Viviendo a Pesar de la Crisis: IndusSec 2019: Ciberseguridad para la Industria

Muy buenas,
Por segunda vez:
http://viviendoapesardelacrisis.blogspot.com/2018/03/indussec-2018-ciberseguridad-para-la.html

https://www.spri.eus/euskadinnova/es/enpresa-digitala/agenda/indussec-2019-ciberseguridad-para-industria/15281.aspx

Congreso
IndusSec 2019: Ciberseguridad para la Industria

La incorporación progresiva de las Tecnologías de la Información y la Comunicación en los entornos industriales está provocando un incremento en los riesgos y en los incidentes de seguridad que se producen. Los ciberataques crecen de forma dramática a medida que vamos interconectando entre si entornos que hasta hace pocos años estaban completamente aislados y por lo tanto no eran susceptibles de recibir ataques

Cualquier empresa, grande o pequeña, que se embarque en un proyecto de Industria 4.0 debe tener en cuenta las implicaciones que en materia de ciberseguridad va a tener la incorporación de determinadas tecnologías dentro de su proceso productivo
Objetivo y formato

El objetivo del Congreso IndusSec es el de proveer de un foro de intercambio de ideas, experiencias y casos de éxito de la Ciberseguridad en entornos industriales.

Para ello tendremos la ocasión de asistir a charlas de expertos/as en la materia que nos pondrán al día sobre los tipos de ataques más habituales en este tipo de entornos y sobre todo de las posibles técnicas para protegernos o minimizar esos riesgos.

También se expondrán casos reales por parte de las propias empresas industriales, pudiendo conocer de primera mano experiencias cercanas y similares a la problemática presente en el sector.
Dirigido a

El congreso está dirigido a responsables de informática, producción, directores/as y todos aquellos puestos dentro de la empresa que de una manera u otra tengan que hacer frente o tomar decisiones en materia de ciberseguridad
Programa

9:00 - 9:30 Recepción y registro de asistentes
9:30 - 9:45 Inauguración y bienvenida
Javier Diéguez - Director del Basque Cybersecurity Centre

Conferencias
-"Todavía no hemos visto nada en Ciberguerra Industrial. Lo peor está por llegar" - Ramses Gallego CTO de Symantec
-"Experiencias en la securización de entornos industriales" - David Galdran Team Leader Industry de Check Point Software
-"Análisis Forense en ataques OT" - Pilar Vila de Forensic Securtiy

Mesa Redonda: Ciberseguros. ¿En que casos son recomendables? ¿Cómo calculamos las polizas y los posibles riesgos? ¿Beneficiarios? ¿Posibles clausulas adicionales? Moderador: Urko Zurutuza (Mondragon Unibertsitatea)
Iñaki Belaustegi (Mondragon Corporación), Igor Unanue (S21SEC), Alvaro Fraile (ITS), Oscar Gomez Saeta (Seguros Bilbao)

Café - Networking
Casos de Empresa
-Faes Farma. Securización planta industrial. Aseguramiento de negocios. Jaime López (Corporate Information Technology Manager)
-Ezarri Diseño e implementación de arquitectura segura IT/OT Juncal Galparsoro
-Mondragon Assembly Avance pragmático en la Ciberseguridad Industrial Juan Mari Mujika (IT Manager)
-Fagor Automation Securización de la red Wi-Fi/OT Maribel Zudaire (Informatika arloko arduraduna)

Próximas ediciones
Hernani (Gipuzkoa)
Fecha: 27/03/2019
Precio:    Gratuito
    Agencia coordinadora: Garaia Enpresa Digitala
    Lugar: Ideo - Orona, Jauregi Bailara, s/n, 20120 Hernani, SS
    Horario: De 09:30 a 13:30
    Organizador: SPRI - Garaia Enpresa Digitala
Más información
    Por teléfono: 944 536 262
    Por e-mail: apuntaeuskadinnova@spri.eus

Iré haciendo mi crónica mientras nos mandan el material.

Actuaización a 28/03/2019: Fotillos:

Actuaización a 01/04/2019: Bueno, allá vamos.
El material de las presentaciones:
https://www.dropbox.com/s/nyrkye3yx30uhau/Indussec-2019-Aurkezpenak.zip?dl=0
Las iré intercalando entre mis notas:

-IndusSec2019:
Tercera edición.
En la primera se dió a conocer el BCSC (http://viviendoapesardelacrisis.blogspot.com/2019/02/el-centro-vasco-de-ciberseguridad.html).

-Javier Diéguez (BCSC):
Ciberseguridad -> Competitividad empresas.
SEP 2017. Apoyo a la industria -> SPRI.
Encuesta a 90 empresas: Libro Blanco 2018:
https://www.basquecybersecurity.eus/es/actualidad-bcsc/libro-blanco-ciberseguridad-euskadi.html
Fusión: S21Sec + Nextel:
https://www.nextel.es/nota-de-prensa-la-fusion-entre-s21sec-y-nextel-creara-la-mayor-empresa-dedicada-exclusivamente-a-ciberseguridad-en-espana
https://www.nextel.es/presentacion-oficial-de-la-fusion-entre-s21sec-y-nextel-de-la-mano-del-grupo-sonae-im
Mapa normativo:
https://www.basquecybersecurity.eus/es/actualidad-bcsc/bcsc-pone-disposicion-mapa-normativo-ciberseguridad-industrial.html
Guía para Implantación:
https://www.basquecybersecurity.eus/es/actualidad-bcsc/bcsc-pone-disposicion-guia-sgci-empresas-vascas.html
Ayudas.
Avisos y Alertas.
Perfíl de Riesgo/País. Superior a España.
BDIH Cyber Labs. Sede San Sebastián en Vicomtech.
https://www.spri.eus/es/basque-industry/basque-digital-innovation-hub/nodos/
https://www.spri.eus/es/basque-industry-comunicacion/grupo-spri-comparte-proyecto-bdih-impulsar-las-innovaciones-digitales-las-empresas/
Basque Cybersecurity Day 2019 en Diciembre:
https://www.spri.eus/es/basque-cybersecurity-day/
Colaboración: Abiertos.
Plan Estratégico 20125.

-Ramsés Gallego (Symantec Estrategia):
Evangelista. Lo parece. :P
Bastante "payasete" en su forma de hablar y exponer.
De la guerra - Carl von Clausewitz: https://es.wikipedia.org/wiki/De_la_guerra
Internet Security Threat Report (ISTR) Volume 24:
https://www.symantec.com/blogs/threat-intelligence/istr-24-cyber-security-threat-landscape

-David Galdran (Check Point):

Securizar y visualizar tráfico OT (Scada).
IPS para OT. Proteger sistemas no actualizables.
Políticas (definir qué y cómo) y detección de anomalías (eventos raros).
Nistir 8219 Report:
https://www.nccoe.nist.gov/sites/default/files/library/mf-ics-nistir-8219.pdf
Zonas y conductos.
Bridging sin segmentar. VLAN Translation.

-Pilar Vila (Forensick & Security - DFTools):
https://www.dropbox.com/s/nyrkye3yx30uhau/Indussec-2019-Aurkezpenak.zip?dl=0&file_subpath=%2F02-Presencacion+OT+v5_2-Pilar-Vila.pdf

HMI (Human-Machine Interface).
OT inalámbrico.
Port mirroring.
Wireshark con pluggins para OT:
https://www.incibe-cert.es/en/blog/understanding-industrial-network-traffic-dissectors-and-lua-and-kaitai
https://www.wireshark.org/docs/wsdg_html_chunked/ChDissectAdd.html
TCPDump:
https://www.tcpdump.org/
Sacar info de PLCs (HMI). Soft, hard y herramientas.
Clonado de discos.
Distro SIO de Sans:
https://digital-forensics.sans.org/community/downloads
Kali Linux:
https://www.kali.org/
Hashes de logs, trazas e imágenes.
Switches: Sacar CAM (Content Addresable Memory).
Forenses para Cloud.
Aprender TTPS (Tácticas, técnicas y procesos) que se usan para ocultar.
IIOT: Machacar logs y config del vector de ataque?

-Charla Seguros Cyber: Seguros Bilbao,... a través de Aseguradores Globales.
Similar a un seguro Multi (Incendio, por ejemplo).
Expansión + lenta de lo esperado.
Hace 3 años no entraron a ofrecerlo. Hace 2, sí.
Partes mayoritarios: Estafa del CEO (https://www.incibe.es/protege-tu-empresa/avisos-seguridad/fraude-del-ceo). Pérdida económica.
Suplantación de identidad: Muy sofisticadas.
Primero se cubre pérdida de datos. Luego se añaden coberturas.
Terceros (consultoras) para análisis previos y posteriores.

Casos Prácticos: Subvenciones desde SPRI.
-Jaime López (FAES Farma):
https://www.dropbox.com/s/nyrkye3yx30uhau/Indussec-2019-Aurkezpenak.zip?dl=0&file_subpath=%2F04-Ciberseguridad+Industrial+Faes+Farma+2019-Jaime-Lopez-Faes.pdf

EU 2011, 2016 Falsified Medicine Directive (FMD):
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32011L0062
Falsificaciones y/o modificaciones.
Notificación al EMBO (ente européo):
http://embo.org/about-embo

-Juncal Galparsoro (Ezarri S.A.):
https://www.dropbox.com/s/nyrkye3yx30uhau/Indussec-2019-Aurkezpenak.zip?dl=0&file_subpath=%2F05-Presentacio%CC%81n+Indussec++EZARRI%2C+S.A.-Juncal-Galparsoro-Ezarri.ppsx

Estafa por phising con cuenta bancaria.
Acuden a Titanium Cybersecurity:
http://www.titaniumindustrialsecurity.com/
Formación, Segmentación, Documentación,... 6/7 meses con ayuda de SPRI.

-Juan Mari Múgica (Mondragon Assembly):
https://www.dropbox.com/s/nyrkye3yx30uhau/Indussec-2019-Aurkezpenak.zip?dl=0&file_subpath=%2F06-Mondragon+Assembly+-+INDUSSEC+2019-Juan-Mari-Mujika-Assembly.pdf

Maquinaria + solar.
Auditoría con LKS.
Ayudas para auditorías, acciones correctivas y formación.

-Maribel Zudaire (Fagor Automation):
https://www.dropbox.com/s/nyrkye3yx30uhau/Indussec-2019-Aurkezpenak.zip?dl=0&file_subpath=%2F07-FAGOR_INDUSSEC-2019-Maribel-Zudaire-Fagor-Automation.pdf

Control numérico (CNC) y captación (lineal y angular).
Únicos diseñando y fabricando todo el sistema de control numérico.
Integración del NAC: Asignar roles y VLanes.

Me gustó, la verdad.

Actualización a 02/04/2019: Torpeza al titular o simple sensacionalismo?
https://retina.elpais.com/retina/2019/04/01/tendencias/1554109416_248220.html

Seguridad informática
Ciberseguros: qué pasa si el virus es tan nuevo que no está en tu póliza
Por Montse Hidalgo Pérez
-Los gastos asociados a la recuperación de un ciberataque pueden borrar tu empresa de la faz de la tierra. Así trabajan las compañías de seguros para anticiparse al desastre y solucionarlo sin quebrar en el intento
Madrid 2 ABR 2019 - 06:08 CEST

Cualquier empresa del tamaño que sea y del sector que sea está expuesta a sufrir una incidencia", explica Nerea de la Fuente, directora de suscripción de Hiscox. En este bombo de adversidades en potencia cabe de todo: terremotos, incendios, picos de tensión y cada vez más ciberataques. No en vano, los hechos conocidos de infracciones penales relacionadas con la cibercriminalidad pasaron de constituir 42.182 en 2012 a alcanzar los 81.307 en 2017, de acuerdo con las estadísticas que recopila el Ministerio de Interior.

¿Cómo se defiende uno en un ecosistema cada vez más digital y en el que la cibercriminalidad se ha duplicado en seis años? Cuando un virus informático llama a tu puerta, es mejor que estés preparado. Pero si tu antivirus no es suficiente y el condenado consigue entrar, las consecuencias pueden ser letales, a menos que tengas un ciberseguro. "Al final los vamos a necesitar sí o sí. Simplemente por el hecho de cubrir nuestra responsabilidad civil el caso de pérdida de información y demás, lo vamos a necesitar", razona Marco Lozano, coordinador de empresas y profesionales de Instituto Nacional de Ciberseguridad (INCIBE).

Aunque De la Fuente no descarta que estos productos sean de utilidad para particulares, la realidad es que las más interesadas en los servicios de ciberseguros de Hiscox son por ahora empresas. De acuerdo con Lozano, las más beneficiadas de estos modelos de cobertura son "todas aquellas organizaciones o empresas que tengan que responder frente a una responsabilidad civil, ahora que se producen tantas fugas de información, pérdidas de datos o atentados contra la privacidad de las personas". La clave está en el dinero que están juego cuando se produce alguno de estos incidentes. "Son los que exigen desembolso económico mayor al que muchas empresas no pueden hacer frente de una manera convencional".

Puesto que la idea es que sean las aseguradoras las que neutralicen estos gastos, como siempre, de acuerdo con lo establecido en las pólizas, la estimación del riesgo es clave para que el negocio tenga sentido. "Durante muchísimas décadas ha habido determinados tipos de seguros que han sido iguales a lo largo del tiempo. Al final tenemos muy claro por dónde nos vienen los problemas y cada cuánto más o menos vamos a tener un problema grande", explica De la Fuente. Pero un ramsonware no es lo mismo que un terremoto. Al hacer frente uno de estos virus secuestradores de información, se complica la tarea de estimar la probabilidad del ataque, su impacto y las particularidades del malware en cuestión. El aumento de la cibercriminalidad también ha venido acompañado de un aumento en la variedad de las armas empleadas por los cibercriminales. Diariamente cargan contra las redes nuevas familias de virus pensadas para saltar las barreras que frenaron a sus predecesores. "Este riesgo nos cambia totalmente la vida porque se mezclan muchas cosas y el mundo tecnológico va muy rápido", admite De la Fuente

¿Qué pasa si la cepa que nos ha atacado no está en la póliza? ¿Tiene sentido asegurarnos -y pagar el coste que ello implica- en un entorno tan cambiante? La respuesta es sí, si tu seguro es suficientemente adaptable. "Intentamos estar muy atentos a la realidad del mundo tecnológico y cibernético e intentamos ser muy flexibles en lo que es la cobertura. Las pólizas están escrita de manera lo suficientemente amplia como para que cubran esas variaciones de un día para otro", explica la responsable de suscripción de Hiscox. Además, acompañan sus coberturas con servicios de asesoramiento experto 24/7 y programas de formación para que la empresa cuente con una barrera adicional en el que suele ser su punto débil: los empleados. "Consideramos que aproximadamente el 85% de los incidentes que ocurren en las organizaciones están provocados por empleados, la mayoría, de manera no intencionada. Cubriendo esas necesidades de formación tendríamos bastante espectro cubierto y podríamos considerar que las empresas están más o menos protegidas", coincide Lozano.

Las aseguradoras, de hecho, parten con ventaja en este terreno, puesto que, junto con el sector financiero, son el caramelito más apetecible para los cibercriminales. Según los datos que maneja IBM, este ámbito concentró un 19% de los ataques e incidentes registrados en 2018. "Nosotros también tenemos que tomar muchísimas medidas de protección y ver también dónde están nuestras propias debilidades. Estamos muy concienciados con esto", añade De la Fuente

Desde el Instituto Nacional de Ciberseguridad han asistido al nacimiento de este mercado, inexistente hace tan solo unos años, en España. "Desde nuestro punto de vista, tenemos una oferta que es suficiente y que cubre, por lo menos, los aspectos más críticos, que podrían dejar a una empresa sin actividad o causarle un gran perjuicio. Además, tienen productos que se adecúan no solo a grandes empresas, sino también a pymes e incluso autónomos".