Cuando sonó el teléfono de Harold Sumerford a las 2:30 de la madrugada del 2 de abril, sabía que las noticias no podían ser buenas. Pero pensó que probablemente era el departamento de seguridad, no el CFO que le dijo que todo el sistema informático de la compañía había caído debido a un ataque de ransomware.
El CEO de J&M Tank Lines, Sumerford, compartió los dolores de cabeza y las lecciones aprendidas de esa experiencia como parte de un panel de discusión sobre ciberseguridad el 6 de octubre durante la Conferencia y Exposición de Administración de las Asociaciones de Camiones Americanos en San Diego.
Aunque la compañía pudo recuperar los sistemas de correo electrónico y teléfono en unas pocas horas, tardó cuatro días en volver a funcionar. Aunque tenían copias de seguridad, dijo, en términos simples, el sistema informático podía ver los datos, pero no sabía lo que significaba. Fue un proceso minucioso recorrer todas las líneas de código y hacer que el sistema informático lo pueda interpretar, durante esos cuatro días, no pudieron facturar a ningún cliente ni ingresar nada en el sistema. Los conductores obtuvieron sus cheques de pago solo porque J&M simplemente les pagó exactamente la misma cantidad que recibieron la semana anterior.
J&M fue solo un ejemplo de un problema en rápido crecimiento con la ciberseguridad en la industria de camiones. Según el panel, las compañías de transporte y logística ahora se encuentran entre las industrias más buscadas por los piratas informáticos. De hecho, un artículo reciente en ZDNet informó que los piratas informáticos están desplegando herramientas previamente desconocidas en una campaña de ciberataque dirigida a organizaciones de transporte y envío con malware troyano personalizado.
Sharon Reynolds, directora de seguridad de la información de Omnitracs, dijo que normalmente organizaría un montaje de los recientes titulares de seguridad cibernética, pero recientemente ha habido tantos, que bien podría poner “el nombre de su empresa aquí”.
Sharon Reynolds, directora de seguridad de la información de Omnitracs, explicó que la superficie de ataque vulnerable a los piratas informáticos en la industria de camiones está en constante expansión e incluye:
- CAN bus explota en vehículos
- Conectividad vía satélite, inalámbrico, celular y Bluetooth.
- Redes y plataformas con conexión a Internet.
Camiones, computadoras portátiles, teléfonos móviles, etc., se conectan a servicios web. Luego están las plataformas basadas en la web que utilizamos, como GoToMeeting o SalesForce, que también son puntos de conexión. Entonces, cuando hables sobre la superficie de ataque, piensa en todo el ecosistema, dijo. Todos estos son puntos de entrada y salida.
A veces, el punto de vulnerabilidad no está basado en la tecnología, sino en los humanos. El moderador Ken Craig, vicepresidente de proyectos especiales para McLeod Software, más tarde compartió con HDT una historia de una “prueba de sombrero blanco” que prueba las defensas de una compañía donde el hacker, “incapaz de encontrar una debilidad a través de la computadora”, llamó a la línea telefónica principal de la compañía y bajó el directorio de la compañía hasta que encontró a alguien cuyo correo de voz saliente decía que estaban de vacaciones durante las próximas dos semanas, luego imitó la voz de ese empleado para llamar al servicio de asistencia de TI de la compañía, diciendo que estaba teniendo problemas para iniciar sesión de forma remota y obtuvo el acceso información necesaria.
Una gran cantidad de personas no sobrevive financieramente a estos ataques, dijo Sumerford. Esto tiene que ser una prioridad estratégica.
6 cosas que hacer para proteger a su empresa de los piratas informáticos
El panel ofreció una serie de estrategias para ayudar a prevenir ataques cibernéticos y mitigar sus consecuencias:
1. Realizar una evaluación.
Joseph Saunders, CEO de RunSafe Security, dijo que hay muchas evaluaciones disponibles que puede usar como marco para evaluar las vulnerabilidades en su organización. En general, dijo, hay unas 100 preguntas que debe hacerse. Puede hacerlo internamente o contratar a una persona externa para que lo ayude (pero no pague más de $ 15,000, dijo). Es una buena idea hacer una nueva evaluación una vez al año.
2. Realizar una prueba de ataque
En una prueba de ataque, una persona externa, un hacker de sombrero blanco, prueba y prueba sus sistemas en busca de vulnerabilidades. No le digas a tu equipo que lo estás haciendo, o se volverán más vigilantes y sesgarán los resultados. Esta es una evaluación separada de la autoevaluación y los resultados pueden ser similares o el sombrero blanco puede encontrar algo que no descubrió anteriormente. Al igual que la evaluación, no lo hagas solo una vez. Repita cada año o dos.
Como ejemplo de una prueba de penetración, Reynolds citó el Cyber Truck Challenge que se celebra anualmente en Detroit. Traemos nuestro equipo, y los estudiantes universitarios y los hackers profesionales de sombrero blanco piratean nuestros dispositivos en un entorno NDA (acuerdo de no divulgación), y recibimos esa retroalimentación y podemos regresar y decirte a los desarrolladores, te lo perdiste.
Joseph Saunders, CEO de RunSafe Security, habla sobre cómo priorizar las debilidades de seguridad cibernética en su empresa.
3. Priorizar los riesgos.
Puede aplicar un marco de gestión de riesgos simple, dijo Saunders. En un eje, traza las debilidades que descubras en función de la probabilidad de un ataque. En el otro eje, grábelos en función de la importancia de su impacto. Los elementos en el cuadrante superior derecho que son más probables y pueden causar el mayor daño son los que desea abordar primero.
Solo tienes un número finito de recursos que puedes lanzar a esto, agregó Reynolds. Así que identifique las cosas más críticas, pero tenga su plan de contención y mitigación para esos sistemas críticos.
4. Aplicar parches de software
Saunders comparó los parches de software con lavarse las manos: es algo que puede prevenir los virus, pero solo si lo hace de manera consistente. Sí, es un dolor, pero conviértalo en una parte regular de las operaciones y el mantenimiento. Hable con sus proveedores: regularmente encuentran soluciones para las debilidades que encuentran en sus ofertas y usted necesita encontrar operaciones que los instalen de manera consistente.
5. Considere un seguro
Una de las cosas que hizo J&M Tank Lines después de su ataque fue comprar un plan de seguro cibernético. El seguro cibernético se está volviendo realmente crítico, dijo Reynolds de Omnitracs. Al igual que cualquier otro riesgo comercial que aseguremos, es importante verlo como un riesgo comercial. Sin embargo, las compañías generalmente requerirán que establezca un programa de seguridad cibernética sólido como parte del acuerdo. Debes tener una buena higiene cibernética o no pagarán. Sumerford dijo que J&M acaba de renovar su seguro. Tenemos un plan de acción de seguridad cibernética bastante profundo. Lo que nos lleva a …
6. Crear un plan de respuesta a incidentes
No espere hasta recibir esa llamada telefónica a las 2:30 a.m. para averiguar qué va a hacer si su empresa es víctima de un ataque cibernético y cuándo, dijo Saunders. Saber qué hacer cuando recibe esa llamada telefónica en medio de la noche es clave. Las preguntas que debe hacerse incluyen:
¿Quién está a cargo?
¿Quién es parte del equipo de respuesta?
¿Quién es tu equipo forense? El panel enfatizó que es importante construir la relación con esa compañía forense antes de que tenga el ataque. No es exactamente un buen momento para tratar de configurar una orden de compra con sus computadoras apagadas. Establezca un acuerdo de retención, sugirió Reynolds. De esta manera, puedes llamar y decir: “Ha sucedido, botas en el suelo”.
¿Quién es su contacto con el FBI o el DHS? Nuevamente, el momento de reunirse con su contacto del FBI o del Departamento de Seguridad Nacional no es cuando se encuentra en medio de una situación de ataque cibernético. No quieres llamar en frío al FBI, dijo Craig.
¿Pagarás el rescate?
Soluciones a largo plazo
Saunders dijo que si bien estas son cosas buenas que hacer a corto plazo, a largo plazo, la industria necesita encontrar mejores formas de perturbar la economía de los hackers.
Muchas veces, si pueden encontrar una vulnerabilidad en un lugar, lo harán una y otra vez, dijo. De hecho, los exploits automatizados se utilizan en casi el 70 por ciento de los ciberataques. Este es un negocio subterráneo tan sofisticado como los que usted opera. La idea es interrumpir la economía de los hackers.
Los militares han aprendido esta lección con drones. Si piensas en una flota de drones… cada uno es funcionalmente idéntico, tienen el mismo software, por lo que si hay una vulnerabilidad en uno, existe en todos. Los militares descubrieron que si podía hacerlo funcionalmente idéntico pero lógicamente único, por lo que cada uno es diferente desde la perspectiva de un atacante, entonces tienen que pasar mucho tiempo para trabajar en cada avión no tripulado. Esto altera la economía de los hackers.
