwebsite!
Verantwortlicher für diese Pressemitteilung:
Relay Medical Corp.
Yoav Raiter
65 International Blvd, Suite 202
M9W 6L9 Etobicoke, ON
Kanada
email : info@relaymedical.com
Pressekontakt:
Relay Medical Corp.
Yoav Raiter
65 International Blvd, Suite 202
M9W 6L9 Etobicoke, ON
email : info@relaymedical.com