Me gustaría acreditar Lic. Daniel Salazar Llerenas , Oficial de Seguridad en BANSI S.A, por su asistencia editorial y de traducción.
Un Comienzo Inestable
Este año comenzó un poco difícil en la parte de seguros para la seguridad cibernética.
Zurich American Insurance Company, decide invocar la exclusión por “guerra cibernética” en su política de seguridad, para un reclamo de la empresa de bienes de consumo Mondelez, que fué una de las mayores víctimas del infame ataque de ransomware NotPetya en junio de 2017. Zurich American Insurance Company ahora se niega a pagar la demanda de $ 100 millones de dólares.
Originalmente, Zurich indicó que podría pagar $ 10 millones, o aproximadamente el 10 por ciento de la demanda global. Pero más tarde indicó que no pagaría ningún reclamo invocando la clausula especial sobre “guerra cibernética”.
Esta cláusula supone excluir a Zurich de la obligación de pagar, ya que dice que NotPetya fue realmente “una acción hostil o bélica en tiempo de paz o de guerra.”
Según Zurich, se originó el ataque de cyber NotPetya con hackers rusos trabajando directamente con el gobierno ruso para desestabilizar a Ucrania. Esto es lo que Zurich tiene en mente cuando utiliza la excusa de la “guerra cibernética” para evitar pagar la reclamación.
Modelez un fabricante de alimentos y bebidas, determinó demandar a Zurich como tomador del seguro, por negarse al pago. Presentó la demanda a finales del año pasado en la corte del estado de Illinois, alega que sufrió… “una cyber pesadilla en dos intrusiones independientes del virus “NotPetya” , estas se dieron en diferentes lugares de su infraestructura; afectando permanente a 1700 de servidores y ordenadores portátiles de la organización .”
Según la denuncia, el virus causó daños a la propiedad, interrupciones de suministro comercial, incumplió pedidos de clientes, reducción de márgenes y otras pérdidas por más de $100.000.000. Aunque esta cifra puede parecer relativamente baja, es porque sólo incluye daños que se pueden atribuir directa e inequívocamente al ataque.
Según la denuncia, después de negar inicialmente la cobertura, el asegurado retiró su reclamo en un esfuerzo por disuadir al tomador del seguro, para tener discusiones sobre el ajuste y el pago de la reclamación. Después se hizo evidente al asegurado, que el tomador del seguro nuevamente se negaba a la cobertura basado en la exclusión, así como otras defensas a la misma cobertura.
Recientemente en Londres, yo tuve la oportunidad de algunas discusiones muy interesantes con algunos cyberinsurers de nivel superior. El caso Mondelez está causando un gran revuelo en los círculos cyberinsurance. Algunos dicen que el caso de la exclusión de guerra cibernética puede amenazar la cobertura para ataques cibernéticos. El resultado de la demanda de Mondelez está bajo intenso escrutinio por la comunidad de seguros cibernéticos. Pero, los asegurados podemos tranquilizarnos, en el hecho de que en la mayoría de las jurisdicciones, las compañías de seguros tienen la carga de probar que una exclusión de la póliza de seguro, elimina la cobertura. Esa carga de la prueba, se complica aún más por las dificultades asociadas con atribución de ataque y la adquisición de evidencias.
En cualquier caso, los asegurados deben revisar las exclusiones de cobertura en sus seguros cibernéticos, y considerar pedirle sus aseguradores aclarar el alcance de las coberturas a la luz el caso de Mondelez. En algunas políticas de los ciber seguros, la exclusión de la guerra contiene una excepción u otro texto que preserva la cobertura de los ataques cibernéticos.
La Ruptura de la Confianza
Todas las personas de seguridad cibernética saben que el eslabón más débil que tenemos se centra en el ser humano.
Las mejores políticas, procedimientos y procesos pueden ser eludidos por una fuerza laboral y usuarios que inadvertidamente o intencionalmente no cumplen con el marco de controles establecido para mitigar el riesgo.
¿Por qué ocurre esto? Mi tesis es que estamos frente a una ruptura o disminución de la confianza.
En la década de 1980, Alvin Toffler (un futurista con muchas grandes predicciones) escribió en su libro The Third Wave sobre la “Era de la información”, cómo se producirían las guerras en el espacio de la información, y no serían como la guerra tradicional de tipo cinético.
El conocimiento y la información serían la base de la riqueza y el poder, y los conflictos en el control de ambos serían los mecanismos de la guerra. También dijo que en la “era de la información”, hasta cierto punto, las vidas de las personas se modifican para servir a la tecnología. Creo que él tenía razón. Vivimos en un mundo de Facebook, Twitter, Instagram, WhatsApp, Tumblr, las 24 horas del día y la cobertura de noticias de todo el mundo, y estamos bombardeados por información de todo tipo de fuentes.
Esto se combina con conflictos sociales, conflictos y cambios en la política mundial donde muchos factores causan la migración masiva de personas y refugiados a través de las fronteras de los países. Este cambio en las poblaciones ha dado lugar a un aumento en el nacionalismo como lo demuestran Brexit, Make America Great y varios otros nuevos movimientos sociales y políticos. Los terroristas de todo el mundo han aprendido a aprovechar estos factores y estructurar los ataques para perturbar aún más a las sociedades y obtener poder.
Hemos visto un enorme aumento en los ataques de phishing, smishing y vishing, donde las entidades malintencionadas intentan aprovechar la confianza humana a través de la ingeniería social para robar sus activos. Hace poco vi un artículo (consulte – https://www.techspot.com/news/79402-office-depot-pays-ftc-25-million-allegedly-using.html) donde incluso Office Depot ha usado subterfugios y malware Estafa para generar negocio.
¿Quién puede confiar en este entorno?
¿Quién está cuidando los derechos individuales de privacidad y la justicia económica y social?
¿Podemos confiar en que las empresas y los gobiernos intervengan en nuestro nombre?
La confianza en las instituciones gubernamentales y el proceso gubernamental ha disminuido enormemente. Muchas empresas parecen estar mirando solo el resultado final y los rendimientos de los inversores.
Todo lo anterior provoca estrés humano. Viendo un documental sobre el estrés del Dr. Sanjay Gupta (One Nation Under Stress – HBO). Abordó los factores ocasionales del estrés, cómo la sociedad y sus estructuras de apoyo han disminuido el apoyo para los individuos y cómo esto ha llevado a un aumento en el estrés general que enfrentan los individuos.
El documental también analizó los cambios neurológicos en el cerebro provocados por el estrés. Un impacto importante se produjo en el lóbulo frontal, donde las conexiones cerebrales se alteraron físicamente y se deterioraron, lo que condujo a una capacidad disminuida de empatía. ¿Podría esto estar relacionado con el aumento de tiroteos en masa y otros actos de violencia en nuestro pasado reciente?
Una correlación que también he visto, que está respaldada por la tesis y la investigación en otro par de libros (ver The Distracted Mind por Adam Gazzaley y Reclaiming Conversation por Sherry Turkle), puede estar relacionada con el uso de teléfonos inteligentes por parte de nuestra juventud, un aumento similar en el acoso cibernético y el aumento de la presión para encajar socialmente, que se acentúa por la cantidad de amigos en línea que tienes y los impactos que tus publicaciones pueden generar. Esta no es la primera vez que veo la confianza relacionada con los problemas cibernéticos, pero me hizo pensar que tal vez sea hora de volver atrás y volver a leer el libro de Steve MR Covey, The Speed of Trust, y ver los pasos que describe sobre cómo recuperar la confianza.
La Visión Corporativa Del Riesgo Cibernético
En otros frentes, nacionalmente en los Estados Unidos se han divulgado más casos donde ingeniería social, como intentos para afectar a candidatos políticos (tanto positivamente como negativamente). El informe de la investigación especial Muller ha sido liberado, pero solo para el Departamento de Justicia y el abogado General de los Estados Unidos; y todos los detalles que pueda tenerse con respecto a la seguridad de Estados Unidos y los ciberataques contra las elecciones de 2016, no se hicieron disponibles al público. No es seguro, cuando esos detalles se harán públicos.
También veo, la lucha constante entre el aumento de los costos de prevención y mitigación de vulnerabilidades frente a los costes reales de los incidentes o ataques cibernéticos. La divulgación voluntaria hacia las autoridades sobre un ataque recibido, incluidos los impactos asociados y sus costos…, es todavía para muchas compañías un asunto reservado, consideran que “la ropa sucia se lava en casa”; nadie quiere tener su “ropa sucia” expuesta. La “Divulgación Voluntaria”, simplemente no funciona. Todavía no hay ninguna política de seguridad cibernética federal al respecto, y ninguna declaración de esfuerzos para crear una.
También veo la necesidad continua de integrar la gestión de la ciberseguridad, bajo el paraguas de la gestión de riesgo empresarial (ERM); muchas grandes corporaciones lo están haciendo, pero pocas agencias de gobierno lo aplican a nivel Estado. Esto también es cierto en pequeñas y medianas empresas.
Todavía hay 4 trabajos sin cubrir para profesionistas con habilidades en ciberseguridad, la necesidad continúa, pero el crecimiento de la fuerza laboral no ha podido mantener el ritmo. La buena noticia, es que la fuerza de trabajo femenina especializada en la cibernética ha venido creciendo.
Aunque la situación no es sombría, tendremos que seguir vigilantes y enfocados en nuestro trabajo de la ciberseguridad.