Wie Sie Ihr Film- und Fernsehproduktionsunternehmen schützen können. Sicherheitstipps.

Es ist kein Geheimnis, dass die Häufigkeit und Schwere von Cyberangriffen in einem breiten Spektrum von Branchen zugenommen hat. Die viel zitierte IBM-Studie Kosten einer Datenpanne Bericht für das Jahr 2022 zeigt, dass mehr als 80 Prozent aller Unternehmen zu irgendeinem Zeitpunkt von einem Datenschutzverletzung.

Die durchschnittlichen Kosten einer Datenschutzverletzung für ein US-Unternehmen, laut demselben Bericht? $9,44 Millionen.

Und die Medienbranche ist da keine Ausnahme. Zuerst gab es 2014 den Hack von Sony Pictures. Dann wurden Netflix und HBO im Jahr 2017 angegriffen. Die Cox Media Group, die mit großen US-Sendern wie NBC und CBS zusammenarbeitet, und der Videospielentwickler CD Projekt Red wurden im vergangenen Jahr Opfer von Ransomware-Angriffen.

Jedes Unternehmen, das Vorabversionen und andere wertvolle Inhalte hostet, ist ein potenzielles Ziel für Datenschutzverletzungen, Datenexfiltration, Ransomware und andere Cyberangriffe. Und die Kosten für den Ruf eines Produktionsunternehmens im Falle eines Verstoßes können verheerend sein.

Hier sind einige Tipps und Sicherheitsrichtlinien für Film- und Fernsehproduktionen die Sie für Ihre nächste Produktion in Betracht ziehen sollten.

Physische Produktionssicherheit

Die Sicherheit der Filmproduktion sollte Elemente der physischen Sicherheit umfassen die in anderen Einrichtungen, in denen wertvolles geistiges Eigentum (IP) untergebracht ist, üblich sind. Dazu gehören in der Regel eine gesicherte Einrichtung, die Schlüsselanhänger oder Ausweise für den Zugang erfordert, Überwachungskameras und strenge Regeln für das Mitbringen externer Hardware oder mobiler Geräte ins Gebäude.

Nach Angaben der CDSAZu den spezifischen Elementen der physischen Produktionssicherheit gehören:

1. Sichere Abgrenzungen

Ihr Sicherheitsbereich sollte über mehrere Schutzmechanismen verfügen, z. B. Überwachungskameras, automatische Zugangskontrollen und Schlüsselanhänger/Badges sowie klar definierte Besuchsverfahren.

Sicherheitspersonal kann je nach Risikograd sinnvoll sein, muss aber den Sicherheitsanforderungen für Dritte entsprechen. Ein Perimeter Intrusion Detection System (PIDS) kann Verletzungen des Perimeters erkennen.

2. Klar definierte Rollen und Verantwortlichkeiten

Während alle Mitarbeiter die für ihre Aufgaben relevanten Sicherheitsverfahren durch Schulungen zum Sicherheitsbewusstsein kennen sollten, sollten die Produktionsstätten ein vertrauenswürdiges Team mit den entsprechenden Fähigkeiten und Kenntnissen für die allgemeine Sicherheit der Inhalte einsetzen.

In jeder Abteilung sollte es eine Person geben, die für die Sicherheitspolitik und -verfahren verantwortlich ist. Dokumentieren Sie deren (und anderer) Rollen und Verantwortlichkeiten.

3. Vertraue, aber überprüfe (deine Mitarbeiter und Auftragnehmer)

Führen Sie Hintergrundprüfungen für alle Mitarbeiter und Drittanbieter durch, einschließlich Identitätsnachweis, Arbeitszeugnisse und persönliche Referenzen sowie Überprüfung der beruflichen Qualifikationen.

Drittunternehmen sollten vertragliche Garantien bezüglich ihrer Sicherheitsschulungen und -richtlinien geben. Achten Sie darauf, dass die Sicherheitsanforderungen in den Verträgen mit Mitarbeitern und Dritten hervorgehoben werden.

4. Interne Bereiche sichern

Alle internen Bereiche mit Zugang zur Produktionsumgebung und zum IP-Speicher müssen durch Überwachung und Zugangsbeschränkung zusätzlich physisch geschützt werden. Alle Vermögenswerte innerhalb des Produktionsbüros, wie Skripte, Laufwerke und Kamerakarten, müssen sicher aufbewahrt und idealerweise per CCTV überwacht werden.

Führen Sie detaillierte Zugriffsprotokolle darüber, wer wann auf welche Medien zugegriffen hat.

5. Sichere Geräte

Alle persönlichen und mobilen Geräte (von Mobiltelefonen bis zu Laptops) müssen mit starken Passwörtern und Fernüberwachungssoftware geschützt und in einem Tresor, Safe oder Aktenschrank eingeschlossen werden.

Asset Management Produktionssicherheit (wer hat wann Zugriff auf was)

Die Content Delivery & Security Association (CDSA) listet anlagenbezogene Sicherheitsrichtlinien für Film- und Fernsehproduktionen auf, die auf den oben genannten Sicherheitsrichtlinien für Filmproduktionen aufbauen. Dazu gehören:

1. Systeme zur Vermögensverwaltung

Die Produktionseinrichtungen müssen einen transparenten Asset-Management-Prozess einführen, der eine überprüfbare Überwachungskette für die Inhalte sowie ein Register zur Dokumentation der Erstellung/Registrierung, des Standorts, der Bewegungen und der Vernichtung von Medien umfasst.

Die Vernichtung von Inhalten und die Wiederverwertung von Beständen müssen dokumentiert werden, einschließlich eines Vernichtungszertifikats, falls dies durch Dritte erfolgt, und sollten den Best Practices des National Institute of Standards and Technology (NIST) für die Mediensanierung (SP 800-88) entsprechen.

2. Vertraulichkeitsvereinbarungen (NDAs)

Alle Produktionsmitarbeiter und Auftragnehmer sollten NDAs und zusätzliche Vereinbarungen (falls erforderlich) unterzeichnen, um interne und vertrauliche Informationen nicht mit anderen zu teilen. In den NDAs sollten die Konsequenzen für die unbefugte Weitergabe vertraulicher Informationen dargelegt werden.

NDAs können potenziellen Mitarbeitern und Auftragnehmern bei ihren Hintergrundprüfungen vorgelegt werden und können direkt in Arbeitsverträge aufgenommen werden.

3. Zugang zu den Medien

Jeglicher Zugang zu Safes, Tresoren, Schränken und anderen Aufbewahrungsorten, die sensible Informationen enthalten (einschließlich On-Premise-Server oder Cloud-Speicher) oder Geräte dürfen nur von zugelassenem Personal benutzt werden. Autorisiertes Personal sollte über individuelle Zugangscodes verfügen.

Die Codes sollten geändert werden, wenn die Mitarbeiter das Projekt oder die Organisation durchlaufen.

4. Versandmedien

Der Versand von Medien auf einer Festplatte kann riskant sein; Eigentümern von Inhalten wird geraten große Dateien senden mit sichere, cloudbasierte Lösungen für die Übertragung großer Dateien. Aber wenn die Medien physisch versandtalle Inhalte der Tageszeitungen auf verschlüsselten und passwortgeschützten Laufwerken in verschlossenen Koffern und manipulationssicheren Verpackungen zu speichern.

Auf dem Etikett dürfen keine Projektinformationen oder Titel aufgeführt sein, und die Kuriere dürfen keinen Zugang zu den Medien haben.

Kurierdienste sollten angemessen versichert sein und über klar definierte und überwachte Abhol- und Ablieferungsorte verfügen.

Sicherheit der virtuellen Datenproduktion (Dateiübertragung, Verschlüsselung, Cloud-Speicher usw.)

Während diese physischen Sicherheitsmaßnahmen unerlässlich sind, bedeutet die Realität von Cloud-basierten Medien-Workflows die Sicherheit aus der Ferne ist jetzt genauso wichtig wie die physische Sicherheit Ihrer Einrichtung.

Es kann jedoch schwierig sein, die gleiche Dichtheit wie bei sicheren Einrichtungen zu gewährleisten, insbesondere wenn man mit Mitarbeitern, Partnern oder Kunden arbeitet, die über die ganze Welt verteilt sind und verschiedene Anwendungen und Wi-Fi-Netzwerke nutzen.

Neue Ansätze, von denen viele bereits vor der Revolution der Fernarbeit in der Filmindustrie entwickelt wurden, sind nun erforderlich, um die Produktionsabläufe zu sichern.

MovieLabseine gemeinnützige Organisation, die von großen Studios wie Disney, Paramount und Warner Bros. gegründet wurde, hat im Rahmen ihrer Initiative "2030 Vision" sechs übergreifende Sicherheitsprinzipien für die moderne Videoproduktion festgelegt, darunter das Konzept der "Security by Design".

Zu den konkreten Schritten, die Unternehmen unternehmen können, um diese und andere bewährte Sicherheitsverfahren zu erfüllen, gehören:

1. Sichere entfernte Endpunkte und Verbindungspunkte

Es ist wichtig, alle Fernzugriffspunkte auf Ihr System zu sperren - auch diejenigen, die Ihnen (noch) nicht bekannt sind. Als Filmeditor Jonny Elwyn sagt,

"Es hat keinen Sinn, alle Türen dreifach zu verriegeln, wenn man das Fenster offen lässt."

Dies bedeutet, dass die Sicherheit des Wi-Fi-Netzes jedes Partners oder Mitarbeiters gewährleistet werden muss und dass sichere Anwendungen mit Verschlüsselung verwendet werden müssen, wie z. B. die PC-over-IP-Technologie (PCoIP) von Teradici für sichere virtuelle Desktops. Organisationen können auch virtuelle private Netzwerke (VPNs) verwenden, um eine sichere Verbindung herzustellen, obwohl es erwähnenswert ist, dass VPNs mehrere gut dokumentierte Sicherheitslücken.

Die Sicherung Ihrer Remote-Verbindungen bedeutet auch, dass Mitarbeiter und Kollegen immer darauf achten müssen, was sie über Remote-Collaboration-Anwendungen wie Slack oder Google Meet.

Für alle Dateien, die mit IP-basierten Methoden übertragen werden, sollte eine sichere Dateifreigabelösung verwendet werden.

Auch Remote-Hardware muss gesichert werden - vor allem im Zeitalter von Bring-your-own-device (BYOD) und der Verbreitung von persönlichen Geräten, die für Remote-Arbeit verwendet werden. Sie können dieses Risiko durch Sicherheitsschulungen mindern, indem Sie sicherstellen, dass Ihre Mitarbeiter über aktuelle Endpunktschutzsoftware verfügen, oder indem Sie eine sichere virtuelle Desktop-Infrastruktur verwenden.

2. Einführung eines Zero-Trust-Sicherheitsrahmens

Zero-Trust-Sicherheitsframeworks umgehen die traditionellen, auf dem Perimeter basierenden IT-Sicherheitsmodelle, die standardmäßig jedem Benutzer vertrauen, sobald er den Perimeter betreten hat. Bei diesem Ansatz erhalten Benutzer nur Zugriff auf die Ressourcen, Anwendungen oder Daten, die sie benötigen - und nicht mehr.

Das bedeutet, dass Angreifer, selbst wenn sie die erste Verteidigungslinie eines Systems durchdringen, nicht frei herumlaufen können und ständig herausgefordert werden - selbst wenn sie sich in Ihrem System befinden -, wenn sie versuchen, auf zusätzliche Ressourcen zuzugreifen.

Zero-Trust-Architekturen umfassen in der Regel eine automatische Netzwerküberwachung für Sicherheitswarnungen in Echtzeit. Sie verfügen auch über eine Multi-Faktor-Authentifizierung (MFA) und andere Identifizierungs- und Zugriffsverwaltungskontrollen, wie z. B. Geräteauthentifizierung und ständige Überprüfung aller Zugriffssubjekte (egal ob es sich um eine Person, ein Gerät oder eine Anwendung handelt).

3. Wasserzeichen, Verschlüsselung und Nachverfolgung Ihrer Medien

Sichtbare und unsichtbare Wasserzeichen auf jedem Datenträger sind zwar kein neues Sicherheitskonzept, aber dennoch wertvoll.

Wasserzeichen oder Datei-Fingerprinting kann von unschätzbarem Wert sein, wenn jemand Ihre Datenträger stiehlt oder durchsickern lässt oder Sie eine forensische Analyse durchführen müssen.

Sie sollten auch die Bewegung jedes Mediums durch Ihre Systeme und die Systeme anderer mit Hilfe von Software für die Verwahrkette nachverfolgen, die den Standort eines Objekts, jeden anderen Ort, an dem es sich seit der Erstellung/Abholung befunden hat, und alle Änderungen, die daran vorgenommen wurden, erfasst.

Ohne eine strenge Aufbewahrungskette ist es viel schwieriger herauszufinden, was passiert ist, wenn Ihre Vermögenswerte verlegt werden oder Unbefugte darauf zugreifen.

Schließlich müssen Sie sicherstellen, dass Sie Verschlüsseln Sie Ihre Medien während des Flugs und im Ruhezustandvorzugsweise mit starker Verschlüsselung wie Advanced Encryption Standard (AES) 256 oder Transport Layer Security (TLS).

4. Durchführung regelmäßiger, fortlaufender Schulungen zum Thema Sicherheit

Jeder IT-Sicherheitsexperte wird Ihnen sagen, dass der Mensch in der Regel das schwächste Glied in der IT-Sicherheitskette ist. Auch wenn wir alle gerne glauben, dass wir es nicht sind, sind Menschen generell anfällig für Social-Engineering-Angriffe wie Phishing, Spear-Phishing, Köder und Scareware.

Deshalb sind regelmäßige Schulungen zum Sicherheitsbewusstsein, die bewährte Verfahren im Auge behalten und die Benutzer über neue Bedrohungen aufklären, ein Muss für jedes Unternehmen. Aber eine einstündige Schulung pro Jahr reicht oft nicht aus. Versuchen Sie, eine Sicherheitslösung zu wählen, die regelmäßige Schulungen und Tests für Mitarbeiter über das ganze Jahr hinweg beinhaltet.

5. Durchführung regelmäßiger, laufender Bedrohungsbewertungen

Bedrohungsanalysen (Threat Assessments, TAs) sind eine uralte IT-Sicherheitspraxis, die nie aus der Mode gekommen ist. Das liegt daran, dass die Durchführung einer TA dazu beiträgt, Lücken in Ihrer aktuellen Sicherheitslage zu erkennen, bevor es böse Akteure tun.

Regelmäßige, fortlaufende TAs und Schwachstellen-Scans stellen sicher, dass Ihre aktuellen Maßnahmen wirksam sind, und helfen Ihnen, fundierte Entscheidungen in Bezug auf Sicherheit, Kosten und Leistung zu treffen.

Die Medien- und Unterhaltungsbranche kann über die Motion Picture Association eine TA von Dritten erhalten. Vertrauenswürdiges Partner-Netzwerk (TPN) - MASV hat dies im letzten Jahr getan und den Gold Shield Status erhalten, mit dem Ihr System bewertet wird, um sicherzustellen, dass Sie auf dem neuesten Stand der besten Praktiken und Anforderungen im Bereich der Cybersicherheit sind.

Sicherheitserwägungen für verschiedene Phasen der Produktion (vor, während und nach der Produktion)

Nachdem Sie nun eine bessere Vorstellung von den verschiedenen Formen der Sicherheit bei der Filmproduktion haben, hier ein kurzer Überblick über die verschiedenen Phasen der Produktion:

Vorproduktion

• Beurteilen Sie die mit dem Drehort verbundenen Risiken. Drehen Sie zum Beispiel an einem großen öffentlichen Platz? Können Unbeteiligte Ihre Produktion aufnehmen?
• Vollständige Überprüfung des Hintergrunds der Mitarbeiter; Auswahl von Anbietern mit geeigneten Sicherheitsmaßnahmen und/oder Zertifizierungen.
• Verwendung sicherer und verschlüsselter Cloud-Tools für die gemeinsame Nutzung/Überprüfung von Inhalten (Storyboards, Previs-Material usw.)
• Verwalten Sie Berechtigungen und die Nachverfolgung häufig gemeinsam genutzter Inhalte wie Skripte; betten Sie Wasserzeichen ein, um eine Nachweiskette zu erstellen.

Produktion

• Stellen Sie einen Sicherheitsdienst ein, der den Verkehr zwischen den Personen am Drehort regelt; installieren Sie CCTV und Anhänger zur Überwachung der Aktivitäten.
• Definieren Sie spezifische Rollen und Zuständigkeiten für jeden Mitarbeiter; gewähren Sie nur denjenigen Zugang zu wichtigen Anlagen/Standorten, die ihn benötigen.
• Veranlassen Sie, dass jeder am Drehort ein Sicherheitstraining absolviert, um die Wahrscheinlichkeit eines Risikos zu verringern.
• Führen Sie ein geschlossenes Wi-Fi-Netz ein und schaffen Sie geschlossene Räume, in denen die Mitarbeiter ihre Geräte sichern können.
• Lassen Sie Produktionshardware wie RAID-Speicher vor Ort und Kamerakarten nicht unbeaufsichtigt, DIT-Anlagenund Wiedergabemonitore.
• Wenn Versandmedien vom Standort aus, vergewissern Sie sich, dass es sich um ein seriöses Versandunternehmen handelt, schließen Sie eine Versicherung gegen Verlust/Beschädigung ab und führen Sie ein detailliertes Protokoll über die Versanddaten (Frachtbrief, Übergabeort, Lieferdatum usw.).
• Verwenden Sie eine sichere, verschlüsselte Dateiübertragungslösung, wenn Sie Dateien weitergeben (an Postproduktionsteams, zur Überprüfung und Genehmigung usw.).
• Verwenden Sie eine Dateiübertragungslösung, die große Dateien übertragen kann, um eine Aufteilung der Dateien zu vermeiden (Verringerung der Anzahl der Dateien im Umlauf).

Postproduktion

• Stellen Sie sicher, dass alle Mitarbeiter eine Sicherheitsschulung absolviert haben.
• Führen Sie Buch über die Anzahl der Mitarbeiter und ihrer Geräte; weisen Sie einen bestimmten Raum/Gerät für ein bestimmtes Projekt zu (z. B. einen einzigen Raum für die Farbkorrektur, mit begrenztem Zugang zum Raum).
• Sicherer Zugang zur Postproduktionsanlage und zu wichtigen Bereichen (z. B. Serverraum usw.).
• Wenn die Mitarbeiter aus der Ferne arbeiten, sollten Sie ihre physische Sicherheitssituation berücksichtigen (wie viele Personen teilen sich den Raum, sind die Geräte passwortgeschützt usw.).
• Legen Sie Regeln dafür fest, was in virtuellen Sitzungen besprochen werden kann und was nicht.
• Beschränken Sie die Verwendung von Remote-Software wie VPN oder virtuellen Desktops.
• Beschaffen Sie Cloud-Tools mit zertifizierten Sicherheitszertifikaten wie ISO 27001. Suchen Sie nach Tools mit Nischenakkreditierungen wie der Trusted Partner Network-Bewertung für Medien und Unterhaltung.
• Verwenden Sie eine sichere Dateiübertragungslösung - Verschlüsselung während des Fluges und im Ruhezustand - wenn Sie Dateien austauschen.
• Verwenden Sie eine Dateiübertragungslösung, die Sicherheitskontrollen wie Benutzerberechtigungen, Beschränkungen für das Herunterladen von Dateien und Ablaufdaten für Dateien bietet.
• Verwenden Sie eine Dateiübertragungslösung, die große Dateien übertragen kann, um eine Aufteilung der Dateien zu vermeiden (Verringerung der Anzahl der Dateien im Umlauf).
• Wenn Sie Medien versenden, vergewissern Sie sich, dass es sich um ein seriöses Unternehmen handelt, schließen Sie eine Versicherung ab und führen Sie ein detailliertes Protokoll über die Versandinformationen (Frachtbrief, Ablieferungsort, Lieferdatum usw.).

Was ist zu tun, wenn etwas schief geht?

Selbst Unternehmen, die alle möglichen Sicherheitsvorkehrungen treffen, müssen sich darüber im Klaren sein, dass das Undenkbare - eine Datenpanne - nur einen Fehler entfernt ist. Unternehmen müssen Pläne für Sicherheitsverletzungen haben, um den Schaden von Störungen zu begrenzen, einschließlich der folgenden Punkte:

• Bewertungen von Vorfällen: Überprüfen Sie alle Vorfälle, um potenzielle Schwachstellen in der Umgebung oder in den Verfahren zu ermitteln, und aktualisieren Sie die Sicherheitsmaßnahmen und Schulungen auf der Grundlage der Vorkommnisse. Untersuchen Sie die Einzelheiten des Verstoßes (einschließlich der fünf Ws), um festzustellen, was korrigiert werden muss.
• Log-Bewertungen: Regelmäßige Überprüfungen von Zugriffsprotokollen für Bereiche mit Zugangsbeschränkung oder Speicherplatz können helfen, abnormales Verhalten zu erkennen, wenn es auftritt. Die Überprüfung von Protokollen ist ein Muss im Falle eines Verstoßes, aber regelmäßige und laufende Überprüfungen können auch Schäden reduzieren, indem sie Vorfälle früher erkennen.
• Anonyme Berichterstattung: Mitarbeiter und Auftragnehmer sollten Zugang zu einem Instrument (Telefonnummer, E-Mail usw.) haben, um potenzielle Sicherheitsverletzungen anonym zu melden.
• Reaktion auf Vorfälle: Befolgen Sie eine gut choreografierte Prozedur, wenn Vermögenswerte kompromittiert werden, einschließlich der Benachrichtigung der zuständigen Akteure und der Strafverfolgungsbehörden (falls erforderlich).
• Versicherung: Hoffen Sie das Beste und planen Sie das Schlimmste ein, wie das Sprichwort sagt. Schließen Sie vorsichtshalber eine gute Produktionsversicherung ab (die Sie möglicherweise ohnehin brauchen, um überhaupt Verträge mit einigen Studios zu bekommen).

Wie MASV zur sicheren Filmproduktion beiträgt (jedenfalls der Teil der Dateiübertragung)

Während MASV kann zwar nicht Ihren gesamten Produktionsworkflow absichern, ist aber ein absoluter Star, wenn es darum geht, Ihre Dateiübertragungen unter Verschluss zu halten.

Das liegt daran, dass MASV ein ISO 27001-zertifizierter, TPN-geprüfter Service für die Übertragung großer Dateien ist, der für Postproduktion und andere Videoprofis.

Das liegt daran, dass MASV ein ISO 27001-zertifizierter, TPN-geprüfter Service für die Übertragung großer Dateien ist, der für Postproduktion und andere Videoprofis.

MASVs umfassende Cybersicherheitsmaßnahmen umfassen:

• Verschlüsselung aller Medien während des Flugs und im Ruhezustand mittels TLS 1.2 und AES-256.
• Automatischer Malware- und Virenscan bei jedem Medien-Upload.
• Passwortschutz für Uploads und Downloads.
• Multi-Faktor-Authentifizierung (MFA)die durch die Abfrage zusätzlicher Anmeldedaten (nicht nur Login und Passwort) mehr Schutz bietet. Für noch mehr Sicherheit und Komfort können Sie MFA mit SAML-basiertem Single Sign-On (SSO) kombinieren.
• Das Team warnt, wenn ein interner Administrator versucht, sich in das MASV-System einzuloggen. Alle Anmeldeversuche von Administratoren erfordern MFA, Kryptoschlüssel oder Token-basierte Authentifizierung, um eine ordnungsgemäße Zugriffskontrolle zu gewährleisten.
• Regelmäßige, fortlaufende Überprüfung der Schwachstellen und Bewertung der Bedrohungen.
• Präzise Nachverfolgung der Aktenlieferung für die Anforderungen an die Aufbewahrungskette.
• Strenge Zugangskontrollen wie Download-Limits und Verfallsdaten für Dateien.

Da MASV auf der AWS-Cloud-Plattform basiert, ist es auch ein Huckepack auf Cloud-basierte und lokale Sicherheitsprotokolle von AWS.

Sind Sie bereit, loszulegen? Heute anmelden und übertragen Sie mit MASV. Wir stellen Ihnen 20 GB kostenlos zur Verfügung, damit Sie sofort loslegen können.