Ciber ataque...fuerza mayor?

zhoen

Campeón del Sur
Se incorporó
10 Julio 2003
Mensajes
1.532
Hola, queria conversarles sobre un tema que tenemos en mi trabajo.

Nuestro proveedor de una solucion de ingenieria cloud (basado en inglaterra), nos ha tenido 2 semanas sin sistema, indicando que fueron objeto de un ciber ataque con el malware shamoon , siendo ellos uno mas de multiples afectados alrededor del mundo.

Dicen que dado esta cirscunstancia, y a pesar de los altos niveles de seguridad que mantienen, creen que no podrian haber evitado el ataque por medios razonables, por lo que declaran que es un evento de fuerza mayor.

Esta declaracion es muy importante, pues si se reconoce que es un evento de fuerza mayor, la responsabilidad de ese proveedor es muchisimo menor, no debe responder por todo lo que significa estar sin sistema (y nos comeriamos casi enterita la perdida)

Que creen ustedes? un ciberataque, es un evento de fuerza mayor? en que cosas deberiamos fijarnos, para rebatir su postura? (evidentemente, nos interesa que no sea un evento de fuerza mayor, para mantener las clausulas de garantia).
 

Marcel

Master
Miembro del Equipo
Fundador
Se incorporó
1 Septiembre 2004
Mensajes
23.997
Cuando se infectaron? Como el 11-12 se detecto la nueva variante y la protección salió el 13, además se pudieron tomar medidas de contingencia.
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962
Que paguen los desgraciados, se supone que tienen que invertir en seguridad fisica y de software, en el contrato ellos deben tener un uptime y SLA, y no existe algo como "fuerza mayor", se supone que tienen que tener la capacidad de que si algo está comprometido se baja y se levanta el respaldo, todo eso debe estar en el plan de continuidad y el DRP del proveedor. si no lo tienen es que valen wano.
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Si no tienes acceso a sus sistemas internos, como para auditarlos, estás jodido y sólo tienes que "confiar" en el pico en el ojo que les quieren meter.
 
Upvote 0

zhoen

Campeón del Sur
Se incorporó
10 Julio 2003
Mensajes
1.532
Cuando se infectaron? Como el 11-12 se detecto la nueva variante y la protección salió el 13, además se pudieron tomar medidas de contingencia.

Se infectaron el 11/12, aun no tienen el sistema arriba. La ultima informacion es que manana estara arriba.
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.519
Es que si es un ataque de dia cero no hay mucho que hacer, basicamente por que todos los IPS/IDS sensores y weas todavia no conocen la firma.

Por lo cual, un ataque de dia 0 si aplica como fuerza mayor.

Saludos


PD: Cisco tiene un servicio onda pro, que en 4 horas tiene la firma para un ataque de dia 0, con Cisco Talos
 
Upvote 0

ranamaldita

mueranse
Se incorporó
24 Junio 2003
Mensajes
4.525
Que paguen los desgraciados, se supone que tienen que invertir en seguridad fisica y de software, en el contrato ellos deben tener un uptime y SLA, y no existe algo como "fuerza mayor", se supone que tienen que tener la capacidad de que si algo está comprometido se baja y se levanta el respaldo, todo eso debe estar en el plan de continuidad y el DRP del proveedor. si no lo tienen es que valen wano.

Si existen en los contratos las clausulas de "force majeure", independiente de los SLA. Son para protegerse principalmente de catastrofes naturales y ese tipo de weas.
 
Upvote 0

zhoen

Campeón del Sur
Se incorporó
10 Julio 2003
Mensajes
1.532
Es que si es un ataque de dia cero no hay mucho que hacer, basicamente por que todos los IPS/IDS sensores y weas todavia no conocen la firma.

Por lo cual, un ataque de dia 0 si aplica como fuerza mayor.

Saludos


PD: Cisco tiene un servicio onda pro, que en 4 horas tiene la firma para un ataque de dia 0, con Cisco Talos

El tema, segun yo, es que lo que me impacta es la caida por dos semanas del sistema. Por eso, no importando el motivo, deberian probar uqe hicieron todo lo programado en sus analisis de riesgos, que adoptaron las medidas de contingencia planeadas, etc...
 
Upvote 0

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Yo creo que un ataque de este tipo, SI se puede considerar de fuerza mayor.

Pero que se demoren 2 semanas en levantar todo, es que priorizaron otros clientes, o que no tienen infraestructura o personal suficiente para levantar todo. Por lo que deberían hacerse responsable del tiempo perdido (según mi opinión).
 
Upvote 0

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
Depende del contrato que firmaron, y la cláusula de jurisdicción, en el fondo tribunal y ley aplicables. Las ganas y lucas para ir a litigio.
Pero la Vis Mayorum debe acreditarse, a menos que sean hechos de público conocimiento...pwto todo depen del contrato ..
Saludos


Enviado desde mi SM-G9650 mediante Tapatalk
 
Upvote 0

zhoen

Campeón del Sur
Se incorporó
10 Julio 2003
Mensajes
1.532
Claro, el tema lo esta viendo el area contractual, pero yo he tomado varios de sus comentarios para resumir y transmitirles ideas. Estoy de acuerdo con que se requiere que ellos prueben la fuerza mayor, y mi punto basal es aunque la fuerza mayor es el ataque, otra cosa diferente y negligente es tenernos dos semanas abajo.
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962
Si existen en los contratos las clausulas de "force majeure", independiente de los SLA. Son para protegerse principalmente de catastrofes naturales y ese tipo de weas.
Si, pero fuerza mayor es que se caiga la aplicación o el sistema, pero levantarlo deberia estar especificado y no pueden decir "por fuerza mayor llevamos dos semanas abajo y no tenemos fecha para estar online" te lo digo porque fue uno de los puntos que más nos incharon en la certificación iso. no tener un plan de recuperación es impresentable.
 
Upvote 0

Dark Zeppelin

Fundador :yao
Se incorporó
21 Mayo 2006
Mensajes
9.604
Si, pero fuerza mayor es que se caiga la aplicación o el sistema, pero levantarlo deberia estar especificado y no pueden decir "por fuerza mayor llevamos dos semanas abajo y no tenemos fecha para estar online" te lo digo porque fue uno de los puntos que más nos incharon en la certificación iso. no tener un plan de recuperación es impresentable.
La fuerza mayor es imprevisible e irresistible. Es decir difícil o imposible de preveer e irresistible o sea imposible de evitar.
Por ejemplo una tormenta perfecta y justo estas instalando un nodo de fibra óptica desde el mar....o un tsunami etc.
En este caso inmaterial, la empresa debe acreditarla, que el malaware era nuevo, etc....pero en una de esas tal vez tiene otra carta bajo la manga, una cláusula de excesiva onerosidad sobreviniente....Y etc.
La dogmática contractual aplicada da plata....



Enviado desde mi SM-G9650 mediante Tapatalk
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962
La fuerza mayor es imprevisible e irresistible. Es decir difícil o imposible de preveer e irresistible o sea imposible de evitar.
Por ejemplo una tormenta perfecta y justo estas instalando un nodo de fibra óptica desde el mar....o un tsunami etc.
En este caso inmaterial, la empresa debe acreditarla, que el malaware era nuevo, etc....pero en una de esas tal vez tiene otra carta bajo la manga, una cláusula de excesiva onerosidad sobreviniente....Y etc.
La dogmática contractual aplicada da plata....



Enviado desde mi SM-G9650 mediante Tapatalk
No la fuerza mayor no existe en TI, te pueden tirar un par de nucleares en los datacenter, pero tu deber es seguir funcionando, puedes tener una interrupción mientras te recuperas algunos datos, pero eso no debe superar el par de horas.
Se debe desde un comienzo, incluso antes de meter la primera línea de código, planificar el "Disaster recovery plan" junto con el "Business Continuity Plan", esto te va a dar el modelo del sistema los cuales deben ser modulares y redundantes, si no eres capaz de eso mejor dedícate a otro negocio.
 
Upvote 0

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
No la fuerza mayor no existe en TI, te pueden tirar un par de nucleares en los datacenter, pero tu deber es seguir funcionando, puedes tener una interrupción mientras te recuperas algunos datos, pero eso no debe superar el par de horas.
Se debe desde un comienzo, incluso antes de meter la primera línea de código, planificar el "Disaster recovery plan" junto con el "Business Continuity Plan", esto te va a dar el modelo del sistema los cuales deben ser modulares y redundantes, si no eres capaz de eso mejor dedícate a otro negocio.
Concuerdo, pero a la vez no.

En el mundo ideal un sistema TI es capas de resistir practicamente todo, utilizando redundancia e internet cuya finalidad principal es mantener una red de comunicación aunque se corten algunas lineas.

Pero en la vida real, el seguir funcionando ante contingencias significa dinero. Un sistema invulnerable no es factible económicamente para todas las empresas, así como un datacenter no funciona si lo que pagan los clientes no cubre los gastos operacionales.
 
Upvote 0

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962
Concuerdo, pero a la vez no.

En el mundo ideal un sistema TI es capas de resistir practicamente todo, utilizando redundancia e internet cuya finalidad principal es mantener una red de comunicación aunque se corten algunas lineas.

Pero en la vida real, el seguir funcionando ante contingencias significa dinero. Un sistema invulnerable no es factible económicamente para todas las empresas, así como un datacenter no funciona si lo que pagan los clientes no cubre los gastos operacionales.

Los sistemas invulnerables no existen, por eso se debe tener en cuenta en como recuperarse lo más rapido posible en caso de catastrofe, nosotros nos pasamos de los datacenter normales a Azure por la georedundancia que es la cumbia, aparte puedes escalar las maquinas y servicios a voluntad. (Ojo estan certificados https://azure.microsoft.com/en-us/blog/microsoft-azure-leads-the-industry-in-iso-certifications/ , los de amazon no pasan la norma ISO)
 
Upvote 0
Subir