Patrocinio de las jornadas “II encuentro de ENS”

El centro criptológico nacional (CCN) celebró el pasado 24 de junio su segundo encuentro del Esquema Nacional de Seguridad en el que se conmemoran los 10 años de este Real Decreto.

El ENS tiene como finalidad última determinar la política de seguridad en la utilización de medios electrónicos, y, para ello, cuenta con 75 medidas de seguridad resumidas en tres grandes ámbitos: medidas de protección, marcos organizativos y operaciones.

Desde Bloomvertech y Castroalonso colaboramos con este evento formando parte de sus patrocinadores. Si quieres saber más a cerca de él puedes hacerlo a través del siguiente enlace: II encuentro de ENS.

El Ransomware se paga con tiempo, ¿puedes pagarlo?

Hace unos días la compañía EDP sufrió un ciberataque sobre el cual nuestro compañero, César Fernández González, hace las siguientes reflexiones:

Desde el punto de vista técnico el ransomware es un problema relativamente nuevo, pero su mitigación es tan vieja como las IT mismas: el backup. El ransomware consiste en cifrar los datos de una organización y pedir un rescate por la clave de descifrado. A primera vista, si tenemos copias de seguridad (diarias, por ejemplo) con restaurar la última copia completa y su incremental problema resuelto ¿o no es así?

Pues la respuesta es “depende” (léase con tono gallego), y es que aquí el tamaño si que importa: no es lo mismo restaurar 2 máquinas con 50 GB cada una (entorno perfectamente realista en una PYME) que restaurar cientos si no miles de máquinas y muchos Tb de información como parece ser el caso de EDP (recordemos que solo la información que dicen haber exfiltrado son 10 Tb y eso es la punta del iceberg de lo cifrado). Cuando hablamos de un volumen masivo de información es cuando entra en juego mi concepto favorito de toda arquitectura: la escalabilidad.

Todo sistema informático se consta de 3 componentes básicos: cómputo (CPU), memoria volátil (RAM) y almacenamiento (disco), y cuando hablamos de sistemas con más de una máquina aparece un cuarto componente básico: la red. Supongamos, por simplificación, que nuestros recursos de cómputo y memoria volátil son infinitos, e introduzcamos la variable que me interesa para este ejercicio: el tiempo.

El almacenamiento de las copias de seguridad es por definición “barato y lento”. Tradicionalmente se usan cabinas de cintas magnéticas LTO (muy similares a VHS) que tienen una densidad de almacenamiento muy alta pero el tiempo para acceder al dato a restaurar es muy lento, pueden ser segundos, minutos o si la máquina de cintas tiene todas sus cabezas lectoras ocupadas restaurando o guardando otros datos, podemos hablar de horas (días, semanas ☹ … ) puesto que nuestra restauración tiene que ponerse a la cola de trabajos de restauración. La otra tecnología que se esta usando masivamente es el almacenamiento en la nube, pero en “cold storage”. Hablamos de productos como Glacier de Amazon AWS que permiten almacenamiento virtualmente infinito a un coste muy reducido (de su web: Los precios del almacenamiento con Amazon S3 Glacier comienzan a partir de 0,004 USD por gigabyte al mes) luego la recuperación de los datos ya tiene un coste más elevado, pero ahora mismo no nos preocupa el dinero (al fin y al cabo, nuestros sistemas están cifrados, estamos en pánico y los secuestradores nos piden 10 millones de $). Sin embargo, de nuevo entra la variable tiempo: los ficheros no están accesibles inmediatamente, también hay una cola de peticiones y los ficheros estarán disponibles en Glacier para su descarga transcurridas unas 4 horas desde que se procesa la petición.

Y hasta aquí solo hemos tenido en cuenta el tiempo que tarda en estar disponible el dato en el sistema de almacenamiento. Ahora entra el otro factor: la red. En el sistema de backup a cintas los distintos interfaces de servidores de backup tienen una capacidad limitada, y a su vez los distintos dispositivos de red que atraviesan los trabajos de restauración tampoco tienen capacidad infinita y por último la red del dispositivo final a restaurar también tiene unos límites, típicamente mucho menores. En el caso de restauración desde nube nos encontramos además con la limitación del ancho de banda de nuestra conexión a internet (y la que el proveedor de nube quiera dedicar a nuestra restauración)

Bien, de forma totalmente especulativa y solo para ver el orden de magnitud del que estamos hablando, supongamos una capacidad de restauración de 1Gb por segundo y tengamos en cuenta el entorno ideal que por todo lo demás nos hemos dado (CPU y RAM infinitas, todos los backups son consistentes y todos los trabajos de recuperación funcionan a la primera). Si tenemos que restaurar 1 Pb = 1.000.000 Gb tardaríamos 1.000.000 segundos = 16.666 minutos = 277 horas = 11.57 días.

¡¡¡11 DIAS!!! Recuerdo que todos los valores son inventados, pero ese es el orden de magnitud: semanas o meses. Y lamentablemente el entorno descrito no es realista, en el mundo real el resto de recursos no son infinitos y los fallos en los procesos existen.

Esto me lleva a la segunda reflexión, la de negocio. ¿Puede un negocio perder el acceso a su información durante semanas? Es más ¿Tiene algún valor esa información que lleva semanas sin actualizarse? En muchos casos a pesar de ser capaz de restaurar toda la información y volver al punto de origen la organización ya estará tocada de muerte. Claramente no es el caso de EDP puesto que es una compañía industrial cuyo “core” de negocio no se ha visto afectado y sus sistemas críticos OT están aislados, pero sí es el caso de muchas otras compañías, especialmente en el sector servicios.

-Entonces ¿Qué hacemos? ¿Pagamos el rescate?

Curiosamente, eso es indiferente. Desde el punto de vista técnico, los ficheros que estén cifrados habría que desencriptarlos y también estaríamos hablando de un proceso igualmente costoso en tiempo (suponiendo que el secuestrador nos diese la clave tras el pago, que eso está por ver)

-¡Oh Dios mío estamos perdidos! ¡Registremos los datos en papel!

Tranquila voz de mi cabeza. No volvamos al medievo todavía. Cada vez que se quema un bosque en verano oímos la misma cantinela de los expertos: “los incendios se apagan en invierno”. En el mundo IT la solución es la misma: inversión, prevención y monitorización “en invierno”. Hay que invertir en los sistemas más seguros posibles para evitar los incidentes antes de que ocurran, pero también hay que ser capaces de saber que ataques estamos recibiendo en todo momento (no solo los exitosos, también los fallidos), tenemos que saber exactamente cuál es nuestra exposición, tenemos que conocer cuáles son nuestros sistemas fundamentales para dar nuestro servicio y debemos tener un plan de continuidad de negocio por si todo lo demás falla.

En resumen: hay que protegerse lo mejor posible, pero como la seguridad total no existe, también hay que monitorizar todo continuamente para cuando la intrusión ocurra detectar esa actividad anómala lo antes posible y que el impacto sea gestionable, porque no es lo mismo recuperar 1 Gb que 1 Pb.

Pudes leer también el artículo pinchando aquí.

El blockchain y los Gobiernos Digitales

Ha salido publicado el primer número de la revista digital «Alastria Legal», en el que Andrea Matador Aguilera, abogada de nuevas tecnologías y seguridad de la información en Castroalonso, ha colaborado con el siguiente artículo a cerca de blockchain:

La innovación y revolución tecnológica que ha introducido el blockchain se ha visto reflejada muy positivamente, no solo en el ámbito de las operaciones financieras (como las criptomonedas), sino también en el ámbito de la salud, las telecomunicaciones, la justicia, o también en el marco del sector público, donde los sistemas distribuidos presentan un enorme potencial para transformarlo.
En la actualidad, esta innovación y transformación de las instituciones han ocasionado grandes desafíos, como riesgos y complejidad operacionales, corrupción, ataques cibernéticos cada vez más importantes, y también el incremento de la demanda de servicios. El uso de la tecnología blockchain presenta muchas ventajas potenciales en el ámbito de la gobernanza. Permite optimizar los sistemas de registro implementados por ella, consiguiendo de esta forma debilitar aquellos aspectos que alimentan la corrupción en el ámbito gubernamental, en donde gracias a esta tecnología todo el proceso de gobierno, administración, incluso la selección del mismo se da de una forma más segura a través de la cadena de bloques. Podemos decir que los pilares fundamentales en los que se basa el uso del blockchain para las entidades gubernamentales son una mayor descentralización, transparencia e integridad de los datos, junto con un incremento de la eficiencia y reducción de los costes operativos: Los sistemas blockchain y los smart contracts pueden emplearse para automatizar tareas y procesos de trabajo, lo que reduce el tiempo y dinero gastado en procesos burocráticos.
Todo ello conlleva beneficios tanto para las administraciones como para los ciudadanos, ya que entre las principales aportaciones que podría hacer el uso de esta tecnología al desarrollo de la gestión pública se encuentra el lograr un nuevo modelo de Administración mucho más transparente, efectivo y participativo, que permita integrar e implicar al ciudadano en los procedimientos de toma de decisiones y de prestación de los servicios públicos, y que facilite la realización de interacciones seguras entre la propia Administración y el ciudadano sin la participación de intermediarios. Hay que señalar que unos cuantos años antes de la aparición del blockchain, en el 2000, los sistemas digitales ya venían siendo empleados por los gobiernos. Estonia es uno de los mayores ejemplos pues, ya en el 2002, lanzó su programa de identidad digital y fue el primer estado en celebrar unas elecciones a través de Internet. Una década más tarde, en 2014, el gobierno estonio lanzaría el e-Residency program que menciona el uso de la tecnología blockchain para la gestión y seguridad de los datos digitales.
En este sentido mientras algunas aplicaciones son todavía hipotéticas, muchos países están experimentando ya con esta tecnología como Suiza centrada en el campo de la identificación, en donde a través de cadena de bloques pueden presentar pruebas de residencia e incluso votar de forma online. El Consejo Federal Suizo parece dispuesto a implementar varias reformas para proporcionar mayor seguridad jurídica a la industria del blockchain. De ser aprobadas por el parlamento el próximo año, las propuestas harían de Suiza uno de los gobiernos más progresistas del mundo en cuanto a la adopción de la tecnología de cadena de bloques distribuida. En Gibraltar, su organismo regulador –la Comisión de Servicios Financieros de Gibraltar (GFSC)– lanzó una licencia para startups ‘fintech’ que usen blockchain como elemento base, incluso a la hora de transmitir pagos y en Finlandia, donde a través del blockchain, el Estado trabaja de la mano con sectores agrícolas. ¿Y En China?. En 2019 surgieron varios proyectos con aplicación de tecnología blockchain, especialmente en sistemas de iden tificación. Por ejemplo, un gran número de sistemas de gestión de asuntos públicos con sede en la provincia de Guangdong y el nuevo distrito de Xiongan, en la provincia de Hebei, están utilizando blockchain. Otro ejemplo, lo podemos encontrar en Londres y Ámsterdam, donde manejan cadenas de bloques para el control migratorio y en EEUU algunas agencias como Aduanas y Protección Fronteriza (CBP), Ciudadanía e Inmigración y la Administración de Seguridad en el Transporte (TSA) ya están inmersas en proyectos de atracción de startups que ofrezcan soluciones de blockchain aplicadas a sus respectivos campos de actividad.
También son muchos los países que, en la crisis actual por el COVID-19 que estamos viviendo, están utilizando la tecnología blockchain, como herramienta para luchar contra el virus. Así a modo de ejemplo, en Italia, la cruz roja lanza recaudación de fondos a través del Bitcoin, como medida para combatir el Coronavirus. Aunque es más que evidente que el uso de esta tecnología está en marcha y es más que palpable, no es menos cierto que en lo que atañe al sector público aún hay un largo camino por recorrer. En primer lugar es primordial que se lleve a cabo una importante y robusta transformación previa, la denominada y ya conocida por tod@s transformación digital. Un objetivo de las administraciones públicas, sí, pero sobre todo y por encima de todo una prioridad como consecuencia de la velocidad de vértigo con la que la digitalización ha irrumpido en general en nuestras vidas. Tod@s somos conscientes de que la mayoría de las administraciones no han sido capaces por falta de recursos, procedimientos, formación, decisiones encontradas, etc, de adaptarse todavía a esa nueva sociedad digital de forma plena. En el ámbito de la gestión de gobierno, si bien es cierto que en los últimos años se han obtenido avances con la aplicación de nuevas tecnologías, y en concreto con el uso de las tecnologías blockchain, todavía no se ha conseguido implantar un sistema que ofrezca una total seguridad y transparencia en el desarrollo de la labor de gobernanza y de prestación de servicios públicos. El camino está diseñado, la tecnología va por delante y los gobiernos irremediablemente más pronto que tarde tendrán que unificar criterios y subirse al carro de estas nuevas tecnologías que nos pretenden crear una sociedad más eficaz y en general más cómoda y colaborativa.

JAQUE A LA BARBARIE

Durante el último siglo y hasta el pasado mes de enero hemos vivido uno de los periodos más extraordinarios de la historia. En él se han dado catástrofes humanas, progresos científicos y materiales (la llegada del hombre a la luna o el descubrimiento de internet) y se ha evidenciado nuestra capacidad para transformar y tal vez destruir la faz de la Tierra. Esta edad de los extremos, de repente ha quedado quebrada y paralizada por un virus bautizado como SARS-CoV2 que ha provocado la enfermedad COVID-19 con efectos y daños impredecibles.  

Esta pandemia, como al resto, me está tocando sufrirla confinado de manera activa y pasiva, dentro de una unidad indivisa como mi familia, mi comunidad de propietarios, mi barrio,  mi ciudad, Gijón, mi Mundo.

Además, durante este corto periodo de tiempo, la enfermedad está generando, como es sabido, numerosa información y también muchos bulos, divulgados a través de infinidad de medios que a su vez crean multitud de corrientes de opinión a favor y en contra.

Ante este gran problema colectivo como empresario me pregunto cuál es mi papel y de qué manera puedo contribuir a su solución. Reflexiono sobre qué derechos me amparan y qué obligaciones tengo con la sociedad, me preocupa cómo proteger las infraestructuras de nuestra organización, cómo administrar mejor el tiempo y cómo asignar de manera más eficiente los recursos que día a día merman. En definitiva, cómo puedo deslindar, analizar y comprender la situación actual para poder afrontarla y darle una solución.

Nadie pone en duda que esta es una guerra colectiva que se gana día a día, donde desgraciadamente también hay bandos que germinan de intereses individuales. Mi opinión, es que debemos apoyar al que por derecho le corresponde y tiene la responsabilidad última en esta crisis: el Gobierno de la Nación. Entiendo que debemos colaborar junto a nuestros gobernantes y nuestros funcionarios públicos, dejando intereses, ideales y disputas personales al margen y fraguando la unidad en aras del bien común, compartiendo y aunando todas las fuerzas para que nuestras armas sean más eficaces.

En lo que respecta a nosotros los empresarios, es primordial mantener la supervivencia de nuestras organizaciones, apartando el fin social del ánimo de lucro, conservando nuestras actividades productivas, las esenciales y las que no lo son, manteniendo los puestos de trabajo porque van a ser imprescindibles para reconstruir y reparar los daños que esta pandemia está provocando.

Estos días más que nunca, la incertidumbre ronda constantemente la cabeza de los empresarios dificultando la toma de decisiones certeras. Y el riesgo crece. Las previsiones son pesimistas. Analistas como el banco de inversión estadounidense, Goldman Sachs, y la escuela de negocios IESE, auguran un escenario desolador a corto plazo. Además de venirse abajo la previsión del mercado donde se apuntaba un crecimiento cercano al 1,6%  del PIB,  si la situación no está controlada en primavera, su desplome podría acercarse al 10% en el conjunto del año, la economía entraría en recesión, destruyendo más de un millón de empleos y se dispararía el déficit y la deuda pública.

Pese a todo ello, debemos sobreponernos a la perplejidad y asirnos a que el Covid-19 no es -solo- una enfermedad sino también un germen; la semilla sobre la que asentar la llegada de una nueva realidad: La Era de la Economía Colaborativa. La respuesta a este shock habrá de conjugar dos realidades usualmente enfrentadas: la solidaridad y la colaboración de todos con criterios de eficiencia y eficacia económicas. Una solución que irremediablemente habrá de ser paneuropea y al tiempo, estrechamente coordinada con las demás economías desarrolladas, con medidas que a cortísimo, corto y medio plazo cohabiten con otras soluciones de carácter estructural.

Se atribuye a W. Churchill la frase “Muchos miran al empresario como el lobo al que hay que abatir; otros lo miran como la vaca que hay que ordeñar; pero muy pocos lo miran como el caballo que tira del carro”, y en tiempos como los actuales, es de justicia recordar que el tejido productivo español se compone mayoritariamente (94%) por pymes de cinco o menos empleados que necesitan seguridad y apoyo para continuar su actividad.

En las manos de todos (Estados, Empresas y Personas) está recordar 2020 como el año del crash, o como el año en el que el coronavirus puso en jaque a nuestra civilización y fuimos capaces de sobreponernos sin dejar a nadie atrás.

También puedes leer el artículo pinchando aquí.