When cyber attacks target systems instead of data, critical infrastructure is exposed

00;00;01;11 - 00;00;04;08
Nexus, Publish By GHD.

00;00;04;08 - 00;00;08;14
Where ideas connect.

00;00;08;17 - 00;00;09;10
Attacks with

00;00;09;10 - 00;00;11;12
ransomware trying to hit systems

00;00;11;12 - 00;00;12;27
that distribute power.

00;00;12;29 - 00;00;15;14
Can really take these systems offline.

00;00;15;16 - 00;00;16;16
And for what?

00;00;16;18 - 00;00;18;12
Maybe it is, nation state.

00;00;18;12 - 00;00;20;03
Ahm, there's still a lot of money

00;00;20;03 - 00;00;21;25
to be made in cyber attack.

00;00;21;26 - 00;00;23;10
It's not all about data, right?

00;00;23;11 - 00;00;24;08
It's about stopping

00;00;24;08 - 00;00;26;17
those control systems from operating.

00;00;26;20 - 00;00;27;25
Welcome, Paul.

00;00;27;27 - 00;00;29;00
Welcome, Sunil.

00;00;29;00 - 00;00;30;07
Can you tell us a little bit

00;00;30;07 - 00;00;33;23
about your background and experience?

00;00;33;26 - 00;00;34;24
Thanks.

00;00;34;26 - 00;00;36;01
Well, for Ian, I'm

00;00;36;03 - 00;00;37;17
the director of cybersecurity

00;00;37;17 - 00;00;38;24
and the business CSO

00;00;38;24 - 00;00;40;22
for one of the three business

00;00;40;22 - 00;00;42;15
units of Schneider Electric.

00;00;42;17 - 00;00;44;02
In my particular

00;00;44;04 - 00;00;45;20
part of the organization,

00;00;45;20 - 00;00;47;06
I'm working with

00;00;47;08 - 00;00;48;23
the software pieces

00;00;48;23 - 00;00;51;02
that that help distribute energy

00;00;51;02 - 00;00;52;11
in some of the largest cities

00;00;52;11 - 00;00;53;05
around the world.

00;00;53;05 - 00;00;55;14
And time is the entire country's.

00;00;55;16 - 00;00;57;22
My background is industrial automation

00;00;57;22 - 00;00;59;03
for a little bit over

00;00;59;03 - 00;00;59;25
30 years,

00;00;59;25 - 00;01;03;03
33 years, and cyber for 20 years.

00;01;03;06 - 00;01;05;07
I've seen cyber come take

00;01;05;07 - 00;01;06;28
hold in our industry.

00;01;07;00 - 00;01;07;06
You know,

00;01;07;06 - 00;01;08;16
I've seen it go from let's

00;01;08;16 - 00;01;09;19
just keep the honest guy

00;01;09;19 - 00;01;12;24
honest to now it's really real, right?

00;01;13;00 - 00;01;14;27
It's time to do something about it.

00;01;14;29 - 00;01;16;20
Today, in the critical infrastructure,

00;01;16;20 - 00;01;17;15
it's always been

00;01;17;15 - 00;01;19;16
my world to be around things

00;01;19;16 - 00;01;20;13
that go boom.

00;01;20;15 - 00;01;21;21
There's things that require,

00;01;21;23 - 00;01;23;02
you know, extreme safety.

00;01;23;02 - 00;01;25;24
And this most industrial automation is.

00;01;25;26 - 00;01;27;18
But here in in our world of

00;01;27;18 - 00;01;29;00
providing energy

00;01;29;02 - 00;01;30;12
that some of the largest cities

00;01;30;12 - 00;01;31;10
in the world

00;01;31;12 - 00;01;32;26
to be under attack, to lose

00;01;32;26 - 00;01;34;14
that it's much more than having

00;01;34;14 - 00;01;35;14
just your lights off,

00;01;35;14 - 00;01;35;28
you know, in

00;01;35;29 - 00;01;38;12
your be able to sell fuel,

00;01;38;12 - 00;01;39;24
to be able to buy groceries,

00;01;39;24 - 00;01;41;20
to be able to run medical devices.

00;01;41;20 - 00;01;42;29
It's a serious thing

00;01;42;29 - 00;01;45;17
to be able to affect energy.

00;01;45;19 - 00;01;46;24
Sunil, tell us a little bit

00;01;46;24 - 00;01;47;27
about who you are

00;01;47;27 - 00;01;48;21
and what you do.

00;01;48;25 - 00;01;50;09
Thank you. Kumar.

00;01;50;11 - 00;01;51;09
My background

00;01;51;10 - 00;01;53;29
I've been with GHD now for five years.

00;01;54;00 - 00;01;55;19
It was at the cusp

00;01;55;21 - 00;01;58;07
of when the critical infrastructure

00;01;58;07 - 00;02;00;04
was coming into the limelight.

00;02;00;04 - 00;02;02;06
The nations around the world

00;02;02;06 - 00;02;04;10
were getting a lot more alert

00;02;04;10 - 00;02;05;22
because of the past.

00;02;05;24 - 00;02;07;09
Attacks which were taking place

00;02;07;09 - 00;02;08;24
were getting more frequent.

00;02;08;26 - 00;02;13;04
So I was fortunate to be joining GDE,

00;02;13;07 - 00;02;16;00
where it had a different spotlight

00;02;16;02 - 00;02;19;02
compared to what I had been working in

00;02;19;04 - 00;02;19;27
over the last

00;02;19;27 - 00;02;22;19
15 to 20 years in the industry

00;02;22;21 - 00;02;23;29
and my past life.

00;02;24;00 - 00;02;25;11
While it was

00;02;25;13 - 00;02;27;10
within critical infrastructure,

00;02;27;10 - 00;02;29;01
it was more in the finance

00;02;29;01 - 00;02;30;21
and banking area,

00;02;30;23 - 00;02;31;27
as you would imagine,

00;02;31;27 - 00;02;34;08
from the era of internet

00;02;34;08 - 00;02;35;19
when it evolved.

00;02;35;21 - 00;02;37;18
The crime was being committed

00;02;37;18 - 00;02;39;22
more for financial gains

00;02;39;22 - 00;02;42;07
by the criminal hackers out there.

00;02;42;09 - 00;02;43;22
And it's a contrast

00;02;43;22 - 00;02;44;28
about people,

00;02;45;00 - 00;02;47;15
community safety and their livelihood.

00;02;47;17 - 00;02;49;17
So we are dealing with a lot of that

00;02;49;19 - 00;02;51;07
within GDD itself.

00;02;51;07 - 00;02;54;07
We have the hottest over the last 90

00;02;54;09 - 00;02;55;04
plus years,

00;02;55;06 - 00;02;56;21
industry knowhow

00;02;56;23 - 00;02;58;24
and have safety, functional

00;02;58;26 - 00;03;01;08
industrial control system engineers

00;03;01;10 - 00;03;02;09
who understand

00;03;02;09 - 00;03;04;28
very deeply about cyber security.

00;03;05;00 - 00;03;06;04
And that's how

00;03;06;04 - 00;03;08;11
we actually differentiate in our market

00;03;08;13 - 00;03;10;16
towards critical infrastructure.

00;03;10;18 - 00;03;13;08
Now cyber security is becoming more

00;03;13;08 - 00;03;14;13
and more complex.

00;03;14;14 - 00;03;17;13
Every board has a cyber security

00;03;17;16 - 00;03;19;08
topic on its agenda

00;03;19;08 - 00;03;22;02
from a risk management perspective.

00;03;22;04 - 00;03;23;02
Many years back,

00;03;23;02 - 00;03;24;25
I used to manage a global team

00;03;24;25 - 00;03;26;10
of almost 3000

00;03;26;12 - 00;03;28;14
cyber security professionals.

00;03;28;16 - 00;03;30;15
But in the last 5 to 6 years,

00;03;30;15 - 00;03;32;16
the world has completely changed.

00;03;32;18 - 00;03;36;01
So what is critical infrastructure

00;03;36;04 - 00;03;37;27
and why is it important?

00;03;37;29 - 00;03;38;08
Well,

00;03;38;08 - 00;03;40;13
these are the essential elements

00;03;40;13 - 00;03;43;00
of processes, technology

00;03;43;01 - 00;03;45;28
that really we depend on as a society.

00;03;45;28 - 00;03;47;16
You know, so energy

00;03;47;16 - 00;03;50;02
certainly is one of them. Dams as well.

00;03;50;02 - 00;03;51;05
You know, transportation

00;03;51;05 - 00;03;52;23
that these essential elements

00;03;52;23 - 00;03;54;15
of our world today

00;03;54;17 - 00;03;56;15
that would be so devastating

00;03;56;17 - 00;03;59;17
sometimes then to chaos when they fail.

00;03;59;24 - 00;04;00;05
Right.

00;04;00;05 - 00;04;01;20
So certainly like I said,

00;04;01;20 - 00;04;03;01
the power is one.

00;04;03;01 - 00;04;03;29
But water

00;04;03;29 - 00;04;05;29
can you imagine if there's another,

00;04;05;29 - 00;04;07;12
if water or clean water

00;04;07;12 - 00;04;08;11
turns to sewage

00;04;08;11 - 00;04;08;23
in which

00;04;08;25 - 00;04;10;21
there's have been cyber attacks

00;04;10;23 - 00;04;12;11
that that has happened, right.

00;04;12;13 - 00;04;13;26
A disgruntled employee

00;04;13;26 - 00;04;15;03
right there in Australia

00;04;15;03 - 00;04;16;05
at one time, you know,

00;04;16;07 - 00;04;17;08
reverse the valves

00;04;17;08 - 00;04;19;23
and put sewage into the clean water

00;04;19;25 - 00;04;21;23
or all the automated processes

00;04;21;23 - 00;04;24;20
and chemicals around water systems.

00;04;24;20 - 00;04;27;04
Can you imagine what chlorine gas does?

00;04;27;06 - 00;04;28;15
You know, when it escapes,

00;04;28;15 - 00;04;30;05
you know, it travels along the ground

00;04;30;05 - 00;04;31;23
any which way the wind blows

00;04;31;25 - 00;04;33;16
and kills everything in its path.

00;04;33;16 - 00;04;36;07
And so we depend on it as a society.

00;04;36;07 - 00;04;37;25
And we have a somewhat

00;04;37;25 - 00;04;39;04
18 and 19 of these

00;04;39;04 - 00;04;40;11
now in the United States

00;04;40;11 - 00;04;41;23
that are carefully monitored

00;04;41;23 - 00;04;44;10
and now are becoming very much

00;04;44;10 - 00;04;45;08
under the microscope

00;04;45;09 - 00;04;47;00
of having cyber as part of them.

00;04;47;01 - 00;04;49;22
And a cyber can disrupt them, then,

00;04;49;22 - 00;04;50;26
you know, that's where we are.

00;04;50;26 - 00;04;51;21
That's the space

00;04;51;21 - 00;04;52;22
we play in,

00;04;52;24 - 00;04;54;01
you know, trying to find ways

00;04;54;01 - 00;04;55;15
to protect those systems

00;04;55;17 - 00;04;57;09
or to design them more securely,

00;04;57;09 - 00;04;58;21
to be more resilient,

00;04;58;23 - 00;05;00;19
be able to recover in the case

00;05;00;19 - 00;05;02;07
if they were are attacked.

00;05;02;09 - 00;05;04;00
So these are the types of things

00;05;04;00 - 00;05;05;10
that we're getting into.

00;05;05;12 - 00;05;08;11
So we are talking about ports, dams,

00;05;08;11 - 00;05;09;21
power plants,

00;05;09;23 - 00;05;12;00
utilities, water plants,

00;05;12;02 - 00;05;13;17
all of that infrastructure

00;05;13;17 - 00;05;16;27
that allows us to live in the society

00;05;16;29 - 00;05;18;00
in which we are critically

00;05;18;00 - 00;05;19;29
dependent on. So.

00;05;20;01 - 00;05;22;12
So now we never had this risk.

00;05;22;13 - 00;05;24;27
Seven or 8 or 10 years back.

00;05;24;29 - 00;05;26;27
Why is it suddenly becoming

00;05;26;27 - 00;05;29;05
so mission critical

00;05;29;07 - 00;05;30;19
to protect these assets?

00;05;30;19 - 00;05;33;03
What is happening in that space?

00;05;33;05 - 00;05;34;24
Thank you Kumar. Great question.

00;05;34;24 - 00;05;37;21
I was very recently in a climate event

00;05;37;23 - 00;05;38;21
in Asia,

00;05;38;23 - 00;05;41;01
and one of the poll questions

00;05;41;01 - 00;05;42;13
we asked was,

00;05;42;15 - 00;05;44;09
how many of you people

00;05;44;09 - 00;05;45;23
within the critical infrastructure

00;05;45;23 - 00;05;47;21
think that your environment

00;05;47;21 - 00;05;49;08
is air gapped,

00;05;49;10 - 00;05;49;24
an air

00;05;49;24 - 00;05;50;19
gap meaning

00;05;50;19 - 00;05;52;00
totally isolated

00;05;52;00 - 00;05;53;21
from the rest of the world?

00;05;53;23 - 00;05;56;02
And it was surprising to me

00;05;56;02 - 00;05;59;06
that almost 50% of the audience said,

00;05;59;08 - 00;06;01;14
we are still a gapped.

00;06;01;16 - 00;06;03;13
And by the end of the conference,

00;06;03;13 - 00;06;05;09
I asked them the same question.

00;06;05;11 - 00;06;06;24
Are you really a gap?

00;06;06;25 - 00;06;08;12
And the polls

00;06;08;12 - 00;06;09;28
fluctuated the other way around,

00;06;09;28 - 00;06;11;04
which is quite interesting.

00;06;11;04 - 00;06;12;24
After I actually explain

00;06;12;26 - 00;06;13;29
what it actually means

00;06;13;29 - 00;06;15;08
not to be air gap.

00;06;15;10 - 00;06;17;21
So I think the industry has changed

00;06;17;21 - 00;06;19;01
in that regard.

00;06;19;03 - 00;06;20;18
Firstly from

00;06;20;18 - 00;06;22;05
you know, we are isolated.

00;06;22;05 - 00;06;23;27
We're not going to be affected.

00;06;23;29 - 00;06;25;19
But I think the biggest factor

00;06;25;19 - 00;06;28;00
is the geopolitical status

00;06;28;00 - 00;06;30;15
with unfortunately tensions

00;06;30;15 - 00;06;34;05
between various countries is causing,

00;06;34;08 - 00;06;35;13
not so welcomed

00;06;35;13 - 00;06;37;10
things to happen across the world.

00;06;37;12 - 00;06;40;06
So cyber is becoming a platform

00;06;40;06 - 00;06;41;19
for cyber warfare,

00;06;41;21 - 00;06;43;20
you know, and it sounds shocking.

00;06;43;22 - 00;06;44;22
You know, us cyber

00;06;44;22 - 00;06;45;10
guys,

00;06;45;12 - 00;06;46;22
people think we are here

00;06;46;22 - 00;06;48;19
to scare the world.

00;06;48;21 - 00;06;49;23
But at the end of the day,

00;06;49;23 - 00;06;50;13
it's happening,

00;06;50;13 - 00;06;51;15
as Paul mentioned,

00;06;51;15 - 00;06;53;05
maybe ten, 15 years ago,

00;06;53;07 - 00;06;54;18
where the sewage spill happened,

00;06;54;18 - 00;06;56;05
but more recently in Florida

00;06;56;05 - 00;06;56;29
that whilst

00;06;56;29 - 00;06;58;29
it was an ex-employee

00;06;58;29 - 00;06;59;13
who had

00;06;59;14 - 00;07;01;00
Scott, access

00;07;01;00 - 00;07;03;19
from a remote point of view, allegedly

00;07;03;21 - 00;07;05;01
got into their environment

00;07;05;01 - 00;07;06;29
and started changing chlorine levels.

00;07;06;29 - 00;07;09;03
Right. So that's just one individual.

00;07;09;03 - 00;07;09;28
But imagine

00;07;09;28 - 00;07;11;11
if nation states

00;07;11;11 - 00;07;13;16
start to play a big role

00;07;13;18 - 00;07;16;13
in industrial control systems effect

00;07;16;15 - 00;07;19;04
what we take to our communities.

00;07;19;06 - 00;07;20;07
You can imagine.

00;07;20;07 - 00;07;21;17
And this has already happened

00;07;21;17 - 00;07;24;21
in Ukraine, where, you know, 240,000

00;07;24;23 - 00;07;26;16
people were out of electricity

00;07;26;18 - 00;07;28;26
for more than 24 hours.

00;07;28;28 - 00;07;30;14
Right? So it's real.

00;07;30;16 - 00;07;32;14
And nation states are worried.

00;07;32;15 - 00;07;35;06
So there's big changes taking place

00;07;35;08 - 00;07;36;11
from a government

00;07;36;11 - 00;07;37;22
regulation perspective,

00;07;37;22 - 00;07;39;26
making sure that their nation's

00;07;39;26 - 00;07;42;09
sovereignty and security

00;07;42;09 - 00;07;43;16
is taken care of.

00;07;43;18 - 00;07;44;20
But the other hand also,

00;07;44;20 - 00;07;46;10
it is people on the ground

00;07;46;10 - 00;07;47;27
thinking that industrial control

00;07;47;27 - 00;07;51;04
systems are isolated and, you know,

00;07;51;06 - 00;07;53;24
they're not susceptible to attacks is,

00;07;53;24 - 00;07;55;21
I think, a misnomer.

00;07;55;23 - 00;07;57;28
Oh, give us some examples.

00;07;58;00 - 00;07;59;12
What are the sorts of things

00;07;59;12 - 00;08;02;19
that can happen when critical

00;08;02;21 - 00;08;05;14
infrastructure, cyber attacks

00;08;05;14 - 00;08;06;27
take place?

00;08;06;29 - 00;08;08;24
That's the scary part of things.

00;08;08;24 - 00;08;09;00
Right?

00;08;09;00 - 00;08;11;10
Back in 910, 2001,

00;08;11;10 - 00;08;12;24
I was part of a large meeting

00;08;12;24 - 00;08;14;02
here in the United States

00;08;14;04 - 00;08;16;03
where the government brought in people

00;08;16;03 - 00;08;17;11
from all the big vendors

00;08;17;11 - 00;08;19;22
that supply automation software

00;08;19;24 - 00;08;21;09
into the critical infrastructure.

00;08;21;09 - 00;08;23;12
And we spent the whole day talking

00;08;23;12 - 00;08;24;26
about how this software

00;08;24;26 - 00;08;27;06
or systems like this could be hacked.

00;08;27;08 - 00;08;28;14
What's the availability

00;08;28;14 - 00;08;29;21
of having modems

00;08;29;21 - 00;08;31;00
there for remote access

00;08;31;00 - 00;08;32;07
so that we could keep them up

00;08;32;07 - 00;08;32;23
and running

00;08;32;23 - 00;08;34;14
and all the different possible ways,

00;08;34;14 - 00;08;36;22
but still, it was just a general talk.

00;08;36;22 - 00;08;39;07
Yes, maybe this could happen.

00;08;39;09 - 00;08;40;12
And then all of a sudden

00;08;40;12 - 00;08;42;25
the next morning we wake up to the

00;08;42;25 - 00;08;43;11
the planes

00;08;43;11 - 00;08;45;09
flying into the World Trade Towers,

00;08;45;11 - 00;08;46;09
something that you thought

00;08;46;09 - 00;08;48;08
would never happen, happened. Right?

00;08;48;08 - 00;08;50;04
And we started to see this again

00;08;50;04 - 00;08;51;11
in our world. Right.

00;08;51;11 - 00;08;52;03
We saw,

00;08;52;05 - 00;08;54;00
as you mentioned, in the Ukraine,

00;08;54;00 - 00;08;56;25
but the destroyer Stuxnet,

00;08;56;27 - 00;08;57;19
you know, being able

00;08;57;19 - 00;09;00;18
to destroy equipment within a factory

00;09;00;18 - 00;09;02;27
that was enriching uranium.

00;09;02;29 - 00;09;04;23
And then a really important

00;09;04;23 - 00;09;05;07
one from

00;09;05;07 - 00;09;07;02
my aspect was trying to open

00;09;07;02 - 00;09;08;13
the eyes of the public

00;09;08;15 - 00;09;09;00
to say

00;09;09;00 - 00;09;10;24
that not only is this

00;09;10;26 - 00;09;11;27
an eye opener,

00;09;11;27 - 00;09;13;11
but a real call to action

00;09;13;11 - 00;09;14;09
to our community,

00;09;14;09 - 00;09;15;06
that something like

00;09;15;06 - 00;09;16;26
this could really happen.

00;09;16;28 - 00;09;18;22
And in the case of this particular

00;09;18;22 - 00;09;20;04
IT nation state attack,

00;09;20;04 - 00;09;21;06
but they were trying to

00;09;21;07 - 00;09;22;17
manipulate the systems

00;09;22;17 - 00;09;24;02
there to change

00;09;24;02 - 00;09;25;26
the safety of the system itself.

00;09;25;26 - 00;09;27;04
And this safety systems

00;09;27;04 - 00;09;28;25
are designed to protect life

00;09;28;25 - 00;09;30;06
and the environment.

00;09;30;08 - 00;09;31;28
So if they're not working

00;09;31;28 - 00;09;33;18
and if the control system

00;09;33;18 - 00;09;35;14
was forced out of its bounds,

00;09;35;16 - 00;09;37;28
then incredibly bad things can happen,

00;09;37;29 - 00;09;38;09
you know?

00;09;38;09 - 00;09;40;28
So I think everyone remembers Bhopal,

00;09;40;28 - 00;09;42;02
and that was just

00;09;42;02 - 00;09;43;20
an industrial accident.

00;09;43;22 - 00;09;45;24
But to force an industrial accident

00;09;45;24 - 00;09;47;12
to happen in the chemical plant

00;09;47;14 - 00;09;48;23
can be devastating

00;09;48;23 - 00;09;50;14
to the environment, to people.

00;09;50;16 - 00;09;52;29
But as we've seen even recently,

00;09;53;01 - 00;09;53;22
you know, being able

00;09;53;22 - 00;09;54;29
to attack the pipeline

00;09;54;29 - 00;09;56;18
here in the United States and,

00;09;56;20 - 00;09;58;07
you know, be able to close that down

00;09;58;07 - 00;10;00;02
and stop the fuel transfer

00;10;00;02 - 00;10;01;29
for the entire eastern seaboard.

00;10;02;01 - 00;10;02;28
Other attacks,

00;10;02;28 - 00;10;04;05
you know, with ransomware,

00;10;04;05 - 00;10;05;12
trying to hit systems

00;10;05;12 - 00;10;06;25
that distribute power

00;10;06;27 - 00;10;09;11
can really take these systems offline.

00;10;09;13 - 00;10;10;09
And for what?

00;10;10;09 - 00;10;11;06
Maybe it is, you know,

00;10;11;07 - 00;10;14;06
nation state or maybe, as Sunil says,

00;10;14;08 - 00;10;15;16
there's still a lot of money

00;10;15;16 - 00;10;16;07
to be made

00;10;16;09 - 00;10;18;07
in cyber attacks, you know, so

00;10;18;09 - 00;10;20;12
if these companies have money to spend,

00;10;20;12 - 00;10;21;25
if you can hold them for ransom,

00;10;21;25 - 00;10;23;16
we'll give you your systems back.

00;10;23;18 - 00;10;25;03
It's not all about data, right?

00;10;25;03 - 00;10;26;00
It's about stopping

00;10;26;00 - 00;10;28;03
those control systems from operating.

00;10;28;05 - 00;10;29;18
So as anyone that's worked

00;10;29;18 - 00;10;31;09
in this industry knows,

00;10;31;09 - 00;10;33;03
usually the big sign of a plant

00;10;33;03 - 00;10;34;10
when you walk in is

00;10;34;12 - 00;10;35;26
how many accidents have

00;10;35;26 - 00;10;37;29
we had over this last month?

00;10;38;01 - 00;10;39;20
It's tragic, but that's it's true.

00;10;39;20 - 00;10;40;21
It's very unsafe

00;10;40;21 - 00;10;42;20
worlds and safe environment

00;10;42;22 - 00;10;44;29
just in the industrial plant itself.

00;10;45;01 - 00;10;46;00
But in regard to

00;10;46;00 - 00;10;46;22
how it affects

00;10;46;22 - 00;10;48;05
the rest of us in the world,

00;10;48;05 - 00;10;49;24
how it affects our well-being,

00;10;49;26 - 00;10;51;04
our society,

00;10;51;06 - 00;10;52;27
it can be really enormous

00;10;52;27 - 00;10;54;18
and the potential of it happening.

00;10;54;18 - 00;10;56;24
Really, what keeps me awake at night?

00;10;56;24 - 00;10;57;22
For sure.

00;10;57;24 - 00;10;58;29
Thank you. Thank you. Paul.

00;10;58;29 - 00;11;01;06
So we now understand

00;11;01;08 - 00;11;02;29
what the problem is.

00;11;03;01 - 00;11;03;14
Sunil,

00;11;03;14 - 00;11;05;12
what should companies

00;11;05;12 - 00;11;07;06
do to protect themselves?

00;11;07;06 - 00;11;08;17
Especially critical

00;11;08;17 - 00;11;11;10
infrastructure companies?

00;11;11;12 - 00;11;12;13
Because I've spoken

00;11;12;13 - 00;11;14;00
to a number of CEOs.

00;11;14;02 - 00;11;16;18
Cyber attacks keep them awake at night.

00;11;16;20 - 00;11;19;20
What should the leaders, the CEO

00;11;19;22 - 00;11;21;17
and the board and the executive

00;11;21;17 - 00;11;23;03
and then everybody else

00;11;23;05 - 00;11;24;12
should be thinking about

00;11;24;13 - 00;11;27;01
from a cybersecurity protection

00;11;27;01 - 00;11;27;28
point of view,

00;11;28;00 - 00;11;29;19
if they are responsible

00;11;29;19 - 00;11;31;24
for critical infrastructure?

00;11;31;26 - 00;11;32;28
Yeah. Thanks, Kumar.

00;11;32;29 - 00;11;34;22
Look, I generally advise

00;11;34;22 - 00;11;36;18
five general things,

00;11;36;20 - 00;11;38;10
but I think first and foremost,

00;11;38;10 - 00;11;39;06
as you mentioned,

00;11;39;07 - 00;11;40;16
the buck starts with them

00;11;40;16 - 00;11;42;23
and the buck stops with the CEO,

00;11;42;25 - 00;11;44;25
the board and the executives.

00;11;44;25 - 00;11;47;02
They need to totally understand

00;11;47;04 - 00;11;49;00
what cyber

00;11;49;02 - 00;11;51;05
attacks and cyber resilience.

00;11;51;05 - 00;11;53;05
As a consequence of that,

00;11;53;05 - 00;11;55;10
the organization needs to be prepared

00;11;55;10 - 00;11;55;22
with.

00;11;55;24 - 00;11;57;21
They need to understand that

00;11;57;23 - 00;11;59;29
from the organization's perspective,

00;11;59;29 - 00;12;01;01
the business perspective

00;12;01;01 - 00;12;02;19
and risk perspective,

00;12;02;21 - 00;12;05;20
they need to create that culture

00;12;05;22 - 00;12;07;15
in the utilities

00;12;07;15 - 00;12;10;07
and the organizations we work in.

00;12;10;09 - 00;12;12;10
Safety is already first

00;12;12;10 - 00;12;13;03
and foremost

00;12;13;03 - 00;12;14;21
an extremely important thing

00;12;14;21 - 00;12;16;16
because people can get injured

00;12;16;18 - 00;12;18;17
and life can be endangered.

00;12;18;19 - 00;12;22;13
So I think they need to have that cyber

00;12;22;17 - 00;12;24;15
security by design

00;12;24;15 - 00;12;27;26
built into that culture of safety.

00;12;27;29 - 00;12;31;11
It's only, as I say, a subset of safety

00;12;31;13 - 00;12;32;12
in design.

00;12;32;14 - 00;12;33;09
So secure by

00;12;33;09 - 00;12;34;20
design needs to be

00;12;34;22 - 00;12;37;02
within the culture of the board,

00;12;37;04 - 00;12;38;01
the executives,

00;12;38;01 - 00;12;39;23
and that needs to trickle top

00;12;39;25 - 00;12;42;23
down to the rest of the organization.

00;12;42;25 - 00;12;45;14
Once that is done, you need to then

00;12;45;14 - 00;12;47;24
just make sure that you have a sound

00;12;47;26 - 00;12;49;27
cyber security strategy,

00;12;49;29 - 00;12;51;23
which is aligned to your

00;12;51;25 - 00;12;52;21
business vision

00;12;52;21 - 00;12;55;20
and your business strategy itself.

00;12;55;22 - 00;12;56;29
But I think it starts

00;12;56;29 - 00;12;58;03
at the board level.

00;12;58;05 - 00;13;00;06
So Neil, thank you so much, Paul.

00;13;00;06 - 00;13;01;03
Especially now

00;13;01;03 - 00;13;01;09
we are

00;13;01;09 - 00;13;02;20
seeing deepfakes

00;13;02;20 - 00;13;05;05
and all sorts of interesting things

00;13;05;07 - 00;13;05;22
come up.

00;13;05;23 - 00;13;07;13
So in your view,

00;13;07;14 - 00;13;08;19
what are the 3 or 4 things

00;13;08;19 - 00;13;10;15
that the boards of critical

00;13;10;15 - 00;13;11;15
infrastructure companies

00;13;11;15 - 00;13;12;13
should be thinking about from

00;13;12;13 - 00;13;14;21
a cybersecurity perspective?

00;13;14;24 - 00;13;16;16
The way my team operates,

00;13;16;18 - 00;13;18;03
we believe everything

00;13;18;05 - 00;13;19;14
that we do with cyber

00;13;19;14 - 00;13;21;14
has to end up at the customer.

00;13;21;16 - 00;13;23;06
So from the board level,

00;13;23;06 - 00;13;25;27
being able to partner with your vendor,

00;13;25;29 - 00;13;28;06
find out this human to human contact,

00;13;28;06 - 00;13;28;24
who is that

00;13;28;24 - 00;13;30;09
there that you should be talking to

00;13;30;09 - 00;13;31;23
or who can you talk to?

00;13;31;25 - 00;13;32;27
Engage them?

00;13;32;27 - 00;13;34;12
Crisis simulation

00;13;34;14 - 00;13;35;27
are a valuable tool

00;13;35;27 - 00;13;38;02
for being prepared for these things,

00;13;38;04 - 00;13;39;06
and you can only do that

00;13;39;06 - 00;13;41;15
if we've developed this relationship

00;13;41;15 - 00;13;42;05
with your vendor.

00;13;42;06 - 00;13;43;19
So we open the kimono.

00;13;43;19 - 00;13;44;11
So to speak,

00;13;44;11 - 00;13;45;21
and choosing vendors

00;13;45;21 - 00;13;47;22
that are willing to be transparent

00;13;47;22 - 00;13;48;17
about the things

00;13;48;17 - 00;13;49;08
they do,

00;13;49;10 - 00;13;50;21
how they build their software,

00;13;50;21 - 00;13;52;07
how they build their systems,

00;13;52;09 - 00;13;54;24
and how it's not about turning the keys

00;13;54;24 - 00;13;56;20
over to the end user.

00;13;56;20 - 00;13;57;20
And a, hey, it's

00;13;57;22 - 00;13;58;17
it's your business now

00;13;58;17 - 00;13;59;13
to keep it secure.

00;13;59;13 - 00;14;00;22
But the idea that security

00;14;00;22 - 00;14;02;00
is always changing.

00;14;02;02 - 00;14;03;17
So to have those avenues

00;14;03;17 - 00;14;05;11
of communication, open

00;14;05;13 - 00;14;07;22
transparency, attestations,

00;14;07;24 - 00;14;08;09
you know,

00;14;08;11 - 00;14;09;09
these sort of things

00;14;09;09 - 00;14;10;17
that we should be willing

00;14;10;18 - 00;14;11;05
to share

00;14;11;05 - 00;14;12;13
and be part of

00;14;12;15 - 00;14;13;23
as we build the systems

00;14;13;23 - 00;14;15;09
for the critical infrastructure.

00;14;15;11 - 00;14;17;04
So I think at the board level,

00;14;17;06 - 00;14;18;20
the other most important thing

00;14;18;20 - 00;14;19;25
is making sure

00;14;19;27 - 00;14;22;17
cyber is everybody's job, right?

00;14;22;17 - 00;14;23;23
Everyone is trained

00;14;23;24 - 00;14;25;05
and it's not somebody

00;14;25;05 - 00;14;26;05
that you point your finger

00;14;26;05 - 00;14;27;29
to that guy over there and it,

00;14;28;00 - 00;14;29;06
you know, it's

00;14;29;06 - 00;14;30;20
the attack can come from anywhere

00;14;30;20 - 00;14;32;01
of clicking on an email.

00;14;32;03 - 00;14;34;29
So a cyber hygiene is important.

00;14;35;01 - 00;14;36;26
Being able to assess yourself,

00;14;36;28 - 00;14;38;19
being able to put metrics

00;14;38;19 - 00;14;41;00
and expect metrics from the board level

00;14;41;00 - 00;14;42;12
to ask for these things.

00;14;42;12 - 00;14;43;06
For KPI

00;14;43;06 - 00;14;45;23
that says this is what our posture is,

00;14;45;25 - 00;14;48;03
and this is the leading indicator

00;14;48;03 - 00;14;48;27
that says,

00;14;48;29 - 00;14;50;14
how are we getting to the next

00;14;50;14 - 00;14;51;04
the level

00;14;51;04 - 00;14;53;08
of our cyber posture improvements.

00;14;53;10 - 00;14;54;05
So without so

00;14;54;05 - 00;14;54;19
there's two

00;14;54;19 - 00;14;56;03
leading and lagging indicator

00;14;56;03 - 00;14;58;11
is being demanded from the board level.

00;14;58;13 - 00;15;00;02
How would you really know. Right.

00;15;00;04 - 00;15;02;17
I might just add to that as well.

00;15;02;19 - 00;15;04;15
You know you mentioned deep fakes.

00;15;04;15 - 00;15;05;27
I think the executives

00;15;05;27 - 00;15;08;14
need to be extremely cognizant

00;15;08;16 - 00;15;12;06
and aware of the trends in the market.

00;15;12;09 - 00;15;15;01
And you know, artificial intelligence,

00;15;15;03 - 00;15;18;06
generative AI, they're all there.

00;15;18;08 - 00;15;19;05
I mean, they've been there

00;15;19;05 - 00;15;21;00
for the last ten, 15 years,

00;15;21;00 - 00;15;21;26
but it's getting more

00;15;21;26 - 00;15;23;15
and more sophistic dated.

00;15;23;17 - 00;15;26;05
And as a result, we need to be aware

00;15;26;07 - 00;15;29;15
that the bad guys have got tools

00;15;29;17 - 00;15;30;23
at their disposal

00;15;30;24 - 00;15;31;14
to be more

00;15;31;14 - 00;15;33;04
and more sophisticated as well.

00;15;33;06 - 00;15;34;17
Although most of the attacks

00;15;34;17 - 00;15;36;02
which have happened are pretty simple,

00;15;36;04 - 00;15;37;01
which is scary,

00;15;37;01 - 00;15;38;03
but they now

00;15;38;03 - 00;15;39;28
have those tools available to them.

00;15;40;00 - 00;15;41;20
So how do you yourself

00;15;41;20 - 00;15;43;29
keep ahead of the bad guys?

00;15;44;01 - 00;15;45;15
You need to understand,

00;15;45;15 - 00;15;46;29
as Paul mentioned,

00;15;46;29 - 00;15;47;15
you know, work

00;15;47;15 - 00;15;48;21
with the vendors, understand

00;15;48;21 - 00;15;49;22
the trends, see

00;15;49;22 - 00;15;52;22
what is currently being developed

00;15;52;29 - 00;15;54;25
so that we can actually keep ahead

00;15;54;25 - 00;15;56;28
of that curve and be,

00;15;57;00 - 00;15;57;19
I guess,

00;15;57;21 - 00;15;59;09
ready with using

00;15;59;11 - 00;16;01;02
sophisticated technology.

00;16;01;02 - 00;16;02;26
I generally

00;16;02;28 - 00;16;03;24
to combat that

00;16;03;24 - 00;16;04;27
and be ahead of the curve.

00;16;04;27 - 00;16;05;18
So I think that's a

00;16;05;18 - 00;16;06;14
very important thing

00;16;06;14 - 00;16;07;13
that the executives

00;16;07;13 - 00;16;09;04
need to be aware of as well.

00;16;09;06 - 00;16;11;11
I can imagine a scenario

00;16;11;11 - 00;16;15;04
where generative AI models can perfect

00;16;15;06 - 00;16;17;17
the art of cyber attacks,

00;16;17;19 - 00;16;21;03
and they consistently, with precision

00;16;21;05 - 00;16;21;22
attack

00;16;21;24 - 00;16;24;14
several organizations at the same time.

00;16;24;16 - 00;16;26;01
And they learn to become better

00;16;26;01 - 00;16;27;17
and better at DDoS attacks.

00;16;27;19 - 00;16;29;01
Human beings are not involved.

00;16;29;01 - 00;16;30;14
Machines are actually now

00;16;30;16 - 00;16;32;06
involved in those attacks.

00;16;32;08 - 00;16;33;11
I don't know whether

00;16;33;13 - 00;16;34;29
that is possible or not,

00;16;35;01 - 00;16;37;01
but what is your view? Paul?

00;16;37;01 - 00;16;41;02
And then Sunil on AI advancements

00;16;41;05 - 00;16;43;02
and how cyber attacks

00;16;43;02 - 00;16;45;10
will become more serious

00;16;45;10 - 00;16;46;19
and how we can protect ourselves.

00;16;46;19 - 00;16;48;02
What are your views around that?

00;16;48;04 - 00;16;49;08
This is another

00;16;49;10 - 00;16;51;22
very interesting question. Kumar.

00;16;51;24 - 00;16;54;01
And when we think of how

00;16;54;03 - 00;16;55;18
the adversaries work,

00;16;55;20 - 00;16;57;13
when they attack an organization,

00;16;57;15 - 00;16;59;14
there is a lot of CNC

00;16;59;14 - 00;17;01;10
right where you're in communication

00;17;01;10 - 00;17;02;05
with the attacker.

00;17;02;05 - 00;17;03;27
The attacker puts something down there,

00;17;03;29 - 00;17;05;06
he makes a call back,

00;17;05;08 - 00;17;06;03
he moves some more,

00;17;06;05 - 00;17;07;06
software down there

00;17;07;06 - 00;17;08;23
and learns his way

00;17;08;23 - 00;17;10;02
around your organization.

00;17;10;02 - 00;17;11;26
EastWest type of movement,

00;17;11;26 - 00;17;13;10
and jump over your DMZ

00;17;13;10 - 00;17;15;18
and get into those critical systems

00;17;15;20 - 00;17;18;01
that can now be replicated

00;17;18;03 - 00;17;19;27
with an AI version

00;17;19;27 - 00;17;20;29
where you won't even need

00;17;20;29 - 00;17;21;24
the attacker there.

00;17;21;24 - 00;17;24;03
You won't need the CNC anymore

00;17;24;05 - 00;17;24;25
where that can be

00;17;24;25 - 00;17;26;01
embedded in the attack.

00;17;26;03 - 00;17;29;03
So that's scary in itself, right?

00;17;29;10 - 00;17;30;25
So I'm not on the side

00;17;30;25 - 00;17;32;12
that thinks AI is going to,

00;17;32;13 - 00;17;33;22
you know, bring the world down.

00;17;33;22 - 00;17;35;11
And there's a lot of great benefits

00;17;35;11 - 00;17;36;10
that can be achieved

00;17;36;11 - 00;17;38;27
on both sides of the equation for sure.

00;17;38;29 - 00;17;40;00
It definitely is going

00;17;40;00 - 00;17;40;26
to change the world

00;17;40;26 - 00;17;42;11
as we know it today,

00;17;42;13 - 00;17;45;02
but I see a lot for the better as well.

00;17;45;02 - 00;17;45;21
Our ability

00;17;45;21 - 00;17;46;07
to protect

00;17;46;07 - 00;17;47;28
against these type of attacks,

00;17;47;28 - 00;17;49;04
I think is going to,

00;17;49;06 - 00;17;50;20
you know, exponentially

00;17;50;22 - 00;17;52;23
improve our cyber posture

00;17;52;25 - 00;17;53;27
in the long run.

00;17;53;27 - 00;17;56;07
But it is scary that what they can do,

00;17;56;08 - 00;17;58;05
what they can learn about us

00;17;58;07 - 00;17;59;21
is, like you said, the deepfakes

00;17;59;21 - 00;18;01;08
be able to have that phone call

00;18;01;08 - 00;18;03;04
sound exactly like your boss

00;18;03;06 - 00;18;05;01
telling you to do something or,

00;18;05;03 - 00;18;06;02
hey, can you do this?

00;18;06;02 - 00;18;07;09
Can me give me this password

00;18;07;09 - 00;18;08;26
so I can quickly do this or

00;18;08;28 - 00;18;10;19
something like this that can trick

00;18;10;19 - 00;18;12;17
you into doing something bad.

00;18;12;19 - 00;18;13;22
So that part of it's

00;18;13;22 - 00;18;15;05
very, very, very scary.

00;18;15;05 - 00;18;16;04
But in general,

00;18;16;06 - 00;18;16;22
I think

00;18;16;24 - 00;18;17;19
we have to live on

00;18;17;19 - 00;18;19;14
both sides of that fence, you know,

00;18;19;16 - 00;18;21;18
use it in both ways. Yeah. As soon as.

00;18;21;18 - 00;18;22;11
What are your thoughts

00;18;22;11 - 00;18;24;29
about AI enabled protection

00;18;24;29 - 00;18;26;25
for organizations?

00;18;26;27 - 00;18;30;18
My view on a AI, firstly, is you've got

00;18;30;20 - 00;18;32;12
two parts of AI,

00;18;32;12 - 00;18;34;14
one is the machine learning side of it,

00;18;34;16 - 00;18;35;27
and the other one is more

00;18;35;27 - 00;18;37;10
the cognitive part,

00;18;37;10 - 00;18;39;29
which we now call generative AI.

00;18;40;01 - 00;18;42;04
So the machine learning

00;18;42;04 - 00;18;44;24
has been in the cybersecurity tools

00;18;44;24 - 00;18;45;27
now for,

00;18;45;29 - 00;18;47;21
I will say, more than a decade

00;18;47;23 - 00;18;49;06
where we take

00;18;49;06 - 00;18;51;02
a lot of traffic information

00;18;51;02 - 00;18;53;16
and we do a lot of pattern analysis,

00;18;53;18 - 00;18;55;19
and we use machine learning to

00;18;55;20 - 00;18;57;14
detect any anomalies.

00;18;57;16 - 00;18;59;08
So we've moved away from what

00;18;59;08 - 00;18;59;21
they call

00;18;59;21 - 00;19;01;00
signature based

00;19;01;02 - 00;19;03;27
virus detection into move pattern based

00;19;03;29 - 00;19;05;02
virus detection.

00;19;05;02 - 00;19;06;13
And that is only come about

00;19;06;13 - 00;19;08;03
because of machine learning.

00;19;08;05 - 00;19;09;12
I think the cognitive

00;19;09;14 - 00;19;10;18
AI is going to be

00;19;10;18 - 00;19;11;29
the interesting side of things,

00;19;11;29 - 00;19;15;01
where we can take a lot of the threat

00;19;15;03 - 00;19;18;03
information from the dark web,

00;19;18;05 - 00;19;19;06
for example,

00;19;19;08 - 00;19;22;02
gather threat intelligence from sources

00;19;22;02 - 00;19;22;28
that are coming

00;19;22;28 - 00;19;24;20
from all sorts of directions,

00;19;24;20 - 00;19;26;06
including operational centers

00;19;26;06 - 00;19;27;09
and so on, so forth.

00;19;27;11 - 00;19;29;16
So how do you actually take all that?

00;19;29;16 - 00;19;30;03
And rather

00;19;30;03 - 00;19;33;11
than just looking at abnormal patterns,

00;19;33;14 - 00;19;36;13
can you now start to interpret

00;19;36;15 - 00;19;38;22
what languages they're talking

00;19;38;22 - 00;19;40;01
and what those tones

00;19;40;01 - 00;19;41;05
or those languages are

00;19;41;05 - 00;19;41;17
and what

00;19;41;17 - 00;19;42;22
those languages

00;19;42;22 - 00;19;43;27
actually mean

00;19;43;29 - 00;19;45;14
from a threat perspective.

00;19;45;14 - 00;19;46;16
So it's going to be

00;19;46;16 - 00;19;48;12
a very interesting world

00;19;48;12 - 00;19;50;06
where we're living in Star Wars,

00;19;50;06 - 00;19;51;03
and generative

00;19;51;03 - 00;19;52;07
AI is

00;19;52;09 - 00;19;54;20
doing all those sort of cool things.

00;19;54;22 - 00;19;55;07
And look,

00;19;55;07 - 00;19;56;25
there is obviously always

00;19;56;25 - 00;19;58;05
a little bit of a hype

00;19;58;07 - 00;19;59;16
with anything new

00;19;59;18 - 00;20;00;24
and that usually

00;20;00;24 - 00;20;01;29
either accelerates

00;20;01;29 - 00;20;04;18
or takes its time to adopt, etc..

00;20;04;19 - 00;20;05;15
So I think we'll see

00;20;05;15 - 00;20;07;28
a bit of that balance as we go forward.

00;20;08;00 - 00;20;10;23
But I think organizations should keep

00;20;10;23 - 00;20;11;20
being aware of what

00;20;11;20 - 00;20;12;15
tools are out there.

00;20;12;15 - 00;20;14;28
Our AI machine learning as well

00;20;15;00 - 00;20;16;06
can actually help them.

00;20;16;06 - 00;20;17;07
They're already helping

00;20;17;07 - 00;20;18;14
a lot of organizations,

00;20;18;16 - 00;20;20;05
but I think the cognitive side

00;20;20;05 - 00;20;22;02
is going to stop evolving a lot more.

00;20;22;04 - 00;20;22;29
I think it's still in

00;20;22;29 - 00;20;24;15
its infancy stages.

00;20;24;17 - 00;20;26;13
I think if you go on to the other side,

00;20;26;13 - 00;20;26;25
you know,

00;20;26;26 - 00;20;28;18
if you look at the perpetrators,

00;20;28;20 - 00;20;30;06
the crime, gangs, etc.,

00;20;30;06 - 00;20;31;13
they using more

00;20;31;15 - 00;20;34;03
AI machine learning for reconnaissance.

00;20;34;05 - 00;20;35;14
They're trying to work out,

00;20;35;14 - 00;20;37;00
hey, I don't have enough time

00;20;37;02 - 00;20;39;00
to work out where the weakest link is.

00;20;39;00 - 00;20;40;13
So let me get rid of that

00;20;40;13 - 00;20;41;14
big part of the work

00;20;41;14 - 00;20;43;09
using machine learning arc.

00;20;43;11 - 00;20;45;00
And then once I get in,

00;20;45;02 - 00;20;46;16
let me start doing a little bit

00;20;46;16 - 00;20;47;02
more digging

00;20;47;02 - 00;20;48;09
as to where the money sits

00;20;48;09 - 00;20;49;25
or where the operation network.

00;20;49;27 - 00;20;51;17
So it's an interesting world.

00;20;51;18 - 00;20;54;04
We're going to be looking.

00;20;54;07 - 00;20;54;19
Yeah.

00;20;54;19 - 00;20;56;18
Very interesting. Sunil. Yes.

00;20;56;18 - 00;20;58;23
I think you just sparked an idea

00;20;58;23 - 00;20;59;19
in my mind about,

00;20;59;21 - 00;21;00;29
you know, the attribution,

00;21;00;29 - 00;21;02;04
how long it takes us

00;21;02;04 - 00;21;04;00
to really find attribution

00;21;04;02 - 00;21;06;08
for a particular attack and release

00;21;06;08 - 00;21;08;00
I on that maybe within seconds

00;21;08;00 - 00;21;09;09
will give us the right answer.

00;21;09;09 - 00;21;10;14
Yeah. That's right. Right.

00;21;10;16 - 00;21;12;17
And the whole forensic side of things,

00;21;12;17 - 00;21;13;24
I know personally

00;21;13;24 - 00;21;14;28
how long it takes

00;21;14;28 - 00;21;16;21
to go through a piece of now

00;21;16;21 - 00;21;17;18
or through an attack

00;21;17;18 - 00;21;19;00
to end to determine really

00;21;19;00 - 00;21;20;04
what happened, you know,

00;21;20;06 - 00;21;22;04
so it is time intensive,

00;21;22;06 - 00;21;22;21
but maybe

00;21;22;21 - 00;21;24;24
that's another area of uncertainty

00;21;24;24 - 00;21;27;04
will be to our advantage. Right.

00;21;27;06 - 00;21;28;27
This is a very interesting topic,

00;21;28;27 - 00;21;29;20
and I'm pretty sure

00;21;29;20 - 00;21;30;29
we can talk for hours

00;21;30;29 - 00;21;32;13
on the possibility

00;21;32;15 - 00;21;34;07
of cyber challenges

00;21;34;07 - 00;21;36;03
and also how we protect ourselves.

00;21;36;03 - 00;21;37;20
But very importantly,

00;21;37;21 - 00;21;39;15
what are the three things that

00;21;39;17 - 00;21;40;12
a leaders

00;21;40;14 - 00;21;44;13
should do to enhance and transform

00;21;44;17 - 00;21;47;26
their cyber security

00;21;47;28 - 00;21;50;06
protection arrangements

00;21;50;06 - 00;21;52;03
for critical infrastructure

00;21;52;05 - 00;21;53;01
so important

00;21;53;01 - 00;21;54;08
that you understand

00;21;54;08 - 00;21;56;14
where you are to actually assess

00;21;56;16 - 00;21;58;10
and put a number on that and create

00;21;58;10 - 00;21;59;28
that metric that you will do.

00;21;59;28 - 00;22;01;23
So that's super important

00;22;01;25 - 00;22;03;29
to have the policies in place,

00;22;03;29 - 00;22;05;11
the procedures in place

00;22;05;11 - 00;22;07;14
so that people know how to do that,

00;22;07;14 - 00;22;09;13
how to work in that environment also,

00;22;09;13 - 00;22;11;14
especially to know how to recover

00;22;11;16 - 00;22;12;10
from an attack

00;22;12;10 - 00;22;14;09
and to put yourself back online.

00;22;14;11 - 00;22;15;09
And that's one thing

00;22;15;09 - 00;22;16;18
that's often missed.

00;22;16;20 - 00;22;18;08
You'll see organizations

00;22;18;08 - 00;22;20;09
in the critical infrastructure building

00;22;20;11 - 00;22;22;05
disaster recovery sites,

00;22;22;07 - 00;22;23;16
but without the idea

00;22;23;16 - 00;22;25;07
that the attack on the main site

00;22;25;07 - 00;22;27;14
would go directly to the site

00;22;27;14 - 00;22;28;26
and take that down as well,

00;22;28;28 - 00;22;30;13
without knowing how to make sure

00;22;30;13 - 00;22;32;14
that that attack will not propagate.

00;22;32;16 - 00;22;35;03
And if it does, how to be able to use,

00;22;35;03 - 00;22;35;10
you know,

00;22;35;10 - 00;22;36;17
immutable storage

00;22;36;17 - 00;22;37;28
and things like that to be able

00;22;37;28 - 00;22;39;15
to recover your systems.

00;22;39;17 - 00;22;41;01
So you can look at this

00;22;41;01 - 00;22;42;05
as an opportunity

00;22;42;06 - 00;22;44;03
to reassess your organization,

00;22;44;03 - 00;22;45;25
to reassess your systems.

00;22;45;27 - 00;22;47;07
Are they up to date?

00;22;47;07 - 00;22;49;02
Are they approachable?

00;22;49;04 - 00;22;50;21
And we're seeing a lot of that.

00;22;50;21 - 00;22;51;02
You know,

00;22;51;02 - 00;22;52;20
some of them are so far out of date

00;22;52;20 - 00;22;53;27
you can't patch them.

00;22;53;29 - 00;22;54;13
So what

00;22;54;15 - 00;22;56;00
what is your real posture

00;22;56;00 - 00;22;57;24
to understand what that is

00;22;57;26 - 00;22;59;17
and then do something about it

00;22;59;19 - 00;23;02;00
and have a program in place

00;23;02;00 - 00;23;03;23
where you're going to improve it.

00;23;03;23 - 00;23;05;16
I know you can't snap your fingers

00;23;05;16 - 00;23;06;07
and overnight

00;23;06;07 - 00;23;07;05
turn yourself

00;23;07;07 - 00;23;08;07
or your infrastructure

00;23;08;07 - 00;23;09;17
into a safe place,

00;23;09;17 - 00;23;11;11
but it's something that has to be done

00;23;11;13 - 00;23;12;28
on a continuous basis

00;23;12;28 - 00;23;14;29
and be able to move towards that goal.

00;23;14;29 - 00;23;16;19
So establish the goal,

00;23;16;21 - 00;23;18;15
put the right metrics in place,

00;23;18;17 - 00;23;20;12
have the right processes and procedures

00;23;20;12 - 00;23;22;28
so your entire organization understands

00;23;23;00 - 00;23;24;01
this is important.

00;23;24;01 - 00;23;26;00
It's everyone's responsibility.

00;23;26;02 - 00;23;27;14
And as Sunil mentioned,

00;23;27;14 - 00;23;29;12
it's hand in hand with safety.

00;23;29;14 - 00;23;31;06
We also believe it's hand in hand

00;23;31;06 - 00;23;32;19
with quality report.

00;23;32;21 - 00;23;34;06
Security is poor quality.

00;23;34;06 - 00;23;36;17
So how can you manufacture

00;23;36;17 - 00;23;39;17
or deliver services to your end users

00;23;39;21 - 00;23;41;12
without a quality system.

00;23;41;14 - 00;23;43;07
And that system has to be secure.

00;23;43;09 - 00;23;44;06
I said five things,

00;23;44;06 - 00;23;45;17
so I think I already mentioned the two,

00;23;45;18 - 00;23;47;05
which is the executives in the forward

00;23;47;05 - 00;23;48;19
and the secure by design,

00;23;48;21 - 00;23;50;01
but secure by design

00;23;50;01 - 00;23;51;22
building into every project

00;23;51;22 - 00;23;52;15
you're doing.

00;23;52;17 - 00;23;53;15
But the other thing,

00;23;53;15 - 00;23;54;22
which also Paul alluded

00;23;54;22 - 00;23;57;02
to, is to have a strategy in place.

00;23;57;04 - 00;23;58;22
Make sure that you have a plan,

00;23;58;22 - 00;24;01;03
a roadmap to mitigate certain things

00;24;01;03 - 00;24;02;15
and as part of your strategy.

00;24;02;15 - 00;24;04;10
The second thing you need to do is

00;24;04;12 - 00;24;06;04
you need to make sure you understand

00;24;06;04 - 00;24;07;01
your assets,

00;24;07;03 - 00;24;09;14
how your assets are being utilized,

00;24;09;14 - 00;24;11;09
how your assets are being accessed,

00;24;11;09 - 00;24;12;14
there's remote access,

00;24;12;14 - 00;24;13;20
there's access through the IT

00;24;13;22 - 00;24;14;28
systems, etc.

00;24;15;00 - 00;24;15;21
and hence

00;24;15;21 - 00;24;16;22
they're not air gapped

00;24;16;22 - 00;24;18;00
to my previous point.

00;24;18;02 - 00;24;20;00
So make sure that you understand

00;24;20;00 - 00;24;21;03
what your assets are.

00;24;21;03 - 00;24;22;14
And I think the third thing,

00;24;22;16 - 00;24;24;03
which is becoming very, very,

00;24;24;03 - 00;24;24;29
very important

00;24;24;29 - 00;24;25;15
in the critical

00;24;25;15 - 00;24;27;15
infrastructure is collaboration

00;24;27;15 - 00;24;28;10
and collaboration

00;24;28;10 - 00;24;30;14
with your peers, collaboration

00;24;30;14 - 00;24;31;13
with the government,

00;24;31;13 - 00;24;33;15
the regulators, the authorities.

00;24;33;17 - 00;24;35;01
You need to be close to them.

00;24;35;01 - 00;24;36;09
You need to learn from them

00;24;36;09 - 00;24;38;12
because they are seeing these things

00;24;38;14 - 00;24;39;22
on a day to day basis.

00;24;39;22 - 00;24;40;05
They made

00;24;40;05 - 00;24;42;06
taskforces to make that happen.

00;24;42;08 - 00;24;43;17
They're there to help.

00;24;43;19 - 00;24;45;09
They're not there to pin you.

00;24;45;11 - 00;24;46;18
There is to make sure

00;24;46;18 - 00;24;48;02
that you are actually

00;24;48;02 - 00;24;49;07
protecting the nation

00;24;49;09 - 00;24;50;09
at the end of the day.

00;24;50;11 - 00;24;52;07
And it's a great point,

00;24;52;07 - 00;24;54;01
Sunil, and also collaboration

00;24;54;01 - 00;24;55;22
with vendors and people

00;24;55;22 - 00;24;56;24
in the ecosystem

00;24;56;24 - 00;24;59;14
who are at the forefront of R&D.

00;24;59;14 - 00;25;00;04
And so

00;25;00;05 - 00;25;01;18
I think collaborating with them

00;25;01;18 - 00;25;03;25
and not treating them like suppliers is

00;25;03;27 - 00;25;05;00
is very important.

00;25;05;02 - 00;25;06;00
On that note, Paul

00;25;06;00 - 00;25;07;08
Forni and Sunil Sharma,

00;25;07;08 - 00;25;08;10
thank you so much

00;25;08;12 - 00;25;09;09
for joining us

00;25;09;09 - 00;25;11;01
on this episode

00;25;11;03 - 00;25;14;04
focused on protecting critical

00;25;14;06 - 00;25;17;05
infrastructure from cyber attacks.

00;25;17;07 - 00;25;22;22
Thank you, thank you.

00;25;22;25 - 00;25;26;00
Brought to you by Nexus, Publish By GHD.

00;25;26;03 - 00;25;27;07
Where ideas connect.