Blog del CCI

lunes, 25 de mayo de 2015

Fears, phantoms and secure design

Without solid [corporate] governance, the Industrial Internet will be doomed from the beginning”. We cannot agree more with this statement by The Langner Group, to whom nobody could label as theoretical  -remember Mr. Langer's active role in analyzing and disseminating the Stuxnet case-.  Because of that we are bringing it to you, today, within our weekly newsletter’s “Thoughts” section. Moreover, we would extend such statement, not only to the Industrial Internet, but to everything that relates to the guidance and control over the use of “all digital things” (computing, communications, …) within industrial operation and production.

Nonetheless, the clarity with which some of us see it contrasts with the usual perception of those who should see themselves as involved in first person: corporate directors within the Industrial Sector, who are actually accountable for whatever happens within their companies; particularly regarding operation/production and related technology. The reason for that could be found in those individuals’ lack of knowledge on technology itself; or, more exactly, in their fear to such lack of knowledge (fear to the unknown). Fear that could be mitigated by mean of the appropriate doses of communication and pedagogy.

But there are other “phantoms” that awe companies, too; those related to “what people say", with the deterioration of the brand, etc., after the realization of a cyber-attack.

However industrial organizations should be careful not only with cyber-attacks, as we remember periodically from this section. Unfortunately, a software configuration fault, not an attacker, seems to have been behind the A400M fatal crash occurred a few weeks ago in Seville (Spain). And some other type of computer problem has collapsed railways in Catalonia (Spain) just a few days ago. Remember that secure design, both hardware and software, can keep industrial operators and consumers away from troubles like these.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Miedos, fantasmas y diseño seguro

Sin un sólido gobierno [corporativo], la Internet Industrial estará condenada desde el principio”. No podemos estar más de acuerdo con esta afirmación de The Langner Group, a quien nadie osaría tildar de teórico  -recuerde el activo papel del Sr. Langner en el análisis y divulgación del caso Stuxnet-.  Por ese motivo se la acercamos, hoy, dentro de la sección “Reflexiones” de nuestro boletín semanal. Es más, nos atreveríamos a extenderla, aplicándola no sólo a la Internet Industrial, si no a todo cuanto tiene que ver con la orientación y el control que, dentro de las organizaciones, se han de ejercer sobre el uso de “lo digital” (informática, comunicaciones, …) en los ámbitos de la operación y la producción industrial.

No obstante, la claridad con la que algunos lo vemos contrasta con la habitual percepción que tienen quienes habrían de reconocerse como protagonistas directos: los consejeros-administradores del sector industrial, en los cuales recae la verdadera responsabilidad de rendir cuentas sobre todo cuanto acontezca en sus respectivas empresas; en particular, en lo relativo a la operación/producción y a las tecnologías subyacentes. La razón para ello podría buscarse en el desconocimiento que estos individuos tienen de la tecnología misma; o, más exactamente, en el miedo a ese desconocimiento (el miedo a lo desconocido). Un temor que puede atajarse mediante las oportunas dosis de comunicación y pedagogía.

Pero existen otros “fantasmas” que también atemorizan a las empresas; los que tienen que ver con “el qué dirán”, con el deterioro de la imagen de marca, etc., tras la materialización de un ciberataque.

Aunque no sólo de éstos han de cuidarse las organizaciones industriales, como solemos recordar periódicamente desde esta sección. Lamentablemente, un defecto del software  -de su configuración-,  y no un atacante, parece haber estado detrás del fatal accidente del A400M ocurrido hace unas semanas en Sevilla (España). Y algún otro tipo de problema informático ha colapsado la red ferroviaria catalana hace tan sólo unos días. Recuerde que un diseño seguro, tanto en software, como en hardware, puede mantener alejados de este tipo de disgustos a operadores y consumidores.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 18 de mayo de 2015

Complaints, the fifth element and origin of cyber incidents

Cyber security has started to crash … (particularly courts). The recent cyber attack campaigns  -substantial, both in number of reached targets and users affected-  have brought, to the corporate world, the disclosure of millions of data records of millions of customers. The sudden consequence has been the rise in demands, before courts, to the involved organizations. It has meant, above any other cause, the most effective wake-up call to boards of directors and their inhabitants.

The tough lessons that companies have been forced to learn in the past two years are coming to administrations, too. States and governments are showing now their acting skills on a new stage  -cyberspace-,  which technical feasibility could be threatened by the political coordinating structure to be imposed in the next few years. Vinton Cerf, Internet pioneer and main contributor, has warned recently against the perils of a hypothetical fragmentation of the Net.

In the absence of these risks materialize, today dangers are other: the element cyberspace brings a new context  -the fifth after earth, sea, air and space-  to confrontation. An asymmetric confrontation that is being performed on the only battleground where one-man armies fit. A circumstance that does not reduce their capability to put into risk any activity that reached the minimum degree of technological dependency. British railways, currently under digitization, are a great example. Future digitized Industry (4.0) will be even a better one.

Regarding cyber risks and the way they should be faced, The Boston Consulting Group give us its perspective. Nonetheless, it is convenient to claim that only 1 out of 3 cyber incidents come from a [cyber] attack. The remaining two thirds being due to user negligence (intentional or not) or information [respectively, operational] systems malfunction. They know it well at TARGET!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Demandas, el quinto elemento y origen de los ciberincidentes

La ciberseguridad ha comenzado a colarse … (sobre todo, en los juzgados). Las recientes campañas de ciberataques  -cuantiosas, tanto en número de objetivos alcanzados, cuanto de usuarios afectados-  han supuesto, particularmente en el mundo corporativo, la revelación de millones de datos, de similar número de clientes. La consecuencia inmediata ha sido la proliferación de demandas, ante los juzgados, a las organizaciones involucradas. Ello, por encima de cualquier otra causa, ha constituido la llamada de atención más eficaz para los consejos de administración y sus pobladores.

Las duras lecciones que se han visto obligadas a aprender las empresas en los dos últimos años, llegan también a las administraciones. Estados y gobiernos muestran, ahora, sus dotes interpretativas sobre un nuevo escenario  -el ciberespacio-,  cuya viabilidad técnica dependerá de la estructura de coordinación política que aquellos le apliquen en los próximos años. Vinton Cerf, uno de los mayores, y primeros, contribuyentes a “la cosa”, ha advertido recientemente sobre los peligros de una hipotética fragmentación.

A falta de que se materialicen dichos riesgos, hoy los peligros son otros: el elemento ciberespacio ofrece un nuevo contexto  -el quinto tras la tierra, el mar, el aire y el espacio-  para la confrontación. Una confrontación asimétrica, que se desarrolla en el único campo de batalla donde tienen cabida ejércitos de un solo hombre. Circunstancia ésta que no les resta capacidad de poner en riesgo cuanta actividad alcance un mínimo grado de dependencia tecnológica. Los ferrocarriles británicos, en pleno proceso de digitalización, son un buen ejemplo de ello. La Industria digitalizada (4.0) que está por llegar, lo será aún más.

Sobre los ciberriesgos y la forma de abordarlos nos ofrece su perspectiva la firma de servicios profesionales The Boston Consulting Group. No obstante, conviene reivindicar que sólo uno de cada tres ciberincidentes tiene su origen en un [ciber]ataque. Las dos terceras partes restantes tienen como punto de ignición la negligencia (voluntaria, o no) de los usuarios, o el mal funcionamiento de los sistemas de información [respectivamente, de operación]. ¡Bien lo saben en TARGET!

Profundice, en estos y otros temas, en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 11 de mayo de 2015

Psycho-sociological factors, generational shift and new cyber threats

Technology alone does not deliver us from evil; but it helps. Convinced of it, today we are bringing to you the first edition of the CCI’s catalogue of Industrial Cyber security solutions and services, within which you will find a complete offering by the main vendors present at “The CCI Ecosystem”.

Giving trust only to technology factors means to obviate the socio-technical nature of Technology itself and of its related risks. A recent meeting CCI was attending in Brussels (Belgium) served to evidence the interest that psycho-sociological factors raised among cyber professionals  -at least, among attendants to that meeting, a number of them sociologists-.  Even cinematographic fiction realizes it! Considering the human component will be key as part of its cyber preparedness process to every organization. Therefore, it is admirable to see a fistful of Atlanta (GA, USA)-based executives taking part in a cyber exercise session.

Though, when it comes to improving executives awareness, there would be no better occasion to do it than during their education (at least, as the effect of generational shift, of which some of us are firmly convinced, does not yield its fruit). Business schools have been for long time the place where future business leaders’ accountability on technology matters has been more clearly posed. The immediateness of cyber threats to the corporate world makes such academic initiatives, now more than ever, highly convenient.

But not only is the corporate world being affected. Forecasts for 2015 pointed out Healthcare industry as the new niche of interest for cyber criminals: the growing value of data within medical records as well as the development of the Healthcare Internet of Things  -i.e., surgeon robots and other medical equipment-  are contributing greatly to it. HASEN keeps insisting us on some country-backed threats as the ones from cyber-strengthened Iran. And, finally, algorithmic cyber attacks are coming to join this new threat stream.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Factores psico-sociológicos, salto generacional y nuevas ciberamenazas

La tecnología por sí sola no nos libra del mal; pero ayuda. Convencidos de ello, hoy le acercamos la primera edición del catálogoCCI de soluciones y servicios de Ciberseguridad Industrial, en el que encontrará una completa oferta generada por los principales proveedores presentes en “El Ecosistema CCI”.

Confiar únicamente en el factor tecnológico supone obviar la naturaleza socio-técnica de la tecnología misma y de sus riesgos asociados. Un reciente encuentro, celebrado en Bruselas (Bélgica), en el que CCI estuvo presente, sirvió para evidenciar el interés que los factores psico-sociológicos suscitan entre los profesionales del sector  -al menos, entre los participantes en aquella ocasión, algunos de ellos sociólogos-. ¡Hasta la ficción cinematográfica repara en ello! Considerar el componente humano resultará clave como parte del proceso de “ciberpreparación” de toda organización. Es, por ello, admirable observar a un puñado de directivos de Atlanta (GA, EEUU) tomar parte en una sesión de ciberejercicios.

Aunque, si de sensibilizar directivos se trata, qué mejor ocasión para hacerlo que el momento de su formación (al menos, mientras el efecto del salto generacional, del que algunos somos firmes convencidos, no dé su fruto). Las escuelas de negocio han sido durante largo tiempo el lugar donde más nítidamente se han puesto de relieve las responsabilidades que, en materia tecnológica, tendrán los directivos del futuro. La inmediatez de la amenaza “ciber” para el mundo corporativo hace altamente convenientes, ahora más que nunca, esas iniciativas académicas.

Pero no sólo el mundo corporativo se está viendo afectado. Las previsiones para este año 2015 señalaban al Sector Sanitario como el nuevo nicho de interés para los ciberdelincuentes: el creciente valor de los datos recogidos en los historiales médicos y el desarrollo de la Internet de las Cosas Sanitaria  -robots cirujanos y otros equipamientos-  están contribuyendo en gran medida a ello. Desde HASEN siguen recordándonos algunas amenazas-país como las procedentes de la ciberfortalecida Irán. A todo ello vienen a sumarse los ciberataques algorítmicos como parte de la nueva corriente de amenazas.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 4 de mayo de 2015

Priorities, lessons learned and due guidance

While those in charge of industrial production sites still keep focusing on their traditional concerns related to costs, premises obsolescence and, of course, production data itself, the bad guys  -and, probably, girls-  within “cyber” keep showing their skills and capabilities for aggression. Turkish industry leaders, authorities and citizens have recently learned it. The strike, coming from Iran  -the new and growing Western hemisphere (and surroundings) cyber threat-,  arrived on March, 31st, in the form of a nationwide outage that shock them all (computers, lifts, traffic lights, airports, hospitals, …, everything) for twelve hours. Because of these and other issues, our friends from HASEN  -the Istanbul (Turkey)-based reference think tank in the Caspian region-  have started issuing recommendations on that subject.

Luckier they were at Chattanooga (TN, USA), where EPB’s “smart” power grid automatically restored in seconds, after being hit by a summer storm in 2012. Remember that not all cyber incidents come from hacking! Therefore, do manage your Operational Technology firmly and effectively. Failure in meeting such premise will doom inevitably your Industry 4.0 (and above).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Prioridades, lecciones aprendidas y debida orientación

Cuando quienes están al frente de los centros de producción industrial aún siguen centrándose en sus tradicionales preocupaciones relativas a costes, obsolescencia de las instalaciones y, naturalmente, la propia producción, los hombres  -y, probablemente, mujeres-  malos del ámbito “ciber” continúan mostrando su habilidad y capacidades para la agresión. Directivos del ramo, autoridades y ciudadanos turcos lo han aprendido recientemente. El golpe, procedente de Irán  -la nueva y creciente ciberamenaza para Occidente y sus alrededores-,  les llegó el 31 de marzo en forma de un apagón de alcance nacional que los tuvo paralizados (ordenadores, ascensores, semáforos, aeropuertos, hospitales, etc., todo) durante doce horas. Tal vez por eso, nuestros amigos de HASEN  -“think tank” de referencia para la región del Caspio, con sede en Estambul (Turquía)-, han comenzado a emitir recomendaciones al respecto.

Más afortunados fueron los habitantes de Chattanooga (TN, EEUU), cuya red de suministro eléctrico, “inteligente”, se recuperó automáticamente en cuestión de segundos, tras sufrir una caída como consecuencia de una tormenta de verano en 2012. ¡Recuerde que no todos los incidentes “ciber” son obra de atacantes! Cuídese, por tanto, de dirigir sus Tecnologías de Operación ordenada y eficazmente. Incumplir esta premisa condenará irremediablemente a su Industria 4.0 (y siguientes).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!