Friday, August 14, 2015

Top Ten Books Policymakers Should Read on Cyber Security

I've been meeting with policymakers of all ages and levels of responsibility during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few months. Frequently cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y ask "what can I read to better understand cyber security?" I decided to answer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m collectively in this quick blog post.

By posting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se, I am not endorsing everything cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y say (with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exception of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last book). On balance, however, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y provide a great introduction to current topics in digital security.

  1. Cybersecurity and Cyberwar: What Everyone Needs to Know by Peter W. Singer and Allan Friedman
  2. Countdown to Zero Day: Stuxnet and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Launch of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 World's First Digital Weapon by Kim Zetter
  3. @War: The Rise of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Military-Internet Complex by Shane Harris
  4. China and Cybersecurity: Espionage, Strategy, and Politics in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Digital Domain by  Jon R. Lindsay, Tai Ming Cheung, and Derek S. Reveron
  5. Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World by Bruce Schneier
  6. Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door by Brian Krebs
  7. Future Crimes: Everything Is Connected, Everyone Is Vulnerable and What We Can Do About It by Marc Goodman
  8. Chinese Industrial Espionage: Technology Acquisition and Military Modernisation by William C. Hannas, James Mulvenon, and Anna B. Puglisi 
  9. Cyber War Will Not Take Place by Thomas Rid
  10. The Practice of Network Security Monitoring: Understanding Incident Detection and Response by Richard Bejtlich (use code NSM101 to save 30%; I prefer cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 print copy!)

Enjoy!

Friday, August 07, 2015

Effect of Hacking on Stock Price, Or Not?

I read Brian Krebs story Tech Firm Ubiquiti Suffers $46M Cyberheist just now. He writes:

Ubiquiti, a San Jose based maker of networking technology for service providers and enterprises, disclosed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in a quarterly financial report filed this week [6 August; RMB] with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Securities and Exchange Commission (SEC). The company said it discovered cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud on June 5, 2015, and that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident involved employee impersonation and fraudulent requests from an outside entity targeting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company’s finance department.

“This fraud resulted in transfers of funds aggregating $46.7 million held by a Company subsidiary incorporated in Hong Kong to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r overseas accounts held by third parties,” Ubiquiti wrote. “As soon as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company became aware of this fraudulent activity it initiated contact with its Hong Kong subsidiary’s bank and promptly initiated legal proceedings in various foreign jurisdictions. As a result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se efforts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company has recovered $8.1 million of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amounts transferred.”

Brian credits Brian Honan at CSO Online, with noticing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disclosure yesterday.

This is a terrible crime that I would not wish upon anyone. My interest in this issue has nothing to do with Ubiquiti as a company, nor is it intended as a criticism of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company. The ultimate fault lies with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminals who perpetrated this fraud. The purpose of this post is to capture some details for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of analysis, history, and discussion.

The first question I had was: did this event have an effect on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Ubiquiti stock price? The FY fourth quarter results were released at 4:05 pm ET on Thursday 6 August 2015, after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market closed.

The "Fourth Quarter Financial Summary: listed this as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last bullet:

"GAAP net income and diluted EPS include a $39.1 million business e-mail compromise ("BEC") fraud loss as disclosed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Form 8-K filed on August 6, 2015"

I assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Form 8-K was published simultaneously, with earnings.

Next I found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in this five day stock chart.


5 day UBNT Chart (3-7 August 2015)

You can see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gap down from Thursday's closing price, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chart. Was that caused by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud charge?

I looked to see what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financial press had to say. I found this Motley Fool article titled Why Ubiquiti Networks, Inc. Briefly Fell 11% on Friday, posted at 12:39 PM (presumably ET). However, this article had nothing to say about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud.

Doing a little more digging, I saw Seeking Alpha caught cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud immediately, posting Ubiquiti discloses $39.1M fraud loss; shares -2.9% post-earnings at 4:24 PM (presumably ET).  They noted that "accounting chief Rohit Chakravarthy has resigned." I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company was already lacking a chief financial officer, so Mr. Chakravarthy was filling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 role temporarily. Perhaps that contributed to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company falling victim to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ruse. Could Ubiquiti have been targeted for that reason?

I did some more digging, but it looks like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 popular press didn't catch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue until Brian Honan and Brian Krebs brought attention to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud angle of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earnings release, early today.

Next I listened to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 archive of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 earnings call. The call was a question-and-answer session, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a statement by management followed by Q and A. I listened to analysts ask about head count, South American sales, trademark names, shipping new products, and voice and video. Not until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 17 1/2 minute mark did an analyst ask about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud.

CEO Robert J. Pera said he was surprised no one had asked until that point in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 call. He said he was embarrassed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident and it reflected "incredibly poor judgement and incompetence" by a few people in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 accounting department.

Finally, returning to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stock chart, you see a gap down, but recovery later in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session. The market seems to view this fraud as a one-time event that will not seriously affect future performance. That is my interpretation, anyway. I wish Ubiquiti well, and I hope ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs can learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir misfortune.

Update: I forgot to add this before hitting "post":

Ubiquiti had FY fourth quarter revenues of $145.3 million. The fraud is a serious portion of that number. If Ubiquiti had earned ten times that in revenue, or more, would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fraud have required disclosure?

The disclosure noted:

"As a result of this investigation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company, its Audit Committee and advisors have concluded that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Company’s internal control over financial reporting is ineffective due to one or more material weaknesses."

That sounds like code for a Sarbanes-Oxley issue, so I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would have reported anyway, regardless of revenue-to-fraud proportions.