Blog del CCI

lunes, 23 de diciembre de 2013

La Gestión de los Cisnes Negros

Los cisnes negros son eventos inesperados con un alto impacto, que una vez sucedidos se racionalizan tratando de justificar qué es lo que ha llevado a esa situación. Se podría decir que es predecir el pasado, tarea a la que algunos políticos y economistas se han aficionado en los últimos años. Los cisnes negros también son la pesadilla de los analistas de riesgos: su probabilidad de ocurrencia es tan baja que es prácticamente despreciable pero su impacto es tan brutal que sería negligente no tenerlos en cuenta.

Todos tenemos cisnes negros, habitan dentro de nuestras cabezas como algo remoto, pero que siempre está al acecho. Cuando estos cisnes son capaces de afectar al funcionamiento de instalaciones industriales nos encontramos con un grave problema, ya que de qué manera podríamos gestionar estos eventos, si su ínfima probabilidad no justifica la aplicación de contramedidas. Afrontarlos directamente resultaría tremendamente costoso, y, por otra parte, en muchas ocasiones, debido a la complejidad de los factores que los desencadenarían ni siquiera somos conscientes de su existencia.

Hace poco, un amigo, responsable del área de control de una instalación industrial, nos explicó de qué manera afrontaban ellos la gestión de los cisnes negros. El método se basa en identificar los cisnes, difundir su conocimiento, y tenerlo siempre presente. Nuestro amigo nos contó que pidió a todo el personal del departamento que pusiera por escrito los cisnes negros de cada uno, esas preocupaciones que como un runrún constante permanecen en un segundo plano en las cabezas de cada uno y se manifiestan en las noches de insomnio.
De esa manera consiguieron recopilar dos docenas de cisnes negros. Los cisnes fueron documentados en una lista y circulados a todo el departamento con el fin de sacarlos a la luz, ya que conocer el problema es el primer paso para poder gestionarlo. Desde entonces, cada vez que se realiza una modificación en los sistemas de la instalación, o se afronta un nuevo proyecto, se tienen en cuenta los cisnes identificados y se incluyen acciones orientadas a mitigar sus efectos, combatirlos, y si es posible hacerlos desaparecer. El ejercicio se repite periódicamente, con el fin de actualizar la lista eliminando los cisnes que ya no son negros e incorporando otros nuevos. La iniciativa, pese a su sencillez ha sido un éxito y ha logrado que todo el equipo sea consciente de peligros que afectan a sus sistemas y que de otra manera serían desconocidos.

La complejidad creciente de los sistemas de información, y la convergencia entre el mundo físico y el virtual hacen necesario que los cisnes negros en los sistemas de control industrial sean tenidos en cuenta. Esta es una manera de comenzar a gestionarlos.

lunes, 25 de noviembre de 2013

IACS Workforce Development: An internal framework and external certification (Auke Huistra, ERNCIP)

In a video message specially recorded for the thematic area IACS and Smart grids of the ERNCIP (European Reference Network for Critical Infrastructure Protection) program and TNO, European Commission Vice President Neelie Kroes stated:

“ICT and the Internet are essential to our economic growth. But people won't use what they don’t trust. The more we rely on networks, the more we rely on them to be secure. This calls for two things in particular.
First, our digital networks and systems are secure, resilient and trustworthy. That is the aim of the European Cyber Security Strategy which we launched in February.
Second, we need our people to have digital skills. There is a great demand for those skills, but the market is lagging behind. That is why I set up the Grand coalition for Digital Jobs. This multi-stakeholder partnership will help us close the gap, cut unemployment and boost competitiveness.
Bringing these two together, I see a growing demand for cyber security skills. In the ICT sector in general, and for Industrial ICT in particular. Especially to ensure critical infrastructures like energy, water and transport keep running.
That’s why I support this framework for developing the workforce in Industrial IT Security. It will form a solid base, not just for companies involved in critical infrastructure, but also for their suppliers and the government, helping them train and certify the skilled people that we need to safeguard our digital economy.”
Recent incidents have shown that Industrial Control Systems can be vulnerable to cyber attacks, which may lead to disruptions of physical systems and networks. An integrated approach covering People, Process and Technology is needed.
  1. Technology: Secure components and systems: hardware and software.
  2. Process: Certification of organisations and suppliers according to ISO-standards.
  3. People: Change basic behaviours of all the people that have interaction with the IACS and develop a skilled and well trained IACS Security Workforce to develop and sustain the level of IACS Security needed to keep operation safe, secure and resilient.

People

The human aspect of securing IACS should be one of the top priorities to safeguard our critical infrastructures. A joint approach is needed here between asset owners, vendors, contractors, researchers and governments, since only a strong supply chain will make the difference. We need managers on all levels setting the stage and taking the lead. They need to appoint well-trained people with the operational responsibility for industrial cyber security issues on sites and projects. 

If we look at the workforce accountable and responsible for security in the IACS domain we need to differentiate in several groups from workplace to the executive management:
  1. The people who work in industrial environments and interact with the industrial and automation control systems and networks. They need to now what to do and also what not to do. For this group, therefore, the focus will be on Behaviours.  
  2. Professionals with specific roles in industrial cyber security. They need a rigorous training programme that focuses on Aptitude. There should be no question as to whether they possess the knowledge, the proficiency and the right set of skills, associated with their job roles. These industrial cyber security professionals need a hybrid set of skills and experience in ICT, Cyber Security and Engineering, as well as a sound knowledge of industry, company and professional standards.
  3. People in all management positions, up to the highest levels. They are accountable for keeping the risk As Low As Reasonably Possible and need to understand potential impact of cyber security related incidents on the safety, security and reliability of the operations. 

Industry wide certification 

The focus of the TG on IACS and Smart Grids has been on defining the competences, qualifications and experience needed by the group of Industrial Cyber Security Professionals. The ERNCIP TG has created a high-level profile for these professionals, describing the hybrid skill-set needed, the competencies as well as the proficiency levels on these competencies. This has been the basis for a worldwide industry consortium to create a open body of knowledge describing the hybrid skill-set that industrial cyber security professionals need.  An industry certification called Global Industrial Cyber Security Professional (GICSP) has been built on top of this Body of Knowledge and has been released in November 2013 by GIAC (Global Information Assurance Certification). 

The GICSP is the newest certification in the GIAC family and focuses on the foundational knowledge of securing critical infrastructure assets. The GICSP bridges together IT, engineering and cyber security to achieve security for industrial control systems from design through retirement. This vendor-neutral, practitioner focused industrial control system certification is a collaborative effort between GIAC and representatives from a global industry consortium involving organizations that design, deploy, operate and/or maintain industrial automation and control system infrastructure. GICSP will assess a base level of knowledge and understanding across a diverse set of professionals who engineer or support control systems and share responsibility for the security of these environments. The GICSP certification is an important step in getting recognition of this specific field of expertise and grow a pool of professionals that can fill in the IACS security positions in critical infrastructures and beyond. Foreseeable is that new, more specific certifications, will be build on top of this foundational GICSP certification. Multiple training providers from across the world and also in Europe have created training programs to prepare these professionals for this certification.

Implementation

Companies that adopt the IACS Security Workforce Development Framework have to take certain steps to implement it in their own specific business environment. First of all they have to map the hybrid skill-set on their own internal Competence Management System. When the relevant competences are identified, a job competence profile (JCP) can be built describing the expected proficiency levels on all of these competences per job group level. This is needed to create a career path in the company in the IACS security domain. 

This job competence profile is the basis for further steps and implementation in the businesses. Based on the JCP a set of follow up activities can be done:
  • Creation of an in- and external training and certification curriculum
  • Creation of IACS Security related job descriptions
  • Mapping of the job positions to the JCP
  • Assessment and development of the existing workforce (companies’ own staff and contractors)
  • Development of a hiring and sourcing strategy for IACS Security related positions together with internal HR and procurement as well with external sourcing companies. 
  • Implementation in the business
    • Create for every business unit an IACS Security Workforce Development Policy Document describing
      • IACS Security Strategy
      • Governance model
      • Roles & Responsibilities
      • Organizational Chart
      • Job Positions
      • JCP Mapping
    • Assess people
    • Do a gap-analysis
    • Create individual development plans
    • Create an training plan on the level of the organizational entity
    • Repeat and Audit this cycle every year

Recommendations

I recommend every organization to follow the high-level implementation path described above and embrace the industry certification to create a baseline for the knowledge that IACS Security professionals should have before they enter this field. Especially companies in the critical infrastructures should develop a IACS Security Workforce Development policy in which they describe the governance, the roles & responsibilities, the job positions and the way the company develops and sustains the professional expertise of their IACS Security Community of Practice, internally as well as externally. In this policy document the companies should describe how their hiring and sourcing strategy looks like. 

It is time to take IACS Security seriously and start developing your workforce.

Auke Huistra (aukehuistra@suver.org) 
Project manager National Roadmap to Secure Process Control Systems and
Lead Workforce Development Thematic Group IACS and Smart Grids ERNCIP (Joint Research Center project)

miércoles, 13 de noviembre de 2013

ISA Automation Week at Nashville, Tennessee, USA: “Safety, the other face of the industrial cyber security coin” (Ayman AL-Issa)

“Safety, People, Business, and Technology in the world of automation, they are all connected”, this was the logo for the automation week 2013 held at Nashville, Tennessee, USA.  The conference covered several tracks that addressed the challenges that the world is facing to improve and revolutionize in the IACS “industrial automation and control systems” arena.

Industrial network cyber security was one of the main tracks and topics that was discussed during the conference, and took a lot of importance as it was transparently clear that industrial cyber security is moving very slow compared to the increase and sophistication of industrial cyber threats.  This was clear in the speech of Major General Robert Wheeler, Deputy Chief Information Officer C4 & IIC where he referred to that as ‘Speed of Change’, without which our nation would not be able to stay ahead.

Industrial cyber security is not only seen today as a concern on a virus spread or malfunction of a system, but it is the means to protect human lives, environments and the critical infrastructures themselves.  It is indeed true that cyber security in the industrial network is an inherent part of safety in these environments.

There is no doubt that industrial security measures are always behind the emerging cyber risks, and the bad guys are still and will continue to be ahead, so knowing about what is happening in the industrial network is an essential part of securing such network and systems.

Eric Knapp of Wurldtech and North America Chief Technical Advisor in CCI, one of the world top experts in the industrial cyber security and the author of the two books “Industrial Network Security” and “Applied Cyber Security and the Smart Grid” said in his interesting presentation about “If your network was under attack today, would you be able to till?” that providing visibility into industrial control systems is an important approach towards securing these control systems.  He also mentioned that these networks get hacked once the developers start modifying these control systems to fit their environment.  I do put my hand with Eric and I emphasize that it shall be clear to everyone in this field that these networks are not ideal - as many think - due to the major changes that are done to these networks at  the implementation phases and when integrating automation systems DCS, ESD, F&G and many other utilities with each other.

Industrial cyber security expert Eric Byers who received ISA award and was officially recognized for his “leadership in developing numerous innovations, industry standards, and best practices in industrial cyber security” talked about the importance of segmenting the industrial networks by industrial security systems and how that would help in protecting these networks and narrowing the spread of infections to smaller parts of the plants rather than having larger parts of the plants affected by such infections.  Eric also mentioned that Air gaps do not exist at any system that needs any kind of update during the lifetime of the industrial control system, and little of these systems need no updates.

I emphasized in the conference on the need for industrial cyber security by design and the need for adopting and implementing an industrial defense-in-depth model to protect the modern industrial systems.  Doing this at the design phase is much easier and less complicated that doing it as a make up at the end of implementing the IACS.

I also discussed the importance of thinking about “how the plant cyber security solution can be implemented/supported/operated during the plant long-life span “20 to 30 years or more”.  For that it is apparently important to realize that the only way for enabling this support is to have long-term partnerships between the automation and cyber security vendors to reduce the chances of system conflicts and to have an “automation/cyber security” joint-testing environment for the cyber security updates prior to releasing them by cyber security vendors.  Plant floor is never the right place for testing the continuous cyber security updates.

Lots of very interesting presentations were delivered during the conference days, and many exiting cyber security discussion took place.  It was an admirable gathering of the industrial cyber security gurus in a step to bring industrial cyber security forward.

It worth mentioning that another ISA conference will be held on December this year at Dammam, Saudia Arabia trusting that these conferences will shed more light on the importance of development, improvement, and security within the industrial automation and control systems.

Ayman AL-Issa
Digital Oil Fields Cyber Security Advisor
ADMA OPCO

miércoles, 30 de octubre de 2013

Top 20 Critical Controls for ICS: a practical approach to cybersecurity in your operations. (Kim Legelis, Industrial Defender)

Last October, the Industrial Cybersecurity Center (Centro de Ciberseguridad Industrial, CCI) hosted a 2 day Congress on Industrial Cybersecurity. The attendees were a 60/40 mix of IT and OT staffers from a broad range of industries including oil & gas companies, utilities, system integrators, and industrial systems manufacturers.

With the escalating threat landscape and US ICS-CERT reporting an increase in security incidents, these organizations are investing in building expertise and programs to combat the situation. After being focused on this issue for over a decade here at Industrial Defender, this conference promoted and increased knowledge and information exchange, which is a practical step in the right direction for protecting critical infrastructure.

Representing Industrial Defender, I conducted a presentation on the Top 20 Critical Controls applied to the unique requirements of industrial control systems. The Top 20 approach was created to give organizations a set of basic controls to establish sound cyber security programs.  When one looks at applying these to the operational technology (OT) environments that frequently control elements of critical infrastructure, there are adjustments and considerations needed to ensure that they can safely be applied to OT.

We also distributed a guide: The SANS Top 20 Critical Controls for ICS. It was a big hit. Here’s a link to download or send to a colleague.

domingo, 27 de octubre de 2013

Un buen ejemplo de cómo el ecosistema del CCI se relaciona y difunde la Ciberseguridad Industrial. C3R (Colaboración, Coordinación y Compromiso en las relaciones)


El pasado 10 de octubre asistí al Iberia Fortinet Conference 2013, lugar de encuentro de 400 clientes y partners de Fortinet, patrocinador de nuestro centro y que amablemente nos invitó . Allí estuvieron un buen número de miembros del CCI y tuve la oportunidad de intercambiar interesantes apreciaciones con muchos de ellos. También pude asistir a una de las presentaciones que llevaba por título “Seguridad en Entornos Industriales”, el ponente fue Jose Luis Laguna, buen amigo y un profesional convencido de la importancia que tiene para la sociedad proteger estos entornos tan críticos, pero tan accesibles hoy en día. Creo que muchos nos quedamos helados y muy preocupados cuando mostró como estaba accediendo desde internet al sistema de control del quirófano de un hospital en España.





En este evento se presentó también el caso real de una organización industrial, fue a cargo de Rafael Hernández, actual CISO de Cepsa, organización que es miembro del Centro de Ciberseguridad Industrial, donde además de explicar como han abordado la seguridad en las sedes internacionales, en la consolidación del CPD y su nuevo proyecto de seguridad web, habló de la seguridad en los entornos industriales, de la necesidad de segmentación, de las dificultades de un entorno muy propietario. También comentó que el rendimiento, los costes ajustados y la gestión centralizada global de la tecnología Fortinet fueron las principales características para abordar este proyecto con ellos. 


Me gustaría destacar también que hace ya unos meses otro de nuestros patrocinadores nos pidió que le presentásemos a Fortinet y ellos accedieron sin dudarlo. Desde aquella reunión se han establecido algunos lazos de compromiso y colaboración. A su vez desde Fortinet nos han puesto en contacto con varias organizaciones interesadas en la Ciberseguridad Industrial. 


Es precisamente este un buen ejemplo de C3R (Colaboración, Coordinación y Compromiso de Relaciones) donde la suma de esfuerzos como este, está consiguiendo mejorar la Ciberseguridad industrial en Iberoamérica, y una prueba de ello lo tenemos en nuestros últimos boletines, cada vez publicamos más noticias, documentos y eventos en español que hablan de Ciberseguridad Industrial, un gran mérito de todo el ecosistema del CCI.

sábado, 26 de octubre de 2013

We need to talk industrial security: impressions from the 1st Ibero-American Industrial Security Congress (Slava Borilin, Kaspersky)

Talking to colleagues and potential clients during major cybersecurity events always pays back. Especially, if your field of expertise is Critical Infrastructure Protection. This particular part of the global cybersecurity efforts is still in its infancy, and that what makes communication even more important. Luckily, this September I had a chance to discuss industrial security with a number of devoted professionals, during the 1st Ibero-American Industrial Cybersecurity congress.

The event was set at Madrid, splendid as usual, warm and beautiful. A handful of presentations showed the wide range of views on how critically important infrastructure has to be secured. Some of them were directly on the topic, but a certain number looked totally unrelated, though. The general impression is that people working on Industrial Cybersecurity are very smart and courageous. The problem is that we need even more people from different sides of the story to go further.

According to Gartner, the number of “potential hackers” will increase tenfold in the next couple of years. Investment in cybersecurity educational efforts are solid, which is good, but some people might join the forces of “the dark side”. And this means that today’s limited scope of attacks on industrial objects may increase as well.

This is the challenge. What would be the answer? Well, as I said before, action is required from cybersecurity vendors (developing new protection solutions tailored for critical infrastructure, and Kaspersky Lab does exactly that) as well as owners of industrial systems and even government.

The congress showed a good example of a visionary customer. SABIC is already heading into the right direction, not only securing their ICS, but also developing security-in-mind requirements for suppliers, which is great. Such “individual” requirements have to be converted into “typical” and eventually end up as “industrial security baseline”. Such scenario would benefit the entire industry.

To get closer to a new standard, industrial automation and security societies need to come to the common vocabulary of security terms asap. From visionary adopters environment we will move to the mass market, when people are using a reasonable set of security controls just because "everyone in my industry is talking about these things and using them, so I have too".

Oh, what a bright future. But there is a problem. Almost all current standards (industrial, such as NERC CIP, and international like ISA99/62443, or internal company standards) are focused on "having procedures and set of controls onboard", i.e. represent the compliance-based approach.

But, frankly, compliance is not security. It would be much better to embrace the strategy based on real threats. “Does a certain infrastructure with this and that protection systems withstand a common list of known and potential attacks?”. In this case of realistic testing, customers will have a real understanding of how efficient their protection is. Not in case of a simple compliance checklist.

Pitching this idea to customers and government bodies alike is still a challenge. Unfortunately, inclination to “comply” rather that “protect” brings to life a very bad, but typical scenario, such as this:


  • IT department purchases the antivirus for the production plant, either because it was required by compliance, or because IT strongly wishes to secure ICS at the plant. Malware outbreaks had to be dealt with, already.
  • But IT has no control over actual tools used in the plant, as this domain is owned by engineers.
  • Result: engineers grudgingly install an anti-virus, but all options are switched off. It’s just an icon in the tray, and it was never updated for the last 2,5 years.


As you can see, on the customer side, there are three key groups of people involved in industrial cyber security.

  • CEO. The main problem on this level is to understand how Cybersecurity spending relates to Revenues;
  • General IT or IT security managers. Involved in purchasing decisions, but frequently have no power over the critical infrastructure. 
  • Engineers. For them the seamless operation of the infrastructure is the top priority. Hence, they might be afraid of possible consequences of deploying a new security solution much more than of cyber attacks.


The key to industrial security success is to address all issues for these three groups and provide them with a common "business continuity" language, instead of an ITsec jargon that we have now. All involved parties need to understand each other’s needs and the security (not compliance!) requirements.

To conclude my impressions from the Madrid congress, I hope that the following events will be more interactive. Communication between customers, vendors and government officials is always a benefit. It is essential for people to talk, argue and think together, not just listen to each other.

And many thanks for Samuel Linares @The Industrial Cybersecurity Center (CCI) for putting his event all together in a warm fashion.

martes, 15 de octubre de 2013

¿Por dónde empezar a capacitarse en Ciberseguridad Industrial?



Es una pregunta que cualquier profesional que espere capacitarse en Ciberseguridad Industrial, sea responsable de planta, técnico de automatización, ingeniero industrial, consultor de seguridad TIC o cualquier otro perfil equivalente, se plantea.


Los propietarios y gestores de los sistemas de control industrial tienen gran experiencia en el establecimiento y desarrollo de medidas de seguridad física, medio ambiental y de prevención laboral, lo que, indudablemente, ha salvado muchas vidas y protegido a las instalaciones industriales de ataques físicos. Sin embargo, desde un punto de vista lógico, la gran mayoría de los sistemas de control industriales que controlan la operación son vulnerables. Hoy en día los ataques no requieren presencia física en las instalaciones.


A la hora de empezar, lo más importante es adquirir un conocimiento que proporcione una visión global que permita conocer la situación actual, identificar y entender los conceptos existentes tras la ciberseguridad industrial y la protección de infraestructuras industriales, sus relaciones, y comprender los riesgos asociados y su impacto en el negocio. Pero también es fundamental capacitarse a través de las


experiencias vividas por otros profesionales y relacionarse con los actores, asistiendo a eventos, seminarios y talleres.


Cada día existen más organizaciones públicas y privadas en España que incluyen dentro de sus actividades acciones para la concienciación y formación en Ciberseguridad Industrial. INTECO, ISA España, TECNALIA, LOGITEK, S21Sec y CCI son los principales ejemplos.


En el Centro de Ciberseguridad industrial el próximo18 de noviembre celebramos en Madrid una nueva edición del curso “Ciberseguridad Industrial y Protección de Infraestructuras Críticas”.


Puedes obtener el artículo completo de cómo empezar a capacitarse en Ciberseguridad Industrial en la Revista Automática e Instrumentación

lunes, 14 de octubre de 2013

ICS Security isn't just a local issue, It is truly a global matter (Patrick Miller)

I recently had the pleasure of participating in the first Ibero-American Industrial Cybersecurity Congress held by the Center for Industrial Cybersecurity (Centro de Ciberseguridad Industrial, CCI). For it's very first year, I can honestly say it far exceeded my expectations. The event was very well organized, well attended by a very diverse array of countries, companies and skillets - and well worth the time. The latin-speaking world is clearly engaged in industrial control system cybersecurity.

The event was preceded by a set of useful 4-hour workshops. This duration is just the right amount of time to explore each subject in depth. During the Congress, blocks of presentation content were followed by panels from the previous presenters. This was a great approach and I felt it really tied the thoughts together. But most importantly, CCI allowed for lengthy networking breaks between the sessions. Everyone was engaged in great conversations and I could hear the sharing of ideas and new connections being made at each table. The true benefit of non-profit "grass-roots" organizations like CCI (www.cci-es.org), EnergySec (www.energysec.org), NorSIS (www.norsis.no) and others is the relationships formed with peers during the event - which are then magnified through the aggregation under a non-profit umbrella or a public-private partnership. It is all about information sharing. Sharing doesn't happen without trust. Trust doesn't happen without relationships. Organizations like CCI create an environment where sharing can prosper through their independence and non-profit nature. What started as a conversation at the Congress will continue across languages, across industries and across continents.


ICS Security isn't just a local issue. It is truly a global matter. We all buy our products and services from vendors that may or may not be in our native country. Nonetheless, we all buy the same gear from the same software and hardware Vendors. The services are provided by someone who is "local" to your company, but many of our service providers are also global. In short, the shift from proprietary platforms to off-the-shelf solutions means the ICS world is getting smaller. This comes with pros and cons, but one of the benefits is that we can begin to use a common lexicon and share security concepts, architectures and approaches more easily. Sharing under the protection and fostering environment of a non-profit such as CCI for the latin-speaking professionals will generate a wave of security progress.

Patrick Miller
Founder & President Emeritus, EnergySec
Partner and Managing Principal, The Anfield Group 



Nuevas firmas invitadas en el Blog del CCI

Desde el nacimiento del Centro y con él, este Blog, hemos sido Nacho Paredes, José Valiente y yo mismo quienes hemos ido alimentando sus contenidos, escribiendo sobre distintos temas de interés, actualidad y algún que otro agradecimiento para el ecosistema de la Ciberseguridad Industrial.

Sin embargo desde su creación, teníamos en mente abrir la participación en el mismo a otros profesionales de la comunidad que quisiesen compartir sus experiencias, conocimientos y reflexiones con todos nosotros y, tras la actividad frenética que supuso la organización del Primer Congreso Iberoamericano de Ciberseguridad Industrial, ha llegado el momento de recibir y publicar esas primeras aportaciones.

Durante las próximas semanas iremos publicando distintas entradas de autores tan reconocidos como Patrick Miller, Auke Huistra, Kim Legelis, Ayman Al-Issa o Eric Knapp, entre otros.

Por supuesto, este espacio está abierto a la participación de todos vosotros, profesionales activos en el ámbito de la Ciberseguridad Industrial. Si estáis interesados, hacednos llegar vuestras contribuciones al info [@] cci-es . org.

Para la primera contribución al Blog tenemos el honor de poder contar con Patrick Miller, Fundador y Presidente Emérito de EnergySec, una organización bastante parecida al CCI y que surgió en Estados Unidos ya hace unos años. Muchas gracias Patrick!

lunes, 7 de octubre de 2013

Continuamos Liderando desde el Ejemplo

Gracias. Gracias es sin ninguna duda, la primera palabra que quiero utilizar en este post. Gracias a todos vosotros, patrocinadores, miembros, colaboradores, amigos y asistentes al Primer Congreso Iberoamericano de Ciberseguridad Industrial, porque sois vosotros la principal causa de que el evento que clausurábamos hace apenas unas horas, haya sido el evento más completo sobre Ciberseguridad Industrial al que he asistido, como así también me lo han transmitido algunos de los ponentes internacionales como Patrick Miller, Omar Sherin, Doug Wylie, Auke Huistra o Andrew Ginter, entre otros.

Es la primera vez a nivel mundial que se han presentado, además por sus propios autores, las perspectivas e iniciativas de la Ciberseguridad Industrial en los distintos continentes. También hemos visto un cambio muy positivo en los fabricantes industriales, mostrándose abiertamente a colaborar, exponiendo sus aproximaciones y discutiendo en torno a una mesa redonda aspectos claves para el avance de esta disciplina que nos ocupa.

Pero sobre todo, lo que más hemos visto durante los dos días del congreso es colaboración, coordinación y compromiso. Asistentes, ponentes, patrocinadores, colaboradores y medios entablando conversaciones interesantísimas, intercambiando conocimiento y experiencias, conociendo nuevas tecnologías y comenzado en muchas ocasiones caminos hacia proyectos conjuntos.

Estamos en el buen camino. El ecosistema está fortaleciéndose, la red de contactos creciendo, la seguridad y confianza mutua fraguándose, los equipos de conocimiento activándose y todos estamos aprendiendo los unos de los otros.

La iniciativa el CCi está trascendiendo las fronteras hispanohablantes y su repercusión, y por tanto las oportunidades de colaboración, aprendizaje e intercambio de conocimiento, incrementándose exponencialmente.

Ahora mismo me encuentro en Abu Dhabi actuando como chairman en la Middle East Oil & Gas IT Week y presentando nuestra iniciativa como un caso de éxito de las relaciones basadas en la colaboración, coordinación y compromiso, además de impartir un workshop sobre la materia. En un par de semanas, estaremos en Génova en la Community Protection Expo haciendo lo propio. Después tendremos una oportunidad única de presentar en la conferencia Meridian y en las jornadas de ciberseguridad organizadas por la Organización de Estados Americanos (OEA), que este año se celebra en Buenos Aires, para a continuación continuar acercando el CCI  en el Oil & Gas Cybersecurity Summit a finales de Noviembre en Londres. Ya tenemos compromisos para el Africa Security & Defense Summit en Febrero del año que viene o en el evento que el Gobierno de Qatar organizará en Marzo con esta temática.

Esta es solo una muestra del impacto y repercusión que lo que todos vosotros (y nosotros) estáis/amos haciendo está teniendo en distintas partes del mundo. En esta línea, y como adelantamos en el Congreso, en breve publicaremos una gran noticia incorporando a la iniciativa como Chief Technical Advisors a dos líderes mundiales en la Ciberseguridad Industrial en sus respectivas regiones que estoy seguro que no dejará indiferente a nadie.

Y si empezaba este texto con la palabra gracias, no puedo dejar de terminarlo con otra que todos os merecéis: ¡Enhorabuena!. Enhorabuena por todos esos avances y por estar haciendo historia, una historia que todos vosotros estáis escribiendo y que a buen seguro, tiene un final feliz: la mejora de la Ciberseguridad Industrial con los máximos beneficios para todos.

¡Gracias y Enhorabuena, Amigos/as!

jueves, 5 de septiembre de 2013

Primer Congreso Iberoamericano de Ciberseguridad Industrial

Ya falta menos para conseguir otro de los hitos que nos habíamos planteado en la creación del CCI: organizar un congreso dedicado por completo a la Ciberseguridad Industrial de altísimo nivel y que sea referente a nivel internacional.

Como sabéis, son varios los años que llevo viajando por distintos países y participando en eventos en Estados Unidos, Oriente Medio, Latinoamérica y por supuesto Europa, y la ausencia habitual de colegas hispanohablantes siempre hizo que me plantease la necesidad de “cambiar las tornas” y de forma decidida, por primera vez, establecer un evento iberoamericano como principal referencia internacional en la Ciberseguridad Industrial.

Por ello, y aunque el esfuerzo en recursos (económicos y humanos) es enorme, nos hemos decidido a organizar en nuestros primeros meses de vida el Primer Congreso Iberoamericano de Ciberseguridad Industrial que finalmente tendrá lugar los próximos 2 y 3 de Octubre en Madrid (España) acompañado de talleres pre y post-congreso los días 1 y 4 de Octubre. Es la primera vez que en un evento de este estilo se presentará la situación de la Ciberseguridad Industrial en todo el mundo con ponentes del más alto nivel de los distintos continentes (la primera mañana), y que los grandes fabricantes industriales expondrán sus percepciones y discutirán en una mesa redonda su situación (la primera tarde), además de revisar distintos casos de éxito y aproximaciones, incluyendo incluso alguna prueba de concepto sobre sistemas industriales (el segundo día).

Algo así no ha ocurrido hasta ahora en ningún país de Iberoamérica, por lo que es un momento inigualable para asistir a este evento (quién sabe si dentro de unos años no podremos decir: “yo estuve en aquel primer congreso…” ;)).

Toda la información, así como el formulario de registro está disponible en www.cci-es.org/congreso

Espero tener la oportunidad de celebrar contigo el éxito de la iniciativa en la cena que organizaremos el día 2 de Octubre. Como siempre, su éxito será gracias a todo el ecosistema del Centro que enriquece, alimenta y soporta todas las actividades. Gracias adelantadas a patrocinadores, miembros, colaboradores y amigos. Sin vosotros, sabéis que esto no es posible.

Por cierto, ya estamos trabajando en las ediciones de 2014. Sí, ediciones, porque tenemos planificado organizar uno en un país de Latinoamérica (probablemente en Junio) y otro de nuevo en España en Octubre. Vayan preparándose!! ;)



martes, 6 de agosto de 2013

La privacidad en la Smart Grid

Uno de los grandes retos que actualmente está afrontando la industria europea es la transición de las actuales infraestructuras de distribución eléctrica a las modernas redes inteligentes conocidas como Smart Grid. Este paso es vital para lograr los objetivos 20-20-20 que la Unión Europea ha establecido que deben alcanzarse en el año 2020:

  • Un incremento del 20% en la eficiencia energética.
  • Una reducción del 20% en las emisiones de CO2.
  • Un 20% de uso de energías renovables.

El componente fundamental de esta infraestructura son los medidores inteligentes (Smart Meters), que proporcionan a la Smart Grid la capacidad de recoger y comunicar información sobre la utilización de energía que hacen los consumidores. De hecho, la Smart Grid, ha aumentado hasta niveles que hace unos años eran impensables la cantidad de datos que pueden ser recolectados y monitorizados. Con esta información, las compañías eléctricas pueden lograr una distribución de electricidad más eficiente, proporcionar una mayor calidad de la energía y ofrecer a los usuarios finales mayor número de opciones en cuanto a cómo, cuándo y cuánta electricidad consumir.

Sin embargo, esto que evidentemente es algo de enorme valor para las compañías que gestionan la producción y distribución de la energía, plantea serios problemas relacionados con la privacidad de los individuos.
Dos conceptos fundamentales dentro de la privacidad son:

  • La privacidad de la Información personal que abarca la información relativa al individuo que puede permitir su identificación de manera directa o indirecta. Incluyendo no sólo la identidad del individuo, sino factores físicos, psicológicos, mentales, económicos, culturales o sociales.
  • La privacidad de la conducta: El derecho del individuo a tomar sus propias decisiones sobre qué hacer y reservarse el compartirlo con otros.

Estos dos conceptos están muy relacionados con las nuevas capacidades introducidas por la Smart Grid, ya que a partir de la información proporcionada sobre la energía consumida en los hogares, es posible determinar patrones de comportamiento sobre los individuos que en ellos viven e identificar qué dispositivos eléctricos utilizan en su vida cotidiana. De esta forma, se puede obtener una imagen muy precisa de las actividades que se llevan a cabo en cada nodo de la Smart Grid.

Perfil del consumo electrico en un hogar.

Esta información que la compañía eléctrica requiere para gestionar de la manera más eficiente posible la generación y distribución de energía puede ser de enorme interés para otras actividades como estudios de mercado y organizaciones ajenas al mercado energético como las fuerzas del orden que podrían aprovechar los datos proporcionados por la Smart Grid para realizar labores de vigilancia en tiempo real sobre los habitantes de los hogares conectados.

Casos como el de Kyllo contra los Estados Unidos en el que el gobierno utilizó métodos indirectos basados en medidas energéticas, para desarrollar un caso judicial contra un cultivador de marihuana han puesto de manifiesto el poder que puede suponer el acceso a la información proporcionada por la Smart Grid.

Además, las capacidades tanto de recopilación de información como de su interpretación sólo pueden ir a más, a medida que las técnicas de análisis se desarrollen y las Smart Grid alcancen mayor cobertura, por tanto, mantener la privacidad de los consumidores a la vez que se utilizan las innovadoras tecnologías del Smart Grid supone un reto que debe ser abordado desde distintos frentes que van desde el técnico hasta el legal y normativo.

Ahora es el momento en que debemos comenzar a trabajar para lograr que una tecnología que proporciona evidentes ventajas sea utilizada correctamente, realizando análisis de impacto a la privacidad previos a la instalación de la Smart Grid, desarrollando políticas y prácticas para proteger la privacidad, compartiendo información con otros operadores de la Smart Grid acerca de las soluciones a los riesgos sobre privacidad, y, sobre todo, proporcionando formación y concienciación a todos los involucrados en la operación de la Smart Grid.


Este post está basado en información contenida en los documentos:
Smart Metering & Privacy: Existing law and competing policies. Elias Leake (2009)
NISTIR 7628 Guidelines for Smart Grid Cyber Security:Vol. 2, Privacy and the Smart Grid. NIST (2010)



lunes, 15 de julio de 2013

SMART GRID vs INTERNET. La historia se repetirá.



Internet  tuvo su primera conexión en 1969, tres años después fue desarrollado el servicio de e-Mail, y ese mismo año apareció el primer virus llamado Creeper, un programa autoreplicante que solo pretendía comprobar si se podía crear una aplicación que se distribuyera  entre ordenadores, equivalente al programa Internet Census del año pasado, programa de investigación para comprobar si era posible crear un mapa de sistemas expuestos en internet. En 1973, se desarrollo la primera versión del moderno TCP, un sistema de protocolos de interconexión para ARPAnet, La red de computadoras Advanced Research Projects Agency Network del departamento de defensa de Estados Unidos,  el cual fue revisado y documentado formalmente en el RFC 675, especificación del programa de control de transmisión de Internet en diciembre de 1974. Es sorprendente que las normas de funcionamiento de la red de comunicación más importante, hoy en día, este basada en un sistema de “peticiones de comentario”. 10 años después, se creo el sistema de nombres de dominio, después vinieron las comunidades, la guerra de protocolos, el Chat,  y por fin en 1989 la propuesta de la World Wide Web y con ella el primer proveedor de acceso a internet. Tuvieron que pasar nueve años para la aparición en 1998 de GOOGLE y el resto ya lo conoces.

¿Qué ha supuesto internet? Una gran revolución, un mundo de posibilidades de comunicación, de interacción y de negocio, imprescindible para el funcionamiento de nuestra sociedad y economía actual. Ha supuesto un gran cambio en el campo de las telecomunicaciones en cuanto a innovación y tecnología para soportar la creciente demanda,  ¿Imaginas que sucedería si internet dejase de funcionar solo un día?. También Internet ha supuesto incrementar el nivel de exposición de sistemas críticos y de información sensible, pudiendo afectar a su disponibilidad, integridad o confidencialidad.


Smart Grid, apareció por primera vez como termino en septiembre de 2005 en la revista IEEE power & energy, donde se hablaba de herramientas, tecnología, computación de campo, control, y comunicación  para permitir que las redes de energía sean capaces de autorregularse. A principios de 2009 en los despliegues de Smart Grid en Estados Unidos se detectaron problemas de Ciberseguridad, el análisis de un contador inteligente que utilizaba radio frecuencia permitió a los atacantes identificar el procedimiento de actualización de los dispositivos desde el sistema centralizado de gestión, y propagar un virus de tipo gusano a más de 22.000 dispositivos. En 2010 el NIST (National Institute of Standards and Technology) publica una arquitectura para la interoperabilidad de Smart Grid bastante extendida, es la NIST SP 1108.
Aunque ya han pasado varios años todavía no hay una definición de Smart Grid totalmente aceptada, pero de forma básica se puede decir que son las redes eléctricas que integrarán de manera inteligente el comportamiento y las acciones de todos los actores conectados a ellas (quienes generan electricidad, quienes las distribuyen, quienes la consumen) para proporcionar un suministro de electricidad seguro, económico y sostenible.  Deberíamos preguntarnos donde estamos y donde deberíamos estar. La evolución está siendo lenta por varios motivos, el principal de ellos, según declaran algunos expertos, es la falta de una regulación y estándares que favorezcan la integración, coordinación e interoperabilidad de todos los actores y sus sistemas logrando “una internet de la energía” (comunicaciones bidireccionales, flujo multidireccional de la energía y completamente automatizada y controlada), otro motivo importante es la fuerte inversión necesaria, pero quizás el más importante sea el cambio tan significativo que supondrá para un negocio que lleva más de medio siglo operando de la misma forma y en un solo sentido con infraestructuras y sistemas muy antiguos.  A día de hoy existen tres soluciones de interoperabilidad en Europa, PRIME, impulsada por iBERDROLA y EDP, la solución G3 impulsada por EDF y la solución Meters and More propuesta por Enel y Endesa. Existen protocolos de comunicación como IEC61850, IEC60870, IEC61970, IEC61968  y otros. También múltiples iniciativas (pilotos) como SmartCity de Malaga proyecto liderado por Endesa, Proyecto STAR Castellón, iniciado por IBERDROLA, proyecto ENERGOS financiado por CENIT y liderado por Unión Fenosa, Programa GAD, PRIME, OPEN METER, FENIX, y otros tantos,  algunas regulaciones como RD 1110/2007, ORDEN ITC/3860/2007, las leyes 54/1997 y 17/2007, Reales Decretos 2819/1998, 222/2008 y 325/2008.

Actualmente, a pesar de todos los proyectos, iniciativas, protocolos y regulaciones solo existe conexión, pero no integración. La generación distribuida está conectada, pero no integrada. Los contadores inteligentes, un 25% están en su mayoría solo conectados y aún no integrados. Falta el despliegue masivo de comunicación bidireccional, falta la telegestión, la gestión activa de la demanda y su automatización que pasará por la convergencia entre la red eléctrica y las telecomunicaciones. En este ambiente es complicado abordar iniciativas de Ciberseguridad en Smart Grid, quizás la que mayor reconocimiento tiene a día de hoy es la Guía NISTIR 7628 definida sobre la arquitectura NIST SP 1108.

¿Qué supondrá Smart Grid? Una gran revolución industrial, un mundo de posibilidades de generación, distribución y consumo de energía , de interacción y de negocio, imprescindible para el funcionamiento de nuestra sociedad y economía actual. Supondrá un gran cambio en el campo de las telecomunicaciones en cuanto a innovación y tecnología para soportar la creciente demanda de servicios,  ¿Imaginas que sucedería si la red eléctrica dejase de funcionar solo un día?. También supondrá incrementar el nivel de exposición de sistemas críticos y de información sensible, pudiendo afectar a su disponibilidad, integridad o confidencialidad. Pero como ha ocurrido con Internet, nos faltan entre 15 y 20 años para disponer de una “internet de la energía” y algo mas para una “internet de las cosas”. Esperemos haber aprendido que la seguridad debe ser un requisito más del diseño y que debe ser parte de una estrategia intrínseca de Smart Grid.


viernes, 28 de junio de 2013

Y el murmullo se convirtió en Voz

Hacía tiempo que veníamos anunciando nuestro primer evento "La Voz de la Industria" que finalmente celebramos el pasado 20 de Junio y en el que aprovecharíamos para presentar el Centro.

Lo único que podemos decir en este momento es GRACIAS. Gracias a los más de 120 asistentes que estuvieron presentes y a otros tantos que nos transmitieron su deseo de haberlo estado. Gracias a todos ellos por confiar en nuestra iniciativa para que el murmullo que venía sonando en los últimos años sobre Ciberseguridad Industrial se esté convirtiendo ya en una voz fuerte y potente que transmita lo que todo nuestro ecosistema quiera decir.


El evento, que llenó completamente el Salón de actos de Técnicas Reunidas, ha sido calificado como un punto de encuentro para la Ciberseguridad Industrial y ha contado por primera vez con la representación de todos los actores, como se puede ver en la distribución de asistentes siguiente:
El evento comenzó con  la presentación oficial del Centro de Ciberseguridad Industrial, que intenté hacer de una forma "distinta" y cercana para los asistentes. Con el título "Sólo no puedes, con amigos sí", en la presentación intenté comparar el reto de la iniciativa del Centro con el reto de la selección española de baloncesto de las olimpiadas de 1984, donde la distancia del baloncesto español comparado con EEUU era enorme, como es ahora la distancia de la Ciberseguridad Industrial. Aproveché para exponer cómo después de tres meses de actividad, los logros del Centro y todos sus miembros certifican el buen camino que llevamos para reducir esa distancia: durante los tres primeros meses de actividad, el centro cuenta ya con más de 200 miembros, 23 patrocinadores, presencia en 15 países y el apoyo de instituciones públicas como CNPIC e INTECO y múltiples asociaciones nacionales e internacionales como PESI, ISA, ISACA e ISSA entre otras.
Presentamos también el Mapa de Ruta de la Ciberseguridad Industrial en España (2013-2018) en el que han participado los principales actores de la Industria con más de 300 aportaciones, proporcionando a este documento una representatividad de todos los actores de la industria. El Mapa de Ruta de la Ciberseguridad Industrial estará disponible públicamente para su descarga el próximo 1 de julio en nuestra web: www.cci-es.org
A continuación  CNPIC e INTECO dieron su visión de la Colaboración Público-Privada, como mecanismo fundamental para mejorar la Ciberseguridad Industrial en España. Miguel Angel Abad, Jefe de Servicio de Seguridad TIC del CNPIC indicó que "Es fundamental integrar todos los aspectos de la seguridad", también dijo que "La colaboración público-privada y el enlace con las fuerzas de seguridad del estado son otros de los fundamentos del CNPIC". Se destacó que los Ministerios de Industria e Interior están trabajando para afrontar las problemáticas de la Smart Grid. También Miguel Ángel Abad calificó al "CCI como aglutinador de la información y los actores de la Ciberseguridad Industrial". Se destacó por parte de Marcos Gómez, Subdirector de Operaciones de INTECO, que "los objetivos de INTECO y CNPIC son la lucha contra los ciberdelitos, proteger las infraestructuras críticas y la difusión, concienciación y capacitación". Marcos Gómez presentó la labor del CERT de Infraestructuras Críticas como  respuesta a incidentes y dejó claro que un CERT no presta servicios de monitorización o seguridad gestionada. Su labor principal es de coordinación con otros CERTs y respuesta temprana y seguimiento de incidentes, notificando a los operadores  de amenazas en su entorno.
Tecnalia presentó los desafíos de la Ciberseguridad en Smart Grid. Arkaitz Gamino, investigador de ciberseguridad, comenzó su presentación destacando que Smart Grid es eficiencia y sostenibilidad, siendo la inclusión de la ciberseguridad dentro de la certificación un factor clave. También durante la presentación se puso de manifiesto la necesidad de privacidad en los datos recogidos por los contadores inteligentes (smart meters). Se presentaron los requisitos de seguridad de media tensión y de baja tensión. Se presentaron las características y posibilidades del laboratorio de Smart Grid propiedad de Tecnalia: en Europa solo hay dos de estas características para poder realizar tests de Ciberseguridad de componentes tecnológicos, arquitecturas,..etc. En este mismo laboratorio se celebrarán los días 12 y 13 de noviembre el primer curso de Ciberseguridad en Smart Grid, en el que además también colaboramos como parte activa.
José Pérez Diaz de Telefónica explicó cuales son Los Retos de los Proveedores de Servicios en Ciberseguridad Industrial. La presentación comenzó explicando que, de forma general, la Ciberseguridad es un reto de todos y debe existir un marco legal acorde a la realidad. Por otra parte, en particular los operadores de telecomunicaciones tienen en su poder una cantidad de datos ingentes que debe analizar, asociar e interpretar. Además deben comprender el riesgo de otros, con el fin de ofrecer a sus clientes información válida para proteger sus infraestructuras.
El perfil del profesional de seguridad ha cambiado, hoy en día los operadores deben contar con hackers, expertos en fraude online, criminólogos, community managers, analistas y expertos en entornos específicos.
Para terminar su exposición, José Perez indicó que el Centro de Ciberseguridad Industrial supondrá una inestimable ayuda para que la industria sepa qué es lo que hay que defender, ayude a influir en grupos supranacionales y permita a toda la industria seguir mejorando el estado de su Ciberseguridad.
La última presentación de la jornada estuvo a cargo de José Fidel Tomás de Juniper Networks, quien explicó la manera en que los fabricantes de seguridad TI afrontan los retos de la Ciberseguridad Industrial. José Fidel señaló que pese a las diferencias existentes entre los sistemas corporativos y los sistemas de control industrial, muchas de las problemáticas de la seguridad son comunes y por tanto los fabricantes de seguridad TI están capacitados para afrontarlas.
El evento concluyó con una mesa redonda en el que participaron Miguel Chavero (Iberdrola), Rafael Hernández (CEPSA), Iñaki Eguía (Tecnalia), Marcos Gómez (Inteco), Jesús Mérida (Técnicas Reunidas) y José Pérez (Telefónica). La mesa estuvo moderada por José Valiente, y en ella se debatió sobre distintos aspectos de la concienciación en Ciberseguridad Industrial.
Sin lugar a dudas, todo un éxito de representación, participación y respaldo a la iniciativa, como así todos nos lo habéis transmitido, en unos casos personalmente, y en otros a través de las encuestas de valoración donde habéis descrito la iniciativa como:
  • "Una iniciativa excelente que no ha de morir por falta de continuidad"
  • "Iniciativa valiente y motivadora para los interesados. Ayudará a activar conciencias"
  • "Hacía falta una iniciativa como esta para juntarnos todos los implicados en la solución final"
  • "Permitirá aunar las diferentes seguridades (física, lógica, industrial…)"
  • "Por fin un organismo independiente de intereses privados parciales"
  • "Iniciativa realmente necesaria. Espero que el Mapa de Ruta pueda ir cumpliéndose satisfactoriamente"
  • "¡Ya iba siendo hora!"
  • "El papel del CCI es fundamental como aglutinador de la información y los actores de la Ciberseguridad Industrial" (Miguel Ángel Abad, CNPIC)

De nuevo, ¡GRACIAS A TODOS/AS! Como sabéis este éxito es principalmente vuestro. ¡Vamos a por los siguientes!

Os dejo finalmente, con una pequeña entrevista que me hicieron en el evento en el que creo que se resume bastante bien el escenario de la iniciativa: