Criminalización de cadenas de suministro global, por el Sr. Hamon

/0 Comments/in , , , , , , , , , , , , , , , , , , , , /by

Hola David, gracias por participar en una entrevista para CBRA. ¿Podría contarnos un poco de quién es usted y de lo que usted hace?

Serví en el Ejército de los Estados Unidos como un especialista en logística, serví en el Departamento de Mantenimiento de Paz de Naciones Unidas, así como trabajo con las organizaciones humanitarias de Naciones Unidas. Recientemente me retiré como contratista gubernamental sin fines de lucro para perseguir un trabajo más creativo- Mientras que en la última posición fui asignado al Departamento de Defensa de los Estados Unidos, primero en asuntos africanos, y después como Director de Investigación y Estudios para la oficina de estudios estratégicos dentro de la Agencia de Defensa de los Estados Unidos. Actualmente trabajo, en su mayoría de forma independiente, en un gran número de cosas relacionadas con las futuras amenazas y la redefinición de la seguridad/estabilidad en lo que respecta e impactos en la diplomacia, el desarrollo, la sociedad y la economía/finanzas.

Nos conocimos por primera vez en Lausana, Suiza, cerca de 2005 -de nuevo, ¿de qué trataba esa mesa redonda?

Muchos años atrás, antes de que las amenazas ciberterroristas estuvieran en el radar, lanzamos una investigación sobre lo que denominamos “terrorismo económico/financiero” y  de si las amenazas de seguridad que emanan del terrorismo en el futuro podrían tomar la forma de ataques al sistema financiero y económico de Occidente. Trajimos una serie de expertos de Estados Unidos y Europa para debatir sobre la cara cambiante del terrorismo y los objetivos probables a futuro de los grupos terroristas.  Examinamos todo desde la ideología, motivación e intenciones, cultura e identidad, hasta estrategia, tácticas, objetivos, armas y grupos. Fue un evento interesante en extremo con la aceptación de la industria -en ese momento- de que no estaban preparados para este fenómeno y los gobiernos estaban ampliamente divididos en esta cuestión.  Adicionalmente, los expertos y los centros de pensamiento discreparon sobre si el terrorismo económico era tangible. Fue una visión muy a futuro en su tiempo. Todos los participantes salieron con una mayor consciencia sobre el tema, ya que fuimos más allá de lo que se conoce actualmente como “crímenes financieros”, explorando las potenciales amenazas que grupos terroristas podrían usar contra la maquinaria económica y financiera, que incluyen ataques físicos en la cadena de suministro, la industria turística, el debilitamiento psicológico del sistema económico occidental para interrumpir el suministro normal de bienes y servicios.

¿Podría decirnos más acerca de su punto de vista sobre “criminalización de las cadenas globales de suministro”?

Tomo un punto de vista similar en la materia del que hace el Dr. Moisés Naim, en su libro de 2005 “Ilícitos: ¿Cómo contrabandistas, traficantes y piratas están secuestrando la economía global?”. Él se refiere a varios actores que se mantienen hoy en día incluyendo el rol de gobiernos, tecnología, comerciantes ilegales que imitan actores comerciales y logísticos lícitos (donde colaboran simultáneamente con muchos de ellos), y grupos criminales que buscan oportunidades de alta rentabilidad en comparación con cualquier otra atribución (ver la entrada en CBRA Blog del 21 de octubre de 2014). A los grupos terroristas les importa menos el lucro, pero cuando se piensa acerca de redes logísticas, ¿qué tal que ambos grupos colaboraran? Hoy en día los sistemas logísticos son más complejos y se mueven más rápido que nunca en la historia, tienen menor margen de error, están menos “manos arriba” y ofrecen muchas formas y lugares para esconder actividades ilegales. La actividad de detección e interdicción no es exclusiva del ámbito de los gobiernos. La industria ha tenido un rol que desempeñar si quiere minimizar las nuevas regulaciones, impuestos, evitar la corrupción y otras fugas en la eficiencia y el beneficio. Los expertos, tanto públicos como privados, raramente tienen un enfoque de sistemas para detectar la actividad criminal con mucho rendimiento que pasa desapercibida. Ambas partes quieren especializarse en un aspecto y pierden de vista la imagen completa. Un buen ejemplo fue la red AQ Khan. ¿Cuánto tiempo ha pasado desde que la industria ha llevado a cabo una evaluación para saber si hay una nueva red “Kahn” por ahí? ¿Las organizaciones comerciales juegan a la guerra con los gobiernos en criminalidad en cadenas de suministro?

¡Interesante! ¿Cuáles son sus puntos de vista sobre “el tráfico múltiple de bienes/carteras criminales”?

En la última organización corporativa donde trabajé, mi equipo hizo algunos análisis en la pesca desregulada e ilegal como una amenaza a la seguridad de los países de las islas del Pacífico. En el transcurso del análisis, descubrimos que eran los mismos actores que hacían la pesca ilegal los que hacían manejo de desechos ilegales, tráfico ilegal, contrabando ilegal y otras actividades ilícitas.  La criminalidad fue solo un aspecto de la cadena de suministro del lado de la “demanda”, así como del lado de la entrega estaba toda la legalidad y con empresas que llevaban a cabo la práctica del negocio legalmente. Los barcos botes como sus plataformas -y sus tripulaciones- se utilizaron para llevar a cabo actividades legales e ilegales, y para las autoridades locales -así como para las naciones donantes que tratan de ayudar- fue imposible proyectar con certeza cuando la actividad cambiaría entre lícita e ilícita. No pudimos analizar si esto era un fenómeno regional o global, pero supongo que era una práctica ampliamente replicada. Como Anthony Barone ha señalado, la gestión fronteriza y los controles no son la panacea de la contención pero tienen que ser parte de una práctica más grante (ver la Entrevista CBRA del 18 de diciembre 2015). Los criminales utilizan tecnología con la misma efectividad. Su idea de reunir un grupo de expertos independientes para repensar nuevos enfoques para la gestión fronteriza (y se puede añadir, redefiniendo el significado de las fronteras y como piensan diferentes sobre las fronteras per se) es un buen inicio. El uso de la prospectiva estratégica con varios futuros alternativos para presentar a una dedicada alianza público-privada (en cadena de suministro) facultada para generar cambios, podría ser mi recomendación general.

¡Parece que la comunidad de la cadena de suministro global se está incrementando cada vez más a amenazas y riesgos! ¿Alguna otra sugerencia sobre cómo manejar la situación (tanto a corto largo plazo)?

En el corto plazo, como mencioné, llevar a cabo un ejercicio de alianza público-privada para replantear el concepto de vigilancia de la cadena de suministro para la actividad ilícita y anticipar nuevas y emergentes actividades ilícitas. En el largo plazo, no damos suficiente pensamiento al conocimiento como parte de la cadena de suministro. El uso de la cadena de suministro para la actividad ilícita se inicia con la motivación y la intención de salir delante de los que pueden hacer daño. Para hacer frente a alternativas futuras tomará algo de innovación y creatividad, pero las apuestas son altas. El siguiente Khan de la red AQ puede traer cosas muy malas en Europa (y más allá), cumplidos para ISIS. No sabemos el conocimiento que la actual población refugiada posee, y que puede ser parte de un futuro ataque al sistema económico-financiero de la UE o si algunos refugiados trabajaron en programas químicos o biológicos en sus países de origen.

Gracias David por esta entrevista, e iniciemos trabajo hacia un proyecto común en estos temas de interés profesional y de investigación común.

Recursos web:

Dr. Naim on illicit trade

New approaches to border management

Comentario de “Protección de la Infraestructura Crítica Marítima – El Departamento de Seguridad Nacional necesita dirigir mejor la seguridad cibernética Portuaria”, Informe al Presidente, Comisión de Comercio, Ciencia y Transporte, Senado de los Estados Unidos, Oficina de Rendición de Cuentas del Gobierno de los Estados Unidos, junio de 2014 (CORE1098)

/0 Comments/in , , , , , , , , , , , , , , , , , , , , /by

Resumen: Las medidas adoptadas por el Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) y dos de las agencias que lo componen, la Guardia Costera de los Estados Unidos y la Agencia Federal para el Manejo de Emergencias (FEMA, por sus siglas en inglés), así como otras agencias federales, para hacer frente a la seguridad cibernética en el entorno marítimo portuario, han sido limitadas. Reporte disponible (en inglés) en: http://www.gao.gov/assets/670/663828.pdf

[s2If is_user_logged_in()]

Full review: While the Coast Guard initiated a number of activities and coordinating strategies to improve physical security in specific ports, it has not conducted a risk assessment that fully addresses cyber-related threats, vulnerabilities, and consequences. Coast Guard officials stated that they intend to conduct such an assessment in the future, but did not provide details to show how it would address cybersecurity. Until the Coast Guard completes a thorough assessment of cyber risks in the maritime environment, the ability of stakeholders to appropriately plan and allocate resources to protect ports and other maritime facilities will be limited.

Maritime security plans required by law and regulation generally did not identify or address potential cyber-related threats or vulnerabilities. This was because the guidance issued by Coast Guard for developing these plans did not require cyber elements to be addressed. Officials stated that guidance for the next set of updated plans, due for update in 2014, will include cybersecurity requirements. However, in the absence of a comprehensive risk assessment, the revised guidance may not adequately address cyber-related risks to the maritime environment.

The degree to which information-sharing mechanisms (e.g., councils) were active and shared cybersecurity-related information varied. Specifically, the Coast Guard established a government coordinating council to share information among government entities, but it is unclear to what extent this body has shared information related to cybersecurity. In addition, a sector coordinating council for sharing information among nonfederal stakeholders is no longer active, and the Coast Guard has not convinced stakeholders to reestablish it. Until the Coast Guard improves these mechanisms, maritime stakeholders in different locations are at greater risk of not being aware of, and thus not mitigating, cyber-based threats.

Under a program to provide security-related grants to ports, FEMA identified enhancing cybersecurity capabilities as a funding priority for the first time in fiscal year 2013 and has provided guidance for cybersecurity-related proposals. However, the agency has not consulted cybersecurity-related subject matter experts to inform the multi-level review of cyber-related proposals—partly because FEMA has downsized the expert panel that reviews grants. Also, because the Coast Guard has not assessed cyber-related risks in the maritime risk assessment, grant applicants and FEMA have not been able to use this information to inform funding proposals and decisions. As a result, FEMA is limited in its ability to ensure that the program is effectively addressing cyber-related risks in the maritime environment.

Why GAO Did This Study? U.S. maritime ports handle more than $1.3 trillion in cargo annually. The operations of these ports are supported by information and communication systems, which are susceptible to cyber-related threats. Failures in these systems could degrade or interrupt operations at ports, including the flow of commerce. Federal agencies—in particular DHS—and industry stakeholders have specific roles in protecting maritime facilities and ports from physical and cyber threats. GAO’s objective was to identify the extent to which DHS and other stakeholders have taken steps to address cybersecurity in the maritime port environment. GAO examined relevant laws and regulations; analyzed federal cybersecurity-related policies and plans; observed operations at three U.S. ports selected based on being a high-risk port and a leader in calls by vessel type, e.g. container; and interviewed federal and nonfederal officials.

What GAO Recommends? GAO recommends that DHS direct the Coast Guard to (1) assess cyber-related risks, (2) use this assessment to inform maritime security guidance, and (3) determine whether the sector coordinating council should be reestablished. DHS should also direct FEMA to (1) develop procedures to consult DHS cybersecurity experts for assistance in reviewing grant proposals and (2) use the results of the cyber-risk assessment to inform its grant guidance. DHS concurred with GAO’s recommendations.

Full citation:  “MARITIME CRITICAL INFRASTRUCTURE PROTECTION – DHS Needs to Better Address Port Cybersecurity”, Report to the Chairman, Committee on Commerce, Science, and Transportation, U.S. Senate, United States Government Accountability Office, June 2014.

CORE1098

Keywords: Maritime Security, Port Security, Cyber – Security, CBP U.S. – Customs and Border Protection, Coast Guard U.S., DHS-Department of Homeland Security, FEMA-Federal Emergency Management Agency, ISAC-information sharing and analysis center, IT-information technology, MTSA-Maritime Transportation Security Act of 2002, NIPP-National Infrastructure Protection Plan, AFE Port Act-Security and Accountability for Every Port Act of 2006, TSA-Transportation Security Administration

[/s2If]

Comentario de La Brecha en Infraestructura Crítica: Instalaciones Portuarias en Estados Unidos y Vulnerabilidades Cibernéticas, Documento de Política, Center for 21st Century Security and Intelligence (CORE1095)

/0 Comments/in , , , , , , , , , , , , , , , , /by

Resumen: En un documento de política de 50 páginas del Brookings Institute y elaborado por el Comandante Joseph Kramek de la Guardia Costera de los Estados Unidos y Miembro Ejecutivo Federal en la institución, se discute el estado actual de los asuntos relacionados con las vulnerabilidades en los puertos estadounidenses y se presentan las opciones para reforzar la seguridad cibernética. En el resumen ejecutivo, el Comandante Kramek escribe que las instalaciones portuarias estadounidenses de hoy en día se basan tanto de las redes y sistemas informáticos y de control como se basan de los estibadores para asegurar el flujo de comercio marítimo del que dependen el Estado, la economía y la seguridad nacional. Sin embargo, a diferencia de otros sectores críticos en la infraestructura, se ha prestado poca atención a los sistemas de redes que sustentan las operaciones portuarias. Reporte disponible (en inglés) en: http://www.brookings.edu/~/media/research/files/papers/2013/07/02%20cyber%20port%20security%20kramek/03%20cyber%20port%20security%20kramek.pdf

[s2If is_user_logged_in()]

Full review: No cybersecurity standards have been promulgated for U.S. ports, nor has the U.S. Coast Guard, the lead federal agency for maritime security, been granted cybersecurity authorities to regulate ports or other areas of maritime critical infrastructure. In the midst of this lacuna of authority is a sobering fact: according to the most recent National Intelligence Estimate (NIE) the next terrorist attack on U.S. Critical Infrastructure and Key Resources (CIKR) is just as likely to be a cyber attack as a kinetic attack.

The potential consequences of even a minimal disruption of the flow of goods in U.S. ports would be high. The zero-inventory, just-in-time delivery system that sustains the flow of U.S. commerce would grind to a halt in a matter of days; shelves at grocery stores and gas tanks at service stations would run empty. In certain ports, a cyber disruption affecting energy supplies would likely send not just a ripple but a shockwave through the U.S. and even global economy.

Given the absence of standards and authorities, this paper explores the current state of cybersecurity awareness and culture in selected U.S. port facilities. The use of the post-9/11 Port Security Grant Program (PSGP), administered by the Federal Emergency Management Agency, is also examined to see whether these monies are being used to fund cybersecurity projects.

Full citation:   The Critical Infrastructure Gap: U.S. Port Facilities and Cyber Vulnerabilities, Policy Paper, July 2013, Center for 21st Century Security and Intelligence.

CORE1095

Keywords: Maritime Security, Cyber-security, Port Security Grant Program (PSGP), Port facility, Coast Guard, Maritime Transportation Security Act (MTSA).

[/s2If]

Chemical Security in Istanbul

/0 Comments/in , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , /by

2015-12-15 09.02.08I had the most interesting week in Istanbul with the Iraqi government representatives, chemical sector companies and the US State Department Chemical Security Program, CSP.

Security in the chemical supply chain is a major challenge for government agencies and chemical supply chain companies across the globe, including those in the Middle-East and North African (MENA) region. Theft, diversion, trafficking, export violations, counterfeit chemicals, sabotage and terrorism – among other criminal threats – keep the agencies and companies constantly on their toes when considering how to best tackle the vulnerabilities and threats in their respective chemical supply chains.

This was my second time to join as an external expert in a Chemical Security Program (CSP) event in the MENA region. The first time was in Hurghada, Egypt, in March 2015 – thanks again to Professor Andrew Thomas, the Chief Editor of the Journal of Transportation Security, for hooking me up with CRDF Global and the US State Department on this. Now the four day event targeted for the relevant Iraqi government agencies as well as the Iraqi chemical sector companies was held in Istanbul, Turkey, on 14-17 December 2015.

We had a fully packed agenda: Day 1 consisted of several introductory and state-of-play speeches by the workshop facilitators and by Iraqi experts, the latter group sharing key governmental, industry and academic perspectives to the chemical security progress in Iraq.  Day 2 started with a case study presentation on “Post-2001 supply chain security developments at Dow Chemicals”, followed by private-public partnership considerations in chemical supply chain security. During the afternoon of day 2, two more presentations were given on potential threats to materials of interest, as well as on site-physical security. Day 3 started with presentations on international transport of dangerous goods and security rules, followed later by presentations on export control and border security issues, as well as risk assessment methodological aspects.

Interactive sessions, group exercises and other discussions were vivid throughout the four days. On day 1, the main interactive session was about government-industry coordination. On day 2, the focus shifted to identifying key players in Iraqi chemical supply chain security, as well as exploring private sector specific chemical security issues. On day 3, a major interactive session took place to recognize existing vulnerabilities and threats in the chemical supply chain, as well as to identify appropriate countermeasures and other possible means of improvement. And finally, on day 4, a draft table of content for a potential “Iraqi chemical supply chain security master plan and implementation roadmap” was produced in a highly interactive manner, followed ultimately by drafting some actual planning content in areas including chemical transport security and raising security awareness.

The actual workshop outcomes and possible follow-up actions will be worked upon later by the organizing team and some key participants. In the meanwhile, I want to express my warmest thanks for this opportunity and great on-site collaboration in Istanbul to: Ms. Shawn Garcia from the U.S. Department of State, Chemical Security Program (DOS/CSP); Ms. Pelin Kavak and Mr. Nidal Abu Sammour from CRDF Global, US / Jordan; and Dr. Caner Zanbak and Mr. Mustafa Bagan from the Turkish Chemical Manufacturers Association (TCMA). Hope to meet you again in 2016 in Iraq, Algeria and possibly other locations in the MENA region!

 

Cheers, Juha Hintsa

P.S. We also tested two CBRA frameworks / models – CBRA SCS15/16, and CBRA-BAC-Actions and beneficiaries – with the audience during the Istanbul week. Both of them were well perceived, and will be topics for CBRA Blog during the coming couple of months. (SCS = Supply Chain Security, and BAC = Border Agency Cooperation).

PPS. Last but not least I would like to thank Ms. Antonella Di Fazio of Telespazio, Italy, and FP7-project CORE, for excellent inputs on transport of dangerous goods, traceability and monitoring solutions, demonstrators, and practical experiences.