Discurso del Sr. Steven Maijoor, director ejecutivo de Supervisión del Banco de los Países Bajos, en el evento de lanzamiento del Advanced red teaming (ART), Ámsterdam, 10 de abril de 2024.
Hoy tenemos buenos motivos para celebrar. Porque estamos lanzando un marco completamente nuevo para poner a prueba la resiliencia de nuestra sociedad contra los ciberataques. Estamos lanzando: ART, que significa ‘Advanced Red Teaming’.
Generalmente, cuando tienes algo que celebrar, hay pastel. Quizás incluso velas. Y definitivamente una tarjeta con algunas palabras bonitas.
Hoy en día no existe nada de eso, pero sí tenemos bitterballen.
Y los tenemos a ustedes: CISO del sector financiero, el sector de la salud, el sector de las telecomunicaciones y nuestro gobierno.
Y tenemos a mis colegas del De Nederlandsche Bank que pusieron todo su corazón y alma en el desarrollo de ART.
Y si combinamos esto, tenemos algo mucho mejor que velas, tarjetas o tartas. Tenemos una causa. Una causa para proteger nuestra sociedad contra las ciberamenazas, los ciberataques y los ciberdelincuentes.
Lamentablemente, eso es necesario. Tú lo sabes. Y lo sabemos. Todos los que estamos aquí hoy sabemos que en todo el mundo, en todos los diferentes sectores, los ciberataques se han convertido en un instrumento estándar tanto en las herramientas criminales como militares. O, de hecho, en el conjunto de herramientas de cualquier tipo de actor de amenazas, independientemente de su motivación.
La guerra en curso en Ucrania, por ejemplo, no sólo se ganará en las trincheras, con botas en el terreno, recuperando terreno paso a paso. También será necesario luchar en línea, con las manos en el teclado, defendiendo la libertad, poco a poco, byte a byte.
Como presenciamos recientemente, cuando el proveedor de telecomunicaciones ucraniano Kyivstar fue atacado. No con bombas. No con misiles. Pero a través del ciberespacio. Este ataque afectó a una infraestructura vital de la sociedad ucraniana y dejó a 24 millones de personas con dificultades para comunicarse.
El ataque también causó importantes daños de segundo nivel. Porque el ataque a Kyivstar también afectó a los cajeros automáticos que utilizaban tarjetas SIM de la empresa. Dejando a la gente luchando por conseguir dinero en efectivo.
Más cerca de casa, nuestra inteligencia militar advirtió sobre piratas informáticos chinos que intentaban infiltrarse en la infraestructura crítica holandesa, plantando amenazas que permanecerían inactivas hasta que se activaran, y luego causarían estragos a medio mundo de distancia.
Como dije, todos somos conscientes de estas amenazas.
De hecho, una parte de la estrategia cibernética de DNB es monitorear e informar sobre las amenazas cibernéticas para el sector financiero. Aún más, también organizamos y coordinamos ejercicios de ciber crisis y equipos rojos.
Pero el hecho sigue siendo tan simple como incómodo: las amenazas cibernéticas no desaparecerán. Y la creciente escala y alcance de las amenazas cibernéticas no es una novedad para usted. Tampoco lo son los costos y las calamidades que resultan de los ataques reales.
Pero lo nuevo es el marco que lanzamos hoy: ART. Porque un hecho, tan simple como reconfortante, es que usted y yo compartimos una causa común: no dejaremos de luchar contra las ciberamenazas.
Entonces, déjame contarte un poco más sobre qué es ART y por qué lo construimos.
Con ART, usted se registra voluntariamente para que pirateen su infraestructura central de TI, no para robar sus activos, sino para sellar sus puntos débiles.
Hacer una prueba ART significa simular lo más fielmente posible un ciberataque real. Para ello, el ataque representa un escenario plausible basado en inteligencia de amenazas. Por lo tanto, se basa en las capacidades y motivaciones reales de los actores maliciosos existentes, ya sean estatales o no estatales, geopolíticos o criminales.
Durante la prueba, sólo un puñado de personas (tanto de dentro como de fuera de su organización) conocen el ataque real.
Como tal, ART ayuda a identificar sus puntos débiles: le ayuda a ver cuánto daño podría causar un actor malicioso, cuánto tiempo le lleva descubrir el juego sucio y cuánto tiempo necesita para recuperarse y mitigar el daño. el daño.
Puedo oír a muchos de ustedes pensar: ¿no tenemos ya ese marco?
Sí, de hecho: ART se basa en nuestro exitoso marco anterior, TIBER, que significa Threat-Intelligence Based Ethical Red-teaming. TIBER es un marco de piratería ética, desarrollado en 2016, para probar la seguridad cibernética de nuestra infraestructura financiera central, como los grandes bancos y las instituciones de pago. Con TIBER, se podría apuntar a las personas, los procesos y la infraestructura de TI fundamental de una institución.
El desarrollo de ART se benefició enormemente de ocho años de experiencia en TIBER, tanto en términos de estándares de calidad como de implementación exitosa.
Entonces, con ART, definitivamente no tenemos que empezar desde cero; en cierto sentido, podemos estar sobre los hombros de un gigante. Lo cual, creo, es justo decir, especialmente porque TIBER ha sido adoptado por 17 bancos centrales de toda Europa. E incluso por los colegisladores europeos, dado que, a partir de enero de 2025, TIBER se incluirá en la legislación europea y luego se llamará TLPT: Threat-Led Penetration Testing.
Aun así, había una clara necesidad de algo más, algo además de TIBER o TLPT. Una necesidad que podría resumirse como la necesidad de un marco de prueba voluntario, más modular, de modo que pueda adaptarse más fácilmente a las necesidades de prueba específicas de una organización. De su organización. Y ART es nuestra respuesta a esta necesidad: listo para su uso.
Ya sea una organización pequeña o grande, lo primero no es menos importante, a veces ocurre lo contrario.
Ya sea que tengas una política de ciberseguridad avanzada o una más limitada en términos de escala y alcance.
O si opera en el sector financiero o en otro lugar, como el sector de la salud, el de las telecomunicaciones o el gobierno.
Más tarde hoy, recibirá una presentación más detallada sobre ART. Esto le dará la oportunidad de hacer todas sus preguntas: sobre ARTE, TIBER o TLPT. Pero realmente, con este nuevo marco, con ART, no hay razón para no probar su seguridad cibernética. Ya sea que desee probar un escenario de la vida real muy específico, o si desea utilizarlo como un trampolín hacia TIBER, o incluso configurarlo como una prueba que vaya más allá de TIBER. La configuración modular de ART hará que las pruebas sean más accesibles y, por lo tanto, aumentará nuestra ciberresiliencia general.
Y eso es necesario.
Es una comprensión desagradable, pero hay vidas reales en juego en lo que es esencialmente un juego de números. Un juego de unos y ceros. Un juego de invertir tiempo y dinero para proteger esos unos y ceros y, por lo tanto, a usted mismo y a las personas que dependen de usted, ya sea por su experiencia financiera, su atención médica, su infraestructura de comunicación o como sus representantes políticos.
Usted y yo sabemos que probar su seguridad cibernética y mejorarla posteriormente, cuando sea necesario, es una forma eficaz de mantener alejados a los piratas informáticos. Usted y yo sabemos que se necesita tiempo y dinero para hacerlo. Pero también todos sabemos que su tiempo y su dinero no son ilimitados.
Por eso lanzamos ART. Un nuevo marco en el que creemos firmemente. Un marco modular y voluntario que se creó en respuesta a las necesidades del sector financiero y más allá; uno que haya demostrado su valor en pruebas piloto; y que, mientras tanto, ha recibido reacciones alentadoras por parte del BCE.
Por lo tanto, quiero hacer un llamado a todos los aquí presentes hoy para que comiencen a utilizar ART, en la forma que más les convenga. Comenzar a utilizar este marco de vanguardia para conocer el estado de su ciberseguridad y, por lo tanto, adoptar una postura mejorada en nuestra lucha conjunta contra las ciberamenazas.
Y no dude en correr la voz: el ARTE del que estamos hablando hoy no es para unos pocos, es para muchos.
Estimados CISO, es reconfortante ver a tantos de ustedes aquí hoy, del sector financiero, del sector de la salud, del sector de las telecomunicaciones y del gobierno holandés. Cada uno de ustedes desempeña un papel vital en nuestra sociedad, un papel que se vuelve aún más vital cuanto más conectados estamos, ya sea que compartan software, proveedores de servicios o riesgos cibernéticos.
Quizás nos volvamos a reunir en el futuro y entonces habrá pastel. Y velas. Y tarjetas. Y, con suerte, celebraremos el éxito de ART, el éxito de una causa común: nuestra lucha contra las ciberamenazas.
Aún no hemos llegado a ese punto, pero confío en que lo lograremos: más fuertes y resilientes que nunca.
Juntos, protegeremos nuestras organizaciones, nuestra gente y nuestra sociedad.
Y hoy se marca un paso más. Y eso por sí solo ya es un gran motivo para celebrar. ¡Así que celebremos!