Como investigador de seguridad, no tengo muchas oportunidades de usar nombres de Hollywood como Disney o Johnny Depp. Sin embargo, los lectores atentos de WeLiveSecurity habrán notado la colisión del cibercrimen con Hollywood en uno de los incidentes del mes pasado: "Cibercriminales roban una película de Disney todavía no estrenada".
No comenté sobre el caso en ese entonces, porque WannaCryptor todavía se estaba llevando toda la atención y los titulares, pero me gustaría dar algunas recomendaciones que pueden ayudar a prevenir futuros robos de propiedad intelectual de alto valor.
las películas y programas de televisión multimillonarios son ahora un blanco de los atacantes
Claramente, las películas y programas de televisión multimillonarios, como Orange is the New Black, son ahora un blanco de los atacantes digitales, los hackers de sombrero negro; en otras palabras, los cibercriminales.
Acabamos de enterarnos de otro ejemplo: un joven de 21 años fue detenido por el FBI, acusado de violar el derecho a la propiedad intelectual por haber publicado la película "Deadpool" en su página de Facebook una semana después de su estreno oficial, en febrero de 2016.
Mi teoría es que estos saqueadores de propiedad intelectual están tratando de encontrar el mejor modelo de negocio con el cual monetizar su habilidad para hacerse con copias pre-lanzamiento de grandes producciones.
Por lo tanto, todos los estudios y compañías productoras de programas y películas necesitan pensar en qué pueden hacer para proteger sus activos digitales, no solo en sus oficinas, sino en cualquier otro lugar al que esos activos viajen durante el proceso de producción.
Marco de referencia y proceso
Una buena estrategia de seguridad es atender el problema a través de procesos, personas y tecnología.
En el frente de procesos, todas las compañías involucradas en la producción de propiedad intelectual deberían, en este punto, estar adhiriendo a un marco de referencia probado que comprenda totalmente los riesgos en la cadena de suministro. Eso incluye asegurarse de que la propiedad intelectual digital está protegida en todo momento, incluso durante la postproducción (o quizá deberíamos decir especialmente durante la postproducción, dados los recientes incidentes).
Afortunadamente, hay un marco de referencia listo que las compañías pueden usar sin cargo, gracias al gobierno federal de los Estados Unidos, que ha hecho un excelente trabajo en esta área, llamado NIST Cybersecurity Framework. La versión actual es una gran forma de incursionar en la ciberseguridad de tu organización, y la próxima versión, actualmente en borrador, profundiza aún más en la necesidad de mantener la ciberseguridad a lo largo de la cadena de suministro.
Por esa razón, vale citar al borrador:
“La práctica de comunicar y verificar requerimientos de ciberseguridad entre las partes interesadas es un aspecto de la gestión de riesgos de la cadena de suministro cibernético (cyber supply chain risk management o SCRM). Un objetivo primario de la misma es identificar, evaluar y mitigar productos y servicios que puedan contener funcionalidad potencialmente maliciosa, sean falsificaciones, o vulnerables a raíz de prácticas de manufactura y desarrollo pobres dentro de la cadena de suministro cibernético”.
Entonces, ¿qué implica realmente SCRM? Volvamos al marco de referencia:
- Determinar los requisitos de ciberseguridad para proveedores y socios de tecnología de la información (TI) y tecnología operativa (TO)
- Promulgar los requisitos de ciberseguridad mediante acuerdos formales (por ejemplo, contratos)
- Comunicar a los proveedores y socios cómo se verificarán y validarán esos requisitos de ciberseguridad
- Verificar que los requisitos de ciberseguridad se cumplan a través de una variedad de metodologías de evaluación
- Administrar y gestionar las actividades mencionadas
Para resumir: necesitas verificar que tienes compromisos obligatorios de parte de todas las entidades que tocan tu proyecto de propiedad intelectual digital, atestiguando que tengan un conjunto completo de defensas de ciberseguridad implementado. Además, todas las partes deben saber que te reservas el derecho de auditar esos compromisos.
Algunos ejemplos concretos serán de utilidad, así que considera estos ítems como una forma estándar de evaluación, usada para analizar a un potencial vendedor o proveedor, como una empresa de postproducción, cuando solicita acceso a tus sistemas para trabajar con su contenido:
- ¿Tiene este tercero un programa de seguridad de la información apropiado y actualizado, con políticas, estándares y procesos documentados?
- ¿Emplea este tercero mecanismos de seguridad física para asegurarse de que solo quienes están autorizados tienen acceso a áreas sensibles que contienen activos de información?
- ¿Recibieron sus empleados capacitación respecto a qué información pueden o no transmitir vía email?
- ¿Tiene el vendedor políticas que definan el control y administración del acceso?
- ¿La capacidad del proveedor de otorgar autorizaciones a usuarios le permite a los administradores agruparlos en roles y definir permisos específicos para cada función basándose en el privilegio mínimo?
- ¿Quién es responsable de otorgar acceso a recursos del sistema de TI?
- ¿Se les permite a sus trabajadores compartir credenciales de login?
- ¿Cada cuánto se revisan los privilegios de acceso de usuarios para ver si son apropiados?
Si no tienes la respuesta a esas y otras preguntas parecidas por parte de cada uno de tus proveedores, no estás alcanzando el estándar razonable de protección de tu propiedad intelectual.
En otras palabras, si algo de tu propiedad intelectual desaparece, te criticarán por no haber cumplido los requerimientos mínimos de seguridad.
Las personas y la tecnología
No voy a entrar demasiado en detalles acerca de las partes “personas” y “tecnología” de la tríada procesos/personas/tecnología de este artículo. Es suficiente con decir que la parte de las personas implica asegurarse de que los empleados son dignos de confianza y están bien entrenados en seguridad.
Una de las mayores fallas de las compañías es la falta de preparación para cuando ocurre un incidente
Es particularmente importante enseñarles cómo evadir ataques de ingeniería social, ya sea aquellos que llegan en correos engañosos como aquellos que aparecen en persona (por ejemplo, alguien que se hace pasar por personal de una compañía de servicios públicos).
Afortunadamente, hay algunos excelentes recursos gratuitos que puedes usar para empezar un plan de educación sobre ciberseguridad. Por ejemplo, las empresas pueden usar nuestra guía gratuita del empleado seguro, una gran opción para comprender los riesgos y cómo afrontarlos, para que todo el personal sepa su rol en la protección de la información corporativa.
También se debe incluir una dosis saludable de cifrado (cifrar todo lo de valor, ya sea que esté en tránsito o no), y autenticación de múltiple factor, para asegurarte de que todos los accesos a los sistemas que procesan propiedad intelectual valiosa están identificados, registrados y monitoreados.
El acceso a activos digitales debería ser revocado de inmediato cuando los empleados renuncian o son despedidos, o cuando terminan los contratos.
Asegúrate de que haya protección contra código malicioso en todos los servidores, así como en los puestos de trabajo, laptops y dispositivos móviles. Los servidores a menudo se descuidan, aunque podrían ser remotamente accesibles; de hecho, actualmente existe un mercado negro que está creciendo, donde se ofrecen credenciales que se pueden comprar o alquilar para obtener el acceso remoto a un servidor.
También debes asegurarte de que, si se desactiva la protección antimalware, se emita un alerta, ya que esto es precisamente lo primero que intentan hacer los intrusos.
La última línea de defensa contra el robo y la extorsión es contar con copias digitales de todos los activos, las cuales deben estar bien resguardadas en ubicaciones separadas. Un régimen de backup robusto y revisado a menudo es esencial. Y este régimen debe abarcar todos los activos; demasiado seguido escuchamos a compañías decir “sí que teníamos un programa de backup implementado, pero había un conjunto de archivos que no estaba incluido”. Adivina quiénes están exigiendo el pago de un rescate ahora...
Cuando los escenarios posibles se hacen realidad
Una de las mayores fallas de las compañías de todos los tamaños es la falta de preparación adecuada para cuando ocurre un incidente. Incluso cuando tienes las tecnologías defensivas adecuadas y los procesos documentados y tu personal está capacitado, puede producirse una brecha.
creer que las autoridades no harán nada es un error
Cuando ocurre, necesitas activar tu plan de respuesta a incidentes. Personal previamente asignado deberá contactar de inmediato a gente de legales y a las autoridades, contactos que también deberán ser previamente asignados.
Si todavía no lo hiciste, hazlo ahora, antes de que haya un (ciber)crimen que reportar. Conoce a las autoridades locales, a los organismos gubernamentales encargados de investigación de ciberdelitos y a especialistas en seguridad que puedan ayudarte.
Algunas compañías no reportan cibercrímenes porque creen que “probablemente las autoridades no harán nada”. En mi opinión, eso es un error. Tu reporte podría ser el eslabón que falta en una cadena de crímenes que ya están investigando, y de la que tú no sabías nada. Además, la ley no puede hacer más contra el cibercrimen si las personas no le reportan los casos.
Las agencias de aplicación de la ley de hoy en día son sensibles a la confidencialidad de los datos y a las preocupaciones comerciales, y trabajarán contigo sin interrumpir tu operatoria.
Lo que no deberías hacer es pagar para recuperar la propiedad intelectual que te quitaron. Pagar el rescate solo alienta a los criminales a intentarlo de vuelta contigo o con otra compañía. Si alguien ha clonado un activo digital y quiere dinero para no hacerlo público, mantente firme. Si lo publican, eso le dará a las autoridades más pistas para identificar a los atacantes. Si te afectó un ransomware que cifró tus archivos y exigió un rescate, ten en cuenta que pagarlo no es garantía de que los recuperes.
Claramente, la industria del entretenimiento no está exenta de la atención de los cibercriminales, que están explorando formas de explotar su creciente dependencia cibernética. El momento para chequear tus defensas es ahora, no después.