Blog del CCI

lunes, 25 de julio de 2016

Policy development and the contradiction to establishing an internal digital market

The very reason for starting to write these editor’s notes last year was no other than to briefly introduce  -in fact, very briefly-  the news that make up this newsletter’s weekly issue. Nonetheless, in general, less attention is usually payed to other sections of the publication  -i.e.; “Documents”, “Events”, “Quotes & Thoughts”, …-.  This said, let me make an exception today. I mean that the truly relevant subject in this week’s edition is not under the “News” label, but within our selected readings: the Official Journal of the European Union (OJEU) has finally included the so much time awaited “DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union”.

The definitive adoption of the European NIS security Directive is supposed to bring an improvement in the functioning of the internal market. A market within which a majority of players are small to medium businesses  -many of them industrial players willing to find the Holy Grail of Industry 4.0-  which are being a favorite target for hackers and other adversaries. To prevent these SMBs and other operators   -chemical and space have their room here today, too-  from being compromised, the EU obliges all Member States to adopt their own cyber strategies, too. But, given that such strategies are going to be national, one could ask: “To what point does it still make sense to keep developing national strategies in cyberspace, being it a borderless one?”. Moreover, “Does it make sense, nowadays, to keep talking about a European internal single market in the digital space?”.

While politicians try to clear out these (and other) challenges, let’s keep thinking on how to solve more pragmatic issues like the ones derived from the deployment of long-range networks or the IT-zation of current Operational Technology.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Desarrollo normativo y la contradicción de establecer un mercado digital interno

La verdadera razón por la que comenzaron a publicarse estos “comentarios del editor” el pasado año no fue sino la de presentarle brevemente  -muy brevemente, de hecho-  las noticias incluidas en el número semanal de este “Boletín”. Sin embargo, en general, se viene prestando mucha menos atención a otras secciones de la publicación  -por ejemplo, “Documentos”, “Eventos”, “Reflexiones y Citas”, …-.  Dicho esto, permítame que haga hoy una excepción. Me refiero a que el tema verdaderamente relevante en la entrega de hoy no está bajo la etiqueta “Noticias”, sino dentro de nuestras lecturas seleccionadas: el Diario Oficial de la Unión Europea (DOUE), finalmente, ha publicado la largamente esperada “DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”.

Se prevé que la aprobación definitiva de la Directiva NIS supondrá una mejora en el funcionamiento del mercado interior [europeo]. Un mercado dentro del cual una mayoría de actores son empresas pequeñas y medianas  -muchas del ámbito industrial, deseosas de hallar el Santo Grial de la Industria 4.0-  que están siendo objetivo prioritario para los ‘hackers’ y otros adversarios. Para evitar que estas PYMEs y otros operadores  -los de los sectores químico y espacial tienen hoy, también, aquí su espacio-  se vean comprometidos, la UE obliga a todos los Estados Miembro a que aprueben, también, sus propias ciberestrategias. Pero, dado que dichas estrategias van a ser nacionales, uno podría plantearse: “¿Hasta qué punto sigue teniendo sentido desarrollar estrategias nacionales en el ciberespacio, un espacio sin fronteras?”. O más aún, “¿Tiene sentido, hoy en día, continuar hablando de un mercado europeo interior en la era digital?”.

Mientras los políticos tratan de despejarnos estas (y otras) dudas, sigamos pensando en la forma de abordar problemas más prácticos, como los derivados del despliegue de redes de largo alcance o de la TI-zación de las Tecnologías de Operación actuales.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 18 de julio de 2016

Criteria setting and new scenarios

Cyber issues, both provoked by an external source and due to an internal failure or negligence, are an integral part of the risk-set any organization has to stay aware of today. This is going to be one of the main conclusions of the report CCI and iTTi are jointly working on these hot Summer weeks. Therefore, in all cases criteria regarding risk tolerance levels (including the ones bound to the acceptance of residual risk) should be put into force by those individuals who have the authority to do so. They are no others than the organization`s management and, ultimately, governance teams (i.e., the board of directors). Anyway, as MIT’s Prof. Peter Weill declared a few years ago, it is not only needed to stablish a governance system (risk-related criteria, this time); but to follow them. Otherwise the whole decision-making system of the organization would result unfruitful.

The statements above become truly relevant in a time when cyber is gaining attention among the bad actors to the point that cybercrime is taking over traditional ways of crime. The industrial sector, where the digital systems controlling operational processes are being the new battlefield for cyber-attacks, knows it well. An example could be the water sub-sector which is currently preparing for cyberattacks given the increasing threats. Another example comes from the automotive sub-sector. Infotainment systems onboard modern connected cars, as well as their self-driving sub-systems are making vehicles an actual nightmare for anyone that sees her car stolen. In such a situation you will be not only losing a car [your car], but a complete data-logger with part of your life recorded on it.

Maybe such an undesired possibility is the reason for some manufacturers  -Fiat Chrysler Automobiles could be a good example-  to start focusing on software quality as part of their current and future manufacturing programs.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Establecimiento de criterios y nuevos escenarios

Los ciberproblemas, tanto los provocados por una fuente externa, como los debidos a un fallo interno o a una negligencia, son una parte integral del conjunto de riesgos de los que, hoy, debe preocuparse toda organización. Esta va a ser una de las principales conclusiones del informe que CCI e iTTi están elaborando conjuntamente estas calurosas semanas de verano. Consecuentemente, en todos los casos deberían establecerse criterios relativos a los niveles de tolerancia al riesgo (incluidos los ligados a la aceptación del riesgo residual), por parte de los individuos con potestad para hacerlo. Esto es, por parte de quienes componen la dirección de la organización y, en última instancia, su órgano de gobierno (consejo de administración o equivalente). En todo caso, como declaró el Prof. Peter Weill del MIT hace unos años, no sólo es necesario establecer un sistema de gobierno  -una serie de criterios relativos al riesgo, en este caso-;  sino que también es necesario seguirlo. En caso contrario, el sistema completo de toma de decisiones resultaría irrelevante (e inútil).

Las afirmaciones recogidas en el párrafo anterior toman verdadero sentido en un momento en el que “lo cíber” está ganando atención entre los malos, hasta el punto de que los ciberdelitos están adelantando a otras formas de delincuencia más tradicionales. El sector industrial, en el que los sistemas digitales que controlan los procesos productivos están siendo el nuevo escenario de los ciberataques, lo sabe bien. Un ejemplo podría ser el sub-sector del agua, el cual está en vías de prepararse ante los ciberataques, dadas las crecientes amenazas. Otro ejemplo es el que ofrece el sector de la automoción: los sistemas informativos y de entretenimiento presentes a bordo de los modernos coches conectados, así como sus subsistemas de conducción autónoma, están haciendo de los vehículos una verdadera pesadilla para cualquiera que vea cómo le roban el suyo. En una situación así, Ud. no solo perderá un coche [el suyo]; sino un verdadero registro de datos completo, con buena parte de su vida, grabada en él.


Tal vez, sea esa indeseable posibilidad lo que haya hecho que algunos fabricantes  -Fiat Chrysler Automobiles podría ser un buen ejemplo-  van a comenzar a centrarse en la calidad del software como parte de sus actuales y futuros programas de fabricación.


Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 11 de julio de 2016

Small fishes? Yes, thank you!

Cyberspace, that kind of huge, blue ocean prepared to be explored and exploited, both by the good and the bad guys, has everything but small fishes.

In fact, those [the fishes] are born thanks to the good guys: entrepreneurs willing to establish themselves (and their apparently small “creations”) into the cyber ecosystem.

On the opposite side, the bad guys hope to exploit the cyber sea otherwise, by exhausting the marine (I mean, digital) resources and by making the business of hacking small businesses a big one.

But once it is clear the small fishes are not, big ones should (and they are trying to) enter the big blue, too. They are becoming digital, what makes them more appealing for cybercriminals. Even some of them [big fishes] are becoming digitally lean, what makes the task of fish gutting even easier.

With so many fishes in the cyber sea, nobody should get surprised by figures that show cybercrime is doubling.

Corollary: Being you a fish, either small or big, protect your IACSs from “phishers” (and other fishers) with a little bit of cybersecurity. Let ISA and IEC (not to mention CCI) guide you in the journey.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

¿Pezqueñines? ¡Sí, gracias!

El ciberespacio, esa especie de oceano inmenso, azul, preparado para ser explorado y explotado, tanto por los buenos, como por los malos, tiene de todo, excepto peces pequeños.

De hecho, aquellos [los peces] nacen gracias a los chicos buenos: emprendedores deseosos de establecerse (y establecer sus, aparentemente, pequeñas “creaciones”) en el hábitat cibernético.

En el lado opuesto, los tipos malos esperan explotar el cibermar de otra manera, esquilmando los recursos marinos (quiero decir, digitales) y haciendo que la empresa de atacar empresas pequeñas sea un gran negocio.

Pero, una vez aclarado que los peces pequeños no lo son, los grandes también deberían (y lo están intentando) entrar en el gran azul. Se están haciendo digitales, lo que los hace más atractivos para los ciberdelincuentes. Incluso, algunos de ellos, están haciendo sus procesos digitalmente esbeltos, lo que hace la tarea de limpiar pescado menos pesada.

Con tantos peces en el cibermar, a nadie debería sorprender que el ciberdelito esté duplicando sus cifras.

Corolario: Ya sea Ud. un pez gordo, o no, proteja sus sistemas de control industrial de los “phescadores” (y otros profesionales del mal) con un poquito de ciberseguridad. Permita que ISA e IEC (por no mencionar a CCI) le guíen en el trayecto.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 4 de julio de 2016

Healthcare and other celebrities

Today we are bringing to you a true classic newsletter, one plenty of usual discussion topics in the cyber security arena …

I do not know whether there are just five ways to address cybercrime in the boardroom or, perhaps, more; but, as you sure know, Board’s role in cybersecurity is one of our favorite topics. Furthermore, on September 8th, we will be bringing to you the best ways  -being them less than five, five or more than this figure-  to hold the cybersecurity conversation with your Board of Directors and Executive Management.

The human factor, and more specifically the [human] insider threat is another key issue when you talk cybersecurity (both to your BoD or to any other third-party). Despite being one of the most usual attack vectors  -accidentally or intentionally-,  organizations still keep scaring the outer menace more than the inner one.

Hospitals and obsolescence are two other classics. [Of course, I am meaning with respect to cyber, not to public policies and budgets]. Today, we are providing both jointly. 2015 was considered the year of healthcare in cyber (Anthem, Premera, Excellus, UCLA Health, Medical Informatics Engineering, CareFirst, Beacon Health, Advantage Dental, FastHealth Corp.’s Owensboro Health Muhlenberg Community Hospital and MaineGeneral Health were examples of it). 2016 started with the case of the Hollywood Presbyterian Medical Center hijacked and then released after paying USD 17,000 ransom. Anyway the professional community is not aware of these problems at all. A couple of days ago I was celebrating a family event with some friends. One of the attendants was a physician, retired, former Head of Cardiology at one of Madrid’s (Spain) main hospitals. During the dinner he asked me how things were going at CCI and what “cybersecurity” really means. After my explanation which included some the above mentioned examples and other cases more linked to what we could call healthcare smart operational technologies and the consequences of compromising them for our wellbeing, he got actually surprised of the relevancy cyber has today in what had been his long-life profession.

But not only industries may become the [unfortunate] celebrity of the year; hackers seem to have their own “Of the year” kind-of-awards, too.

Finally, remember that not only healthcare, but other industries can become object of desire for the bad guys: think of farming, its digital transformation and the effect of compromising crops on economy (or, why not, again, on human health).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Sanidad y otras celebridades

Hoy les acercamos un “Boletín” verdaderamente clásico; uno repleto de temas que forman parte del debate habitual en el ámbito de la ciberseguridad …

Desconozco si hay, únicamente, cinco formas de dirigirse a un consejo de administración en términos de ciberdelitos o si, tal vez, hay más; pero, como seguramente sabe, el papel del consejo en la ciberseguridad es uno de nuestros temas favoritos. De hecho, el 8 de septiembre le mostraremos algunas claves  -¿cinco?-  para ayudarle a mantener con éxito la conversación sobre “lo cíber” con su consejo o con su comité de dirección.

El factor humano, y más específicamente, la amenaza interna [humana] es otro tema clave cuando Ud. habla de cibeseguridad (ya sea a su consejo de administración o a terceros). A pesar de ser uno de los vectores de ataque más habitual  -accidental o intencionado-  las organizaciones siguen temiendo más una amenaza exterior que una interior.

Los hospitales y la obsolescencia son otros dos clásicos. [Naturalmente, me refiero a “lo cíber”, no a políticas y presupuestos públicos]. Hoy se los ofrecemos juntos. 2015 fue considerado el año de la sanidad en materia cibernética (Anthem, Premera, Excellus, UCLA Health, Medical Informatics Engineering, CareFirst, Beacon Health, Advantage Dental, el Hospital Comunitario Muhlenberg de Owensboro Health, parte de FastHealth Corp. y MaineGeneral Health, fueron ejemplos de ello). Asimismo, 2016 arrancó con el caso del Centro Médico Presbiteriano de Hollywood, secuestrado y, posteriormente, liberado tras pagar un rescate de 17000 dólares. En cualquier caso, la comunidad profesional no es consciente de estos problemas, en absoluto. Hace un par de días estaba celebrando un evento familiar con unos amigos. Uno de los asistentes era un medico, retirado, antiguo Jefe de Cardiología de uno de los principales hospitales de Madrid (España). Durante la cena él me preguntó cómo iban las cosas en CCI y qué era realmente eso de la “ciberseguridad”. Tras mi explicación, la cual incluyó alguno de los ejemplos mencionados más arriba y otros casos más ligados a lo que podríamos llamar tecnologías sanitarias, inteligentes, operativas y las consecuencias para nuestro bienestar de comprometerlas, él se sorprendió, realmente, de la importancia que “lo cíber” tiene hoy para la que ha sido su profesión de toda la vida.

Pero no sólo los sectores industriales pueden convertirse en la [desafortunada] celebridad del ejercicio; los “hackers” también parecen tener su propia especie de galardón “Del año”.

Finalmente, recuerde que no solo la sanidad, sino otros sectores también pueden convertirse en objeto de deseo para los chicos malos: piense en la agricultura, en su transformación digital y en el efecto de un posible compromiso (alteración) de las cosechas sobre la economía (y, por qué no, de nuevo, sobre la salud humana).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!