El Wall Street Journal ha publicado una interesante pero inquietante noticia sobre un programa de la NSA (agencia nacional de seguridad americana) llamado “Perfect Citizen” que consiste en identificar ciber ataques a las infraestructuras criticas (CI) de los EE.UU. mediante la instalación de dispositivos de red (sensores) en las compañías privadas que operan estas infraestructuras.
The Wall Street Journal has published an interesting but troubling article about NSA (US national security agency) program called “Perfect Citizen” to identify cyber-attacks on US critical infrastructure (IC) by installing network devices (sensors) on private companies networks that operate these infrastructures.
La implantación de estos dispositivos de vigilancia estará a cargo de Raytheon, una compañía privada y uno de los principales contratistas de defensa del país, que acaba de ganar un concurso clasificado valorado en 100 millones de dólares.
The deployment of these surveillance devices will be in charge of Raytheon, a private company and one of the main defense contractors in the US, as they just won a classified contest valued at 100 million USD.
No me puedo imaginar que las compañías privadas estén demasiado contentas con que una compañía privada, Raytheon, y la NSA instalen dispositivos de red en sus redes de infraestructuras críticas.
I cannot imagine that private companies are too happy with a private company, Raytheon, and NSA installing network devices in their critical infrastructure networks.
Algunas preguntas que se me vienen a la cabeza:
- ¿Qué hacen exactamente estos dispositivos?
- ¿Quién los gestiona y cómo?
- ¿Las compañías tendrán pleno y libre acceso a estos dispositivos y conocerán todo su contenido (aplicaciones, capacidades etc.)?
- ¿Qué sucederá cuando unos de estos sensores sea comprometido (0wn) y subvertido?
- ¿Correrán Linux, Windows, BSD u otro sistema?
- ¿Quién asume los gastos?
- Etc…
Some questions that comes to mind:
- What exactly do these devices do?
- Who manages them and how?
- Will Companies have full and free access to these devices, and know everything about them (applications, features, etc.)?
- What happens when one of these sensors is 0wnned and subverted?
- Will be Linux, Windows, BSD, or another system?
- Who assumes the costs?
- Etc…
Desde luego que este programa “Perfect Citizen” daría un acceso a información crítica a la NSA sin precedentes (aunque la pudieran conseguir de otras formas 😉 Ahora las empresas privadas americanas no se tienen que preocupar de los ataques chinos, para eso ya está la NSA instalando sensores en sus jardines…
“Perfect Citizen” would give access to a vast of critical information to the NSA as never seen before (although they could achieved it in other ways 😉 Now American private companies do not have to worry about Chinese attacks, they already have NSA installing sensors in their backyards…
En España contamos con el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), organismo público encargado de la seguridad de las infraestructuras críticas del país que se creó en el 2007.
In Spain we have the National Center for the Protection of Critical Infrastructures (CNPIC), which is a public body responsible for the security of critical infrastructures in the country created in 2007.
La CNPIC ha establecido canales de comunicaciones con las compañías privadas que controlan el 80% de las infraestructuras críticas del país y una guía sobre medidas de seguridad que deberían tener estas empresas.
The CNPIC has established communication channels to the private companies that control 80% of the critical infrastructure in the country and a guide on security measures that should adopt these companies.
Tengo que admitir que los ciber ataques a las infraestructuras críticas son un problema serio y que debemos luchar de forma conjunta entre UE y EE.UU., pero instalar sensores en estas redes y bajo una organización sin transparencia no me parece la mejor opción de defensa.
¿Y tú que piensas del programa “Perfect Citizen”?
I have to admit that cyber-attacks on critical infrastructures are a serious problem and that we must fight EU and US together but installing sensors in these networks and under an organization without transparency seem to me a bad defense approach.
And what do you think of the “Perfect Citizen” program?
— Simon Roses Femerling
