Blog del CCI

lunes, 27 de junio de 2016

The end of accountability?

For sure, we seem to be living a new economics era for cybercrime. Many have been the cases of companies ‘cyber-affected’ in recent times. One of them that we put the focus on last year is the British TalkTalk. On October, 26th, 2015 (CCI’s “Newsletter” issue number 126) we mentioned TalkTalk in these terms: “After the mobile operator TalkTalk scandal, British press has reported that IoD points to cyber hacking as one of their biggest concerns, urging the UK Government to implement the necessary measures to fix de problem”. Today we are certain to say that the UK authorities did hear the demand from the British corporate stablishment as the UK Parliament, via its House of Commons’ Culture, Media and Sport Committee has just released a report  -find it in our ‘Documents’ session-  on the TalkTalk case in which a series of relevant conclusions have posed. Let me share them with you!

First, the report states that “Although ultimate responsibility for cyber security within a company lies with the CEO, it would be highly unusual for the CEO of a company to have to resign over an attack”. Really? Do not British MP’s remember the number of CEOs that have resigned in the last decade, some of them having been mentioned here regularly? And, moreover, “the ultimate responsibility lies with the CEO”, but what about the Board of Directors? Does all this, in the end, mean the end of accountability?

Not happy with this, the report continues “Cyber security should sit with someone able to take full day-to-day responsibility, with Board oversight, and who can be fully sanctioned if the company has not taken sufficient steps to protect itself from a cyber-attack”. They are referring to the CIO or the Head of Security [report mentions both], but, again, does it mean that the person in charge of Cybersecurity should be understood as a punishable role only?

May be the UK MPs have a little more to fix that the Brexit referendum's result!

At least they agreed on setting some measures in order to increase CEO’s awareness on the matter [despite releasing the BoD from any liability]: “To ensure this issue [cyber security] receives sufficient CEO attention before a crisis strikes, a portion of CEO compensation should be linked to effective cyber security, in a way to be decided by the Board”.

Meanwhile this keeps seeming a good time to become a cybercriminal: the digital underworld spans, the electric grid and other infrastructures are being attacked making real the idea that Stuxnet was not but the opening shot; and 'smart OT' developments keeps bringing both rewards and consequences.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

¿El fin de la rendición de cuentas?

Con seguridad, parecemos estar viviendo una nueva era económica para el ciberdelito. Muchos han sido los casos de empresas ‘ciberafectadas’ en los últimos tiempos. Una de ellas, sobre la que pusimos el foco el año pasado, es la británica TalkTalk. El 26 de octubre de 2015 (“Boletín” de CCI número 126) mencionábamos a TalkTalk en los siguientes términos: “Tras el escándolo del operador móvil TalkTalk, la prensa británica ha informado que el Instituto de Consejeros señala los ciberataques como una de sus mayores preocupaciones, urgiendo al gobierno del Reino Unido a tomar las medidas necesarias para atajar este problema”. Hoy tenemos la certeza de que las autoridades británicas han escuchado la demanda del mundo corporativo, dado que el Parlamento, a través de la Comisión de Cultura, Medios y Deportes de la Cámara de los Comunes acaba de emitir un informe  -encuéntrelo en nuestra sección ‘Documentos’-  sobre el caso TalkTalk en el cual expone una serie de interesantes conclusiones. ¡Permítame compartirlas con Uds!

En primer lugar el informe dice que “Aunque el responsable, en última instancia, de la ciberseguridad de una empresa es su consejero delegado, sería muy extraño que aquel tuviese que dimitir tras un ataque”. ¿Es esto cierto? ¿Recuerdan los diputados británicos la serie de consejeros delegados que han dimitido en la última década, algunos de los cuales han sido mencionados en esta tribuna en repetidas ocasiones? Y, lo que es más, “la responsabilidad última recae en el consejero delegado”; pero ¿qué pasa con el resto del consejo de administración? ¿Significa todo esto, en último término, el fin de la rendición de cuentas?

No conforme con eso, el informe continua “La ciberseguridad debería recaer en alguien capaz de asumir la responsabilidad del día a día, con la supervisión del consejo de administración, y a quien pudiera sancionarse plenamente en el caso de que la empresa no hubiera dado los pasos necesarios para protegerse de un ciberataque”. En el informe se mencionan, directamente, las figuras del CIO y la del Director de Seguridad, como posibles candidatos; pero, de nuevo, ¿significa esto que la persona a cargo de la ciberseguridad ha de ser considerada, meramente, como el sujeto “castigable”?

¡Puede que los diputados británicos tengan algo más que arreglar que el resultado del referendum vivido la semana pasada!

Al menos, han estado de acuerdo en establecer alguna medida para promover la concienciación [por la ciberseguridad] de los consejeros delegados [a pesar de seguir liberando al consejo de adminsitración de toda responsabilidad]: “Para garantizar que este tema [la ciberseguridad] recibe la debida atención por parte del consejero delegado antes de que estalle una crisis, una parte de su remuneración debería estar ligada al grado de eficacia del programa de ciberseguridad de la empresa, de un modo que determine el consejo de administración”.

Mientras, éste sigue pareciendo un buen momento para ser un ciberdelincuente: el inframundo digital crece, la red eléctrica y otras infraestructuras están siendo atacadas, haciendo verdad la idea de que Stuxnet no fue sino el pistoletazo de salida, y el desarrollo de las ‘smart OT' siguen trayendo recompensas y consecuencias.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 20 de junio de 2016

Incidences and serious consequences

Earlier this year I introduced the "Bellingham Case", promising to tell it in the coming weeks. Several months have passed, so it may be time to proceed ...

… Nor Frank Hopf Jr., then vice president of the Olympic Pipe Line Company, nor much less just-turned-10-years-old Wade King, Stephen Tsiorvas (also 10) nor Liam Wood (18) knew what the day will bring to them when they woke up on June 10th, 1999.

That day Liam had decided to go fishing in Whatcom Creek, a stream that flowed through Whatcom Falls Park in Bellingham (Washington, USA). Meanwhile, younger Wade and Stephen preferred to spend that Spring day playing on the banks of the brook near its confluence with Hannah Creek.

Unfortunately, about 3:28 PM a series of events happened: the pipeline operated by Olympic ruptured because of excessive pressure, spilling gallons and gallons of gasoline into Hannah stream and then Whatcom. Liam was the first to die: gasoline’s fumes overcame him, who drowned while in the creek. Later, fumes also ignited to blast reaching Wade and Stephen, who would die the day after, due to the wounds suffered during the explosion.

Pipeline’s supervision and control systems were not the [only] cause of the accident  -lack of maintenance and/or some construction works in the vicinity were more linked reasons-  but right SCADA operation could have prevented some fatal consequences as the report by the US National Transportation Safety Board stated after investigation.

But let’s go back to Mr. Hopf. He, along with other two Olympic employees, was charged for the Bellingham events and finally sentenced to prison.

The Bellingham story shows us, once more time, that executives should be held  -and sometimes, in fact, they actually seems to be-  accountable for the bad use technology receives in their organizations. This is especially relevant when it comes to the industrial landscape, given the high rate of cyber[-physical] risks companies within it are facing nowadays.

Because of that, executives, and professionals in general, should  -among other things-  take care of what information they make public on the Net in order to prevent revealing critical corporate information via social media, academic papers and the like.

In particular, we opted today for focusing on the aviation ecosystem and how it is embracing best cybersecurity practices.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Incidencias y graves consecuencias

A principios de año le mencioné el “Caso Bellingham” con la promesa de contárselo en mayor detalle en las siguientes semanas. Transcurridos varios meses, tal vez sea, ahora, el momento de hacerlo ...

… Ni Frank Hopf, hijo, por entonces vicepresidente de la Olympic Pipe Line Company; ni mucho menos el pequeño Wade King, de diez años recien cumplidos, ni su amigo Stephen Tsiorvas, también de diez años; ni siquiera Liam Wood, de dieciocho, sabían lo que les depararía el día, cuando se despertaron en la mañana del 10 de junio de 1999.

Aquel día Liam había decidido ir a pescar al arroyo Whatcom, un riachuelo que fluía por el Parque de la Cascada Whatcom (Washington, EEUU). Por su parte, los jóvenes Wade y Stephen prefirieron pasar aquel primaveral día en la ribera del río, cerca de su confluencia con el arroyo Hannah.

Desgraciadamente, a eso de las 3:28 de la tarde tuvo lugar la cadena de fatales acontecimientos: el oleoducto operado por Olympic se rompió a causa de una sobre-presión, expulsando miles de litros de gasolina al arroyo Hannah y, posteriormente, al Whatcom. Liam fue el primero en morir: los vapores de la gasolina lo alcanzaron y provocaron su ahogamiento, mientras estaba en el río. Más tarde, esos mismos vapores se prendieron causando una explosión que alcanzó a Wade y a Stephen. Ambos morirían al día siguiente a consecuencia de las graves heridas recibidas.

Los sistemas de supervisión y control del oleoducto no fueron las [únicas] causas del accidente  -la falta de mantenimiento y unos trabajos de excavación cercanos fueron motivaciones más directas-;  pero una adecuada operación del SCADA podría haber evitado algunas de las fatales consecuencias, tal y como señaló el informe de la investigación llevada a cabo por el Consejo Nacional para la Seguridad en el Transporte, de los EEUU.

Pero volvamos al Sr. Hopf. Él, junto a otros dos empleados de Olympic, fue imputado por los sucesos de Bellingham y, finalmente, condenado a prisión.

La historia de Bellingham muestra, una vez más, que los directivos deben rendir cuentas  -y, a veces, de hecho, parecen hacerlo-  por el mal uso que recibe la tecnología en sus respectivas organizaciones. Esto toma especial relevancia en el ámbito industrial, máxime en un momento en que los ciberriesgos a que las empresas tienen que hacer frente están alcanzando sus cotas más altas.

Por ello, los directivos, y los profesionales en general, deben, entre otras cosas, mantener la debida cautela sobre la información que hacen pública en la Red, a fin de evitar revelar información corporativa crítica, ya sea en redes sociales, ya a través de trabajos académicos o por otras vías de divulgación.

En concreto, esta semana hemos optado por prestar atención al sector aeronáutico y a cómo está acogiéndose a las buenas prácticas de ciberseguridad.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 13 de junio de 2016

Raising the discussion to the next level

CCI is spending these pre-summer weeks preparing a new deliverable which is schedule to be introduced on September, 8th, during the 15th edition of “The Voice of the Industry” to be held  -for the first time-  in Barcelona (Spain). The topic selected for the new whitepaper is “Benefits of Cybersecurity for the Industrial Enterprise” and, as in previous opportunities in which CCI partnered with any third-party, this time the new document will be the result of a joint effort by the Center and iTTi, “The [Digital] Accountability Think Tank”, an strategy-focused institution that I am honored to chair and which focus is on the promotion of awareness among directors and officers regarding their accountability for how technology is used within their organizations.

The study will aim to provide a series of recommendations to helping both corporate and security leaders have the cyber risk conversation. It means that the document will give guidelines for Board of Directors (and management teams) on what questions to pose regarding cyber. But, at the same time, we want the new document to help cyber security professionals on how to give response to such kind of requests.

No doubt, asking one-self how my organization is prepared before a cyberattack could be a great starting point for the above mentioned individuals. Particularly, and this is one of the first lessons to learn, in the industrial arena, where facilities are being more and more object of desire to the bad guys, being them a foreign, [commercially] enemy state or an individual cybercriminal willing to sabotage them.

An important second lesson our document’s readers should get is that cybersecurity is no longer an issue for the geek guys; I mean it is not [ONLY] about technology anymore. Well, ok, it would be nice that you will know the perils that an untraced USB's file system could envelop; but, at the end of the day, cyber is about people and how this people make use of the digital tools their organizations provide to them.

Let’s see how usefull this CCI and iTTi joint effort results. Meanwhile, keep exploring  -this is a good topic for corporate leaders, too; specially if they are involved in digital transformation-  what CCI coined 'smart OT' and if it is still room for the development of these new savvy-technologies in the consumer space and, given our particular professional interest, in the Industrial arena. Some critics are starting to say “No!”.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Elevar el discurso al siguiente nivel

CCI está empleando estas semanas pre-veraniegas en la preparación de un nuevo documento, cuya presentación está prevista para el 8 de septiembre, durante la celebración de la XV edición de “La Voz de la Industria”, que, por primera vez, tendrá lugar en Barcelona (España). El tema elegido para el citado texto ha sido “Beneficios de la Ciberseguridad para la Empresa Industrial” y, como ya ocurriera en alguna ocasión anterior, en la que CCI contó con la colaboración de una tercera entidad, en esta ocasión el nuevo informe será el resultado del esfuerzo conjunto del Centro y de iTTi, un “think tank”, que tengo el honor de presidir, y cuyo interés está en concienciar a consejeros y ejecutivos de su papel en materia de rendición de cuentas sobre todo cuanto acontece como consecuencia del uso que, en sus organizaciones se hace de la tecnología.

El estudio tratará de ofrecer una serie de recomendaciones que ayuden, tanto a los líderes corporativos, cuanto a los responsables de seguridad, a mantener la conversación sobre los riesgos cibernéticos. Ello significa que el texto proporcionará claves a los consejos de administración (y a los comités de dirección) sobre qué preguntas formular en relación a lo “ciber”. Pero, al mismo tiempo, se pretende que el documento también ayude a los profesionales de la ciberseguridad a dar respuesta a tales preguntas.

Sin duda, preguntarse a uno mismo cuán preparada está mi organización para hacer frente a un ciberataque podría ser un magnífico punto de entrada para el ejercicio de concienciación planteado. De manera muy especial  -y esta es una de las primeras lecciones a aprender-  en el terreno industrial, donde las instalaciones están siendo, cada vez más, objeto de deseo de los malos, ya se trate de un estado extranjero [comercialmente] enemigo o de un ciberdelincuente deseando sabotearlas.

De igual modo, una segunda lección relevante para los lectores del documento debería ser que la ciberseguridad ya no es un tema que ocupe a unos cuantos “frikis”; esto es, ya no es un tema [SÓLO] de tecnología. Bien, de acuerdo, sería estupendo que Ud. conociese los peligros que puede encerrar el sistema de ficheros de un dispositivo USB del que no se tiene trazabilidad; pero, a fin de cuentas, lo que importa verdaderamente es que entienda que lo “cíber” tiene que ver con la gente y con cómo esta gente hace uso de las herramientas digitales que las organizaciones ponen a su disposición.

Ya veremos cuán útil resulta el trabajo de CCI e iTTi. Mientras tanto, siga explorando  -este es, también, un buen tema para los líderes corporativos; especialmente si están involucrados en procesos de transformación digital-  las que CCI acuñó como Tecnologías de Operación inteligentes (smart OT) y si aún queda sitio para ellas en el ámbito del consumo (y, claro está, también de la Industria, sobre la que giran nuestros intereses). Algunos críticos ya han comenzado a responder que “¡No!”.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!e

lunes, 6 de junio de 2016

Regulation and other balms

It is a recurring topic  -in this newsletter and in other forums-  and it is obvious, too  -to this newsletter and, I guess, to its readers-:  without the intention of falling in a “fear strategy”, the truth is that there is no better incentive for an organization to begin taking cybersecurity seriously, than having suffered, first hand, any sort of digital incident. I underline “first hand”, given that hearing it from third-parties  -as it happens to smokers regarding lung cancer-  can result an example, too; but never with the same intensity.

For such cases, in which other’s example means no incentive enough, there is  -we have pointed it out repeatedly, too-  a complementary balm: regulation. (By the way, remember that it can be internal).

Moreover, when planets are aligned almost to perfection, both circumstances  -the presence of incidents and the existence of rules given by an oversighting body-  provoke a [supposedly] more healthy effect.

That seems to be the case of the Society for Worldwide Interbank Financial Telecommunication, SWIFT, which CEO, Dutch and former McKinsey & Co. consultant, Gottfried Leibbrandt, stated last Thursday that the prospect of cybercrime is what keeps him awake at night.

The truth is that Mr. Leibbrandt reaches that sleepless condition after some nothing quiet recent months in which a series of banks from several countries (Philippines, Vietnam, Ecuador or Bangladesh), all of them customers of the international platform he rules, have been victims of millionaire cyber thefts.

All of it makes me think that, urged by Mr. Leibbrandt, not only SWIFT, but a number of banks currently using the services offered by the Belgian organization, are going to see their cyber protection framework improved, if they will to keep enjoying the advantages of the interbank transaction system. On the contrary, it could be late for such banks (and not only due to Leibbrandt’s threats).

Finally, remember that this pre-cyberwar scenario  -the most optimistics define it that way-  to which a growing, but sort-of-marketing-hype-Internet of Things adds, may be being fertile ground for experiments as the one carried out with IRONGATE and other still hidden ills.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Regulación y otros bálsamos

Es un tema recurrente  -en este boletín y en otros foros-  y es también una obviedad  -para este boletín e, intuyo, para sus lectores-:  sin pretender caer en “estrategias del miedo”, lo cierto es que no hay mejor incentivo para que una organización comience a tomarse en serio la seguridad, que haber sufrido, en carne propia, algún tipo de incidente digital. Subrayo “en carne propia”, dado que escucharlo de terceros  -como sucede con el cáncer de pulmón entre los fumadores-  puede resultar, también, ejemplarizante; pero nunca con la misma intensidad.

Para dichos casos, en los que el ejemplo de otros no constituye incentivo suficiente, existe  -también lo hemos señalado más de una vez-  un bálsamo complementario: la regulación. (Por cierto, recuerde que aquella puede ser interna).

Además, cuando la disposición de los planetas alcanza un grado de perfección tal que permiten combinar ambas circunstancias  -la presencia de incidentes, con la de una normativa emitida por algún órgano supervisor-  los efectos curativos son [supuestamente] aún mayores.

Eso es lo que parece estar ocurriendo en la órbita de la Sociedad para las Comunicaciones Interbancarias y Financieras Mundiales (en inglés, Society for Worldwide Interbank Financial Telecommunication, SWIFT), cuyo consejero delegado, el holandés y antiguo consultor de la firma McKinsey & Co., Gottfried Leibbrandt, declaraba el pasado jueves que la perspectiva de la (in)seguridad era lo que estaba quitándole el sueño actualmente.

Lo cierto es que el Sr. Leibbrandt llega a esa situación de insomnio tras unos, nada tranquilos, últimos meses en los que una serie de bancos de diversos países (Filipinas, Vietnam, Ecuador o Bangladesh), todos ellos clientes de la plataforma internacional que él dirige, han sido víctimas de millonarios  -en euros-  ciberrobos.

Todo hace pensar que, a instancias del Sr. Leibbrandt, no solo SWIFT verá mejorado su actual marco de ciberprotección, sino que más de una entidad, de entre las que hoy utilizan los servicios ofrecidos por la organización belga, también tendrán que hacerlo si quieren seguir disfrutando de las ventajas del sistema de transacciones interbancarias. En caso contrario, podría ser, para dichos bancos, demasiado tarde (y no sólo por las amenazas de Leibbrandt).

Por ultimo, recuerde que este escenario pre-ciberbélico  -así lo definen los más optimistas-  al que se suma una creciente Internet de las Cosas, cuya verdadera implantación no pasa del bombo mercadotécnico, puede estar siendo terreno abonado para experimentos como el llevado a cabo con IRONGATE y otros males aún por descubrir.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!