Exposición a la ciberseguridad, programas gubernamentales globales, seguros y más

Walt Zerbe (00:00.644)
Hola y bienvenidos a otro podcast de la CDA. Soy Walt Zerbe, Director Senior de Tecnología y Estándares y su anfitrión para el podcast de la CDA. Y hoy vamos a hablar de un pequeño tema llamado ciberseguridad. esto, Dios mío, esto, esto parece estar llegando completamente a toda velocidad ahora. Hemos estado hablando de ciberseguridad durante años, pero creo, creo que es realmente un foco ahora en el mundo.

y un foco en nuestra comunidad y algo con lo que necesitamos estar realmente al día. Hay tanta información para hablar hoy aquí. Realmente no estoy muy seguro de cuánto vamos a llegar a través, pero vamos a darle una buena oportunidad. Hoy nos acompaña Trent Frazier. Él es el Director Adjunto, las partes interesadas de la División de Participación en el Departamento de Seguridad Nacional, Ciberseguridad y Seguridad de la Infraestructura de la Agencia.

también conocido como CISA, C-I-S-A. Y luego tenemos Callum Wilson con SafeShark y él está representando SafeShark y nos va a decir cosas más en el Reino Unido y el lado europeo de las cosas. Y luego tenemos a nuestros amigos Michael George y Chris Boots, ambos de AMJ Insurance. Llevan mucho tiempo colaborando con Cedia. Tienen programas de seguros para integradores.

Con Cedia y el seguro sólo realmente ayuda a redondear todo esto, porque es posible que necesite obtener algún seguro a medida que continúe siendo un integrador y o fabricante y las cosas y las cosas se ponen en marcha. Y luego tenemos un invitado que repite, nuestro propio Darren Raymond, Director de Asuntos Gubernamentales de Cedia. ¿Cómo están todos hoy?

Callum Wilson (01:45.614)
Bien.

Chris Boots (01:45.996)
Muy bien, listos para rodar.

Darren (01:46.318)
Bien.

Walt Zerbe (01:47.67)
Muy bien, listo para rodar. Muy bien. Así que voy a empezar rápidamente y ya sabes, yo no soy un experto en esto, pero estoy probablemente dedico 24 horas al día para llegar a la velocidad en esto y probablemente no conseguiría la velocidad en él con lo que leo por mi cuenta. Pero lo que sí sé es que voy a usar el ejemplo de mi hijo. Mi hijo está a punto de graduarse en la universidad con un título en justicia criminal. Y él

Tomó una pasantía en una empresa que se especializa en el fraude de ancianos, que es absolutamente increíble. Miramos a mis suegros, no tienen ni idea de qué hacer clic en, lo que no hacer clic en, lo que es real, lo que no es real.

Trent Frazier (02:25.574)
Gracias

Walt Zerbe (02:40.474)
sólo en los ancianos en los EE.UU. en 2023, había 12,5 mil millones dólares estimados de fraude, sólo para los ancianos 3,4 mil millones para las personas de 60 años o más. Es un aumento del 11 % respecto a 2022. Puedo imaginar esos porcentajes subiendo ahora que tenemos falsificaciones profundas AI y y todo tipo de cosas. Es simplemente un gigante

problema gigante y eso es sólo con un poco de la comunidad y esto es sólo con la gente probablemente tratando con el correo electrónico y los teléfonos inteligentes y ordenadores, por no hablar de cuando empezamos a integrar el hogar inteligente y las cosas IOT, que nos lleva a un nivel nother conjunto. Así que esa es mi pequeña introducción. No es realmente tan grande en cuanto a lo que vamos a cubrir, pero eso es donde mi mente ha estado últimamente.

Y octubre es el Mes de la Concienciación sobre la Ciberseguridad. Así que no sabía si alguien lo sabía, pero es uno de los momentos agradables de este podcast en particular. Hablemos de los programas estadounidenses de ciberseguridad. La FCC tiene un programa voluntario de confianza cibernética de EE.UU., y Darren y Trent van a explicárnoslo. Darren, ¿quieres hacernos una breve introducción?

Darren (03:55.638)
Sí, gracias a todos por venir hoy. Y antes de Trent tipo de aspectos más destacados

el programa CISA, quería programas CISA y lo que están haciendo en octubre y en torno al Mes de la Ciberseguridad. También quería destacar uno de los programas de EE.UU. que está comenzando. La FCC o Comisión Federal de Comunicaciones ha adoptado el programa US Cyber Trust Mark. En agosto de 2023, la FCC solicitó comentarios públicos sobre cómo crear el programa Cyber Trust Mark. Y luego, en marzo de

este año, crearon un programa voluntario de etiquetado de ciberseguridad para productos inalámbricos de consumo del Internet de las Cosas. Y como he dicho, ahora están en proceso de poner en marcha ese programa. Y en el marco del programa, los productos inteligentes de consumo que cumplan las normas de ciberseguridad llevarán una etiqueta, la US Cyber Trust Mark, que ayudará a los consumidores a tomar decisiones de compra informadas, diferenciando los productos fiables en el mercado.

Trent Frazier (04:36.326)
usted

Darren (05:02.016)
mercado y crear para los fabricantes que cumplan la norma de ciberconfianza. Así que hay muchos aspectos destacados del programa. Y sólo una cosa que me gustaría añadir a eso, ya sabes, una vez que un producto está aprobado, las empresas pueden incluir el logotipo del programa de la marca de confianza cibernética de EE.UU. en sus productos, junto con un código QR que los consumidores pueden escanear para obtener más detalles sobre la seguridad del producto. Y cómo por qué quiero plantear esto en este podcast

Trent Frazier (05:04.614)
Gracias

Darren (05:31.892)
ya en noviembre del año pasado, CDIA proporcionó comentarios públicos al programa de confianza cibernética y expresó su apoyo al concepto de la marca de confianza cibernética. Pero en sus comentarios, hacemos hincapié en la importancia de para la seguridad del hogar a la importancia de trabajar con los profesionales y los integradores de tecnología para tener un entorno seguro. Así que sólo quería destacar que y luego voy a pasar a Trent para hablar más sobre lo que CISA está haciendo para

octubre y los programas que tienen para apoyar la ciberseguridad en todo EE. UU.

Walt Zerbe (06:07.439)
Sí.

Trent Frazier (06:09.414)
Genial, gracias Aaron. Y sólo quería empezar reconociendo que estamos increíblemente entusiasmados con el programa Cyber Trustmark en las conversaciones con la FCC, ya que están desarrollando el programa. Vemos esto como un primer paso real hacia lo que llamamos seguro por demanda, que es un subconjunto del trabajo que estamos haciendo en seguro por diseño. Y en realidad se trata de cambiar fundamentalmente los incentivos del mercado en cuanto a la forma en que el software, el hardware y los servicios de red se proporcionan a los clientes, ya sean particulares.

Walt Zerbe (06:26.923)
Trent Frazier (06:38.712)
hasta la industria. Y es realmente un reconocimiento de que ahora tenemos que diseñar nuestros productos y servicios teniendo en cuenta la seguridad. Que los clientes deben ser capaces de adquirir, ya sea un dispositivo de punto final, como mucho de lo que estábamos hablando al principio, su teléfono, o un dispositivo de borde, el router de su casa, todo el camino hasta los servicios de red amplia. Esos tienen que ser diseñados

y dotados de seguridad desde el principio. Y es un mercado extraño en el que operamos hoy en día. Si lo piensas, ninguno de nosotros compraría un coche en el que el fabricante le asegurara que en algún momento del futuro le instalará airbags. Ninguno de nosotros querría, bueno, con suerte pocos querrían subirse a un avión en el que el proveedor le asegurara que en algún momento le instalará cinturones de seguridad más adelante.

Pero en muchos casos, cuando adquirimos tecnología hoy en día, ese es el mercado en el que adquirimos tecnología. Adquirimos tecnología que se lanza al mercado lo antes posible y luego, a medida que se utiliza en el mercado y se revelan vulnerabilidades, se instalan parches para solucionarlas. A medida que nuestra economía se digitaliza cada vez más e integramos la tecnología en todos los niveles de la sociedad civil,

Ese no es un modelo sostenible para ninguno de nosotros como ciudadanos individuales, como empresarios, como instituciones gubernamentales, o cualquier nivel del sector público y privado. Por eso estamos buscando formas de reestructurar los incentivos de ese mercado. Y el Sello de Confianza va a ser una de esas herramientas. Es un recurso fácilmente disponible que los consumidores pueden utilizar para comprar sus dispositivos, para comprar esos servicios.

y con la garantía de que fueron diseñados con seguridad desde el principio. Y eso es lo que esperamos ver más ampliamente en todos nuestros esfuerzos. La CISA desempeña un papel único en el gobierno federal. Estamos encargados de liderar el esfuerzo nacional para asegurar las infraestructuras críticas de nuestra nación y garantizar la defensa de las redes y sistemas críticos en todo el país. Por tanto, somos los ciberdefensores de la nación. Estamos aquí para garantizar que la ciberseguridad sea una prioridad tanto para los ciudadanos como para las empresas.

Trent Frazier (08:57.346)
los individuos y la industria y queremos ver que realmente esa evolución en el mercado ayuda a asegurar que podemos defender todas nuestras redes críticas en todo el país. Tenemos un montón de programas y no voy a entrar en profundidad en todos ellos porque es bastante extensa, pero me gustaría tipo de la tierra que la conversación en primer lugar en la idea de que mucha gente, especialmente en una gran cantidad de individuos y ciudadanos cuando se habla de seguridad cibernética que piensan que es este tipo de concepto monolítico que se aplica a otra persona que es

Hay una persona de ciberseguridad ahí fuera protegiéndote. En realidad, es fundamental que todos pensemos en la ciberseguridad más como un deporte de equipo, y todos tenemos un papel que desempeñar en ese deporte, ¿verdad? Así que es absolutamente cierto que queremos ver a los proveedores de productos y servicios creando esos productos y servicios con la seguridad en mente. También es el caso que queremos ver a los vendedores tomar medidas para garantizar que los productos que están instalando

tienen la seguridad incorporada desde el principio y que está integrada como parte de su trabajo. Y, por supuesto, es fundamental que como individuos, como personas que dependemos de esa tecnología, pongamos de nuestra parte para asegurarnos de que nos protegemos a nosotros mismos y protegemos las redes de las que dependemos. Lo hacemos de varias maneras. Hace poco lanzamos un programa llamado Secure Our World. Es un programa de servicio público muy sencillo que está diseñado básicamente para educar al consumidor.

el individuo sobre los pasos que pueden tomar. Y son pasos muy simples. Pueden ser cosas simples como asegurarse de que está implementando la autenticación de múltiples factores en sus dispositivos. Algo que la mayoría de nosotros no hacemos a menudo, pero de nuevo, es un paso crítico y clave. Asegúrate de que utilizas contraseñas complejas. Por favor, no utilices más la contraseña como contraseña. Ayer tuve una interesante reunión con algunos miembros de la industria y me hablaron de uno de los retos clave que siguen teniendo.

Walt Zerbe (10:39.578)
Ja, ja, ja.

Trent Frazier (10:49.88)
en la defensa de las redes es que los empleados utilizaban la palabra password como contraseña para acceder a sus sistemas. ya sabes, asegurarte de que tus dispositivos se mantienen actualizados. Todavía existimos en un mercado donde se requieren parches para abordar las vulnerabilidades a medida que se identifican. Es esencial asegurarse de que se actualizan los dispositivos en tiempo real y de que las actualizaciones de seguridad son continuas. Y, por supuesto, asegurarse de que eres consciente

cuando eres potencialmente objetivo de otros tipos de ataques como phishing y ataques de comportamiento. Creo, Walt, que has mencionado al principio uno de los principales retos que seguimos viendo. En mi trabajo, hablamos de complejos ataques de ciberseguridad por parte de adversarios muy capaces como China, Rusia u otros. Pero la gran mayoría de los ataques de ciberseguridad siguen siendo los muy simples, phishing básico, ataques de spear phishing que permiten que.

que consiguen que la gente comparta información y se exponga y por extensión exponga esas redes. Así que, asegurar nuestro mundo es un paso clave para nosotros. Ya he mencionado otro programa que tenemos que está realmente centrado en la seguridad por diseño. Se trata de remodelar el mercado. Y dentro de eso, estamos empezando a pensar en la seguridad según la demanda. Los recursos que podemos ayudar a proporcionar que permitirá a los consumidores, ya sean individuos, todo el camino a través de la industria para adquirir

los servicios y productos de sus proveedores con la seguridad en mente para asegurarse de que pueden hacer preguntas educadas sobre los tipos de medidas de seguridad que se hornean en los productos y recursos que están confiando y asegurarse de que están adquiriendo desde el principio.

Walt Zerbe (12:29.676)
Gracias. Muchas gracias. Ha sido una explicación increíblemente buena y completa, Trent. Tengo algunas preguntas. ¿Cómo estáis comercializando Secure by Design? ¿Está dentro del otro programa, el Mundo Seguro que ha mencionado?

Trent Frazier (12:46.842)
Sí, en realidad tiene varios niveles y eso se debe en parte a la complejidad del mercado que estamos tratando de desarrollar. Por ejemplo, hemos desarrollado un compromiso para los socios del sector en el que se describen las medidas esenciales que pueden adoptar en el diseño de sus productos y servicios. Eso puede incluir cosas como la eliminación de clases enteras de vulnerabilidad o la instalación de parches de seguridad, aumentando el ritmo de aplicación de parches para sus clientes.

Puede incluir garantizar que la autenticación multifactor esté activada por defecto en lugar de exigir a los clientes que la activen. Y cualquier número de esas medidas. Estos compromisos consisten en que los proveedores, los socios de la industria, participen en la conversación de forma que puedan anunciar a sus clientes que están tomando medidas en materia de seguridad. Por supuesto, empleamos programas como Secure Our World.

que realmente tratan de educar al consumidor y estamos haciendo mucho compromiso ahora con los socios de la cadena de suministro que intervienen. Se trata de personas o entidades que, como sus miembros, participan en la adquisición e instalación de tecnología para un usuario final en el otro extremo de la cadena de suministro, y que ahora participan en la conversación para ofrecerles recursos que puedan utilizar para ayudar a dar forma al tipo de productos que adquieren.

Nuestro grupo de trabajo ICT SCRIM, es decir, nuestro grupo de trabajo de tecnología de la información sobre la cadena de suministro, ha publicado recientemente una guía sobre adquisiciones de proveedores para ayudar a los vendedores que desean adquirir tecnología a informarse sobre el tipo de preguntas que deben plantearse para garantizar que la tecnología que adquieren incorpora la seguridad adecuada desde el principio. Se trata de un esfuerzo a varios niveles. Ahora tenemos que centrarnos en diferentes segmentos de público.

ya que estamos tratando de evolucionar realmente ese mercado.

Walt Zerbe (14:41.592)
Sí, de acuerdo. He visto los vídeos de Secure Our World. Están muy bien hechos y son útiles. ¿Por qué voluntario? ¿Son precursores de su obligatoriedad?

Trent Frazier (14:45.914)
Gracias.

Trent Frazier (14:52.868)
Creo que es voluntario, y es interesante que al principio mencionaras que se está hablando de algunos de los trabajos que se están llevando a cabo en la UE, el Reino Unido y otros mercados del mundo. Si nos fijamos en los principales mercados mundiales de la tecnología en este momento, hay una serie de enfoques diferentes. Algunos son reglamentarios, otros más voluntarios. Estamos adoptando un enfoque voluntario en parte por dos razones. Una, como agencia, todo nuestro modelo se basa en la asociación con la industria. Requiere...

que creemos confianza entre la industria y CISA para asegurar que la información sobre vulnerabilidades se comparte en tiempo real para que podamos abordar esas vulnerabilidades en tiempo real antes de que se propaguen por las redes. Y queremos proteger esa relación en nuestro diálogo. Pero también creemos que a la hora de dar forma al diseño de un mercado, es realmente crítico y probablemente una de las herramientas más valiosas para ello es el consumidor en ese mercado. Y así, mientras que sin duda hay medidas que ...

varios mercados de todo el mundo están explorando, creemos que la medida más eficaz va a ser la demanda de los consumidores y realmente impulsar y dar forma a los tipos de demandas a los proveedores para garantizar que realmente están proporcionando los productos y recursos de una manera segura.

Walt Zerbe (16:01.722)
Muy bien, sólo tengo unas pocas preguntas rápidas para terminar con usted. Si un producto no es compatible con este programa, ¿puede un instalador, integrador, consumidor o algo así decir que su producto debería estar en este programa y a dónde acudir para informarse sobre el mismo?

Trent Frazier (16:28.901)
Sí, la herramienta más sencilla es ir a CISA.gov y consultar nuestros recursos de seguridad bajo demanda. Allí encontrará el acceso al compromiso. De hecho, he estado animando a mucha gente en el lado del consumidor a echar un vistazo a ese compromiso porque creo que el compromiso es una herramienta muy simple y fácil que se puede utilizar en las discusiones con los proveedores que ...

ya se trate de una negociación de contratos complejos o de transacciones más básicas, porque te va a dar las preguntas básicas que hacer. ¿Estás haciendo estas cosas en los productos que estás empleando? Si no es así, ¿por qué no? ¿Y hay otros proveedores en el mercado que satisfagan esas cosas? Pero yo lo vería como un punto de partida fácil. Cuando consultes esos recursos, no dudes en ponerte en contacto directo con nosotros. Y si hay áreas que podemos comprometernos con usted para hablar,

Usted sabe, hay, estamos trabajando con un montón de socios de la industria ahora a través de una serie de diferentes cadenas de suministro de tecnología. Sin duda hay cadenas de suministro en las que probablemente no estamos muy involucrados hoy en día, pero agradecemos esa información porque eso nos da la vía para el seguimiento dentro de esos proveedores y esas comunidades.

Walt Zerbe (17:39.32)
Sí, estupendo. Desde luego, podría ver esto como una ventaja para un integrador que dijera que sólo utiliza SISA, ya sabes, que sólo utiliza productos que han sido, ya sabes, parte de este programa. Podría verlo como una ventaja para que el usuario final se sienta cómodo sabiendo que utiliza productos que satisfacen sus necesidades de seguridad. Mi última pregunta sería, estoy seguro de que ustedes recomiendan gestores de contraseñas, pero ¿qué pasa con las claves de paso? Las claves de acceso parecen ser algo hacia lo que nos estamos moviendo.

¿Cuál es vuestra postura con respecto a las claves de paso, forman parte del programa y se recomienda a los fabricantes que las admitan?

Trent Frazier (18:14.234)
Es interesante, las claves de acceso son lo que yo llamaría una herramienta de la caja de herramientas para ayudar con el reto de la autenticación de usuarios, ¿verdad? Y cuando pensamos en las claves de acceso, a menudo son increíblemente valiosas para determinados tipos de usuarios, pero también pueden tener un coste prohibido para otros tipos de usuarios. Mencioné que tuve...

algunas discusiones ayer con un socio de la industria que pasa a trabajar en lo que se llama una industria de alta rotación donde tienen una gran cantidad de empleados que entran y salen a un ritmo relativamente alto, en parte debido a la naturaleza de su modelo de negocio. claves para ellos podría ser prohibitivo, por lo que están buscando otras maneras de emplear la autenticación de múltiples factores utilizando otras formas de autenticación. La clave, sin embargo, es que utilicen la autenticación multifactor. Las claves de paso son sin duda una herramienta muy capaz para ese fin.

Hay otras herramientas que sirven para ese propósito y es realmente un equilibrio entre el riesgo y la recompensa en términos de cómo estás empleando esas cosas. Creemos que las claves de acceso son muy eficaces. El uso de gestores de contraseñas son a menudo muy, lo que llamaríamos, eficaces para el usuario medio. El individuo que tal vez se conecte dos o tres veces al día a sistemas y redes clave, puede no ser eficaz para otros tipos de usuarios y otros entornos. El verdadero, el punto de valor aquí es reconocer

que estas usando estas herramientas para abordar las vulnerabilidades en tus redes y que las estas implementando de una manera que realmente aborde tus vulnerabilidades clave.

Walt Zerbe (19:41.711)
Entendido. Sé que personalmente no podría vivir sin un gestor de contraseñas y si todavía tuviera una empresa de integración, educaría a todos mis clientes en el hogar que deberían usarlo para ayudar a reducir el potencial de vulnerabilidad. Me encanta que me avise cuando algo ha sido vulnerado. Genera contraseñas automáticas que ni siquiera necesito conocer ni preocuparme por ellas. Simplemente hace que la vida sea más segura y mucho más fácil para mí personalmente.

Trent Frazier (20:11.408)
Sí, desde luego.

Walt Zerbe (20:12.578)
Muy bien, bueno, vamos a pasar al programa de ciberseguridad de la UE. No sé por qué mi voz no funciona hoy, pero el Calum, vamos a echar un vistazo al otro lado. Como dicen, el estanque, ustedes tienen un montón de cosas pasando por allí. Tienes EE.UU., tienes programas de ciberseguridad del Reino Unido. Tenéis la ley de seguridad de productos e infraestructuras de telecomunicaciones. Tenéis todo tipo de cosas. Háganoslo saber. Háganos saber lo que está haciendo allí. Y también algo que odio decir por ahí, pero

Así es como voy a diferenciar EE.UU. de usted. Y también cualquier similitud que usted ha oído que estamos tipo de hacer lo mismo.

Callum Wilson (20:52.44)
Sí, eso es. Trabajo para Safe Shark. En realidad hacemos pruebas de gran parte de la ...

IoT que sus instaladores instalarán y proporcionarán y los proveedores proporcionarán y hay esencialmente en Over aquí en este lado del charco. Hay dos partes de la legislación y lo que yo diría es que la Unión Europea y el Reino Unido han optado por un tipo legislativo mucho más legislativo decir la palabra un punto de vista mucho más regulatorio y De hecho, hay dos partes principales de la legislación Así que si usted está absolutamente en lo cierto en el Reino Unido es el PSTI que es la seguridad de los productos y las telecomunicaciones

que incluye cualquier IoT que sea propiedad de un consumidor y esté conectado a una red. Esto incluye altavoces Bluetooth, tostadoras inteligentes, sistemas de cine en casa, todo. Y en la UE, en agosto de 2025, se lanzará la directiva de equipos de radio que incluye una prueba obligatoria

obligatoria para todo lo que tenga una conexión de radio a Internet. Cuando digo una prueba obligatoria, significa que cualquier prueba tiene que ser aprobada por un organismo de certificación. Así que hay que hacerlo muy a fondo. Creo que va a ser un cambio enorme para el sector. La PSTI tiene tres componentes. Habla de las contraseñas por defecto para asegurarse de que los productos no vienen con

contraseñas por defecto y sé que en la industria de los instaladores de IoT doméstico todavía hay productos que se envían, productos de gama alta que tienen una contraseña administrativa por defecto. Estos no aprobarían esta parte de la legislación y también requiere cosas como programas de divulgación de vulnerabilidades para los fabricantes, de modo que realmente puedan recibir comentarios del público.

Callum Wilson (22:44.889)
en general y de los profesionales de la seguridad sobre las vulnerabilidades de sus productos. Y la tercera es la obligación de actualizar la seguridad de los productos. Así que no se puede dar a un consumidor y el consumidor abandonado a su suerte. Ahora el PSTI es un acto de legislación, en otras palabras, está en nuestra ley en el Reino Unido.

Si una organización vende un producto que no lo cumple, puede ser multada con entre el 2 y el 4% de sus ingresos globales. Así que hay un palo bastante grande para eso. Ahora, dicho esto, que se convirtió en ley el año pasado. Y en SafeShark, la investigación de mi empresa, descubrimos que todavía hoy, de los productos de gama alta, alrededor del 75 % no cumplen los criterios mínimos de las PSTI. Así que incluso con una ley de regulación,

que tiene multas muy fuertes, todavía hay bastante incumplimiento. La UE tiene un enfoque más estricto que tardará un poco más en entrar en vigor, como he dicho, agosto de 2025. La Directiva de Equipos de Radio tiene un...

gran número de pruebas muy técnicas a las que deben someterse los productos. No voy a entrar en muchos detalles, pero es mucho más que comprobar las contraseñas, también hay que tener en cuenta la seguridad real del producto en sí y cómo puede almacenar datos confidenciales de forma segura para que los piratas informáticos no puedan acceder a ellos o no puedan ser violados o maltratados de ninguna manera.

Walt Zerbe (24:25.082)
Sí, les gusta hacer pruebas de penetración y todo eso en esas cosas.

Callum Wilson (24:28.118)
Sí, así que va a haber una prueba de conformidad. Las normas aún no están completamente formalizadas, aunque hemos estado trabajando en el comité para crear esas normas. La prueba es lo que yo llamaría una prueba de cumplimiento en lugar de una prueba de penetración, aunque algunas de las pruebas son en realidad bastante... Así, por ejemplo, una de las pruebas es que tienes que ser capaz de la fuerza bruta ...

Walt Zerbe (24:44.194)
Bien.

Callum Wilson (24:51.23)
Si tiene un sistema para permitir una contraseña, como una contraseña administrativa, tenemos que forzar el producto y tenemos enormes listas de millones de todas las contraseñas concebibles que se te ocurran y seguirá durante días intentando entrar en estos productos. De hecho, te contaré una historia que estaba haciendo. No mencionaré ningún nombre.

Walt Zerbe (25:14.703)
Callum Wilson (25:14.786)
Pero sé que es, simplemente no puede hacer eso. Era una televisión convencional y se podría pensar que la televisión no tendría la capacidad de iniciar sesión. ¿Cómo te conectas a un televisor? Eso no tiene sentido. Bueno, exactamente. Y en realidad son como tu ordenador. Tienen cuentas de usuario. Ahora, las cuentas de usuario no se presentan normalmente a los consumidores. Ni siquiera sabrías que están ahí. Sí. Nuestra plataforma de prueba automática dijo, bing, se rompen en.

Walt Zerbe (25:26.082)
Sí, ahora todas se basan en aplicaciones.

Callum Wilson (25:41.848)
esta televisión en particular y, de hecho, se rompió en ella en unos cinco segundos tan rápidamente que pensamos que nuestro sistema se había roto, pero resultó que tenía una contraseña de una sola letra lo que un solo carácter por lo que creo que fue un gran error que había un montón de disculpas hechas y promesas que nunca volvería a suceder a pesar de que veo otros productos que tienen contraseñas administrativas adivinables en allí simplemente no puede tener que ahora aquí está el por qué así que por qué

Walt Zerbe (26:09.167)
No.

Callum Wilson (26:11.48)
La legislación PSTI todo comenzó porque en 2016 hubo un virus llamado el virus Mirai. Y el virus Mirai tenía como objetivo IoT, en particular las cámaras de CCTV. Y en Alemania, en la Unión Europea...

tienen un importante proveedor de telecomunicaciones que dio la misma ruta a cerca de un tercio de los hogares en Alemania. Esto se vio afectado por el virus Mirai. Y eso es lo que realmente impulsó la legislación en Europa y el Reino Unido. Ellos simplemente no quieren tener una situación en la que lo que parece

un hack razonablemente intrascendente se convierte en un ataque de estado-nación porque tienes tu infraestructura de comunicaciones atacada, como atacar routers domésticos para, o tus routers de banda ancha o routers conectados a Internet en los hogares de las personas. Y cuando los combinas todos juntos sobre una población, realmente puedes causar mucho daño. Así que esa es realmente la raíz de esta legislación vino.

Walt Zerbe (27:10.33)
Tengo algunas preguntas para usted como siempre. ¿están diciendo que las actualizaciones de seguridad, ya sabes, el producto de ser capaz de hacer las actualizaciones de seguridad, es que automático? ¿Están diciendo que tiene que ser automático? Porque os garantizo que los consumidores no se acordarán de comprobar las cosas.

Callum Wilson (27:21.976)
Así que...

Callum Wilson (27:26.082)
Sí, eso es exactamente. Así que en el PSTI, la legislación del Reino Unido, aquí es donde se pone difícil porque cada...

Chris Boots (27:26.092)
.

Callum Wilson (27:33.4)
zona geográfica tiene normas diferentes. Pero en el PSTI, se trata más de la capacidad de decir al consumidor cuando compra un producto en qué se está metiendo. Uno de los, en realidad, compró uno de estos timbres con una cámara en ella hace unos años, sólo para encontrar que lo conseguí barato en una tienda en línea, como usted probablemente puede imaginar, y que ya había pasado su fecha de caducidad. Los servidores a los que se conectaba ya estaban apagados. No es de extrañar que fuera barato. Así que lo que intentan hacer es que cuando un consumidor compra un producto,

Walt Zerbe (27:46.138)
Ajá.

Callum Wilson (28:03.674)
El fabricante o el distribuidor o el vendedor que lo vendió que incluiría un instalador por cierto Tendría que decir que obtendrá actualizaciones de seguridad hasta una fecha determinada en el futuro No se puede decir tres años desde el punto de cuando usted compró tiene que ser una fecha real cuando ese producto tendrá actualizaciones de seguridad para Así es como lo están haciendo allí. Están tratando de hacer que el consumidor

sea dueño de la experiencia y tenga el conocimiento y la información para poder utilizar los productos. Creo que Trent dijo antes que se trata de este tipo de perfil de riesgo. Cada uno de nosotros

cada uno de nosotros tiene un perfil de riesgo diferente. Puede que tengas niños pequeños en casa, en cuyo caso tienes un perfil de riesgo diferente si tienes 20 años y compartes piso con algunos de tus amigos. Así que se trata de dar al consumidor la información adecuada para que pueda tener, bueno, al fin y al cabo, un equilibrio entre la facilidad de uso y la seguridad. Y si lo equilibras correctamente, todo irá bien para cada consumidor individual.

Walt Zerbe (28:42.44)
Sí.

Walt Zerbe (28:57.583)
Sí.

Walt Zerbe (29:04.036)
Sólo por curiosidad, ¿crees que las pruebas de la UE, una vez que estén todas finalizadas, aumentarán potencialmente los costes del producto, porque si alguien tiene que hacer muchas más pruebas, probablemente los márgenes sean escasos en algunas de estas cosas, probablemente tendrán que repercutirlo?

Callum Wilson (29:14.594)
Sí, así que hay un coste asociado.

Bueno, hasta ahora hemos estado probando PSTI durante un año y medio y acabamos de empezar a hacer nuestra primera prueba de directiva de equipos de radio ahora mismo. Las pruebas tienen un coste, pero en realidad es insignificante con respecto a los cambios reales que las organizaciones tienen que hacer en sus productos. Así que hemos estado, incluso algunas de las organizaciones de electrónica de primer nivel muy grandes del Lejano Oriente han tenido que aplicar ...

políticas adecuadas de divulgación de vulnerabilidades y potencialmente algunos cambios en los productos. Puedo nombrar algunos ejemplos. Tuvimos que cambiar una televisión donde había que emparejar una aplicación a la televisión. Era de cuatro dígitos, así que dígitos numéricos, cuatro dígitos para, y básicamente no tenía la capacidad de.

para resistir un ataque en el que acaba de ir de cero cero cero a nueve nueve nueve, con el tiempo sólo podría romper en él. Y, por supuesto, con este tipo de ataques, en realidad no es necesario estar en la propiedad de alguien para atacar que porque usted puede buscar una ventana o puede estar al lado. Sí, sí, exactamente. Así que sí, lo que encontrarás es que los principales costes, y espero que estos costes se amorticen con el tiempo porque con un mejor punto de referencia de seguridad dentro del producto, entonces tendrás.

Walt Zerbe (30:16.258)
Sí, dentro del alcance de la radio, ¿verdad?

Callum Wilson (30:34.109)
Con suerte, menores costes y mejores ventas en el futuro.

Walt Zerbe (30:37.326)
Sí, Callum, ¿habrá logotipos en los manuales de instrucciones y en los productos cuando sepamos que un producto cumple estas cosas?

Callum Wilson (30:42.862)
Sí, en el Reino Unido, todas las empresas deben disponer de un certificado de conformidad, ya sea en la caja o impreso junto con otras declaraciones de conformidad como, por ejemplo, la seguridad eléctrica y el resto de cosas que se mencionan allí y en sus sitios web. Y en la Unión Europea, será probado por un organismo nacional de certificación.

Walt Zerbe (30:56.399)
Sí, sí.

Callum Wilson (31:08.336)
y en este momento todavía estamos tratando de averiguar exactamente cómo va a funcionar. Safe Shark, nuestra empresa, va a hacer un logotipo y lo pondrá en cajas y demás, que indica el nombre real de la norma que se aprobó, y que también estará dentro de la caja.

Walt Zerbe (31:23.194)
Y los productos fabricados en la UE o el Reino Unido tendrán que pasar por algunas de estas cosas. Así que cuando los envíen al extranjero, también será un requisito, ¿no? Así que la razón por la que estoy hablando de esto es una cosa global que la gente necesita saber, especialmente los integradores en los EE.UU. la instalación de productos. Muchos productos proceden de la UE y el Reino Unido.

Callum Wilson (31:44.74)
Y viceversa, cualquier producto de IoT doméstico estadounidense que se instale en el Reino Unido tendrá que cumplir la legislación local del lugar donde se encuentre. Y es de esperar que un producto fabricado en el Reino Unido que se envíe a Estados Unidos se acoja al plan voluntario del que hablaba antes Trent. Y lo bueno es que el sistema voluntario, los EE.UU., la Directiva sobre equipos radioeléctricos de la UE y el PSTI no están exactamente a un millón de kilómetros de distancia.

Walt Zerbe (31:59.194)
DE ACUERDO.

Sí.

Callum Wilson (32:14.762)
tienen los mismos hilos de seguridad. Hay algunas ligeras diferencias aquí y allá, pero todos van en la misma dirección porque llevamos años hablando entre bastidores para hacer esto.

Walt Zerbe (32:25.626)
Sí. Es exactamente igual que la ERP. Recuerdo que cuando estaba en el mundo de la fabricación y tuvimos que cumplir con la mitad de vatios de energía en espera regulaciones que vinieron de Europa. entonces nosotros, como fabricante, tuvimos que asegurarnos de que todos nuestros productos cumplían con eso. Así que cada producto se convirtió en compatible con ERP no importa donde SSL fue diseñado. Así que esto tiene mucho sentido.

Darren suena como que vamos a, podríamos utilizar la educación, una clase, algo sobre todas estas marcas, qué tener en cuenta, qué buscar, y todas estas cosas en el futuro. Porque esto, ya sabes, estamos sacando el tema hoy, pero ahora vamos a necesitar educación sobre esto más adelante. Por supuesto. Una última cosa, yo también quería darte una historia, Callum. Estoy seguro de que lo has oído, pero me estoy asegurando de que nuestros miembros lo sepan. Sé que había un mayor.

Darren (32:52.706)
Hmm.

Walt Zerbe (33:18.798)
brecha en un casino en Las Vegas, de los cuales perdieron mucho dinero. Y eso fue a través de un tanque de peces. Y eso fue a través de un controlador de un tanque de peces que alguien fue capaz de romper y acceder a toda la red o partes de la red dentro de este casino. Así que ni siquiera era como en su propia, su propia, ya sabes, VLAN o algo así. Sólo estaba conectado. Y una vez que entraban a la pecera, tenían acceso. Así que esto,

¿Hay alguna otra pregunta para Darren o perdón, una columna de Darren o Chris?

¿Ustedes tienen algo?

Chris Boots (33:56.224)
Gran información, es realmente, realmente buena información.

Walt Zerbe (33:58.98)
Bueno, la razón por la que pregunto esto es que es una transición perfecta a los seguros porque el integrador que hizo la instalación, y voy a decir integrador tecnológico, ¿verdad Darren? Porque ese es nuestro nuevo término SOC. Si no escuchaste el podcast de la semana pasada, escúchalo. Nuestro último podcast que hicimos, habla todo sobre la campaña SOC. Pero, ¿cuándo eres responsable? Y lo vengo diciendo desde siempre.

Darren (34:10.411)
Correcto. Correcto.

Walt Zerbe (34:26.252)
Algún día alguien va a ser demandado porque alguien entró en la casa de alguien porque instaló Smart Home o lo que sea y van a decir que tú lo instalaste. Es culpa tuya, así que

Chris Boots (34:38.572)
Ya ha ocurrido. Estaría encantado de saltar aquí. Perfecto. Puedo empezar.

Walt Zerbe (34:42.274)
Sí, ¿queréis pelearos por quién va a empezar? De acuerdo. Así que Mike, Michael y Chris, Michael, George y Chris de, ¿por qué no ustedes seguir adelante e ir.

Chris Boots (34:52.416)
Sí, hemos estado trabajando con miembros de CD desde el 93. Así que el tema cibernético ha cambiado a lo largo de los años, de los grandes Mitsubishis a las pantallas planas y ya no más cibernéticos. Pero sí, la inmersión y ahora con las contraseñas por defecto que teníamos en realidad, que acaba de mencionar. Tuvimos un tipo que realmente había instalado un nido en alguien, el dueño del negocio, la casa del dueño del negocio.

No restablecieron la contraseña. En realidad, alguien entró en el nido, se metió en su ordenador de trabajo, fue a su empresa. Y lo que pasó fue que la empresa tenía seguro cibernético. Pero cuando tienes seguro o pasa algo, siempre buscan de quién es la culpa. Lo determinaron. Contrataron a un forense.

Walt Zerbe (35:46.798)
Sí.

Chris Boots (35:51.048)
investigación porque era una reclamación muy grande porque hackearon a todos sus clientes. Así que tuvo que notificar a la gente con las leyes de EE.UU.. Así que volvieron y dijeron, hey, fue desde el nido que se metieron en ella. Fueron tras nuestro integrador de tecnología. Y por suerte, tuvimos que en realidad tenía cibernética. Así que lo haría y los defendimos.

Walt Zerbe (35:52.696)
Wow.

Chris Boots (36:19.6)
hubo, hubo algún pago, pero sí, ha pasado. de hecho, y columnas moviendo la cabeza probablemente. Yep. Quiero decir, es algo tan simple como eso. Instaló, ya sabes, él va, todo lo que hice fue instalar el nido y lo hizo una pantalla plana fue durante COVID cuando el, cuando el propietario de la empresa quería estar en casa y sentarse allí y tener su, ya sabes, interior, ya sabes, hablar con sus empleados y, pero sí, ha sucedido.

Walt Zerbe (36:23.951)
Wow.

Chris Boots (36:47.82)
El problema es que tenemos más de 3500 miembros, probablemente sólo el 10% de los miembros tienen cobertura cibernética. Cuando hablamos con ellos sobre seguros, intentamos hacerles saber que donde empieza a ocurrir es donde las buenas noticias son tus palabras, Kellens, el gobierno está haciendo cosas, lo que es...

Walt Zerbe (37:10.382)
Sí, Trent. Yep.

Chris Boots (37:11.84)
sino también a sus clientes. Por ejemplo, tenemos muchos clientes de alto nivel y utilizan empresas de gestión, especialmente la NFL. Los jugadores de la NFL, cuando pones esa pantalla ahí, van a requerir que tengas ciber. Así que nuestro chico nos llamará, oye, necesito cibernético en el certificado de seguro. Y eso son buenas noticias.

Walt Zerbe (37:31.865)
Chris Boots (37:37.034)
Lo bueno de esto es que cuando tienen el seguro para muchas de las cosas de las que todo el mundo hablaba aquí, las salvaguardas, la compañía hace mucho de eso por ti y se asegura de que tienes el MAF y todo eso.

Walt Zerbe (37:49.344)
La mala noticia es que probablemente ni siquiera pensaron en tener ciberseguridad hasta que se les preguntó si necesitaban tenerla, por lo que espero que al escuchar este elenco la gente se dé cuenta de que es mejor tenerla. Si sólo el 10% de los miembros lo tienen, eso no es bueno.

Chris Boots (38:09.376)
Sabes, a nivel nacional, sólo el 17 % de las empresas tienen seguro cibernético en el país.

Walt Zerbe (38:16.975)
Y Chris, ¿es el mismo ciberseguro, ya seas integrador, ya seas propietario de un negocio, es la misma póliza?

Chris Boots (38:23.564)
Sí, sí, esto sería cualquier negocio y el 48 % de las empresas con seguro cibernético no lo contrataron hasta después de su primer ataque, lo cual es increíble. Sí. Y ya sabes, lo más loco es, las empresas de un tamaño de menos de 100 personas o 100 empleados, el 30% de los ataques van a las empresas de ese tamaño. saber, por lo que la gente ...

Walt Zerbe (38:33.976)
Sí.

Walt Zerbe (38:50.17)
Sí.

Chris Boots (38:50.624)
dicen, bueno, no va a pasar como empezaste. Bueno, esto es problema de otra persona. No, es realmente nuestro problema ahora y aquí. Y es tan simple como que un empleado va a trabajar, o se va a comer, vuelve, aparca su coche en el aparcamiento, mira hacia abajo y hay una unidad USB. Lo cogen, entran y lo conectan y el sistema está comprometido. Eso ocurrió y sigue ocurriendo hoy en día.

Walt Zerbe (39:10.266)
¿Hmm?

Walt Zerbe (39:19.012)
Sabes qué, Chris, eso está muy bien, iba a hacerte una pregunta sobre eso. Se trata de un error del usuario final. Y nos gusta llamar también a algunas cosas wetware problemas en los que es su cerebro, como que ha hecho clic en un enlace que no debería haber hecho clic en. ¿Intentarán perseguir al integrador porque haya ocurrido eso?

Chris Boots (39:25.633)
Sí.

Chris Boots (39:38.022)
Sí, mucho. Como en el ejemplo de Michael, alguien entró en su negocio a través del sistema de su casa. Quiero decir, es, es, decimos que estamos conectados. Chico, estamos conectados. Estamos conectados más de lo que nunca sabremos. Es una locura. Y muchos de los chicos CDA tienen, porque usted sabe, también hacemos compensación de trabajo para los miembros también. Y empecé a notar hace unos años, muchos de los chicos utilizan programadores.

no en su ubicación. Tengo un empleado ahora, que puede estar en Nueva York y dice, mi programador está ahora en California. Como, genial, trabajamos desde su casa. Así que él está haciendo toda la programación en todo el trabajo de integración a través de Crestron, Control 4, lo que sea. Se añade otra capa allí donde ahora tienes a alguien fuera de tu organización. Sí, hemos tenido pesca. Por suerte, algunos lo han pescado. Eh, John Smith en su casa.

Walt Zerbe (40:08.718)
Mm-hmm.

Chris Boots (40:36.832)
no puede entrar en su clicker. Su clicker no funciona. Oye, ¿puedes darle, tienes que darle la contraseña. En realidad viene del propietario y que en realidad había encontrado, que iba en un avión. Deben haberlo hackeado. Ellos dijeron, hey, me estoy subiendo al avión, que era, pero necesito que envíe la contraseña de inmediato para la casa de John Smith. Así que sí, es increíble algunas de las historias que hemos estado escuchando.

Walt Zerbe (41:01.242)
loco.

Walt Zerbe (41:05.134)
Realmente suena como si usted está instalando cualquier cosa conectada y tiene una empresa de integración, es una obviedad. Tienes que tenerla.

Chris Boots (41:12.438)
Bueno, incluso, y tienes toda la razón, bueno, porque el ejemplo que Michael habló, ya sabes, la gente piensa, bueno, tengo seguro. Bueno, si no tienes, en ese caso en particular, fue cibernético y fue un error por omisión. Así que muchos de nuestros integradores están empezando a darse cuenta de que es necesario tener un seguro contra errores en la tecnología y en las emisiones, porque si no lo hubieran tenido, no habrían estado cubiertos.

Walt Zerbe (41:27.95)
Sí.

Walt Zerbe (41:41.369)
Yeah.

Chris Boots (41:41.824)
Eso habría sido todo gasto de bolsillo. Así que no sólo necesitas los errores tecnológicos y las emisiones, sino también la cibernética. Y tienen que ir juntos porque dirás, bueno, tengo responsabilidad civil general. Bueno, la responsabilidad general no cubre ese tipo de cosas. Sí. El dueño del negocio, el dueño del negocio en realidad, su póliza cibernética se puso en marcha, volvió a nosotros. No estaba bajo su póliza cibernética. Fue bajo sus errores de la misión de la contraseña que en realidad puso a cabo.

Walt Zerbe (41:57.323)
en

Walt Zerbe (42:10.842)
En caso de que los consumidores también obtener cibernética y las políticas de emisión de Arizona o es esto realmente sólo para

Chris Boots (42:18.252)
Muchos de los propietarios están empezando a incluirlo como una opción. Yo lo cogería

Walt Zerbe (42:23.82)
¿Es caro? No sé si podemos hablar de dólares, relativamente, ¿son asequibles?

Chris Boots (42:30.764)
Sí, creo que es lo que llaman una cláusula adicional o lo que sea a la póliza.

Walt Zerbe (42:34.234)
Una cláusula adicional, vale. Y luego mi pregunta, una vez que el caballero tuvo una infracción y luego, o no sé si era un caballero, pero una vez que la persona tuvo la infracción y luego buscó un seguro, ¿es más caro porque algo ha sucedido, entonces es mejor conseguirlo de inmediato antes de que ocurra un incidente? Estoy pensando como en la conducción, como digamos que soy un mal conductor y me estrellé mi coche mucho y luego decido obtener un seguro diferente, soy un riesgo mayor, por lo que las tasas van a ser más altos. ¿Es así?

Chris Boots (43:02.188)
Bueno, una cosa que las aseguradoras preguntan ahora es, para cualquier línea de seguro, si has tenido un siniestro. Quieren saber por adelantado si has tenido un siniestro. Y eso va a marcar la diferencia. Será enseguida.

Walt Zerbe (43:13.089)
De acuerdo.

Vale. Sí, lo que quería decir era que lo consiguieras. No esperes a que pase algo.

Chris Boots (43:21.164)
Sí, claro. Y ya sabes, las violaciones de datos, ya sabes, había un fabricante en el noroeste de Ohio y en realidad había conseguido un presupuesto de una compañía de seguros para, y su póliza cibernética era, era, el presupuesto era de $ 4,500 y lo rechazó. Bueno, seis meses más tarde, entra del almuerzo y hay dos personas del FBI de pie en su oficina. Y él dijo, ¿qué puedo hacer por usted? Y le dijeron: ha sufrido un ciberataque y estamos aquí para solucionarlo.

Walt Zerbe (43:44.045)
¿Qué?

Chris Boots (43:50.7)
y necesitas saber esto». Y él es como, bueno, no he tenido ninguna respuesta en absoluto de tener un ataque cibernético. Él dice, bueno, el IRS nos notificó, y es por eso que estamos aquí. Y lo que pasó fue que en la primavera del año, sus empleados comienzan, porque él es como, yo no tomo información de tarjetas de crédito. No guardo información de identificación personal. Y dijeron, bueno, sus empleados han presentado sus impuestos, y sus impuestos están siendo rechazados porque es un segundo archivo en su número de seguro social.

y son todos sus empleados que están experimentando esto. terminó costando, sus empleados lo demandaron, terminó costándole $ 225,000 para arreglar este lío cuando podría haber comprado una póliza cibernética de $ 4,500. Así que es increíble. Sí, realmente lo es. Y la otra parte de la violación de datos es que, ya sabes, el primer paso cuando tienes una violación de datos es que tienes que tener una revisión forense.

Walt Zerbe (44:36.792)
Wow.

Chris Boots (44:48.054)
Bueno, de entrada, eso son 50.000 dólares. Eso es para, eso no lo arregla nadie. Lo están revisando. Y lo que hay después de la revisión, entonces hay una revisión de la ley y la revisión de la ley viene y dicen, bueno, usted tiene, usted tiene contactos en este estado y que el estado y este estado y que el estado. Y así, cada estado tiene diferentes leyes y cómo estas personas y el plazo que tienen que ser notificados. Así que..,

Walt Zerbe (44:50.723)
Whoa.