Blog del CCI

martes, 13 de febrero de 2018

Right to repair (also the digital)


Like many things that revolve around technology, the issue we echo today arises from a movement in the US that is none other than being able to repair machinery that incorporates hardware and software for its operation, by the owner or any workshop. 

This seems more or less reasonable and that's how it works, for example, in the automotive sector, in the issue of information technology is not so. Thus, those with diagnostic and repair tools are the companies owning this technology, or some to which they have granted that power.

This right to repair what it mean1 for manufacturers, is the duty to sell spare parts and diagnostic tools to any workshop or individual that so demands. 


And where did it start? 

Few American territories deserve more to be considered the heart of the country  -to be in the depths of deep America-  than the State of Nebraska. A quick glance at the map of continental US (with permission from Alaska) will clear any doubt about it.

While in other latitudes -for example, the European ones- what is debated, or has recently been debated, are rights, born at the mercy of "digital", as the "right to be forgotten", in rural Nebraska the debate, also propitiated as an effect of "digital", revolves around the "right to repair", ... to repair tractors.

Digitization ravages. Few activities, if any, escape their influence and those related to agricultural and livestock production are no exception. Modern tractors are, in fact, computers on big wheels. The manufacturers have "refilled" them with embedded software which, among other things, has allowed them to launch a lucrative business model around maintenance and repairs.

However, this "novelty" clashes directly with the interests of farmers, who are not willing to go through the hoop of the manufacturers from the economic point of view (the costs of software and other supplements are exorbitant, as well as the tariffs of the authorized workshops), nor from the agility that requires to solve a breakdown when the tractor stops in the middle of the country 40 miles away from the nearest workshop.

While Nebraska farmers await the approval, or not, of the state law "LB 67 on the right to repair", Polish and Ukrainian hackers are providing them with the spare parts -basically, pirated and sabotaged/manipulated software- that their tractors need. 

But not only Nebraska farmers are interested in the law, they have joined the states of Minnesota, New York, Massachusetts, Kansas and Wyoming. 

And, of course, not only affects tractors and farmers, but any device that includes software or hardware for its operation, which is almost everything. 

---------------------------------- 
1https://motherboard.vice.com/en_us/article/mg7nbv/five-states-are-considering-bills-to-legalize-the-right-to-repair-electronics  

Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center 

Maria Jose de la Calle
Colaboradora CCI
CCI, Industrial Cybersecurity Center 




lunes, 12 de febrero de 2018

El derecho a reparar (también lo digital)



Como muchas cosas que giran alrededor de la tecnología, el tema del que nos hacemos eco hoy surge de un movimiento en los EEUU que no es otro que el poder reparar maquinaria que lleve incorporado hardware y software para su funcionamiento, por el propietario o cualquier taller.

Esto que parece más o menos razonable y que así funciona, por ejemplo, en el sector del automóvil, en el tema de las tecnologías de la información no lo es tanto. Así, los que disponen de herramientas de diagnóstico y reparación son las propias empresas propietarias de dicha tecnología, o algunas a las que éstas les hayan concedido esa potestad.

Este "derecho a reparar" lo que supone1 para los fabricantes, es el deber de vender repuestos y herramientas de diagnóstico a cualquier taller o particular que así lo demande.


¿Y dónde empezó esto?

De pocos territorios estadounidenses puede decirse que se encuentran más en el corazón del país  -en lo más profundo de la América profunda-  que del Estado de Nebraska. Una rápida mirada al mapa de los EEUU continentales (con permiso de Alaska) le despejará cualquier duda al respecto.

Mientras en otras latitudes -por ejemplo, las europeas- lo que se debate, o se ha debatido en fechas recientes, son derechos, nacidos al albur de “lo digital”, como el “derecho al olvido”, en la Nebraska rural el debate, propiciado también como efecto de “lo digital”, gira en torno al “derecho a reparar”, … a reparar tractores.

La digitalización arrasa. Pocas actividades, si acaso alguna, se escapan a su influencia y las relacionadas con la producción agrícola y ganadera no son una excepción. Los tractores modernos son, en realidad, ordenadores sobre grandes ruedas. Los fabricantes los han “rellenado” de software empotrado lo que, entre otras cosas, les ha permitido poner en marcha un lucrativo modelo de negocio en torno al mantenimiento y las reparaciones.

Sin embargo, esa “novedad” choca frontalmente con los intereses de los granjeros, quienes ni están dispuestos a pasar por el aro de los fabricantes desde el punto de vista económico (los costes del software y otros complementos son desorbitados, así como las tarifas de los talleres autorizados), ni desde el de la agilidad que requiere solventar una avería cuando el tractor se para en medio del campo a 80 kilómetros del taller más cercano.

Mientras los granjeros de Nebraska esperan a la aprobación, o no, de la ley estatal “LB 67 sobre del derecho a reparar”, los 'hackers' polacos y ucranianos están sirviéndoles los recambios -básicamente, software pirateado y saboteado/manipulado- que sus tractores necesitan.

Pero no sólo los granjeros de Nebraska están interesados en la ley, a ellos se han unido los estados de Minnesota, Nueva York, Massachusetts, Kansas y Wyoming.

Y, por supuesto, no sólo afecta a tractores y granjeros, sino a cualquier dispositivo que incluya para su funcionamiento software o hardware, que ya es casi todo.

---------------------------------------------

1https://motherboard.vice.com/en_us/article/mg7nbv/five-states-are-considering-bills-to-legalize-the-right-to-repair-electronics   

Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center 

Maria Jose de la Calle
Colaboradora CCI
CCI, Industrial Cybersecurity Center


jueves, 11 de enero de 2018

15 predicciones de riesgos en el escenario digital de 2018

¿Qué ocurrirá en torno a la seguridad ligada al [mal] uso de lo digital a lo largo de este año?“

¡Guau! Sin duda, todo un reto, que la amplitud y profundidad del asunto -por cuanto en él cabe- hacen, aún, más complejo.

Elucubrar sobre los acontecimientos que sucedan más allá del presente no parece que haya sido nunca una ciencia exacta y, por tanto, cualquier afirmación hecha a futuro podrá ser puesta en entredicho cuando dicho futuro se alcance.

En el presente caso, está Ud. a sólo doce meses de comprobar las capacidades predictivas de quien le dirige estas líneas.


1: Pérdida total de confianza.
Sentirse desamparado, no tener y/o no saber dónde acudir es, a mi juicio, la amenaza más grave que puede cernirse sobre la confianza que clientes/usuarios depositan en una organización.
Los ataques que vulneran la confianza de los consumidores por completo pueden tener efectos devastadores para las organizaciones.
Me refiero a aquellos en los que las propias fuentes de confianza dejan de ser fiables: caso “CCleaner” (septiembre, 2017) u otros similares ocurridos con anterioridad en la órbita de fabricantes de soluciones/software industrial, cuyas fuentes habían sido también contaminadas (comprometidas).
Pienso que el caso (o casos) “Intel” de que somos testigos estos días tiene perfecta cabida en esta categoría.

2: Vulnerabilidades de Hora-0.

El margen de tiempo en el que se aprovecharán las vulnerabilidades de Día-0 se han ido reduciendo. Aún lo harán más. Pasaremos a hablar de márgenes de horas, desde que la vulnerabilidad sea descubierta hasta que sea explotada.

3: Amenaza de oscuridad total.
Puesto a elucubrar, ¿por qué no hacerlo a lo grande? Hemos visto ataques a infraestructuras industriales y críticas (las redes eléctricas ocupan un lugar destacado en este poco honroso ‘ranking’). Seguiremos viendo ataques a esas y otras infraestructuras y servicios públicos.
Pero, lo que aún nos queda por ver, a pesar de lo largamente que ha sido anunciado, es un ciberincidente de proporciones planetarias o, al menos, continentales. Se viene hablando de él desde hace años: lo han denominado “ciber Pearl Harbour”; lo han llamado “Armagedón cibernético”; ahora lo denominan “ciber-botón rojo” (la capacidad de enviar a un adversario a la Edad Media, o más allá, tras pulsar un botón -tal vez, una tecla; o una pantalla táctil, 😉- de color rojo).
Personalmente, es algo que no me gustaría ver y confío en que no se produzca -sinceramente, no termino de verlo realista-; pero, como señala el dicho popular, “torres más altas han caído”. No parecería, por tanto, muy prudente eliminar esta entrada de una lista en la que lleva alojada varios años (haciéndose cada vez más verosimil, por desgracia).

4: El sur también existe.Los EEUU/Europa no son el ombligo del mundo. Según algunos análisis, países como Corea del Sur y Japón están más sensibilizados en relación a las ciberamenazas internacionales. Pero, también, regiones emergentes (o en vías de estarlo), como África, pueden ser un objetivo deseable en el futuro cercano.
¡Obsérvela a lo largo de los próximos meses!

5: IA.
Sin ánimo de resultar muy simplista, podría decirse que los delitos, al final, son siempre los mismos. Eso, por ejemplo, supone que seguiremos viendo -a veces sufriendo- robos de datos (identidades u otros datos personales, propiedad intelectual, etc.).
Lo que realmente cambia -avanza- son los modos, los medios, las herramientas. Todo apunta a una expansion, cada vez más amplia, de la Inteligencia Artificial como una herramienta de verdadera “inteligencia” (ciberinteligencia) capaz de idenficar, por ejemplo, “qué atacar” y “dónde”.
Hay quien aboga por eliminar el componente humano, dejando todo acto defensivo -doy por hecho que también los ofensivos- en manos de algoritmos: protección para el pueblo; pero sin el pueblo.
Mi opinion -y creo no estar solo- es que algoritmos y personas han de ir de la mano (más aún, sería bueno que los primeros fueran de la mano de las segundas).

6: Ciberseguridad Industrial en entornos "no-industriales".
2018 puede ser el desgraciado momento de los edificios inteligentes (BMS/BAS) y de los hospitales (hablamos de los ciberriesgos para la actividad de ingeniería hospitalaria, no de ‘ransomware’ atacando los sistemas de información hospitalaria (historia clínica electronica, receta eléctronica, etc.) que ya han tenido su momento en los últimos años -y que, por otro lado, segurán teniéndolo-.

7: Ransomware.
Hemos visto ‘ransomware’ para sacar dinero (así empezó la cosa). Hemos visto, más recientemente, ‘ransomware’ que más que obtener dinero, parecía buscar, simplemente, la perturbación de operaciones o instalaciones. Pero lo que no hemos visto tanto y, probablemente, tendremos que acostumbrarnos a empezar a ver en el contexto industrial, será ‘ransomware’ dirigido específicamente a los sistemas de control industrial (SCI), en lugar de a las usuales plataformas informáticas/ofimáticas, como viene siendo habitual.

8: Monetización.
No sería extraño ver cómo se amplían las formas de monetización de los ataques; pero eso ya no es ciberseguridad, eso es mera delincuencia (creatividad/innovación, se dice ahora; el ingenio de toda la vida).

9: Presupuestos.
Como señalan nuestros informes reiteradamente, cabe pensar que los presupuestos de ciberseguridad tenderán al alza.

10: CICSO/CIXO (Chief Industrial Cyber Security Officer).
Se mantendrá la escasez de profesionales que combinen experiencia TI/TO/CIBER, a todos los niveles. Eso incluye desde el Consejo de Administración hasta el último especialista técnico.
Necesariamente ha de surgir la figura de un responsable operativo: Director de Ciberseguridad Industrial (en inglés, Chief Industrial Cyber Security Officer -CICSO/CIXO-).

11: DevSecOps.
Habrá una mayor adopción de prácticas e integración DevOps + Seguridad: DevSecOps.

12: Salas/Centros de Control.
Se tenderá a una integración de las consolas (HMI) de supervisión/operación de la seguridad en las salas de control/centros de control de los procesos industriales.
Estarán operadas por personal especializado específico (no de operación); pero integrado con aquél, de forma que resulte fácil verificar las consecuencias sobre el proceso, de aquellas anomalías que se detecten a nivel de ciberseguridad industrial.

13: Marcos de referencia.
Se acelerará la adopción de marcos de referencia para la Ciberseguridad Industrial (NIST CSF, NERC CIP, ISA/IEC 62443, …). Entre ellos, por qué no decirlo, el SGCI de CCI.

14: Notificación de incidentes.
La nueva regulación también acelerará, previsiblemente, la notificación de incidentes, como exigencia de la nueva regulación.

15: Cifrado.
Se hará más habitual el uso de protocolos seguros (con cifrado).


Miguel García-Menéndez
Vice-Chairman
CCI, Industrial Cybersecurity Center

Análisis de la ciberseguridad industrial en Argentina, Chile, Perú y Francia


A finales de 2017, el Centro de Ciberseguridad Industrial (CCI) ha presentado 4 estudios sobre la situación de la ciberseguridad industrial en Argentina, Chile, Perú y Francia. Los países latinoamericanos muestran un contexto bastante parecido, donde destacan la falta de concienciación de las empresas, así como de un adecuado marco normativo que ayude a crearla. En Francia, en cambio, el esfuerzo normativo está ya maduro y se aborda el siguiente paso: la certificación de los servicios.

Los diferentes capítulos de ISACA en Buenos Aires, Santiago de Chile y Lima han participado con el CCI en la difusión de las encuestas para los estudios, que muestran un panorama bastante parecido en toda Latinoamérica, aunque con algunas diferencias. La poca concienciación de ciberseguridad industrial en las empresas, más allá de sus departamentos de Tecnologías de la Información (TI), así como la falta de un marco normativo o la necesidad de mejorar el existente, condicionan la realidad existente.

Las encuestas realizadas han detectado una falta de capacitación en ciberseguridad generalizada entre los empleados, a excepción de los departamentos de TI. También se adolece de la realización de pocas auditorías de evaluación de riesgos y se utilizan tecnologías de ciberseguridad no específicas para sistemas industriales, sino genéricas del entorno corporativo. Existe también una reticencia general a reconocer y modificar los impactos derivados de ciberincidentes ocurridos en las plantas industriales. En el lado positivo destaca que en todos los países hay un número importante de organizaciones que tienen previsto abordar el próximo año iniciativas de ciberseguridad industrial.

De forma más concreta, el [1]"Estudio sobre el estado de la Ciberseguridad Industrial en Argentina" destaca el "poco interés de las organizaciones industriales al no existir regulación formal", así como el "mayor nivel de sensibilización de las empresas de Tecnologías de la Información, lo cual contrasta con la falta de conciencia real sobre las amenazas del sector industrial en general".

Es también destacable, según el estudio, que "los esfuerzos de capacitación en ciberseguridad, en el conjunto de las empresas argentinas estudiadas, siguen dedicándose principalmente a los departamentos de TI, en perjuicio del resto de áreas, especialmente el área de TO, al que no se logra involucrar". El Gobierno Nacional está trabajando actualmente en el desarrollo de una Política de Ciberseguridad Nacional que "probablemente dentro de los próximos años supondrá la obligatoriedad de implementar un Plan Estratégico de Ciberseguridad, especialmente en aquellas empresas que gestionan servicios esenciales".

El estado de la ciberseguridad industrial en Chile[2] es parecido, aunque la mayor participación de empresas del sector financiero y bancario y de tecnologías de la información en el estudio "permite concluir su mayor nivel de sensibilización, pero el resto de sectores ha experimentado también un aumento de conciencia de ciberseguridad". En algunas organizaciones chilenas existe incluso la figura del responsable de ciberseguridad industrial, lo que es un claro síntoma de madurez.

El estudio avisa que "el esfuerzo de concienciación a nivel directivo está avanzado en Chile en la dirección correcta" aunque "es preocupante que casi un cuarto de las industrias del estudio no haya realizado ningún tipo de evaluación de riesgos, sobre todo por el tamaño y nivel crítico de las empresas que han respondido a este estudio".

En Perú[3] la situación es también parecida. Allí "la lenta pero paulatina incorporación de la Ciberseguridad Industrial en las organizaciones peruanas se ve favorecida cuando existen requisitos normativos o de clientes definidos". El estudio recomienda: "El Estado Peruano y el sector privado deben sumar esfuerzos para desarrollar el peCERT o implementar un CSIRT que incorpore a las empresas industriales que gestionan y operan las infraestructuras críticas del país".

El "Estudio sobre el estado de la Ciberseguridad Industrial en Francia"[4], realizado por el CCI junto con el grupo europeo SCASSI Ciberseguridad, denota un nivel claramente diferente. En Francia, "los sectores CI muestran más madurez y nivel de conocimiento respecto a la ciberseguridad, la razón es un contexto legislativo altamente regulado y controlado". Esto provoca que no sólo las empresas que están obligadas adopten las medidas requeridas, también el resto de sectores lo hace, de forma voluntaria y en beneficio de la organización.

La industria y el gobierno franceses centran ahora su esfuerzo en el paso posterior a la estandarización normativa: la certificación, que permite que los usuarios adquieran servicios o productos que cumplen con los estándares mínimos reconocidos. En cuanto a la ciberseguridad industrial, Francia ha realizado grandes avances, trabajando para generar esquemas adecuados para la certificación de los componentes IACS, que CCI apoya.




Merce Molist
Responsable de servicios de comunicación
Centro de Ciberseguridad Industrial
merce.molist@es.cci-es.org

miércoles, 18 de octubre de 2017

Riesgos tecnológicos en la seguridad funcional y de procesos (Ejemplo: el automóvil)

Cuando se trata de proteger a las personas, podemos afirmar que la tecnología ha salvado miles de vidas, por ejemplo los sistemas de seguridad en el automóvil han tenido un desarrollo tecnológico incremental, gracias a estos avances tecnológicos se ha reducido en casi un 200% la siniestralidad. En la última década los esfuerzo en seguridad del automóvil se han centrado en conocer el entorno, a este periodo se le conoce como “era de la detección”, donde sistemas de seguridad autónomos incorporan múltiples sensores que prestan ayuda en la conducción anticipándose a un eventual accidente. Ejemplos como el alumbrado adaptativo, que permite que los faros giren y adapten la forma de su haz de luz en función de la velocidad y la climatología, sensores de lluvia, sensores de presión de neumáticos, sensores de aviso de abandono de carril o sensores de vigilancia del conductor que analizan su atención y avisan si detectan fatiga. Todas estas tecnologías para reducir el riesgo de que suframos accidentes se están incorporando de forma lenta, excepto cuando son obligatorias. Ejemplos como el avisador de cinturones o el sensor de presión de los neumáticos ya son obligatorios en la UE desde 2012. 

Un vehículo tiene de media unos doce sistemas autónomos que controlan mas de un centenar de sensores, de los cuales el 25% son sistemas autónomos de seguridad activa. La arquitectura de comunicación que se utiliza en el automóvil desde hace tres décadas utiliza el protocolo Bus CAN.

Los vehículos también incluyen un protocolo de diagnóstico abordo, conocido también como OBD, que los fabricantes han tenido que instalar para poder realizar diagnósticos y pruebas de niveles de emisiones de humo. Debido a que OBD requiere realizar lecturas de un gran número de sensores del vehículo fue necesario el desarrollo de un bus de red centralizado a través del cual los sensores y controladores puedan comunicarse, este bus es CAN (Controller Area Network).



La arquitectura CAN tiene numerosas vulnerabilidades que son debidas principalmente a su diseño, tal y como se recoge en el documento “Developments in Car Hacking” publicado por SANS en 2015. Entre todas ellas quiero destacar tres de estas debilidades de diseño:

1. No existe segmentación desde la óptica de seguridad informática en la arquitectura CAN. La segmentación de la red es una parte fundamental del diseño seguro de cualquier sistema. Si una red no está segmentada, una vulnerabilidad trivial en un componente de cualquier sistema del vehículo puede ser explotada para permitir el acceso al resto de la red, incluyendo sus sistemas más críticos y sensibles, como son los sistemas de seguridad activa, cuya alteración podría tener graves consecuencias en la seguridad de las personas. Imagine que el airbag del vehículo se activase durante la conducción.

2. No existe autenticación de dispositivos. La falta de autenticación de la arquitectura CAN supone que sea vulnerable a los atacantes. Cada unidad de control sirve a una función diferente, desde el control de instrumentos del motor que transmite constantemente un mensaje CAN a la red que contiene la velocidad actual del motor (RPM), hasta el control de funciones de seguridad como el airbag o el ABS. En este escenario podemos afirmar que es posible conectar uno o varios dispositivos que envíen mensajes CAN que engañen a determinadas unidades de control alterando su comportamiento, como así demostraron Sheila Berta y Claudio Caracciolo en la edición 12 de Ekoparty demostrando que es posible fabricar un pequeño dispositivo de unos 4 cm de ancho por 4 cm de alto, que si se tiene acceso libre al automóvil, como por ejemplo en un estacionamiento, se puede conectar directamente a su red interna al no requerir la autenticación de este dispositivo logrando el envío de mensajes a la unidad ECU, y controlando a distancia vía SMS el comportamiento del vehículo.

3. No existe cifrado de las comunicaciones. Un fallo crítico de la arquitectura CAN es la falta de cifrado en el diseño de las comunicaciones. Los diseñadores buscaban diseñar un protocolo ligero y robusto, y no contemplaron el riesgo de piratas informáticos. La ausencia de cifrado permite que un atacante pueda conectarse al bus mediante un cable de interface CANdo conectado a un portátil con el software adecuado, e inspeccionar así los mensajes que controlan el vehículo, aprendiendo que ordenes son las que se comunican entre los diferentes sistemas, pero aún este atacante puede llegar más allá, como así demostraron Sheila Berta y Claudio Caracciolo manipulando vía SMS distintas funcionalidades de una vehículo en vivo, demostrando que podían encender o apagar las luces con sólo enviar un mensaje CAN.

Exactamente estas mismas debilidades de diseño: ausencia de segmentación, de autenticación y de cifrado nos las encontramos actualmente en la mayoría de ambientes industriales automatizados, así lo reconocen importantes directivos de organizaciones industriales que han participado en el documento “Beneficios de la ciberseguridad industrial para las empresas industriales” publicado en febrero de 2017 por el Centro de Ciberseguridad Industrial, donde se reconoce que “… los atacantes tienen multitud de posibilidades de causar daño a una organización industrial… alterando las especificaciones…”, pero también se declara que “…un incidente tecnológico podría alterar la producción, incluso producir un accidente laboral”. Hay varias razones que estos directivos argumentan para que una organización decida gestionar en serio estos riesgos, pero podemos destacar dos: “…cualquier empresa industrial puede ser un objetivo para quienes hoy han convertido los ciberataques en una fuente de ingresos”, también otro directivo indica que “… en cuestión de minutos cualquiera puede identificar formas de acceder y causar daño..”, es decir, es fácil y además es un negocio, son dos poderosas razones para que cualquier organización industrial se ponga en marcha y actué de forma responsable gestionando el riesgo tecnológico de su negocio.

La resiliencia es vital para la nueva era digital (Ejemplo: La fabrica 4.0)


La avalancha tecnológica, con multitud de nuevas soluciones, pero con la necesidad de su integración con sistemas, aplicaciones y redes existentes, ha convertido esta era digital en un terreno peligroso donde la estrategia tecnológica, y la capacidad que tengan las organizaciones de adaptación está siendo clave para garantizar la supervivencia del negocio en el actual mercado global, complejo y cambiante. Ejemplo reciente es la adopción de Industria 4.0, donde cada vez es más importante fabricar de manera ágil, con una mayor orientación a la demanda y de manera más flexible, todo ello sin encarecer el producto. Esta capacidad de adaptación y respuesta a los cambios dinámicos del mercado y del entorno tecnológico es lo que se entiende por resiliencia. La resiliencia permite afrontar la evolución, la dependencia y los riesgos de la tecnología.

La resiliencia debe formar parte de la naturaleza de las organizaciones y estar implícita en su estructura, a través de la definición y cumplimiento de un Plan Estratégico de Resiliencia, que incluya como vértice principal, su estrategia tecnológica. El Plan, debe ser adoptado y abordando de acuerdo a las dos dimensiones principales de la resiliencia en las organizaciones:
  • Adaptación: ante un nuevo contexto del mercado, la organización debe tener la capacidad de reaccionar y adaptarse –gracias a procesos de mejora continua-, compitiendo y operando conforme a las nuevas reglas del mercado y su demanda. Este es la situación en el ámbito industrial, donde solo se puede ser competitivo a través de la transformación y conversión tecnológica y digital.
  • Robustez: ante una serie de sucesos, la organización debe ser capaz de recuperarse y seguir operando, como si nada hubiera sucedido.

No se puede trazar una línea divisoria clara entre lo que supone la resiliencia de la organización y la ciber-resiliencia, o resiliencia tecnológica y digital, puesto que la continuidad de sus operaciones y la competitividad de su producción depende directamente de la tecnología, la automatización, y la eficiencia que ambas aportan.

son cada vez más las voces que defienden que la seguridad en la era de la transformación digital no debe estar basada de forma exclusiva en medidas de prevención o defensa, sino también en la capacidad de adaptarse y dar respuesta, tal y como indica el profesor e investigador Jeimy Cano “Tarde o temprano las barreras definidas van a caer, tarde o temprano la organización será objeto de un incidente y para ello, la postura de seguridad por vulnerabilidad habilita a la organización para responder de manera ágil y efectiva, pues no estará distraída en el “que dirán del incidente”, sino tomando acciones concretas que permitan entender, contener, recuperar y comunicar lo que ha ocurrido, para aprender rápidamente y aumentar su capacidad de resiliencia frente a eventos futuros”.

En el caso de la “Fábrica 4.0” aparecen nuevos riesgos cibernéticos derivados de la nueva operativa industrial: la interconectividad interna y externa, así como con el cloud, la proliferación de sistemas embebidos (que proporcionan inteligencia a sensores, materiales, máquinas o productos), y el desarrollo de las nuevas aplicaciones de fabricación avanzada y personalizada. Actualmente, se están detectando nuevos vectores de ataque, más propios de los sistemas de información, ocasionados principalmente por la necesidad de conectar las redes corporativas con las industriales.

Todos estos riesgos se ven además agravados por la falta de madurez tecnológica, y la falta de una estrategia definida, lo cual, en muchos casos genera conflictos internos -ya sea por la asignación de responsabilidades a personal insuficientemente formado o bien por la propia necesidad de provisionar recursos dedicados a este efecto-.

Ha de advertirse que, en el contexto industrial, y de forma específica en Industria 4.0 se dan algunas diferencias a la hora de abordar la resiliencia tecnológica con respecto a otros entornos:
  • Se trata de un sector, que, en su operativa principal, se ha mantenido históricamente aislado a la revolución digital, por lo que la adaptación táctica y organizativa a este nuevo entorno es, en muchos casos, conflictiva.
  • Los periodos de adaptación tecnológica en los entornos industriales son lentos y deben implicar a todos los equipos organizativos de los cuales depende que la operativa de la organización evolucione de forma sostenible y eficiente.
  • Las operaciones y, por tanto, las consecuencias de cualquier perturbación en estos entornos tienen un gran componente físico. Los principales escenarios de desastre hacen referencia a amenazas de naturaleza física como incendios, inundaciones, sabotajes o destrucción de equipamiento/instalaciones.
Aunque muchas organizaciones han empezado a contemplar medidas de ciberseguridad basadas en la evaluación y gestión de riesgos, son conscientes de que estas medidas no serán suficientes, y que deben estar preparadas para afrontar los nuevos retos tecnológicos y recuperarse de los incidentes, lo cual, significa que deberán preocuparse de sus capacidades de adaptación y resiliencia, es decir, su capacidad para transformarse a las nuevas demandas del mercado, resistir, dar respuesta y superar, cualquier perturbación relativa al uso de las tecnologías de operación. Bajo este principio se entenderán las necesidades de la organización para planificar, definir, desarrollar, gestionar y medir las oportunas prácticas y comportamientos que conduzcan la resiliencia -en sus dos dimensiones- de la organización. En definitiva, definir y ejecutar un Plan Estratégico de Resiliencia Tecnológica.

lunes, 15 de mayo de 2017

I wanna cry! [#WannaCry]

I wanna cry!” [#WannaCry]


That must have been the feeling that gripped Mr. Ron Grimshaw when nurses told him they had to stop his MRI scan because of a cyber-attack.

None of them had even imagined having to give such news to Mr. Grimshaw and the rest of the patients who had come on that date - May 12th, International Nurses' Day - to receive their treatments at one of the centers of the British public health network (NHS) affected by the effects of ‘WannaCry’ ransomware. It was not the kind of 'virus' that neither they nor their patients were accustomed to.

I dare say that, even for ourselves, as professionals in the field, the situation has not been without a significant burden of novelty. The positive upside is that any challenging situation should always be taken as a learning opportunity.


I wanna cry, too!

I want to cry when I see governmental agencies identify and exploit software (and/or hardware) vulnerabilities, ‘for the benefit of us?’.

I want to cry when I see supposedly well-intentioned hacktivist groups disclose in the wild such governmental secrets, ‘for the benefit of who?’.

I want to cry when I see how such disclosed stuff has no other destination that being used by cyber criminals to generate chaos, ‘for the benefit of them!’.

I want to cry when I see how technology vendors make recommendations ‘for the benefit of everyone’ that no one follows.

I want to cry when I see how organizations leave their emergency communication plans in some of their executives’ hands  -or, even worse, social media accounts-,  ‘for the benefit of their battered egos?’.

I want to cry when I see those same organizations and their governments saying that the impact has not been so great, that it was almost all hype. I suppose 'for the benefit of a better learning of the lessons that the issue has left us'.

I want to cry when I see how 166 cyber-hit nations still trust on ‘national’ cyber strategies to face an international/borderless problem.

I want to cry when I see adult people still accepting candies  -i.e., e-mails-  from strangers, ‘for the benefit of their own curiosity?’.


This latter only proofs the effectiveness of the blue bomb  -i.e., VIAGRA®-;  I mean the effectiveness of commercial spam we have been suffering for years. Traditional spam seems to have been a sort of proof of concept for the massive ransomware attacks of today. Let’s see if these current attacks are just the training exercise of the new surprises of tomorrow.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Last year CCI released a set of recommendations to prevent, defend and react before IACS ransomware. You can download it here.