Sľuby a riziká technológie Blockchain
ISACA Journal, Volume 4, 2018 – Autor Phil Zongo

Myšlienka distribuovanej účtovnej knihy, ktorá sa na verejnosti objavila v roku 2008 v publikácii „Bitcoin: Peer- to-Peer elektronický platobný systém“, sa z medializácie zmenila na skutočnosť skôr ako to experti predpovedali. Autor tejto publikácie sa po oznámení tohoto dômyselného šifrovaného systému stratil skôr, ako v roku 2011 tvorcom Bitcoin oznámil, že sa začal venovať iným aktivitám.
Posilnením mánie s kryptomenami bolo naštartovanie financovania vývoja nového webového prehliadača nazývaného „Brave“, ktorý počas počiatočnej ponuky približne za 30 sekúnd získal 35 miliónov USD. Inšpirovaný tradičným IPO – Initial Publlic Investing (štartovacia verejná ponuka na investovanie) je ICO - Initial Coin Investing metóda na získavanie finančných prostriedkov pre obchodovanie s kryptomenami. Pri tejto novej metóde začínajúce podniky poskytujú investorom digitálne tokeny na obchodovanie s kryptomenami, ako sú Ether a Bitcoin (kryptomeny - digitálne, alebo virtuálne meny, ktoré sú zabezpečené pomocou šifrovania).
Ether je kryptomena, ktorú podporuje sieť Etherum – decentralizovaná platforma, ktorá vykonáva inteligentné zmluvy (smart contract) pomocou technológie blokových reťazcov, ďalej „Blockchain“. Na rozdiel od IPO je väčšina ICO opatrne vytvorená tak, že tu nie sú klasifikované finančné aktíva, čo by automaticky znamenalo stanoviť finančné regulačné ustanovenia. Táto technológia, ktorá je základom Bitcoinu a iných virtuálnych mien je otvorená distribuovaná hlavná účtovná kniha, ktorá umožňuje dvom nezávislým partnerom, bez potreby garancie centrálnej autority ako je banka, obchodovať s hodnotami ako sú napr. duševné vlastníctvo, vlastnícke listiny, alebo virtuálne meny. Tieto transakcie sú pravidelne overované a použitím párom asymetrických šifrovacích kľúčov časovo postupne pripájané k záznamom v predchádzajúcom bloku. Na rozdiel od tradičných databáz, Blockchain nie sú umiestnené na centralizovanom mieste, ale sú distribuované medzi účastníkmi siete.
Technológia Blockchain ponúka možnosti ďaleko za sférou kryptomien, môže byť aplikovaná vo verejnom aj privátnom sektore a je predurčená zmeniť rôzne priemyselné odvetvia. Napr. umožňuje realizáciu platieb v zdravotníctve. Využitím vlastností decentralizovanej architektúry, Blockchain vytvára predpoklady nahradiť zastaralý, rozdrobený zdravotný systém a tak zlepšiť využitie zdravotníckych údajov. Ďalej vytvorením spoločnej databázy zdravotníckych informácií, lekári a poskytovatelia zdravotníckych služieb budú môcť pristupovať k rôznym zdravotníckym systémom, ktoré používajú. Z postupne vytváraných záznamov poskytne lekárom kompletný prehľad o pacientovi, čím umožní zvýšiť kvalitu zdravotníckej starostlivosti a zníženie jej nákladov. Ďalším odvetvím na využitie Blockchain je napr. komplexný svet operácií na finančných trhoch ( futures, opcie, swapy, a i.)
Stratégovia Blockchain rozsah a dôveryhodnosť tejto rozkvitajúcej technológie prirovnávali k Webu, tvrdiac že Blockchain môže obnoviť Internet tým, že bude viac decentralizovaný, otvorený, privátny a dostupnejší.
Možnosti a výhody tejto technológie sú pozoruhodné, avšak skôr než vláda, spoločnosti a súkromné osoby prijmú Blockchain musia zvážiť tri základné problémy:
I. Nedostatok jasne stanovenej legislatívy,
II. Bezpečnostné zraniteľnosti
III. Spolupráca s existujúcim jadrom systému.

I. Chýbajúca legislatíva
Pre posúdenie významu tejto záležitosti je dôležité obzrieť sa do histórie, keď sa tvorili sa predpisy o bezpečnosti – s dôrazom na USA.
Následkom krachu na burze v roku 1929, pre obnovu dôvery verejnosti vo finančných trhoch Kongres USA vydal v roku 1933 Securities Act a v roku 1934 Securities Exchange Act. Kvôli zabráneniu podvodných praktík pri ponukách cenných papierov na verejný predaj boli dané tiež požiadavky prikazujúce organizáciám viesť finančné priznania. Aby sa ešte viacej sprísnil dozor na trhu s cennými papiermi a boli chránení investori, v nasledujúcich rokoch vláda USA vydala mnoho ďalších zákonov - v roku 1939 Trust Indenture Act (Správa dlhových cenných papierov), ďalej v roku 1940 Investment Company Act (Riadenie podielových fondov) a v roku 1940 Investment Advisers Act (Regulácia investičných poradcov). Približne o 70 rokov neskôr v reakcii na Enron, WorldCom a Tyco, ktoré vykazovali nepravdivé finančné správy a kvôli ktorým zbankrotovalo niekoľko investorov, bol v roku 2002 podpísaný zákon Sarbanes-Oxley Act (SOX). Jeho cieľom bolo znížiť riziká a príčiny vzniku finančných podvodov v podnikoch a zvýšiť dôveru investorov.
Avšak až donedávna bolo len málo celosvetových pravidiel pre riadenie digitálnych mien a ICO. Strážcovia zákona sú si toho vedomí a začínajú konať. Odozvy sú sporadické a rozdielne. Krajiny ako Čína, Hong Kong majú nezákonné ICO, zatiaľ čo Austrália, Švajčiarsko a USA vydali jasné návody na bezpečnosť ICO. SEC - US Securities and Exchange Commision verejne napomenula celebrity, ktoré neuvážene propagovali ICO cez svoje účty na Twiteri. Jedna z najväčších afrických bánk - Centrálna banka Nigéria sa dištancovala od vydaných predpisov pre Bitcoin s vyjadrením: „Centrálna banka nemôže riadiť alebo usmerňovať Bitcoin, podobne ako nikto nemôže riadiť a usmerňovať Internet. Nevlastníme ho“. V snahe vysporiadať s touto novou výzvou, sa mnoho iných právnych výkladov ešte stále dotvára.
Rôznorodé predpisy a medzery v legislatíve vytvárajú pre používateľov vážne riziká. Krátko po celosvetovej finančnej kríze v roku 2007 bolo cieľom Bitcoinu pôsobiť ako protiváha centrálnemu riadeniu veľkých bánk a iných politických systémov – princíp označený ako kryptoanarchia (použitie asymetrickej kryptografie). Kryptoanarchisti nepredpokladali, že softvér a šifrovanie samo o sebe nedokáže chrániť investorov pred nevyhnutným vlastným konaním, nenásytnosťou a inými priestupkami komerčného sveta. Vynorili sa tri vážne problémy:
1) Výbuch Ponzi schémy
Nedostatok legislatívy a zmätok na danom trhu nalákal podvodníkov a zástancov pyramídových investícií (Ponzi schémerov). Po sľuboch o výnimočných výnosoch podvodnícki podnikatelia vlákali investorov do pasce a po uzavretí vkladu zmizli. Krutý príklad prišiel z Indie, kde spoločnosť OneCoin uviedla Blockchain vytvorený v Exceli a strácajúci sa portál zobrazoval podvodnícke obchody. V apríli 2018 Indický finančný úrad vykonal raziu, zabavil 2 milióny USD a poslal do väzenia 18 zamestnancov. Cez spracovateľa platieb v NSR OneCoin, ktorý sa vyhlásil za nasledovníka Bitcoinu dovtedy do podvodných fondov údajne stiahol najmenej $350 miliónov.
2) Nedostatok údajov pre porovnávanie výkonnosti ICO
Je potrebné povedať, že významná časť začiatočníkov nevytvárala podvodné ICO. Väčšina kryptomien obchodovaných na verejnosti nebola evidovaná a v účtovníctve nebola na strane aktív uvedená. Tento nedostatok uviedol BaFin - German Federal Financial Supervisory Authority, ktorý varoval investorov vyhlásením, že väčšina projektov financovaných pomocou ICO sú vo väčšine prípadov v štádiu experimentovania, a preto ich výkonnosť a obchodný model nebol nikdy testovaný. Bez historických dát je pre investorov ťažké výkonnosť ICO ohodnotiť a porovnávať.
3) Vysoká zložitosť zmlúv pre obchodovanie s kryptomenami
Návody pre obchodovanie väčšinou popisujú podmienky, základnú filozofiu a vlastnú zmluvu medzi investormi a vydavateľmi ICO. Tieto podmienky a zmluvy sú uplatňované bez centrálnej autority - formou inteligentnej zmluvy, ktorou je samostatný program a ten akonáhle sú základné podmienky splnené, vykoná prenos digitálnych aktív. Tu je však riziko, že takéto inteligentné zmluvy môžu byť vykonané unáhlene, alebo podmienky sú nesprávne pochopené, alebo program nemusí spĺňať očakávania investora. Ďalšou zložitosťou je používanie žargónu pre šifrovanie ako napr. segwit, altcoins, halving, multsig atď. Väčšina investorov tiež často neporozumie, čo podpisujú a s čím súhlasia.

Zhrnutie nedostatočnej legislatívy
Z histórie máme skúsenosť, že súčasné výstrelky nedôsledne riadeného trhu s kryptomenami pripomínajú praktiky, ktoré predchádzali finančnej kríze v roku 2008. Ako o finančnej kríze uvádza vyšetrovacia správa vlády USA „ Kríza bola výsledkom ľudských zásahov, nečinností a nie zásahom prírody, alebo nefungujúcich počítačov. Narastajúci zoznam sprenevery najvyššieho stupňa pokračuje a vyžaduje uviesť tvrdý a jasný odkaz: Investori idú do vysokých strát na ICO trhu, ibaže vláda nezasahuje. Tento príklad popisujúci riadenie vývoja cenných papierov naznačuje, že regulačné orgány boli v minulosti nečinné, alebo spevnili zákony, až keď investori zaznamenali vysoké straty. Toto by sa nemalo stať s kryptomenami!
Bolo by nerozumné úplne ICO zakázať, ktoré pri správnom použití predstavujú rozumnú alternatívu začínajúcich podnikateľov k získaniu kapitálu na financovanie strategických projektov. Ako tvrdí jeden učenec,“...bola by škoda, ak by kvôli prehnanej regulácii ICO zanikli tak rýchlo, ako sa objavili, pretože by mohli byť užitočné.“ Zákonodarcovia si môžu vziať podnet od Canada’s Autorite des marches financiers (Kanadský úrad pre finančné trhy), kde pre ICO využívajú testovací systém (Regulatory Sandbox) slúžiaci na zaistenie súladu s legislatívou, oslobodenie ICO od prísnych registračných požiadaviek, ako napr. vydanie podnikateľského zámeru, registráciu ako obchodníka s cennými papiermi a i.
Pre tvorcov legislatívy je tiež dôležité vydávať zákony, ktoré nepovolia investovanie penzijných fondov a iných zdrojov verejného majetku do nestálych a neistých kryptomien alebo ICO. Ak sú pri obchodovaní s kryptomenami finančné prostriedky verejnosti významnou mierou rizika ohrozené, môže to mať dopad na celú ekonomiku. Taktiež predstavenstvo spoločnosti musí jasne definovať podmienky pre investovanie finančných prostriedkov do kryptomien a ICO.

II. Kybernetická bezpečnosť a zraniteľnosti
Zatiaľ čo sa spoločnosti s digitálnou transformáciou vyrovnali, občania vedia, že každá rodiaca sa technológia prináša nové zraniteľnosti s dopadmi, ktoré neboli doteraz celkom objasnené. Blockchain naviac prináša zložité riziká najmä v týchto dvoch prípadoch:
1) DAO štúdia - pohľad na mýtus o odolnosti Blockchain
Základný princíp, podľa ktorého by sa mal Blockchain odlišovať od tradičných aplikácií bola jeho odolnosť t j. predpoklad, že ak bola raz transakcia uložená do účtovnej knihy, digitálne opečiatkovaná, stáva sa trvalou a nezvrátiteľnou; vymazanie a zmena potvrdenej transakcie je nemožná. Na druhej strane transakcie spracované tradičnými aplikáciami môžu byť bez veľkej námahy zmenené, vymazané alebo zabudnuté.
2) Autori Blockchain prehlasujú, že jeho významnou vlastnosťou je dôvernosť. Na zvrátenie
transakcie je potrebné veľké množstve počítačového výkonu, pretože Blockchain na šifrovanie a dešifrovanie obsahu používa dva asymetrické kľúče, čím je zabezpečená vysoká úroveň autentizácie a odmietnutia. Naviac Bitcoin, ako prvá najúspešnejšia implementácia Blockchain, bola navrhnutá tak, aby odolávala možným útokom. Dann Kaminsky, vysoko uznávaný vedec na informačnú bezpečnosť, ktorý predtým v Internete objavil zraniteľnosť DNS - Domain Naming System, priznal, že sa veľakrát, ale márne pokúšal napadnúť a prelomiť Bitcoin.
Ak berieme do úvahy osud DAO - Decentralized Autonomous Organization, je názor o nezrušiteľnosti záznamov pridaných do Blockchain prehnaný. DAO založená v roku 2016, bola aplikácia pre Etherum, ,ktorá mala predávať tokeny pre investorov obchodujúcich s kryptomenami. Títo investori mali za to nadobudnúť zisky vytvárané budúcimi DAO projektami. DAO bol hitom, ktorý od viac ako 11 tisíc fanatikov získal 150 milión USD, z ktorých 11 percent je dodnes vlastníkom kryptomeny Etherum.
V máji 2016, keď DAO začalo svoju činnosť, sa však sny a nádeje investorov rozplynuli. Hacker, ktorý využil chybu v programe, odčerpal z DAO približne 50 miliónov USD do duplikátu pôvodného DAO. Hodnota Etheru sa zrútila. Spoločnosť Etherum mala tri možnosti ako krádež riešiť :
1) potvrdiť hlavné princípy odolnosti a nechať útočníkovi ukradnuté prostriedky,
2) zničiť duplikát DAO a zaistiť aby hacker z toho nemohol profitovať, alebo
3) prepísať záznamy Etherum a vymazať krádež, čo sa nazýva „Hardfork“. (Hardfork znamená
zmenu záznamu predtým vytvoreného neplatného bloku s transakciami na platný a vyžaduje
sa tiež upgrade záznamov u všetkých investorov).
Väčšina investorov bola za Hardfork. Zástancom Etherum nebola po vôli myšlienka vymazať, alebo úmyselne vybrať z Blockchain digitálne podpísané transakcie. Základné princípy boli pre nich sväté a šifrovanie bolo zákonom. Finančnú hodnotu útoku na DAO možno porovnať s mnohými inými vysoko profesionálnymi útokmi, ktorých dôsledky a výsledok Hardfork zvlnili hladinu istoty investorov Etherum. Komisia SEC - US Securities and Exchange Commission požadovala vyšetrenie a zverejnenie výsledkov. Tieto výsledky medzi expertami pre Blockchain podnietili prudké diskusie a tiež vyvolali vzburu medzi zástancami Etherum, ktorí sa rozhodli vydržať s pravou verziou Etherum, teraz známou ako Etherum Clasic.
DAO štúdia uvádza dve dôležité poučenia:
1) Všeobecne vyhlasovaná teória, že šifrovanie môže ochrániť Blockchain od vplyvov ľudského zásahu je prehnané. Ako jasne poukazuje prípad DAO, digitálne podpísané transakcie môžu byť ľudským zásahom manipulované. Idealistom, ktorí podporovali Hardfork, padli dva hlavné princípy – odolnosť a decentralizácia a riešenie je obdobou finančnej pomoci nasledujúcej po finančnej kríze v roku 2007, hoci mnohé banky vyhlásili, že sú príliš silné na to aby skrachovali.
2) Blockchains boli v minulosti vychvaľované, že sú dobre chránené, spoľahlivé a odolné. Avšak táto predpokladaná vlastnosť sa skoro stala Achilovou pätou. Falošný názor o odolnosti poskytovaný spoločnostiam, nebol podložený overeným stanoviskom o ich bezpečnosti.
Napríklad, začiatkom roku 2018 hackeri z japonskej burzy na kryptomeny Coinback ukradli 534 miliónov USD. Podľa všetkého coiny boli prístupné z Internetu na princípe horúcej peňaženky. Nedostatkom tu bola chýbajúca viacnásobná signatúra, ktorá je podobná viacfaktorovej autentizácii používanej pri elektronických transakciách. Iný príklad prišiel od Mt. Gox, inej japonskej burzy pre obchodovanie s Bitcoinami, ktorá v roku 2014 zbankrotovala, keď zlodeji z nej ulúpili 400 miliónov USD. Mt Gox podľa viacerých správ nemala dostatočné kontrolné procedúry a stala sa obeťou zlomyseľnosti dôverných osôb, ktoré na prezradenie privátnych šifrovacích kľúčov použili klasickú pascu (phishing). Zdá sa, že problémy s bezpečnosťou Blockchain sú viac ľudské ako technické.

Zvýšená zraniteľnosť Blockchain pri prístupe k údajom
Mnohé prípady použitia Blockchain vyžadujú úspešné pripojenie s existujúcimi úložiskami dát. Dobrým príkladom sú inteligentné zmluvy - softwér, ktorý zabezpečí, overenie a zrealizovanie zmluvy. Tieto zmluvy však žijú v uzavretom prostredí Blockchain a nevedia získať dáta vlastnými možnostiami. Riešenia tohto obmedzenia sa ujali mnohé firmy, ktoré rozvinuli špeciálne aplikácie (Smart Oracle - druh smart kontraktov), ktoré umožňujú Blochchain komunikovať s externými zdrojmi dát. Tu si treba však uvedomiť, že je nedostatok skúsených vývojárov, ktorí sa vedia vysporiadať so zložitosťou tejto technológie. Výskum z polovice roku 2016 odhaduje 5 tisíc špecializovaných vývojárov schopných tvoriť softvér pre kryptomeny. Nedostatok skúsených vývojárov pre Blockchain zvyšuje možnosť zavedenia škodlivých vírusov a znefunkčnenia platformy Blockchain.
Navyše, prepojenie základných systémov s novo-vybudovanými platformami Blockchain rozširuje možnosti pre kybernetické útoky. Neisté rozhrania programovania aplikácií (API), nešifrované relácie, nedostatky v podnikovej logike, neisté koncové body, slabé overovanie, nechránené šifrovacie kľúče a iné zraniteľnosti sú zdrojom bezpečnostných problémov. Preto implementácie Blockchain s inými systémami vyžadujú starostlivú rovnováhu medzi ich vzájomnou spoluprácou a bezpečnosťou.

Riešenie problémov týkajúcich sa kybernetickej bezpečnosti
Systém, alebo technológie môžu proti počítačovým hrozbám poskytnúť nepriepustnú ochranu. Správny súbor kontrol by mal byť daný hodnotou a zraniteľnosťou podkladových aktív. Pri prijímaní Blochchain, by mali spoločnosti zvážiť týchto päť zásadných úloh:
1) Zaviesť pre projekty Blockchain prísne riadiace postupy a bezpečnostné kontroly,
2) Zaviesť technológie a procesy, ktoré zabezpečia, že kryptografické kľúče budú chránené pred neúmyselnou stratou alebo spreneverou.
3) Zvážiť uloženie súkromných kľúčov pre digitálne peňaženky mimo systému, napríklad na prenosné USB, použiť bezpečnostné schránky, alebo samostatné hardvérové peňaženky. Tu je však dôležité zdôrazniť, že žiadne z nich neposkytuje úplnú odolnosť proti finančným stratám.
4) Na prevod prostriedkov z konkrétnej adresy používať na prístup do digitálnych peňaženiek viacnásobný podpis (multisig) pomocou dvoch alebo i viac súkromných kľúčov, ktoré sú uložené oddelene.
5) Vypracovať podrobné bezpečnostné testovacie scenáre a zabezpečiť, aby účinnosť každej povinnej kontroly bola pred realizáciou nezávisle overené v karanténnom prostredí.

Prekážky transformačných zmien
Podobne ako pri iných trendoch, vzostup Blockchain vznietil dynamickú súhru kontinuity a inovácie. Dosiahnutie rovnováhy medzi inováciou a stabilitou podnikania nemôže byť riadené oddelene. Podniky, ktoré slepo bojovali proti zmenám, nedokázali sa im prispôsobiť a stratili tak svojich zákazníkov. Podľa výskumu, úradujúce firmy, zanedbávajúce digitálne inovácie môžu stratiť až 50 percent tržieb a 30 percentné zníženie príjmov a výnosov.
Blockchain môže nahradiť širokú škálu zastaralých, decentralizovaných aplikácií, najmä tých, ktoré podporujú procesy pre back-office. Pridaním ďalšej vrstvy zložitosti väčšina týchto systémov dlhé roky pretrváva a stále podporujú strategické výnosy. Tak je to v prípade austrálskej burzy cenných papierov (ASX), ktorá v roku 2017 oznámila, že svoj elektronický systém na registráciu zúčtovacieho domu CHESS - Clearing House Electronic Subscriber System, implementovaný v deväťdesiatych rokoch minulého storočia, nahradí riešením pomocou distribuovanej účtovnej knihy. Podniky boli transformované, ale dokumentácia, ako pre väčšinu týchto archaických aplikácií nebola dôsledne aktualizovaná, pretože tvorcovia sa buď presťahovali, alebo zomreli.
Okrem toho podniková kultúra, prvky spoločenského správania, ktoré sú stabilné a silne odolávajú zmenám, môžu tiež predstavovať významnú zotrvačnosť pri zavádzaní Blockchain, pretože zamestnanci odolávajú zmenám a držia sa svojich starých spôsobov práce.
Odpovede
Aby sme na prijatie zmien prekonali tieto technologické a kultúrne prekážky, významní podnikatelia si stanovili realistické ciele predtým ako prijali Blockchain. Namiesto toho, aby podnikli kroky na realizovanie Blockchain, kladú si otázky:
- Vykonal podnik hĺbkovú diagnostiku na odhalenie byrokracie a starých predsudkov? Ak áno, navrhol podnik efektívne stratégie riadenia zmien na ich odstránenie?
- Aké strategické výhody môže získať využívaním technológie Blockchain?
- Ktoré strategické platformy, nahradené technológiou Blockchain, vedú k zníženiu dlhodobých problémov s prevádzkovými nákladmi, k zvýšeniu stability podnikov a k lepšiemu využitiu digitálneho prostredia?
- Aké odborné znalosti sú potrebné na vývoj Blockchain platformy, odstraňovanie a migráciu starších aplikácií a prepojenie rozhraní pôvodných aplikácií s Blockchain?
Blockchain, ktorý sa stále vyvíja, sľubuje riešenie niekoľkých naliehavých globálnych výziev. Napríklad, očakáva sa, že inteligentné zmluvy založené na Blockchain uľahčia priamy, transparentný a nezvratný prevod finančných prostriedkov od darcov k tým, ktorí to potrebujú, čím sa odstránia zbytočné sprostredkovateľské náklady. Ale ak sú problémy uvedené v tomto článku zľahčované, mohli by podkopať dôveru k tejto dôležitej technológii. Autor tejto myšlienky hovorí: "Ak to urobíme zle, technológia Blockchain, ktorá pôsobí tak sľubne, bude obmedzená alebo dokonca zmarená".

Preklad: Ing. Dušan Makoš, CISA
 

 

 

ISACABratislavaOC99results

7.6.2017/ Paul Wilkinson

 

Cybersecurity. It’s all about attitude and behavior.

 

‘Digital transformation represents the beginning of the most significant transformation in our lifetimes’. Michael Ganser Senior VP CISCO Central Europe.

 

Security however, is a barrier preventing many organizations from fully embracing the potential of digital transformation, and was named as one of the top 2 challenges by business executives. It is understandable why organizations are becoming increasingly concerned, as a 2016 FBI report suggested that Ransomware will be a $1 billion dollar industry next year.

 

This prediction seems to be frighteningly accurate. In recent weeks the World has been shocked by the global reach, scale and impact of this type of attack. An alarming growth is for Cyber criminals to target more the human ‘behavioral’ weaknesses in the system.

 

As highlighted in the ISACA guidance CSX (Cybersecurity Nexus) – “One of the most important root causes for successful attacks is human error on the part of the person or people being attacked” – behavior!

 

“….it’s more than simply the behavior of those being attacked. Information Security has become an important element in the effective Governance of Enterprise IT”, stressed Paul Wilkinson from GamingWorks in his closing keynote speech at the Isaca conference, adding that “Governance is more than simply gaining an auditors ‘tick in the box’”. Paul went on to quote the South African King IV report “Corporate Governance should be concerned with ethical leadership, attitude, mindset and behavior”, which echoed the GamingWorks presentation which revealed that the same ‘Attitude (mindset), Behavior, Culture’ (ABC) worst practices have been chosen consistently for the last 15 years in workshops with more than 3000 organizations. The top ABC worst practice chosen being:

 


 

 

You can see how old the cartoon is. The IT person is holding a ‘Floppy disk’!

 

 

Changing Attitudes and shaping new Behavior

GamingWorks conducted an Oceans99 Cybersecurity business simulation game at the ISACA Bratislava conference.

The goals of this workshop were to explore the ‘Attitude, Behavior and Culture’ aspects of Cybersecurity, and to show how the CSX (Cybersecurity Nexus) guidance gives sound guidance on addressing this.

Oceans99

In this business simulation game: “The owner of the Bank of Tokyo has decided to exhibit three world renowned objects. The ‘Star of Africa’, the ‘Jewish Bride’ and a ‘Bugatti 59’. The challenge for the team is to bring the objects to Tokyo, on time, safely and securely, and to have them exhibited, however there are rumors that Oceans 99 a criminal organization wants to steal the objects… In the game the various stakeholders make use of Information systems for planning, for managing, for transporting, for monitoring the objects and for booking and selling tickets, there are many opportunities for Oceans99 to exploit vulnerabilities.

The team was given the tasks of designing a Security Policy, Performing a Risk assessment and developing a Strategy for investing in security counter measures. An observer was given the CSX COBIT 5 Model Behaviors in Cybersecurity and was tasked with making observations and giving feedback between game rounds.

What happened next?

‘It’s chaotic’ said the Las Vegas car owner. The director of the Amsterdam Museum considered withdrawing his painting from the exhibition “I have no confidence that they have a clear policy’. The board stated to the CISO what they wanted then adopted a hands-off approach showing no ‘accountability’. Cybersecurity policy was seen as an IT issue, not a business issue! The game facilitator, playing a potential investor with assets of $500 Billion asked the board for a presentation of their Policy, stating ‘I want to hear the board vision on Cyber security’

When presenting the Policy the critical assets were seen as the physical objects and critical technology systems, and were not described in terms of ‘Image’ & ‘Reputation’, ’Critical data and information assets’ that could damage reputation such as ‘Credit card details’ or ‘Route maps’ that the criminal organization Ocean99 could access and exploit. “I am doubtful about investing, this doesn’t instill me with confidence” said the investor.

At the end of the game round we explored some CSX guidance that the team had ignored - COBIT 5 for Information Security Principles: The first principle being ‘Focus on the business’. Ensure that Information security is integrated into essential Business processes.

We also explored the recommendations in a recent McKinsey report entitled ‘Protecting your critical digital assets: Not all systems and data are created equal’, which stated ‘The idea that some assets are extraordinary – of critical importance to a company – must be at the heart of an effective strategy’. The team had failed to identify and agree the ‘Critical information assets’ that needed protecting.

These were the Key take away learning points from the Policy exercise:


• Lack of ownership and poor co-ordination of Policy definition. The Business was engaged for 1 minute, threw it over the wall to CISO and gave CISO no mandate to define a corporate wide Policy. Many recognized this level of Board commitment!
• The need for a structured approach and effective communication as to how the process would proceed.
• Lack of overall accountability. Some stakeholders try to pro-actively engage and show accountability, others wait to see what would be ‘thrown over the wall’.
• The CISO should ensure ‘Security needs’ are embedded into the processes and behaviors of all Customer touch-points (e.g. in a real organization this could be Project management, Business Relationship Management, IT Service Management, Agile or DevOps teams) – ensuring that security is embedded both in business AND IT processes, roles and activities.
• Lack of a shared understanding of what the critical assets are, and what the business goals and drivers are.

 

 

Considering the fact that the team were all certified security professionals we showed them the COBIT 5 ‘Model Behaviors in Cybersecurity’ and stated that this is something that they ‘should have been doing’! Perhaps more emphasis should be placed on these behavioral aspects in Cybersecurity certification. Below is a selection of some of the desired behaviors from CSX):


• All Users understand the defined priorities in Cybersecurity and how to apply them their personal and business IT environment
• All Users are aware of, and ideally actively involved in, defining cybersecurity principles and policies
• Security managers and Users share accountability for Cybersecurity. This includes business use, travelling and home use.
• Users have a clear view of their accountability and act responsibly.
• All Users are stakeholders in Cybersecurity, regardless of their hierarchical level within the enterprise.
• Executive managers act as end users and recognize the value of Cybersecurity. They actively participate in training and awareness activities
• Users are sufficiently aware of the risk, threats and vulnerabilities associated with attacks/breaches.

Paul revealed that one of the most critical enablers in COBIT 5.0 is the ‘Culture, Ethics and Behavior’ enabler, however the guidance has still not be produced. Paul made a case for the need for this in his blog and asked delegates to mail a call to action to Isaca for producing this guidance.

Risk exercise

The team then performed the risk exercise. They started following the guidance in the COBIT 5 ‘Model Behaviors in Cybersecurity’. The team got together and created a Risk Matrix. The CISO explained what Threats, Vulnerabilities and Risks meant. Each stakeholder was made responsible for defining risks from their business perspective.

The top 5 risks were then presented to the investor to show that the team had identified which key threats needed mitigating. These were all related the ‘Cloud’, ‘Wifi’, ‘Tracking systems’, ‘Critical Laptops’, ‘Tags’.

“I am still not impressed” stated the investor. “In the keynote presentation It was revealed that ‘one of the most important root causes for successful attacks is human error on the part of the person or people being attacked’….where is this in your Risk matrix and countermeasures”?

In the meantime the owner of the Amsterdam Museum had opened a Phishing mail and allowed Oceans99 to take over the tracking system. The team had fallen victim to the human error.

Other object owners had seen these phishing mails. Only one had reported an attack to IT support to register as an incident. This meant that 1 out of 5 security attacks was actually recorded – providing little ability for future risk assessments.

During reflection the team reflected once again on key learning points to take-away ‘what was successful in this round that needs to be taken away’?


• A clearer picture of threats emerged when all stakeholders are engaged in the exercise, taking ownership for assessing risks to their business activities and information assets.
• The board must communicated their strategy, goals, priorities and gain commitment from all stakeholders (as opposed to the Policy exercise when they took a hands-off approach and showed little ‘ownership’).
• The CISO had given training and coaching to stakeholders helping them understand ‘Threats’, ‘Risks’, and ‘Vulnerabilities’.
• Not all have sufficient expertise to determine vulnerabilities and admitted this, as a result external services were budgeted: e.g. ‘stress test’, ‘integrity checks’.
• In the hectic of the moment the teams had reverted to behaviors they knew – ‘a Technology and systems’ focus on Risk. Ignoring ‘The people factor’.
• The team had no agreed or assigned priority mechanism for aligning Risks to the business drivers and priorities

After reflecting on what went well, what went wrong and revisiting the Policy and Risks (iterative improvements). The team made investments. One key investment was ‘Cybersecurity awareness training, - not generic – but based upon experiences gained, using organizational specific situations and examples of behavioral issues’. Helping address a recent statement from DarkReading: ‘The sorry state of Cyber security awareness training’

At the end of the session we explored Key end-of-day learning points. ‘What have you discovered, that you will now take away and do differently?


• Risk Management. More formalized Risk management, engage ALL stakeholders. Ensure that Risk Management in an ongoing exercise and uses ‘incident’ information. Ensure stakeholders take accountability for this.
• Improve awareness training, using organizational specific situations (e.g. from captured incidents and attacks) - for individuals answering the question ‘What does it mean to me’? Adding experiential exercises like this simulation, or practical assignments to let people see, feel and experience – in a SAFE environment. This helps create understanding, buy-in and commitment. (Attitude, Mindset, Behaviors).
• Policy and procedures: More formalized, defined processes and responsibilities for shaping the Security Policy and performing ongoing Risk management - to speed up the flow of decision making.
• Mutual awareness & Understanding: between Business and IT. Shared understanding of goals and priorities. The CISO can facilitate and enable this.
• External promotion (e.g. on Website, to demonstrate the corporate policy and show how we protect customers and help customers protect themselves).
• Demonstrate in order to build Trust and Credibility. Demonstrate an understanding of business goals, demonstrate adherence to policy, demonstrate value and impact of actions, demonstrate an understanding of the business impact of security.
• Incident management and responses: The importance of the Help Desk and Incident management for accurate recording, classification and analysis of security related incidents. The important Role that Problem Management can play working with the CISO. Ensuring this feeds into Risk management.
• Getting the big Picture. Too often we are caught up in the daily operations and technical details. We need to understand how, what we do impacts business strategy and goals. We are not protecting systems, we are protecting business value. This game allowed us to see the need to manage it from end-to-end.
• More face-to-face awareness sessions. To discuss, share, explore and confirm understanding and commitment.
• The need for executive level management commitment & support.
This was a critical point. In the beginning the team members confirmed lack of ownership and governance from board members. In round 2 the board was committed and took ownership. What had the team done to get this?
‘Showed an understanding of business drivers and impact on business value generation as well as explaining risks in term of business impact and loss of value, damaged reputation. Demonstrating to the business we are thinking in business terms and not technology and systems terms.
• ‘Persuasion’. CISOs often do not have the mandate and authority to change attitudes, mindsets and behavior. They must use the power of ‘understanding’ and ‘persuasion’. Develop ‘Communication’ skills.
• Leverage the experiences of the past. Start performing ‘Retrospectives’, looking at incidents, attacks, risks. What worked well, what can be improved, what did we learn?

‘This was a powerful example of effective awareness training that also gave us items to take away and apply’. Said one delegate, showing a change in attitude and a commitment to behavior change.

The workshop was also a good way of addressing COBIT requirement: EDM01.02 Direct the governance system – ‘Obtain senior management commitment to information security and Information risk management’. In the game the Board had turned from one displaying ‘no ownership’, to one that was actively engaged. Perhaps it’s time to play a game with your executive leadership team and board.

 


 

 

CYBERSECURITY NEXUS a ISACA

8.12.2014/ Miroslav Molnár

 

Kyberkriminalita 2014

 

Aké výhody poskytuje členstvo v ISACA 2014

 

Odhalenie skrytej hodnoty investícií pri implementácii ERP systému pomocou riadenia rizík 2014

 

Na slovíčko s prezidentom ISACA Slovensko Petrom Borákom.


 

 

 

 

 

Partner

                                                   

 

Spolupracujeme

 

 

 

 

 

 

 

 

Nájdete nás aj na sociálnych sieťach