Blog del CCI

lunes, 24 de octubre de 2016

From the Internet OF Things (IoT) towards Things OFF Internet (ToI)

Never before, IoT  -IIoT, given our interests-  had deserved a sort of monograph within this newsletter. Last Friday’s events seem to support such statement. The attack over Dyn, Inc. and its effect on the Internet infrastructure laying on the US East Coast (and other areas of the country) demonstrated several things ...

Firstly, something that we have been defending from this and other tribunes for some time: “Technification”  -at least, a bad solved one-  does no other thing than weakening you.
Secondly,  “IoT is a complete disaster!”. I am quoting Silent Circle’s Phil Zimmermann whom we have the pleasure to hear during his speech at INCIBE’s “10th ENISE” held in Leon (Spain) last week.

And in third place, the discussion held on the same ENISE’s stage between CCI’s José Valiente and Cellnex Telecom’s Pablo Oliete  -in fact a very interesting one-  was to some point premonitory. Unfortunately [or  -let’s be positive-  fortunately, should we consider learned lessons from the events] real-life has showed us that one  -IoT vendors and other enthusiasts-  should adopt, not only some pre-cautions, but a more moderated approach when it comes to weight time-to-market versus security from the earliest stages of the product life-cycle.

That aspect of building and deploying connected things should be an important part of IoT cybersecurity economics. Hackers, that are investing their best efforts in “improving” tools like Mirai are, for sure, aware of the economic benefits of doing so.

***

The interesting chronicle by The New York Times’s David E. Sanger and Nicole Perlroth on the Dyn case states that, apparently surprisingly, the US election system is not part of the country’s critical infrastructure “map”. This could lead us to think “No, right, but why National Monuments are?”.

***

But I would not want to leave you concerned for this issues. Think that beyond the transition from IoT (Internet OF Things) towards ToI (Things OFF Internet), there is sill room for making things (particularly “connected” things) right. For sure, it will bring us a myriad of benefits. So, definitely, don’t be afraid to explore all this set of new technologies.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

De la Internet de las Cosas CONECTADAS a las Cosas DESCONECTAN Internet

Nunca antes, la "Internet de las Cosas"  -la "Internet Industrial de las Cosas", dados los intereses de este "Boletín"-  había merecido una suerte de monografía, como hoy. El ataque sobre la compañía Dyn, Inc. y sus efectos sobre la Internet que recorre la costa este de los EEUU (y otras zonas del país) ha demostrado varias cosas ...

En primer lugar, algo sobre lo que hemos venido insistiendo, desde esta y otras tribunas, durante tiempo: la tecnificación  -al menos, la deficientemente resuelta-  no hace sino debilitarte.

En segundo, "¡La 'Internet de las Cosas' es un completo desastre!". Estoy citando a Phil Zimmermann, de Silent Circle, a quien tuvimos el placer de escuchar la pasada semana en León (España), durante la celebracíón de la X edición del encuentro ENISE, organizado por INCIBE.

Y en tercer lugar, la discusión que sobre el mismo escenario de ENISE mantuvieron José Valiente, de CCI, y Pablo Oliete, de Cellnex Telecom  -de hecho, un debate muy interesante-  ha resultado, en cierta medida, premonitoria. Desafortunadamente [o  -seamos positivos-  afortunadamente, si tenemos en cuenta las lecciones aprendidas de esos hechos] la vida real nos ha mostrado que uno  -los fabricantes de objetos para la "Internet de las Cosas" y otros entusiastas-  debería adoptar, no sólo algunas precauciones, sino un enfoque más moderado cuando se trata de ponderar la rapidez con la que sus productos llegan al mercado, frente al hecho de garantizar su seguridad desde las etapas más tempranas del ciclo de vida de dichos productos.

Ese aspecto de construir y desplegar cosas conectadas debería ser una parte importante de la economía de la ciberseguirdad de la "Internet de las Cosas". Los delincuentes, que invierten sus mayores esfuerzos en "mejorar" herramientas como Mirai, son, con total seguridad, conscientes de los beneficios económicos de obrar así.

***

La interesante crónica que nos ofrecen desde "The New York Times" los periodistas David E. Sanger y Nicole Perlroth sobre el "caso Dyn" incluye la afirmación de que, aparentemente de forma sorprendente, el sistema electoral de los EEUU no forma parte del "mapa" de infraestructuras críticas de ese país. Esto podría llevarnos a pensar “No, en efecto; pero, ¿por qué los Monumentos Nacionales si lo hacen?”.


***


No obstante, no quisiera dejarle preocupado por estos temas. Piense que, más allá de la transición de la "IoT" (Internet de las Cosas CONECTADAS) a las "ToI" (las Cosas DESCONECTAN Internet), todavía hay hueco para hacer las cosas (en especial las "conectadas") de forma correcta. Sin duda, ello aportará enormes beneficios. Por tanto, definitivamente, no tema explorar todo ese conjunto de nuevas tecnologías.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 17 de octubre de 2016

Real-life lessons, lack of transparency and root-causes

Boards of Directors have been worth this newsletter’s attention for almost the last two years. Given that beyond exotic technical aspects any kind of cyber issue impacting an organization has (or could have) consequences for the organization itself or for any of its stakeholders, no one better than the Board to become ultimate accountable for cyber. The BoD’s role in oversighting the organization’s overall performance and its function as ownership’s proxy makes it the perfect candidate to start learning the lessons that real-life cyber teaches.

A great majority of American (and abroad) Boards learned their first cyber lesson in 2013, thanks to TARGET. The retailer’s cyber breach affecting more than 100M of its customers served as a trigger for directors to start feeling the “new” menace. A growing number of Boards in the American stage started, since then, to ask for advice on digital and, particularly, on cyber stuff.

It is the effect of fear. And it is obvious that it runs as the perfect driver to improve awareness. But beyond fear, it is also true that there are a series of additional drivers that favor positive steps like promoting continuous compliance, engaging new cyber-savvy directors, etc. Among those drivers are regulation bodies, rating agencies, insurers, and last but not least the ultimate search for resilience. (Lights off means no threats, but it means no business, too).

While companies struggle for surviving in the cyber threaten (and threating) space, sovereign states are holding their particular, and most of the time silent, cyberwar. A kind of war in which technification does not necessarily means that you are stronger, but weaker (dependable); and in which, like it happens in conventional warfare, diplomacy or containment not always help (especially, when you fight against not so diplomatic enemies).
Anyway, as we usually insist on, information sharing among your allies (corporate, state-sponsored or both) is more and more a must. So it seems to derive from initiatives like US Cybersecurity Information Sharing Act of 2015. The only doubt it poses to me is why, most of the times, transparency ends when cyberattacks (or similar) information reaches the Government’s agencies?

Finally, be aware that the unstoppable invasion of IACS by IT is at the core of our economies’ cyber weakness and are the root-cause of most of our cyber problems. (And yes, of course, it is a key driver for our future opportunities, too!).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Lecciones de la vida real, falta de transparencia y causas-raíz

Los consejos de administración han merecido la atención de este "Boletín" desde, al menos, casi dos años. Dado que más allá de los exóticos aspectos ténicos cualquier tipo de ciberproblema que impacte sobre una organización tiene (o podría tener) consecuencias para la propia organización o para cualquiera de sus grupos de interés, nadie mejor que el consejo para hacerse responsable último de "lo cíber". El papel de los consejos de administración como órganos supervisores del comportamiento general de las organizaciones y su función como garantes de los intereses de la propiedad los convierte en candidatos perfectos para comenzar a aprender las lecciones que enseña "lo cíber" en la vida real.

Una gran mayoría de consejos de administración estadounidenses (y de otras geografías) aprendieron su primera lección en 2013, gracias a TARGET. La brecha de seguridad que sufrió la cadena de grandes almacenes y que afectó a más de cien millones de sus clientes sirvió como revulsivo para que los consejeros comenzasen a sentir la "nueva" amenaza. Un creciente número de consejos de la escena estadounidense empezaron, desde entonces, a solicitar consejo sobre lo digital y, particularmente, sobre los asuntos "cíber".

Es el efecto del miedo. Y se hace obvio que ese miedo funciona de forma excelente para remover conciencias. Pero, más allá del miedo, también es cierto que hay una serie de palancas adicionales que favorece pasos positivos [en los consejos] como la promoción de una conformidad normativa continua, como la incorporación de consejeros con un bagaje "cíber", etc. Entre dichas palancas están los organismo reguladores, las agencias de calificación, las aseguridoras y, en último lugar, pero no por ello menos relevante, la búsqueda, en última instancia, de la resiliencia. (Sin no hay negocio, ya no habrá amenazas, ni miedo a las mismas; pero tampoco habrá beneficios, ni nuevas oportunidades).

Mientras las empresas se esfuerzan por sobrevivir en el amenazado (y amenazador) ciberespacio, los estados soberanos también mantienen su particular, y en muchos de los casos silenciosa, ciberguerra. Un tipo de confrontación en la que la tecnificación no significa necesariamente que seas más fuerte, sino todo lo contrario (tecnológicamente dependiente y, consecuentemente, más "ciber" débil); y en la que, como sucede con la guerra convencional, la diplomacia y la prudencia no siempre ayudan (particularmente, si luchas contra enemigos que hagan gala de una menor diplomacia).

En cualquier caso, como solemos decir desde esta tribuna, la compartición de información entre aliados (ya sea a nivel corporativo o gubernamental) es, cada vez más, una obligación. Es lo que parece desprenderse de iniciativas como la Ley de 2015 sobre Compartición de Información de Ciberseguridad, de los EEUU. La única duda que me surge es ¿por qué, la mayoría de las veces, la transparencia se agota cuando la información sobre ciberataques (o otra similar) alcanza los estamentos de la Administración?

Para concluir, sea consciente de que la imparable invasion que la Informática está llevando a cabo sobre las tecnologías de control industrial está en la base de la ciberdebilidad de nuestras economías y en una de las causas de la mayoría de nuestros cíberproblemas. (¡Por supuesto, también es la palanca de nuestras futuras oportunidades!).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 10 de octubre de 2016

Booz, Allen, Hamilton and other illustrious names

The fact that the same company has had two of its employees stealing US Government’s classified information in a three-year period does not mean other thing that it is a company very well connected with, and probably deeply involved in, such Government’s programs and/or operations. I mean that all this does prove nothing, but that data theft arises just where it is able to. Because of this, it is not strange that the name of consultancy firm Booz Allen Hamilton, a defense and intelligence contractor, has been twice in the headlines  -for this kind of issues-,  since the 2013 case of Edward Snowden.

In fact, just twenty days before Oliver Stone’s “Snowden” world premiere, scheduled for September, 15th, a couple dozens of FBI agents stormed a house at Glen Burnie, Maryland (USA), where they found thousands of documents  -both, hardcopy and digital-  marked someway with the NSA seal.  It was Harold T. Martin III’s home, a former agency’s contractor with BAH!

It is not clear what Mr. Martin’s intentions were with respect to the stolen documents: just to hoard them?; or maybe to pass them all to anybody else?; etc. The only certain things are that Mr. Martin, apart from being in the headlines, has been fired from BAH; and that this latter, along with the US Government itself, have fallen in a very bad reputational situation: How, after Snowden, have things kept the same (i.e., insecure) both at the cybersecurity consultancy and at its cyber over-budgeted client?

***

Use this example and other principles to explain your Board how dangerous any insider threat could become. And, of course, do not forget to tell them how vulnerable their IACS still are, how technology (Bluetooth) as well as social (Facebook or the like) threats could impact their organization.

And, last but not least, understand (and make them understand) that implications, as well as benefits and risks of smart manufacturing go far beyond deploying new, or improving existing, technical solutions.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Booz, Allen, Hamilton y otros nombres ilustres

El hecho de que una misma empresa haya tenido a dos de sus empleados robando información clasificada del Gobierno de los EEUU en un período de tres años no significa más que se trata de una empresa muy bien conectada, y probablemente profundamente implicada, con los programas y/u operaciones de dicho Gobierno. Quiero decir que todo ello no prueba más que el robo de información se produce en aquellos lugares donde resulta más factible. Por ello, no es de extrañar que el nombre de la firma de consultoría Booz Allen Hamilton, un empresa americana contratista en las áreas de defensa y de inteligencia, haya aparecido dos veces en los titulares  -por este tipo de asuntos-  desde que saltase a la luz el caso de Snowden en 2013.

De hecho, apenas veinte días antes del estreno mundial de la película "Snowden" del director Oliver Stone, programado para el 15 de septiembre, un par de docenas de agentes del FBI asaltaron una casa en Glen Burnie, Maryland (EEUU), donde encontraron miles de documentos  -tanto en papel, como en formato digital-  marcados con el sello de la NSA. ¡Se trataba del domicilio de Harold T. Martin III, un antiguo empleado de la agencia, a través de BAH!

No quedan claras cuáles han podido ser las intenciones del Sr. Martin con respeccto a los documentos robados: ¿símplemente coleccionarlos?; ¿o, tal vez, pasárselos a un tercero?; etc. Lo único cierto es que el Sr. Martin, aparte de salir en los periódicos,  ha sido despedido de BAH; y que esta última, junto a la propia Administración estadounidense, han sufrido un duro golpe en su reputación: ¿Cómo, tras el caso Snowden, han seguido igual las cosas (es decir, inseguras) tanto en la consultora expecializada en ciberseguridad, como en su cliente, una Administración con un presupuesto astronómico dedicado a la ciberprotección?

***

Haga uso de este caso y de otros principios para explicar a su consejo de administración cuán peligrosas pueden resultar las amenazas interiores. Y, por supuesto, no olvide decirles lo vulnerables que siguen siendo sus sistemas de control industrial, y cómo pueden impactar en la organización las amenazas, tanto técnicas (Bluetooth) como sociales (Facebook o similares).

Por último, aunque no menos relevante, comprenda (y haga que ellos también entiendan) que las implicaciones (incluidos los beneficios y los riesgos) de la fabricación inteligente van mucho más allá del despliegue de nuevas, o la modernización de viejas, soluciones tecnológicas.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 3 de octubre de 2016

Names, Peace and other terms

Two stories have drawn our attention these days. More specifically, two names associated to those two stories. For sure, you are pretty familiar with one of them: Yahoo! Inc.; while, very probably, the other will say you nothing: Coburn.

***

Let’s start with Yahoo! It and its president & CEO, Marissa Mayer, had been in the headlines during the last weeks/months. No, not because of the hack! Let’s talk about the hack in a second. They were in the headlines because of the deal with the American telco Verizon, which, on July, 23rd, decided to pay $4,8 Bn for the former. And yes, then came the hack story.

Just a week and a half ago, on September, 22nd, Yahoo itself released a note to its users notifying that “A recent investigation by Yahoo! Inc. (NASDAQ:YHOO) has confirmed that a copy of certain user account information was stolen from the company’s network …”. The issue had started on August, 1st (one week after the Verizon deal), when a guy, nicknamed “Peace”, was detected selling hundreds of millions of Yahoo users’ credentials in the Dark Web.

In the same note of 9/22, Yahoo recognized that “information associated with at least 500 million user accounts was stolen” which made it the biggest data breach in History. (BTW, now it is being said that the number of stolen records could be in the order of the billion).

But the worst thing of the story was that Yahoo also recognized that the data had been “stolen from the company’s network in late 2014”. Almost two years earlier!

All this poses some questions as: “Was there an attempt to disturb the Yahoo-Verizon deal, or was the economic interest the only motivation for the hack?” ("Peace" sold 200 million records by only 3 Bitcoins  -i.e., $1,800-). Moreover, “what about the fact that Yahoo disclosed the leak two years after it happened?”. "Could it be seen as a case of unethical behavior in an attempt, by Yahoo, of preventing any damage on its deal?

***

Regarding ethics, Gordon Coburn is our second name today. It has been a while since our last reference to beheaded Presidents/CEOs. This week the terms “president”, “technology” and “resigned” have merged around Mr. Coburn, the company he was head of until now  -Cognizant Technology Solutions-  and bad corporate decisions. This time not due to a digital glitch or hack, but to bad  -i.e., unethical-  labor practices.

***

While corporate behavior gets the ethical lane again, let us continue exploring how to approach digital forensics in an industrial automation environment  -the CCI way-  (an exercise  -forensics-  that could result of benefit for Yahoo, right now-); let us revisit other cyber milestones as relevant as the Yahoo one, happened in recent years; let us try the new release of CSET; let us understand the perils of operating control systems in hazardous locations; and let us dive deeper into the Big Data sea that network monitoring opens before us.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Nombres propios, Paz y otros términos

Dos son las historias que han llamado nuestra atención en los últimos días. Más concretamente, dos nombres asociados a esas dos historias. Seguro que el primer de ellos les resulta muy familiar: Yahoo! Inc.; mientras que el otro, muy probablemente, no les dirá nada: Coburn.

***

¡Comencemos por Yahoo! Ella [la empresa] y su presidente y consejera delegada, Marissa Mayer, han sido portada durante las últimas semanas/meses. ¡No, no me refiero al ciberataque! Permítame un minuto, antes de hablar de eso. Han sido portada por el acuerdo con la telefónica estadounidense Verizon, la cual aprobó, el 23 de julio pasado, la compra de la primera por la suma de 4.300 millones de euros. Y sí, fue entonces cuando llegó la historia del ataque.

Justo hace semana y media, el 22 de septiembre, la propia Yahoo publicaba una nota de prensa, dirigida a sus usuarios, notificándoles que “Una reciente investigación realizada por Yahoo! Inc. (NASDAQ:YHOO) ha confirmado que una copia de cierta información relativa a las cuentas de usuario ha sido robada de la red de la empresa …”. El problema había comenzado el 1 de agosto (una semana después del acuerdo con Verizon), cuando se detectó que un individuo, apodado “Paz” (“Peace”, en el inglés original) estaba vendiendo cientos de millones de credenciales de usuarios de Yahoo en el mercado negro (la Internet Oscura).

En la misma nota del 22S, Yahoo reconocía que “ha sido robada información asociada con, al menos, 500 millones de cuentas de usuario”, lo que hacía del caso el mayor robo de datos de la Historia. (Por cierto, ahora se comienza a rumorear que el número, realmente, podría rondar el orden de los mil millones).

Pero lo peor de todo fue que Yahoo también reconoció que los datos habían sido “robados de la red de la empresa a finales de 2014”. ¡Hace casi dos años!

Todo esto provoca algunas preguntas como: “¿Hubo un intento de entorpecer el acuerdo Yahoo-Verizon, o no fue más que el interés económico lo que movió a los ladrones?” (“Paz” vendió 200 millones de registros por apenas 3 bitcoins  -unos 1.600 euros-). Es más, “¿qué hay del hecho de que Yahoo revelase el robo después de dos años?” “¿Podría verse el asunto como un caso de comportamiento poco ético, en un intento, por parte de Yahoo, de evitar dañar su acuerdo?”.

***

Hablando de ética, hoy Gordon Coburn es nuestro segundo nombre. Ha pasado un tiempo desde nuestra última alusión a consejeros delegados decapitados. Esta semana los términos “consejero delegado”, “tecnología” y “dimisión” han confluido, de nuevo, en torno al Sr. Coburn, a la empresa de la que hasta ahora era primer ejecutivo  -Cognizant Technology Solutions-  y a unas malas prácticas de gobierno corporativo. Esta vez no relacionada con un fallo digital ni con un ciberataque, sino con malas  -poco éticas-  prácticas laborales.

***

Mientras los comportamientos corporativos retoman la senda de la ética, continuemos explorando cómo abordar un análisis forense informático en un entorno industrial (un ejercicio  -el forense-  que convendría mucho en este momento a Yahoo); repasemos otros ciberhitos tan relevantes como el de Yahoo, ocurridos en los últimos años; probemos la nueva versión de CSET; comprendamos los peligros de operar sistemas de control en áreas peligrosas; y buceemos en el mar de los datos a lo grande que la supervisión de redes abre ante nosotros.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 26 de septiembre de 2016

Countries, absences and opportunities

We were advertising it for months (from this "Newsletter"). Finally, a few days ago we had the opportunity to attend the “1st European Cyber Security for Transport Sector Conference” held in Berlin (Germany) and organized by our friends of Prospero Events Group.

Several transportation subsectors were represented: road (including automakers) and railroad, maritime and aviation (mainly airports).

Also a good number of countries were present. Counting the speakers alone, there were delegates from the UK and France, which in fact co-chaired both conference’s sessions (day 1 and day 2); Germany and The Netherlands with four participants each; and Belgium represented by three talks/speakers. But where was Spain? The fact is that, not taking into account CCI’s participation, it was represented by one speaker (one from a transport operator) along with Sweden and Greece.

Moreover, where were Spain’s big transportation players in subsectors like the ones mentioned above: railroad, air traffic, etc.?

One of the key messages of the conference was the need for sharing information and experiences among sectors and subsectors. Everyone at the conference agreed with the idea that if you don’t share your information someone else will share it for you. Therefore, let’s start to take advantage of forums like the one Prospero provided. You all have a new opportunity at CCI’s “7th International Industrial Cybersecurity Congress” next week.

Meanwhile, know how other countries (and other companies from such countries) keep promoting their own cyber preparedness. Take a look at our news from France and Iran! Meet the last trends in ICS (i.e., PLCs and communication protocols) cybersecurity research. And keep diving in the transformation smart OT are bringing to the automation landscape.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Países, ausencias y oportunidades

Estuvimos anunciándolo durante meses (desde este "Boletín"). Finalmente, hace unos días tuvimos la oportunidad de asistir a la “I Conferencia Europea sobre Ciberseguridad en el Sector Transporte” celebrada en Berlín (Alemania) y organizada por nuestros amigos de Prospero Events Group.

Estuvieron representados diversos subsectores del sector transporte: el del transporte por carretera (incluido algún fabricante de automóviles) y el del ferrocarril; el marítimo y el aéreo (básicamente, el aeroportuario).

Un buen número de países también estuvieron presentes. Contando sólo a los ponentes, los hubo del Reino Unido y de Francia, quienes, de hecho, co-presidieron las dos sesiones de la conferencia (el día 1 y el día 2); Alemania y Holanda con cuatro participantes cada una; y Bélgica representada por tres charlas/ponentes. Pero, ¿dónde estuvo España? El hecho es que, sin tener en cuenta la participación de CCI, estuvo representadada, únicamente, por un ponente (uno procedente de un operador), como también ocurrió con Suecia y Grecia.

Es más, ¿dónde estuvieron los grandes actores españoles de subsectores como los mencionados: ferrocarril, tráfico aereo, etc.?

Uno de los mensajes clave de la conferencia fue la necesidad de compartir información y experiencias entre sectores y subsectores. Todos los asistentes coincidieron en la idea de que si tú no compartes tu información, alguien lo hará por ti. Por tanto, comencemos a aprovechar foros como el que ofreció Prospero. Tiene Ud. una nueva oportunidad en el “VII Congreso Intenacional de Ciberseguridad Industrial” que le acercará CCI la próxima semana.

Mientras tanto, conozca cómo siguen promoviendo su ciberpreparación otros países (y otras empresas de esos países) ¡Eche un vistazo a nuestras noticias sobre Francia e Irán! Conozca las últimas investigaciones en materia de ciberseguridad de SCI (por ejemplo, la relative a PLCs y a protocolos de comunicación). Y siga buceando en la transformación que las ‘smart OT’ están aportando a la automatización industrial.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 19 de septiembre de 2016

Premieres, elections and stumble twice on the same stone

On September, 8th, a series of news took place around us (I mean news of our interest). Some of them were actually banal, I confess, but there was room for some historic milestones, too.

That day, for the first time, CCI was present in Barcelona (Spain) to hold the 15th edition of its regular conference “The Voice of the Industry”. Interesting speakers and attendants, who had the opportunity to talk, hear and discuss jointly under the motto “Benefits of cybersecurity for the industrial enterprise” (name given to the whole session).

That day, Hotel H10 Casanova used for the first time the room hosting our event, after remodeling both materials and design (which made our staying much more comfortable, in deed).

And that day, once our session was closed, given the different time zone, the Obama Administration, via a blog co-authored and posted by its federal CIO, Tony Scott, disclosed the name of the largely announced first federal CISO: US Air Force Brigadier General (retired) Gregory J. Touhill, who will report to Scott from now on and who will drive cybersecurity across the US Government.

Preparing the federal agencies against a black swan cyberattack, taking care of US Government critical information infrastructures’ vulnerabilities and protecting the promise of the IoT in a smart connected administration will be part of Mr. Touhill’s agenda.

Nonetheless, this appointment could come with an inherent problem: tenure. How long will Mr. Touhill’s mandate last, in view of the upcoming US presidential elections in November? Maybe, because of this, Touhill’s political appointment has come hand-by-hand with the appointment of Grant Schneider as his deputy, in a more non-political/non-temporal role, some analysts have said.

We can’t say goodbye today without underlying a last important event we have been aware of in recent dates. History tends to repeat itself. The city of San Bruno, CA (USA), has been witness of a series of events like the ones lived in Bellingham, WA (USA) a decade ago. A pipeline owned and operated by Pacific Gas and Electric (PG&E) exploded  -like in the Olympics Pipeline Co. case- in 2010. Now a federal jury’s conclusions have just been known.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Estrenos, elecciones y tropezar dos veces con la misma piedra

El pasado 8 de septiembre, se produjeron una serie de novedades a nuestro alrededor (me refiero a novedades de nuestro interés). Algunas de ellas, he de confesar, que fueron absolutamente banales; pero también hubo hueco para algún que otro hito histórico.

Ese día, y por primera vez, CCI acudió a Barcelona (España) a celebrar la XV edición de su conferencia periódica “La Voz de la Industria”. Interesantes ponentes e interesantes asistentes, quienes [todos] tuvieron la oportunidad de hablar, oír y dialogar entre sí, bajo el lema “Beneficios de la ciberseguridad para la empresa industrial” (título elegido para la sesión).

Ese día, el Hotel H10 Casanova estrenaba el salón que acogió nuestro evento, tras una profunda remodelación, tanto en materiales, cuanto en diseño (lo que, de hecho, hizo nuestra estancia mucho más agradable).

Y ese día, una vez finalizada nuestra sesión, dada la diferencia horaria, la administración Obama, a través de un artículo firmado por su CIO federal, Tony Scott, desvelaba el nombre del largamente anunciado primer CISO federal: el General de Brigada (retirado) de las Fuerzas Aéreas de los EEUU Gregory J. Touhill, quien, a partir de ahora, se situará a las órdenes del propio Scott y quien dirigirá la ciberseguridad a lo largo y ancho de la administración estadounidense.

Preparar las agencias federales frente a cisnes negros cibernéticos, adoptar las medidas pertinentes frente a las vulnerabilidades en las infraestructuras de información críticas del gobierno federal y proteger la promesa de la IoT en una administración inteligente y conectada, formarán parte de la agenda del Sr. Touhill.

Sin embargo, este nombramiento podría adolecer de un problema congénito: la permanencia. ¿Cuánto tiempo permanecerá el Sr. Touhill en ese puesto, a la vista de las elecciones presidenciales de noviembre? Tal vez, por eso, el nombramiento politico del Sr. Touhill ha venido acompañado del de Grant Schneider como su segundo, un puesto menos político y menos temporal, han declarado algunos analistas.

Hoy no puedo despedirme sin subrayar un ultimo suceso importante, del que hemos tenido noticia en los últimos días. La Historia se repite. La ciudad de San Bruno (California, EEUU) ha sido testigo de una serie de hechos como los vividos en Bellingham (Washington, EEUU) y de los que ya hemos ido dando cuenta desde esta tribuna en diversas ocasiones. Una tubería propiedad de, y operada por, Pacific Gas and Electric (PG&E) explotó en 2010  -como ya ocurriera en el caso de la Olympics Pipeline Co. una década atrás-.  Ahora un jurado federal da a conocer sus conclusiones sobre el nuevo caso.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 12 de septiembre de 2016

Figures, time and competitiveness

Getting back to the figures from Cybersecurity Ventures we managed earlier this month, one could conclude that every impact-dollar would require 17 investment-cents; i. e., for the overall cyber impact of $6 Trillion, $1 Trillion cyber investment would be needed by 2021.

A recent report by IDC Research -the Framingham, MA (USA)-based market analysis firm-  predicts a global digital technology spending of some $2.7 trillion, for the same period. (Spending led by three sectors  -financial services, manufacturing and healthcare-,  all of them top players in the cyber game).

Should those figures were true, it would mean that, proportionally, an extraordinary 37%  -i.e., more than 1 in 3 dollars-  of the technology budget would be dedicated to security. Does this fit your numbers, too?

Anyway, it is difficult to advance how much of such investing endeavor will go to preventing measures and how much to corrective ones. The truth is that the earlier you consider security, the cheaper it will be. And, moreover, the earlier you invest, the deeper the results, too. So, let’s hope that a relevant amount of the figures above will be spent in the early stages of the cyber life-cycle; i.e., in minimizing software weakness (improving software quality), in increasing people’s awareness (strengthening passwords and counter-measuring phishing), and the like. For sure, your results will measure much better!

Last but not least, not all should be fear in the digital age. Benefits will necessarily surpass perils in the cyber landscape. Smart manufacturing comes unstoppable to optimize competitiveness.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Cifras, tiempos y competitividad

Volviendo a las cifras de Cybersecurity Ventures que manejábamos a principios de mes, uno podría concluir que cada euro de impacto require 17 céntimos de inversion; esto es, para contrarrestar un ciberimpacto global, esperado para 2021, de 5,3 billones de euros, serían necesarios 0,89 billones de euros de inversión.

Un reciente informe de IDC Research  -la firma de análisis con sede en Framingham, MA (EEUU)-  predice un gasto global en tecnologías digitales, para el mismo período, de unos 2,4 billones de euros. (Gasto a la cabeza del cual se sitúan tres sectores  -servicios financieros, fabricación industrial y sanidad-,  todos ellos destacados protagonistas en materia “cíber”).

Si dichas cifras fueran ciertas, significaría que, proporcionalmente, un extraordinario 37%  -esto es, más de uno de cada tres euros-  del presupuesto de tecnología estaría dedicado a la seguridad. ¿Coincide esto, también, con los números que Ud. maneja?

Sea como sea, resulta difícil avanzar cuánto de ese esfuerzo inversor se destinará a medidas preventivas y cuánto a medidas correctivas. La verdad es que cuanto antes contemple la seguridad, más barata le saldrá. Y, lo que es más, cuanto antes invierta [en seguridad], más profundos serán los resultados. Esperemos, por tanto, que una cantidad considerable de las cifras señaladas se gaste en las etapas más tempranas del ciclo de vida de lo “cíber”; es decir, en atajar las debilidades del software (mejorando su calidad), en acrecentar la conciencia de la gente (fortaleciendo sus contraseñas y contrarrestando su vulnerabilidad frente al “phishing”), etc. ¡Sin duda, podrá ver cómo la medida de sus resultados arroja unos valores mucho mejores!

En último lugar, pero no por ello menos importante, piense que no todo habrá de ser miedo en el panorama digital. Los beneficios superarán a los peligros. La fabricación inteligente llega imparable para ayudarle a fortalecer su competitividad. 

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 5 de septiembre de 2016

Corporate estimations and personal values

In an interview I gave last Spring to an international TV station, the interviewer  -whom I had the opportunity to talk to about the past, present and future of cybersecurity-,  asked me how much money there was behind the cybercrime curtain. “$2 trillion by 2019” was my answer, quoting a [then] recent report by Juniper Research. Few months have gone since, but currently such number has been notably surpassed: Cybersecurity Ventures reports today that the total cost of worldwide cybercrime will amount up to three times that figure, by 2021.

It seems a good argument to make people understand the relevance of cyber. Meanwhile, facts keep showing us that it is not the only risk, but one which few industrial shops are able to escape from.

Iranians know them well! I have said “… them …”; well, I mean they know well both: 1) the cost of cyber issues (I am convinced they have their own numbers  -for sure, a positive Stuxnet effect-;  and 2) that nobody is safe. Proof of it, they have implemented a periodic cyber-inspection routine that has led them to the discovery of a couple of infected plants (again).

But countrywide concerns are not the only cyber-root causes industrial players should be aware of. Insider threat, a majority of the times, due to, unhappy and lonely employees (respectfully, former employees) or ambitious ones, is the biggest threat. That’s the why every professional’s ethics are also key! Therefore, given the Industrial Internet of Things era we are entering, recall not only to cultivate your technical skills and competencies, but your personal, inner, values.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Let me share with you, today, a personal  -maybe stupid-  milestone. With today’s issue I am finally surpassing those eighty-five newsletters my predecessor, CCI co-founder and, despite it all, good friend, Ignacio Paredes, released between June, 3rd, 2013, and January, 12th, 2015. Thank you, Nacho, for fitting such a firm basement. Warmest regards!

Estimaciones corporativas y valores personales

En el transcurso de una entrevista que me realizaron, la pasada primavera, para una cadena de television internacional, el entrevistador  -con el que tuve la oportunidad de hablar sobre el pasado, presente y futuro de la ciberseguridad-  me preguntó cuánto dinero se escondía tras el telón del ciberdelito. “Dos millones de millones [billones] de euros” fue mi repuesta, citando un [entonces] reciente informe de Juniper Research. Han pasado apenas unos meses desde aquello, pero actualmente dicho número ha sido superado ampliamente: Cybersecurity Ventures informa hoy de que el coste total, mundial, del ciberdelito alcanzará, para 2021, tres veces esa cifra.

Se antoja un buen argumento para hacer que la gente entienda la importancia de lo cíber. Mientras tanto, los hechos siguen mostrándonos que, si bien ese no es el único riesgo para las organizaciones, sí es uno del que pocas instalaciones industriales se ven capaces de huir.

¡Los iraníes los conocen bien! He dicho “… los conocen …”. Bueno, me refiero a que: 1) conocen el coste de los ciber problemas (estoy convencido de que disponen de sus propias cifras  -sin duda, una lección positiva de Stuxnet-); y 2) conocen, también, que nadie está a salvo. Prueba de ello, han puesto en marcha una serie de ciber-inspecciones periódicas, rutinarias, que les ha llevado a descubrir un par de plantas industriales infectadas (otra vez).

Pero las preocupaciones de carácter nacional no son las únicas cibercausas tras los problemas que inquietan a los operadores industriales. La amenaza interior, la mayoría de las veces debida a solitarios empleados (o ex-empleados) insatisfechos y/o ambiciosos, constituye la mayor amenaza. ¡Ese es el porqué de que la ética de cada profesional también sea un asunto clave! Por tanto, dada la era de la Internet industrial en la que nos adentramos, recuerde cultivar, no sólo sus habilidades y competencias técnicas, sino, también, sus valores personales más interiores.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Permítame compartir con Ud. un pequeño  -y seguramente estúpido-  hito personal. Con el de hoy, supero, por fin, los ochenta y cinco boletines que mi predecesor, co-fundador de este Centro y, sin embargo, buen amigo, Ignacio Paredes, publicó entre el 3 de junio de 2013 y el 12 de enero de 2015. Gracias por poner unos cimientos tan firmes, Nacho. ¡Un abrazo!

lunes, 25 de julio de 2016

Policy development and the contradiction to establishing an internal digital market

The very reason for starting to write these editor’s notes last year was no other than to briefly introduce  -in fact, very briefly-  the news that make up this newsletter’s weekly issue. Nonetheless, in general, less attention is usually payed to other sections of the publication  -i.e.; “Documents”, “Events”, “Quotes & Thoughts”, …-.  This said, let me make an exception today. I mean that the truly relevant subject in this week’s edition is not under the “News” label, but within our selected readings: the Official Journal of the European Union (OJEU) has finally included the so much time awaited “DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union”.

The definitive adoption of the European NIS security Directive is supposed to bring an improvement in the functioning of the internal market. A market within which a majority of players are small to medium businesses  -many of them industrial players willing to find the Holy Grail of Industry 4.0-  which are being a favorite target for hackers and other adversaries. To prevent these SMBs and other operators   -chemical and space have their room here today, too-  from being compromised, the EU obliges all Member States to adopt their own cyber strategies, too. But, given that such strategies are going to be national, one could ask: “To what point does it still make sense to keep developing national strategies in cyberspace, being it a borderless one?”. Moreover, “Does it make sense, nowadays, to keep talking about a European internal single market in the digital space?”.

While politicians try to clear out these (and other) challenges, let’s keep thinking on how to solve more pragmatic issues like the ones derived from the deployment of long-range networks or the IT-zation of current Operational Technology.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Desarrollo normativo y la contradicción de establecer un mercado digital interno

La verdadera razón por la que comenzaron a publicarse estos “comentarios del editor” el pasado año no fue sino la de presentarle brevemente  -muy brevemente, de hecho-  las noticias incluidas en el número semanal de este “Boletín”. Sin embargo, en general, se viene prestando mucha menos atención a otras secciones de la publicación  -por ejemplo, “Documentos”, “Eventos”, “Reflexiones y Citas”, …-.  Dicho esto, permítame que haga hoy una excepción. Me refiero a que el tema verdaderamente relevante en la entrega de hoy no está bajo la etiqueta “Noticias”, sino dentro de nuestras lecturas seleccionadas: el Diario Oficial de la Unión Europea (DOUE), finalmente, ha publicado la largamente esperada “DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”.

Se prevé que la aprobación definitiva de la Directiva NIS supondrá una mejora en el funcionamiento del mercado interior [europeo]. Un mercado dentro del cual una mayoría de actores son empresas pequeñas y medianas  -muchas del ámbito industrial, deseosas de hallar el Santo Grial de la Industria 4.0-  que están siendo objetivo prioritario para los ‘hackers’ y otros adversarios. Para evitar que estas PYMEs y otros operadores  -los de los sectores químico y espacial tienen hoy, también, aquí su espacio-  se vean comprometidos, la UE obliga a todos los Estados Miembro a que aprueben, también, sus propias ciberestrategias. Pero, dado que dichas estrategias van a ser nacionales, uno podría plantearse: “¿Hasta qué punto sigue teniendo sentido desarrollar estrategias nacionales en el ciberespacio, un espacio sin fronteras?”. O más aún, “¿Tiene sentido, hoy en día, continuar hablando de un mercado europeo interior en la era digital?”.

Mientras los políticos tratan de despejarnos estas (y otras) dudas, sigamos pensando en la forma de abordar problemas más prácticos, como los derivados del despliegue de redes de largo alcance o de la TI-zación de las Tecnologías de Operación actuales.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 18 de julio de 2016

Criteria setting and new scenarios

Cyber issues, both provoked by an external source and due to an internal failure or negligence, are an integral part of the risk-set any organization has to stay aware of today. This is going to be one of the main conclusions of the report CCI and iTTi are jointly working on these hot Summer weeks. Therefore, in all cases criteria regarding risk tolerance levels (including the ones bound to the acceptance of residual risk) should be put into force by those individuals who have the authority to do so. They are no others than the organization`s management and, ultimately, governance teams (i.e., the board of directors). Anyway, as MIT’s Prof. Peter Weill declared a few years ago, it is not only needed to stablish a governance system (risk-related criteria, this time); but to follow them. Otherwise the whole decision-making system of the organization would result unfruitful.

The statements above become truly relevant in a time when cyber is gaining attention among the bad actors to the point that cybercrime is taking over traditional ways of crime. The industrial sector, where the digital systems controlling operational processes are being the new battlefield for cyber-attacks, knows it well. An example could be the water sub-sector which is currently preparing for cyberattacks given the increasing threats. Another example comes from the automotive sub-sector. Infotainment systems onboard modern connected cars, as well as their self-driving sub-systems are making vehicles an actual nightmare for anyone that sees her car stolen. In such a situation you will be not only losing a car [your car], but a complete data-logger with part of your life recorded on it.

Maybe such an undesired possibility is the reason for some manufacturers  -Fiat Chrysler Automobiles could be a good example-  to start focusing on software quality as part of their current and future manufacturing programs.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Establecimiento de criterios y nuevos escenarios

Los ciberproblemas, tanto los provocados por una fuente externa, como los debidos a un fallo interno o a una negligencia, son una parte integral del conjunto de riesgos de los que, hoy, debe preocuparse toda organización. Esta va a ser una de las principales conclusiones del informe que CCI e iTTi están elaborando conjuntamente estas calurosas semanas de verano. Consecuentemente, en todos los casos deberían establecerse criterios relativos a los niveles de tolerancia al riesgo (incluidos los ligados a la aceptación del riesgo residual), por parte de los individuos con potestad para hacerlo. Esto es, por parte de quienes componen la dirección de la organización y, en última instancia, su órgano de gobierno (consejo de administración o equivalente). En todo caso, como declaró el Prof. Peter Weill del MIT hace unos años, no sólo es necesario establecer un sistema de gobierno  -una serie de criterios relativos al riesgo, en este caso-;  sino que también es necesario seguirlo. En caso contrario, el sistema completo de toma de decisiones resultaría irrelevante (e inútil).

Las afirmaciones recogidas en el párrafo anterior toman verdadero sentido en un momento en el que “lo cíber” está ganando atención entre los malos, hasta el punto de que los ciberdelitos están adelantando a otras formas de delincuencia más tradicionales. El sector industrial, en el que los sistemas digitales que controlan los procesos productivos están siendo el nuevo escenario de los ciberataques, lo sabe bien. Un ejemplo podría ser el sub-sector del agua, el cual está en vías de prepararse ante los ciberataques, dadas las crecientes amenazas. Otro ejemplo es el que ofrece el sector de la automoción: los sistemas informativos y de entretenimiento presentes a bordo de los modernos coches conectados, así como sus subsistemas de conducción autónoma, están haciendo de los vehículos una verdadera pesadilla para cualquiera que vea cómo le roban el suyo. En una situación así, Ud. no solo perderá un coche [el suyo]; sino un verdadero registro de datos completo, con buena parte de su vida, grabada en él.


Tal vez, sea esa indeseable posibilidad lo que haya hecho que algunos fabricantes  -Fiat Chrysler Automobiles podría ser un buen ejemplo-  van a comenzar a centrarse en la calidad del software como parte de sus actuales y futuros programas de fabricación.


Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 11 de julio de 2016

Small fishes? Yes, thank you!

Cyberspace, that kind of huge, blue ocean prepared to be explored and exploited, both by the good and the bad guys, has everything but small fishes.

In fact, those [the fishes] are born thanks to the good guys: entrepreneurs willing to establish themselves (and their apparently small “creations”) into the cyber ecosystem.

On the opposite side, the bad guys hope to exploit the cyber sea otherwise, by exhausting the marine (I mean, digital) resources and by making the business of hacking small businesses a big one.

But once it is clear the small fishes are not, big ones should (and they are trying to) enter the big blue, too. They are becoming digital, what makes them more appealing for cybercriminals. Even some of them [big fishes] are becoming digitally lean, what makes the task of fish gutting even easier.

With so many fishes in the cyber sea, nobody should get surprised by figures that show cybercrime is doubling.

Corollary: Being you a fish, either small or big, protect your IACSs from “phishers” (and other fishers) with a little bit of cybersecurity. Let ISA and IEC (not to mention CCI) guide you in the journey.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

¿Pezqueñines? ¡Sí, gracias!

El ciberespacio, esa especie de oceano inmenso, azul, preparado para ser explorado y explotado, tanto por los buenos, como por los malos, tiene de todo, excepto peces pequeños.

De hecho, aquellos [los peces] nacen gracias a los chicos buenos: emprendedores deseosos de establecerse (y establecer sus, aparentemente, pequeñas “creaciones”) en el hábitat cibernético.

En el lado opuesto, los tipos malos esperan explotar el cibermar de otra manera, esquilmando los recursos marinos (quiero decir, digitales) y haciendo que la empresa de atacar empresas pequeñas sea un gran negocio.

Pero, una vez aclarado que los peces pequeños no lo son, los grandes también deberían (y lo están intentando) entrar en el gran azul. Se están haciendo digitales, lo que los hace más atractivos para los ciberdelincuentes. Incluso, algunos de ellos, están haciendo sus procesos digitalmente esbeltos, lo que hace la tarea de limpiar pescado menos pesada.

Con tantos peces en el cibermar, a nadie debería sorprender que el ciberdelito esté duplicando sus cifras.

Corolario: Ya sea Ud. un pez gordo, o no, proteja sus sistemas de control industrial de los “phescadores” (y otros profesionales del mal) con un poquito de ciberseguridad. Permita que ISA e IEC (por no mencionar a CCI) le guíen en el trayecto.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!