Blog del CCI

viernes, 3 de marzo de 2017

CCI offers [Re]Cognition to the fellow members of “The CCI Ecosystem” on its 4th anniversary

This Friday, 3 March 2017, the Industrial Cybersecurity Center, CCI, turns 4 years old. No doubt, we have a lot of things to celebrate, given all what we lived in this time; but it is not less what we both, the ones who drove and the ones who are currently driving the Center, have to thank. Being aware of that, let us avoid, this time, the usual triumphalist message and, instead of talking about the milestones achieved by the Center, let us talk about You.

For You, fellow member of “The CCI Ecosystem”, today we are launching a pioneer and, in our view, appealing "Program of 'Recognition' of the Commitment with Industrial Cybersecurity". The program, focused on professionals and students, aims to recognize the effort of both, those who perform their daily duties in this domain and those who are, currently, studing and getting their first experiences in a discipline like this, which, so far, has a short academic offer, despite being living a true explosion worldwide in recent years.

Futhermore, we have decided to bring our thanks beyond and complement the mentioned recognition  -should you get it, it will have been your merit-  with a gift; from now onwards the Center releases for free, indefinitively, three pieces of “Cognition”, until now priced:


  • "Protecting critical infrastructure vs. Industrial Cybersecurity".
  • "Tool for assessing Industrial Cybersecurity requirements for automation providers".
  • "State of Industrial Cybersecurity in Spain. 2013 edition".


By this way CCI releases freely the full series of papers published in 2013, year of the establishment of CCI, including the, then already free, “Roadmap of Industrial Cybersecurity in Spain 2013-2018”, that currently counts 20,000+ downloads.

[You can access this, and other, material at the "CCI Library"]


Stay close to us in our task of keeping the development of research and analysis activities, thought leadership, report publishing and information and knowledge interchanging on critical infrastructures processes and practices in Cyberspace.

This will let us keep consolidating an international ecosystem to share experiences.

Receive a grateful hug.

Board of Directors, The Industrial Cybersecurity Center

CCI celebra su IV aniversario ofreciendo [Re]Conocimiento a los miembros de "El Ecosistema CCI"

El Centro de Ciberseguridad Industrial, CCI, cumple este viernes, día 3 de marzo de 2017, cuatro años. Sin duda, es mucho lo que hay que celebrar de lo vivido en este tiempo, pero no menos lo que hemos de agradecer, tanto quienes estuvieron, como quienes actualmente estamos, al frente del mismo. Conscientes de ello, permítanos huir, en esta ocasión, del socorrido mensaje triunfalista y, en lugar de hablar de los logros conseguidos por el Centro, hablemos de Ud.

Para Ud., estimado miembro de "El Ecosistema CCI", lanzamos, hoy, un pionero y, a nuestro juicio, atractivo "Programa de 'Reconocimiento' del Compromiso con la Ciberseguridad Industrial". El programa, dirigido a profesionales y estudiantes, quiere reconocer la labor, tanto de quienes se desempeñan diariamente en este ámbito, cuanto de quienes, actualmente, se están esforzando por formarse y adquirir experiencia en una disciplina como ésta que, de momento, cuenta con pocos estudios reglados, a pesar de estar viviendo una verdadera explosión, en todo el mundo, en los últimos años.

Asimismo, hemos creído oportuno llevar nuestro agradecimiento más allá y acompañar el referido reconocimiento  -si lo obtiene, se lo habrá ganado Ud.-  con un regalo; desde el día de hoy el Centro libera, de forma indefinida, tres piezas de "Conocimiento", hasta ahora de pago:

  • "La protección de infraestructuras críticas y la Ciberseguridad Industrial".
  • "Herramienta de evaluación de requisitos de Ciberseguridad Industrial para proveedores".
  • "Estado de la Ciberseguridad Industrial en España. Edición 2013".


Con esta acción, CCI pone libremente a disposición de Ud. la serie completa de documentos publicados en 2013, año de nacimiento del Centro, incluido el, ya entonces gratuito, "Mapa de Ruta de la Ciberseguridad Industrial en España 2013-2018", que actualmente alcanza las 20.000 descargas.

[Puede acceder a este, y otro, material en la "Biblioteca CCI"]


Manténgase a nuestro lado en nuestra labor de seguir desarrollando actividades de investigación y análisis, de generación de opinión, de elaboración y publicación de estudios y herramientas y de intercambio de información y conocimiento sobre los procesos y prácticas de las infraestructuras industriales en el ciberespacio.

Eso nos permitirá seguir consolidando un ecosistema internacional para compartir experiencias.

Reciba un agradecido abrazo.

El Equipo Directivo del Centro de Ciberseguridad Industrial


miércoles, 22 de febrero de 2017

CiberSeguridad Industrial en la RSA




La semana pasada fue la RSA Conference en la hermosa ciudad de San Francisco (California), sin duda la conferencia de seguridad más grande del mundo y donde se encuentran “fabricantes” de seguridad, con clientes, consultores e implementadores de tecnologías. Digo “fabricantes” entre comillas, porque uno se imagina que los sponsors sólo serán grandes proveedores de seguridad, sin embargo, algo muy interesante de la RSA, es que uno puede encontrarse con una gran compañía ofreciendo sus productos o servicios, pero también con pequeños emprendedores y desarrolladores que han gastado hasta lo último que tienen para poder tener un stand en esta conferencia, tratando de vender su producto a potenciales clientes, o hasta incluso, si tienen suerte, vender su marca y quizás su emprendimiento completo a una gran empresa…


La conferencia se realiza cada año en el Moscone Center, y durante su realización se ocupan dos de los edificios para las zonas de exposiciones donde encontrarán todo tipo de stand o booth (donde personalmente he estado representando a ElevenPaths mostrando las soluciones que allí hemos creado), y un tercer edificio que se utiliza para las conferencias del evento. Es tanta la gente que asiste (más de 40.000 personas), que es imposible no encontrarse con conocidos, y en mi caso he tenido la oportunidad de encontrarme con varias personas de nuestro ecosistema del CCI como por ejemplo con Marc Blackmer y Erik Knapp (oradores y colaboradores del centro), Patrick Miller y Gabriel Bergel (coordinadores de los capítulos USA y Chile respectivamente).

Recuerdo que tiempo atrás era muy complejo encontrar fabricantes y charlas relacionadas con el mundo de los sistemas industriales, pero me alegra ver cómo esto está cambiando muy rápidamente y ver como empiezan a tomar fuerza las charlas relacionadas con ICS, Smart Cities, sistemas médicos, y el interminable mundo del IoT. De hecho, algunas de las charlas brindadas relacionadas a lo mencionada antes en esta edición sólo en el centro de conferencias (es decir que no están incluidas las que brindaban los sponsor en las salas de exposiciones) que podemos encontrar son:

·       The War in Cyberspace: Why We Are Losing—and How to Fight Back
·       Securing the Internet of Everything: How Webroot Keeps a Smart City Safe (Webroot)
·       Unexpected IoT—Solar Panels Compromise
·       Cyber, an Evolving Ecosystem: Creating the Road for Tomorrow’s Smart Cities
·       Weaponizing IoT
·       Fact or FUD? ICS Cyberattack Simulation and Impact Analysis Fun for the Whole Family
·       Medical Device Security Considerations: Case Study
·       Profiling Exposed Cyber-Infrastructure in Cities in the United States
·       What Do You Mean, “Patch”? A Shared Vision of IoT Security Updates
·       Anatomy of Industrial Cyber Attacks
·       Safety First! Strategic Solutions to Protect the Industrial Internet of Things
·       Cybersecurity Culture in ICS Organization: Human Factor as the Weakest Link In This Chain
·       IRL: Live Hacking Demos!
·       IIOT Vulnerabilities, Where Do They Lie?
·       IoT in Healthcare: Life or Death
·       Adding Security to Your ICS Environment? Fine! But How?!

Si no han tenido la oportunidad de pasar por allí nunca, les recomiendo la experiencia, y si quieren ver las charlas brindadas durante las conferencias, pueden encontrarlas la mayoría de ellas aquí .  

Espero poder encontrarme con más miembros del Centro en este tipo de eventos, para tomar un café o una cerveza mientras aprovechamos para conversar sobre Seguridad y Sistemas de Control!



Claudio Caracciolo
Coordinador General de LATAM del CCI-Es
Coordinador del Equipo CSA de ElevenPaths
@holesec

lunes, 24 de octubre de 2016

From the Internet OF Things (IoT) towards Things OFF Internet (ToI)

Never before, IoT  -IIoT, given our interests-  had deserved a sort of monograph within this newsletter. Last Friday’s events seem to support such statement. The attack over Dyn, Inc. and its effect on the Internet infrastructure laying on the US East Coast (and other areas of the country) demonstrated several things ...

Firstly, something that we have been defending from this and other tribunes for some time: “Technification”  -at least, a bad solved one-  does no other thing than weakening you.
Secondly,  “IoT is a complete disaster!”. I am quoting Silent Circle’s Phil Zimmermann whom we have the pleasure to hear during his speech at INCIBE’s “10th ENISE” held in Leon (Spain) last week.

And in third place, the discussion held on the same ENISE’s stage between CCI’s José Valiente and Cellnex Telecom’s Pablo Oliete  -in fact a very interesting one-  was to some point premonitory. Unfortunately [or  -let’s be positive-  fortunately, should we consider learned lessons from the events] real-life has showed us that one  -IoT vendors and other enthusiasts-  should adopt, not only some pre-cautions, but a more moderated approach when it comes to weight time-to-market versus security from the earliest stages of the product life-cycle.

That aspect of building and deploying connected things should be an important part of IoT cybersecurity economics. Hackers, that are investing their best efforts in “improving” tools like Mirai are, for sure, aware of the economic benefits of doing so.

***

The interesting chronicle by The New York Times’s David E. Sanger and Nicole Perlroth on the Dyn case states that, apparently surprisingly, the US election system is not part of the country’s critical infrastructure “map”. This could lead us to think “No, right, but why National Monuments are?”.

***

But I would not want to leave you concerned for this issues. Think that beyond the transition from IoT (Internet OF Things) towards ToI (Things OFF Internet), there is sill room for making things (particularly “connected” things) right. For sure, it will bring us a myriad of benefits. So, definitely, don’t be afraid to explore all this set of new technologies.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

De la Internet de las Cosas CONECTADAS a las Cosas DESCONECTAN Internet

Nunca antes, la "Internet de las Cosas"  -la "Internet Industrial de las Cosas", dados los intereses de este "Boletín"-  había merecido una suerte de monografía, como hoy. El ataque sobre la compañía Dyn, Inc. y sus efectos sobre la Internet que recorre la costa este de los EEUU (y otras zonas del país) ha demostrado varias cosas ...

En primer lugar, algo sobre lo que hemos venido insistiendo, desde esta y otras tribunas, durante tiempo: la tecnificación  -al menos, la deficientemente resuelta-  no hace sino debilitarte.

En segundo, "¡La 'Internet de las Cosas' es un completo desastre!". Estoy citando a Phil Zimmermann, de Silent Circle, a quien tuvimos el placer de escuchar la pasada semana en León (España), durante la celebracíón de la X edición del encuentro ENISE, organizado por INCIBE.

Y en tercer lugar, la discusión que sobre el mismo escenario de ENISE mantuvieron José Valiente, de CCI, y Pablo Oliete, de Cellnex Telecom  -de hecho, un debate muy interesante-  ha resultado, en cierta medida, premonitoria. Desafortunadamente [o  -seamos positivos-  afortunadamente, si tenemos en cuenta las lecciones aprendidas de esos hechos] la vida real nos ha mostrado que uno  -los fabricantes de objetos para la "Internet de las Cosas" y otros entusiastas-  debería adoptar, no sólo algunas precauciones, sino un enfoque más moderado cuando se trata de ponderar la rapidez con la que sus productos llegan al mercado, frente al hecho de garantizar su seguridad desde las etapas más tempranas del ciclo de vida de dichos productos.

Ese aspecto de construir y desplegar cosas conectadas debería ser una parte importante de la economía de la ciberseguirdad de la "Internet de las Cosas". Los delincuentes, que invierten sus mayores esfuerzos en "mejorar" herramientas como Mirai, son, con total seguridad, conscientes de los beneficios económicos de obrar así.

***

La interesante crónica que nos ofrecen desde "The New York Times" los periodistas David E. Sanger y Nicole Perlroth sobre el "caso Dyn" incluye la afirmación de que, aparentemente de forma sorprendente, el sistema electoral de los EEUU no forma parte del "mapa" de infraestructuras críticas de ese país. Esto podría llevarnos a pensar “No, en efecto; pero, ¿por qué los Monumentos Nacionales si lo hacen?”.


***


No obstante, no quisiera dejarle preocupado por estos temas. Piense que, más allá de la transición de la "IoT" (Internet de las Cosas CONECTADAS) a las "ToI" (las Cosas DESCONECTAN Internet), todavía hay hueco para hacer las cosas (en especial las "conectadas") de forma correcta. Sin duda, ello aportará enormes beneficios. Por tanto, definitivamente, no tema explorar todo ese conjunto de nuevas tecnologías.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 17 de octubre de 2016

Real-life lessons, lack of transparency and root-causes

Boards of Directors have been worth this newsletter’s attention for almost the last two years. Given that beyond exotic technical aspects any kind of cyber issue impacting an organization has (or could have) consequences for the organization itself or for any of its stakeholders, no one better than the Board to become ultimate accountable for cyber. The BoD’s role in oversighting the organization’s overall performance and its function as ownership’s proxy makes it the perfect candidate to start learning the lessons that real-life cyber teaches.

A great majority of American (and abroad) Boards learned their first cyber lesson in 2013, thanks to TARGET. The retailer’s cyber breach affecting more than 100M of its customers served as a trigger for directors to start feeling the “new” menace. A growing number of Boards in the American stage started, since then, to ask for advice on digital and, particularly, on cyber stuff.

It is the effect of fear. And it is obvious that it runs as the perfect driver to improve awareness. But beyond fear, it is also true that there are a series of additional drivers that favor positive steps like promoting continuous compliance, engaging new cyber-savvy directors, etc. Among those drivers are regulation bodies, rating agencies, insurers, and last but not least the ultimate search for resilience. (Lights off means no threats, but it means no business, too).

While companies struggle for surviving in the cyber threaten (and threating) space, sovereign states are holding their particular, and most of the time silent, cyberwar. A kind of war in which technification does not necessarily means that you are stronger, but weaker (dependable); and in which, like it happens in conventional warfare, diplomacy or containment not always help (especially, when you fight against not so diplomatic enemies).
Anyway, as we usually insist on, information sharing among your allies (corporate, state-sponsored or both) is more and more a must. So it seems to derive from initiatives like US Cybersecurity Information Sharing Act of 2015. The only doubt it poses to me is why, most of the times, transparency ends when cyberattacks (or similar) information reaches the Government’s agencies?

Finally, be aware that the unstoppable invasion of IACS by IT is at the core of our economies’ cyber weakness and are the root-cause of most of our cyber problems. (And yes, of course, it is a key driver for our future opportunities, too!).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!