The importance of Information Security in our lives – Part 6

 

6. In our relaxing time

In these moments even our relaxing time is related to the use of a PC or to an streaming service, we should be more careful in the following:

6.1. As mentioned in Part 5, do not lick on links that are coming from any of the services your are registered to

6.2. Always confirmed, as possible, when you received emails where there are requests to provide personal information like bank accounts, credit cards, etc. if possible, call the requesting organization to confirm if the data request is official

6.3. If you receive messages to your mobile phone requesting personal information like bank accounts, credit cards, etc. either via text messages, or through another applications like WhatsApp, Line, etc. do not take action and confirm with the requesting organization of the veracity of the request

6.4. Be careful of the sites you visit. Due to there are several illegal copies of those where users could be redirected to illegally obtain personal information.

6.5. Do not click on ads of doubtful origin. There are several available technics to force malicious software package installations in the user’s PC with only visiting a page.

La importancia de la seguridad de la información en nuestras vidas – Parte 6

 

6. En nuestros tiempo de ocio

En estos momentos en los que inclusive en nuestros momentos de ocio estajos ligados a una PC o a un servicio de transmisión en línea, debemos de tener cuidado en los siguientes aspectos:

6.1. Así como el punto anterior, no hacer click en enlaces que provengan de estos servicios de transmisión en línea

6.2. Siempre confirmar, en la medida de lo posible, cuando se reciben correos en el que se hacen pedidos de cuentas bancarias, datos personales, tarjetas de crédito, etc., si es posible comuníquese por teléfono con su entidad bancaria para poder confirmar si es oficial el pedido de estos datos.

6.3. En el caso del teléfono móvil si se reciben mensajes con pedidos de cuentas bancarias, datos personales, tarjetas de crédito, etc., ya sea por mensajes de texto o por medio de aplicaciones de chat como: WhatsApp, Line, etc., no tomar acción y confirmar con la entidad bancaria por teléfono si ese tipo de pedido es oficial.

6.4. Tener en cuenta los sitios web que se visitan, ya que existen muchas copias ilegales de estos en los que los usuarios pueden ser redirigidos para obtener de manera ilegal datos personales

6.5. No hacer click en publicidad de dudosa procedencia. Existen muchas técnicas disponibles para poder forzar la instalación de paquetes de software de carácter malicioso en la computadora del usuario con tan solo hacer que este visite una página web.

La importancia de la seguridad de la información en nuestras vidas – Parte 5

 

5. En nuestros viajes – Published August 14

Si bien es cierto que la pandemia del Covid-19 detuvo la gran mayoría de los viajes de negocios y de turismo, desde mediados del 2022 los viajes comenzaron a retomar su frecuencia aunque no a los mismos niveles de la pre-pandemia. De esta manera se tienen que tomar diversas medidas para proteger nuestros datos cuando hacemos reservas de pasajes de avión o de hoteles. Estas medidas son por parte del usuario, las medidas relacionadas a las empresas fueron descritas anteriormente. Estas medidas son un complemento a las medidas descritas anteriormente en la sección de comercio electrónico.

5.1. Revisar que la empresa en la que se decida realizar la reserva, es una empresa confiable y con una cierta reputación

Debido a la existencia de diversas empresas que son usadas de fachada para poder obtener datos del usuario así como los detalles del método de pago (usualmente tarjetas de crédito), se debe de tener doble cuidado en seleccionar la empresa a ser usada, algunos detalles a confirmar son

a. Reputación de la empresa

Búsqueda de la reputación de la empresa en Google

b. Confirmación del uso de certificados SSL (el candado que aparece a la izquierda de la dirección https

c. Confirmación de la política de uso y devolución de la empresa

5.2. Nunca hacer click en los enlaces que provienen de estas empresas

Antes de hacer la transacción y habiendo confirmado los pasos descritos en el punto anterior, usualmente es necesario un registro de usuario, es usual que se envíe una confirmación al correo electrónico del usuario para confirmar la identidad de este y dar por terminado el proceso de registro de usuario. Pero después de este registros, nunca, y es bueno remarcarlo nunca, se deben de hacer click en los enlaces que provienen de estas empresas así se haya confirmado su reputación. La razón es que a pesar que estas empresas puedan ser respetadas en su respectiva industria, no se puede saber si estas han sido víctimas de ataques que hayan tenido como consecuencia la extracción ilegal de datos, especialmente los datos de usuarios, de esta manera es recomendable confirmar la información de marketing incluida en el correo mediante el acceso a la página web de la empresa.

The importance of Information Security in our lives – Part 5

 

5. In our trips

While it is true that the Covid-19 pandemic stopped almost all business and leaisure trips, from the middle of 2022 travel increased in frequency although not at the same pre-pandemic levels. Due to this, we need to take additional measures to protect our data when we make online flight or hotel reservations. These measures are from the user side, company side measures where described in a previous post. These measures represent complements of the previously described measures in the ecommerce section.

5.1. Confirm that the Company to use to make reservations is a reliable Company and with a strong reputation

Due to the fact that many companies are used as front companies to obtain illegally customer data as well as payment methods (usually credit cards), we should be very careful when we select the company, some of the details to confirm are:

a. Company reputation

Search for the company’s reputatio in Google

b. SSL Certificate existence confirmation (the locker that appears to the left of the wen address

c. Use Policy and reimbursment confirmation

5.2. Never click on links that come from these companies

Before making the transaction and having comfirmed the above described points, usually is required to make a registration, it is usual to received a confirmation email to confirm the user’s identity and to finalize the registration process. After this registration process, never, and is important to emphasize it, never, make a click on links that are coming from these companies even though their reputation is confirmed. The reason is that spite of these companies are well respected in their respective business niches, it is not easy to find if they were victims of an attacked that includes data leakage, especially customer data, therefore it is advisable to confirm the marketing information included in the mail from these companies by accessing the company’s web site.

La importancia de la seguridad de la información en nuestras vidas – Parte 4

 

4. En nuestros estudios

El uso de herramientas de clases virtuales incrementó de gran manera en Perú durante la Pandemia del Covid-19, lo que hizo que muchas entidades educativas modificaran su manera de entregar conocimiento a sus alumnos. Existen diferentes estudios que confirman la falta de preparación tanto de las organizaciones educativas como de los recursos disponibles para los alumnos, aunado con la considerable brecha digital que Perú tiene como país, hizo que la educación sufriera un gran impacto negativo que posiblemente se evidenciará en los siguientes decenios.

Desde el punto de vista de la Seguridad de la Información, esta es importante debido a los siguientes puntos:

4.1. Desde el punto de vista de la organización educativa

a. Protección de los datos del alumnado

Nuestra identidad digital representa información de gran interés para los diferentes grupos cibernéticos ilegales. La obtención ilegal de la identidad de los alumnos puede acarrear consecuencias como extorsión por la información, o establecer comunicación con los padres para extorsionarlos usando ilegalmente la identidad de sus hijo/as

b. Protección de la información de la institución educativa

Las Instituciones públicas y privadas poseen una gran cantidad de información atractiva para los grupos cibernéticos ilegales, desde acceso a propiedad intelectual, cuentas bancarias de la institución educativa, cuentas bancarias de los trabajadores, detalles personales de trabajadores y alumnos, detalles de organizaciones nacionales, información de la identidad de todas los trabajadores y alumnos, etc. Esta información, si es obtenida ilegalmente, puede ser usada con distintos fines que afectarán negativamente la tranquilidad mental y económica de las personas afectadas

c. Establecimiento de canales de comunicación oficiales

Las organizaciones educativas deben de establecer canales de intercambio de información oficiales, así como canales de enseñanza oficiales. El establecimiento de canales oficiales de intercambio de información o determinación de uso de protocolos de intercambio de información seguros puede hacer más difícil ataques como Man-in-the-middle (MIM) en el que las comunicaciones entre dos puntos se interceptan para poder tener acceso a los datos que están siendo transferidos o para poder desviar las comunicaciones hacia servidores o sitios web ilegales, donde los datos serán capturados para ser usados de manera ilegal.

Ahora bien, debido a la repentina decisión de poner a la población en cuarentena, el uso de canales gratuitos de Zoom u otros similares fue la primera decisión para poder seguir brindando conocimiento a los alumnos, pero estos canales no son 100% seguros y deben de ser reemplazados por canales oficiales de las organizaciones educativas. Además de lo último, se deben de entrenar de manera obligatoria en el uso de estas nuevas herramientas digitales a los profesores a cargo de las clases para evitar cualquier ataque debido a malas configuraciones. 

4.2. Desde el punto de vista del alumno

a. Protección de la identidad y datos del alumno

Deben de crease contraseñas seguras usando caracteres alfanuméricos, caracteres especiales y letras en mayúscula y minúscula, de una considerable longitud y que solo sea lógico o familiar para el usuario; otra estrategia es el uso de frases como contraseñas, lo cual puede ser válido pero se debe de fortalecer esta contraseña con los consejos dados anteriormente. 

b. Protección de la red del hogar del alumno

Debemos de tener en cuenta los mínimos requerimientos para poder proteger nuestra red en casa, desde la modificación de la configuración del router de la empresa proveedora de internet, para hacer solo uso de canales de comunicación seguros (puertos, DNS, etc.), hasta tener nuestros sistema operativos permanentemente actualizados así como todos los paquetes de software instalados en nuestra PC.

The importance of Information Security in our lives – Part 4

 

4. In our studies

The use of virtual tools increased dramatically in Peru during the Covid-19 pandemic, which made a number of educational organizations to modify the way they share knowledge to their students. There are diverse research papers published which confirmed the lack of preparation of the educational organizations as well as the available resources for their students, together with the considerable digital gap that Peru has as a country, it made a monumental negative impact which consequences could be felt in the next decades.

From the Information Security point of view, this is important due to the following points:

4.1. From the educational organization point of view

a. Students data protection

Our digital identities represent important information for the different cybernetic malicious groups. The gathering of the students’ identity could carry negative consequences like information extortion, or establish communication with the parents to extort them using their sons/daughters identities illegally. 

b. Protection of the educational organization information 

Public and private organizations hold a large amount of attractive information for illegal cybernetic groups, from the intellectual property access, organization bank account, workers bank accounts, personal details of workers and students, national organization details, identity information of all workers and students, etc. This information, if obtained illegally, could be used in negative actions that will produce mental and economic distress to the impacted people.

c. Establishment of oficial communication channels

Educational organizations should established official communication to Exchange information. Establishing these safe official channels o protocols to exchange information could make attacks like Man-in-the-middle (MIM) where communications between two points are intercepted to have access to the data being transferred or to deviate those communications to illegal servers or sites, where data will be captured to be used illegally. 

Now, due to the sudden decision to enforce lockdowns to all population, the use of free channels like Zoom or similar was the first decision to be able to continue teaching to students, but these channels are not 100% secure and should be replaced by official channels by educational organizations. In addition to that, there must be a mandatory training to use these new digital tools to all professors to avoid attacks or misconfigurations.

4.2. From the student point of view

a. Students data an identity protection

Strong passwords should be created using alphanumeric characters, special characters and capital/lower letters, of a considerable length and to be only logical or familiar to the user: another strategy is the use of phrases as passwords, which could be valid but still should be strength with the advice provided early. 

b. Student’s home network protection

We should keep in mind the mínimum requirements to protect our network at home, from the router settings modification of the internet service provider company, to use secure communication channels (ports, DNS, etc.), to have our operative systems constantly updated as well as all software packages installed in our PCs.

The importance of Information Security in our lives – Part 3

3. In our jobs

IT is used in almost all Enterprise environments, from multinational corporations to the smallest startups; moreover, new startups are focused in enterprise solution creation that use IT as their supportive platforms. Services like: online banking, service payment, money transfer, tax payments, contracts negotiation and signing, client generation and engagement, marketing methods, etc., IT are used as support strategies to the main business idea.

In this environment, Information Security is represented by similar points as the ones described in the second part. The difference relies in the fact that all size companies are attractive targets for a cybersecurity attack.

3.1. Enterprise size companies

Obviously, these types of organizations have the most attractive information for the different group of hackers around who they could use the below attack techniques:

- Ransomware

- Phishing

- DDoS

- Malware

- Man In the Middle (MIM)

- Worms, etc.

These attacks have as their objective, through enterprise information kidnapping to obtain an illegal payment (ransomware), to illegally obtain enterprise information (malware, phishing, worms, etc.), or capture of the information exchange channel to deviate user transactions or requests to illegal sites (MIM). These are only a small set of the different cybersecurity attacks available for which organizations need to be prepared and take preventive measures, not only to protect their data, but even more important, to protect their customers information. 

3.2. Small or medium size business (SMBs)

Many people think small or medium size business do not represent an attractive target to the different attackers in existence, but it is not like that.

From the point of view of the organization itself, an small or medium business has as a main target to grow, these types of organizations make all possible efforts to establish commercial relationships with enterprise size organizations already established in their particular business niche of interest. When SMBs organizations are able to become business partners it is the time they become attractive to the different cybersecurity attacks due to the trust relationship established between the enterprise size organization and the SMB. The different hacker groups take advantage of these trust relationship in order to attack the SMB, establishing a persistent method and confirm the communication channel used to modify the worm payload to do a lateral movement and impact the enterprise size organization.

As you can see Information Security plays a key role in the data interchange between same niche organizations and associated sectors. Information Security controls must be installed in both organizations’ group, in addition to this, enterprise size organizations need to establish frequent third party security assessment process with their, all size, business partners.

La importancia de la seguridad de la información en nuestras vidas – Parte 3

3. En nuestro trabajo

La TI es usada en casi todos los ambientes empresariales, desde las grandes corporaciones hasta las más pequeñas startups, más aún, las nuevas startups están enfocadas en la creación de soluciones empresariales que usan como plataforma base las TI. Servicios desde banca electrónica, pago de servicios, transferencia de dinero, pago de impuestos, negociación y firma de contratos, generación de clientes, métodos de marketing, etc., las TI son usados como estrategias de soporte a la idea principal del negocio.

En este ambiente, la Seguridad de la Información está representada por puntos similares a los descritos en segunda parte. La diferencia radica en que empresas de cualquier tamaño son objetivos atractivos para un ataque cibernético.

3.1. Grandes empresas

Obviamente, este tipo de empresa posee información atractiva para los diferentes grupos de hackers los cuales pueden ejecutar ataques como:

- Ransomware

- Phishing

- DDoS

- Malware

- Man In the Middle (MIM)

- Worms, etc.

Estos ataques tienen como objetivo, ya sea el secuestro de la información de la empresa en pos de obtener un pago (ransomware),  la obtención ilícita de información de la empresa (malware, phishing, worms, etc.), o la captura del canal de intercambio de información para poder desviar las transacciones de usuarios hacia un sitio ilegal (MIM). Estos son solo una pequeña muestra de los diferentes ataques cibernéticos disponibles para los que las empresas tienen que estar preparadas y tomar iniciativas de prevención para no solo proteger sus datos, pero más importante aún, para proteger los datos de sus clientes. 

3.2. Pequeñas empresas

Mucha gente tiene el pensamiento de que las empresas pequeñas no representan un objetivo atractivo para los diferentes grupos cibernéticos ilegales que existen, pero no es así.

Desde el punto de vista del negocio en sí, una empresa pequeña tiene como objetivo el crecimiento, y para lograr esto, este tipo de empresas hacen todos los esfuerzos posibles para poder generar relaciones comerciales con empresas grandes ya establecidas en el rubro particular de operación. Cuando estas empresas logran convertirse en socio de negocios es cuando las pequeñas empresas se convierten en un objetivo atractivo para los ataques cibernéticos debido a la relación de confianza establecida entre la empresa de gran tamaño y la pequeña empresa. Los diferentes grupos cibernéticos ilícitos toman ventaja de esta relación de confianza para poder atacar la pequeña empresa y esperar hasta confirmar el canal de intercambio de datos establecido entre las empresas para poder modificar el ataque a usar (worm payload) y realizar un movimiento lateral para poder trasladarse hacia la red de TI de la empresa de tamaño grande. 

Como se puede observar la Seguridad de la Información juega un papel titular en el intercambio de datos entre empresas del mismo sector y de sectores relacionados. Controles de Seguridad de la Información deben de ser implementados en ambas organizaciones, además de que las empresas de tamaño grande especialmente tienen que tener procesos de evaluación de Seguridad de la Información de Terceras empresas o de Socios de Negocios. 

The importance of Information Security in our lives – Part 2

 

2. In our shopping

According to an ECommerceNews study, there was an increase of 53% in Electronic Commerce [1].  This percentage not only is the reflect of the E-Commerce impulse had during the Covid-19 Pandemic, but it reflect Peruvians’ comfortable feelings towards making their shopping through the internet. 

Now, in that context, Information Security is represented by different factors, such:

    2.1. From the end user point of view

           a. Having their PC’s Operative System updated

           b. Having updated all software packages installed in the PC

           c. Have an updated anti-virus software package installed

    2.2. From the point of view of the E-Commerce Company service provider

           a. Have updated SSL Certificates

           b. Have a Vulnerability Management Program

           c. Have security controls to be able to protect the internet facing web site from external attacks (e.g. WAF, etc.)

           d. Have an information Security Team (internal or external) that could take control of the situation in the case of a cybersecurity attack

           e. Have secured backups of the Web application and critical data bases

           f. Have an industry standard certified network environment with PCI-DSS Specifications in case user credit cards are being used in the electronic transactions

           g. Being compliant with all local Information Security regulatory requirements 

References

[1] https://www.ecommercenews.pe/ecosistema-ecommerce/2022/al-cierre-del-2022-el-ecommerce-en-el-peru-movera-us-20-millones-y-crecera-53.html

La importancia de la seguridad de la información en nuestras vidas – Parte 2

 

2. En nuestras compras

De acuerdo con el estudio de ECommerceNews,  el 2022 tuvo un aumento del 53% en el Comercio Electrónico [1]. Este porcentaje no solo es reflejo del impulso que tuvo el Comercio Electrónico durante la pandemia del Covid-19, pero refleja que los peruanos se sienten cada vez más cómodos en realizar sus compras por internet. 

Ahora bien, en este contexto, la Seguridad de la Información se ve representada por muchos factores, como:

    2.1. Desde el punto de vista del usuario

           a. Tener el Sistema Operativo actualizado
           b. Tener todos los paquetes de software que se usan frecuentemente actualizados
           c. Tener un antivirus actualizado

    2.2. Desde el punto de vista de la empresa proveedora del servicio de Comercio Electrónico

a. Contar con Certificados SSL

b. Tener un programa de Gestión de Vulnerabilidades

c. Tener controles de Seguridad para poder proteger la página web de ataques externos (por ejemplo: WAFs, etc.)

d. Tener un equipo de Seguridad de la Información (interno o externo) que pueda tomar el control en caso de un ataque cibernético

e. Tener sistemas de respaldo de datos de la aplicación Web y de Bases de datos críticas

f. Tener un entorno de red homologado con especificaciones PCI-DSS en caso se usen tarjetas de crédito de los usuarios para las transacciones electrónicas

g. Tener implementados los requerimientos relacionados con Seguridad de la Información provenientes del Regulador Gubernamental 

Referencias

[1] https://www.ecommercenews.pe/ecosistema-ecommerce/2022/al-cierre-del-2022-el-ecommerce-en-el-peru-movera-us-20-millones-y-crecera-53.html

The importance of Information Security in our lives – Part 1

Societies, including the Peruvian one, are adopting digital solutions not only at an enterprise level, but also in the personal. From the enterprise point of view, there are different digital solutions that when adopted not only become part of the available technology in the enterprise, but also they could be part of the specific niche’s regulatory requirement. This will require the enterprise to send periodic specific KPI (Key Performance Indicators) reports, which should be aligned with specific incident report times, especially when these are associated with service availability and information security.

In the personal case, there are a plethora of available of digital solutions, from food deliver, e-commerce, online banking, and a long etcetera. Due to the nature of the diverse application, it is necessary to register personal information (e.g.: names, last names, birth date, ID documents, etc.), payment methods (credit cards, debit cards, etc.), and other in our accounts. This fact of the account creations and personal data registration creates a trust relationship with the service provider, for which our data will reside in their data bases. These companies, as mentioned before, could be under regulatory requirements in their respective business niches, but this doesn’t mean they are 100% secure.

To better understand the different threats our data could suffer, I prepared a series of entries to share and hopefully, will create a Little of awareness about how to protect our date through simple processes. These are divided in seven parts y an additional one for conclusions.

1. In our home

We all Heard of information viruses and how they can damage our computers, and/or how these could infect our computers, keep silent for a long period of time and extract specific information from our bank accounts, social media, email, etc. In this case information security, represented by an antivirus and updated Operative System (OS), could serve as a preventive measure against these types of attacks. 

In addition to the above, we should keep in mind that our digital identity has to be secured, in that sense; we should learn how to identify potentially malicious or illegal websites that are used to steal our identity and payment methods. 

See you in the second part.

La importancia de la seguridad de la información en nuestras vidas - Parte 1

Las sociedades, incluida la peruana, están adoptando soluciones digitales no solo a nivel empresarial, pero también en el personal. Desde el punto de vista empresarial, existen diferentes soluciones digitales que al ser adoptadas pasan a ser no solo parte del abanico tecnológico de la empresa, sino que puede entrar dentro del ámbito normativo del regulador del nicho específico de negocio. Esto último requerirá que la empresa además de reportar periódicamente Indicadores clave de rendimiento (KPI por sus siglas en inglés) específicos, esté alineado con tiempos específicos de reporte de incidentes, especialmente cuando estos se tratan de disponibilidad de servicios y de seguridad de la información.

En el caso de uso personal, las soluciones digitales son mucho más variadas, desde entrega a domicilio de comida, comercio electrónico, banca en línea, y un largo etcétera. Debido a la naturaleza de las diversas aplicaciones, es necesario el registro de datos personales (como: nombres, apellidos, fecha y lugar de nacimiento, documentos de identificación, etc.), métodos de pago (tarjetas de crédito, tarjetas de débito, etc.), y demás en nuestras cuentas. Este hecho de la creación de la cuenta y el registro de datos, crea una relación de confianza con el proveedor del servicio, por el cual nuestros datos radican en sus bases de datos. Estas empresas, como se indicó anteriormente, pueden estar bajo la observación de los reguladores locales de sus respectivos nichos de negocio, pero esto no significa que estén 100% seguros.

Para poder entender un poco mejor los diferentes peligros que nuestros datos pueden sufrir, he preparado esta serie de entradas para poder compartir, y, ojalá, crear un poco de conciencia de cómo proteger nuestros datos mediante simples procesos. Estas estarán separadas en siete partes y una de conclusiones.

1. En nuestro hogar

Todos hemos escuchado de los virus informáticos y de cómo estos pueden dañar nuestras computadoras, y/o como estos pueden infectar nuestras computadoras, permanecer silenciosos por un buen tiempo y después extraer información específica de nuestras cuentas bancarias, social media, correos electrónicos, etc. En este caso la seguridad de la información, representada por un antivirus y Sistema Operativo actualizado, puede servir como una medida preventiva ante este tipo de ataques.

Además de esto tenemos que tener en cuenta que nuestra identidad digital tiene que ser bien resguardada, en este sentido, debemos de aprender a identificar sitios web de dudosa procedencia o sitios web ilegales que son usados para robar nuestra identidad y métodos de pago.

Nos vemos en la segunda parte.

The lack of direction when it comes to Cybersecurity in Peru

 Peru is a country with a great diversity of natural resources, and strategically located, which makes a variety of professional paths available that graduates from the different secondary schools can choose to follow. Obviously, the decision to study a specific career depends not only on the applicant's skills, but also on the economic benefit that the career in question can provide in the future, the country's industry requirement for these professionals, etc.

In addition to the careers already established in the country, for example: medicine, law, various engineering, economics, etc., there are many careers that are destined for the future due to the greater use of technology in this era of the world, especially Information Technologies (IT). But IT, in its vast variety, has a discipline that is very important at the moment, but apparently in Peru only two higher education institutions in the leading sector are making efforts to create Peruvian professionals in this discipline, it is the Information Security, these are ESAN University (Master's level) and the National Engineering University (UNI for its acronym in Spanish) (Undergraduate level) [1, 2].

It is important to mention that Cybersecurity is a discipline in high demand around the world, due to many reasons, but basically due to the fact that a good part of the banking and commercial transactions that we do every day use electronic systems, either from the web or mobile phone [3]. This high demand discipline which is based on the constant use of the acquired knowledge, frequent updating, and an environment full of challenges, means that these professionals can work from Peru in other countries as well.Despite the fact that our country has been the victim of different computer attacks (including attacks against armed forces) in which personal data was illegally extracted, there is little or no interest from other educational institutions in properly creating this professional career, in addition It is more than disappointing that the Peruvian government, through its regulators of the different business areas, do not have clear and mandatory Cybersecurity regulations [4]. An additional factor is the little or no interest that private companies have in protecting consumer data, which significantly increases the risk of identity theft that consumers can suffer since there is no communication when companies suffer computer attacks with illegal data extraction.

It is this lack of awareness about the importance of Cybersecurity that not only makes educational institutions have no interest in creating these faculties, which will have negative consequences in the near future. Now, it is not only the fact of creating awareness in the governmental and private sphere, but also educating ordinary citizens that our digital identity is more than important in a world in which data will soon completely replace an identity in a printed card.

References:

1. https://www.esan.edu.pe/conexion-esan/esan-graduate-school-of-business-presenta-la-maestria-en-gestion-de-la-ciberseguridad-y-privacidad
2. https://rpp.pe/tecnologia/mas-tecnologia/uni-inaugura-carrera-de-ingenieria-de-ciberseguridad-noticia-1428538
3. https://www.isc2.org/News-and-Events/Press-Room/Posts/2022/10/20/ISC2-Research-Reveals-the-Cybersecurity-Profession-Must-Grow-by-3-4-Mil-to-Close-Workforce-Gap#:~:text=Despite%20adding%20464%2C000%20more%20cybersecurity,not%20have%20enough%20cybersecurity%20employees.
4. https://larepublica.pe/politica/gobierno/2022/10/08/hackers-en-la-dini-roban-secretos-militares-peruanos-de-ultimos-cinco-anos-guacamaya-leaks-ejercito-fuerzas-armadas
5. https://rpp.pe/tecnologia/mas-tecnologia/peru-tercer-pais-mas-ciberatacado-en-america-latina-noticia-1359003

ICS under serious risk from a wormable Windows Vulnerability

The most recent patch from Windows, May 2019, [1] fixes around 80 different vulnerabilities, among of them is the CVE-2019-0708 which is, according to Microsoft “An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.”, meaning it can be wormable and get full control of the remote device, I repeat get control of the remote device by using the Remote Desktop Protocol (RDP) formerly known as Terminal Services.

It is well known that a particular vulnerability is critical when Microsoft decides to patch their unsupported Windows versions, it is the case now, and Microsoft released patches for Windows XP, Windows 7, Windows Server 2003 and Windows Server 2008.

Although we know there is a large amount of Windows 7, even Windows XP, devices in the wild, as well as Windows Server 2003 and 2008, a good portion of this are still working in Industrial Control Systems, either as HMIs or as part of the SCADA infrastructure. An interesting statistic is provided by CyberX Labs indicates that after analyzed traffic from 850 operational technology systems, which are used to manage factory production lines, gas monitoring, and other types of industrial operations. Researchers found that 53 percent of them run unsupported versions of Windows, many of which are likely affected by the just-patched vulnerability [2].

One of the reasons behind this decision is that Control Software Manufacturers decide to use the available Operative System (OS) in the development moment and tuned specific libraries or software packages in order to get the most of the OS. When patches are available is usual that manufacturers recommend customers to wait until testing is completed and the possible impact is assess and addressed. Once that happened, they decide to release the package to customers, what is interesting is that in order to minimize the possible impact of patches to the application, due to the reliability required to work in ICS environments, full patching of the OS could not be in the manufacturer scope. Some of the vulnerable systems can be found in Mission Critical Environments, which due to their critical tasks cannot be easily halted in order to be patched. Additional strategies to the patch to protect our organizations are blocking the TCP port 3389 in the Firewall [3].

It is important to understand the criticality of this issue, the exploitation of this vulnerability is not only related to data exfiltration, malicious actors could exploit this and cause a much larger impact affecting negatively our life standards, due to the potential impact to critical infrastructure [4]. Understanding the integration of IT protocols in ICS and its seamless integration into IT Environments, it is completely feasible to enforce the following IT strategies in the ICS Network:

Monitoring

Device monitoring is a well-known and widely used IT strategy in order to increase device visibility for Security practitioners in the enterprise. In the case of ICS, we could use the same strategy in order to define what is not “normal” in the environment and address it in the shortest time.

Network Monitoring

Network segmentation is widely used in order to create specific groups of devices and to isolate them for different reasons. In the particular case of ICS segmentation based on criticality could one solution. The scope of the devices to be isolated requires a deep analysis understanding the industry, its criticality and standards applied.

Establishing controls in ICS is critical to protect not only data, but operations related to the control process.

As usual, prevention, wise use of resources and budget, together with detailed processes and training for Security staff will always be the pillars where our security strategy could rest confident of being protected.

References

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
[2] https://arstechnica.com/information-technology/2019/05/microsoft-warns-wormable-windows-bug-could-lead-to-another-wannacry/
[3] https://www.securityweek.com/wormable-windows-rds-vulnerability-poses-serious-risk-ics
[4] https://www.nist.gov/cyberframework/critical-infrastructure-resources