I am optimistic about President Obama’s new cybersecurity policy and the appointment of a new “cybersecurity coordinator,” though much depends on the details. What we do know is that the threats are real, from identity theft to Chinese hacking to cyberwar.
His principles were all welcome — securing government networks, coordinating responses, working to secure the infrastructure in private hands (the power grid, the communications networks, and so on), although I think he’s overly optimistic that legislation won’t be required. I was especially heartened to hear his commitment to funding research. Much of the technology we currently use to secure cyberspace was developed from university research, and the more of it we finance today the more secure we’ll be in a decade.
Education is also vital, although sometimes I think my parents need more cybersecurity education than my grandchildren do. I also appreciate the president’s commitment to transparency and privacy, both of which are vital for security.
But the details matter. Centralizing security responsibilities has the downside of making security more brittle by instituting a single approach and a uniformity of thinking. Unless the new coordinator distributes responsibility, cybersecurity won’t improve.
As the administration moves forward on the plan, two principles should apply. One, security decisions need to be made as close to the problem as possible. Protecting networks should be done by people who understand those networks, and threats needs to be assessed by people close to the threats. But distributed responsibility has more risk, so oversight is vital.
Two, security coordination needs to happen at the highest level possible, whether that’s evaluating information about different threats, responding to an Internet worm or establishing guidelines for protecting personal information. The whole picture is larger than any single agency.
This essay originally appeared on The New York Times website, along with several others commenting on Obama’s speech. All the essays are worth reading, although I want to specifically quote James Bamford making an important point I’ve repeatedly made:
The history of White House czars is not a glorious one as anyone who has followed the rise and fall of the drug czars can tell. There is a lot of hype, a White House speech, and then things go back to normal. Power, the ability to cause change, depends primarily on who controls the money and who is closest to the president’s ear.
Because the new cyber czar will have neither a checkbook nor direct access to President Obama, the role will be more analogous to a traffic cop than a czar.
Gus Hosein wrote a good essay on the need for privacy:
Of course raising barriers around computer systems is certainly a good start. But when these systems are breached, our personal information is left vulnerable. Yet governments and companies are collecting more and more of our information.
The presumption should be that all data collected is vulnerable to abuse or theft. We should therefore collect only what is absolutely required.
As I said, they’re all worth reading. And here are some more links.
I wrote something similar in 2002 about the creation of the Department of Homeland Security:
The human body defends itself through overlapping security systems. It has a complex immune system specifically to fight disease, but disease fighting is also distributed throughout every organ and every cell. The body has all sorts of security systems, ranging from your skin to keep harmful things out of your body, to your liver filtering harmful things from your bloodstream, to the defenses in your digestive system. These systems all do their own thing in their own way. They overlap each other, and to a certain extent one can compensate when another fails. It might seem redundant and inefficient, but it’s more robust, reliable, and secure. You’re alive and reading this because of it.
Source : Obama’s Cybersecurity SpeechSono ottimista per quanto riguarda la politica sulla sicurezza cibernetica e la nomina di un nuovo “coordinatore della sicurezza informatica” del nuovo presidente Obama, anche se molto dipende dai dettagli. Quello che sappiamo è che le minacce sono reali, dal furto d’ identità all’ hacking cinese fino alla guerra cibernetica
I suoi principi sono tutti ben accetti – rendere sicure le reti del governo, coordinare le reazioni, lavorare per garantire la sicurezza delle infrastrutture in mano ai privati (la rete elettrica, le reti di comunicazione e così via) – anche se penso che sia eccessivamente ottimista e che non sia necessaria una legislazione. Sono stato particolarmente rincuorato dal suo impegno nel finanziare la ricerca. Gran parte della tecnologia attualmente in uso per rendere sicuro il cyberspazio, è stata sviluppata dalla ricerca universitaria e più la finanzieremo oggi, più sicuri saremo entro un decennio.
Anche l’istruzione è di vitale importanza, anche se a volte penso che i miei genitori ne abbiano bisogno maggiormente, rispetto ai miei nipoti. Apprezzo anche l’impegno del presidente verso la transparenza e la privacy, che sono vitali per la sicurezza.
Ma i dettagli sono importanti. Centralizzare le responsabilità della sicurezza, ha lo svantaggio di renderla più fragile, istituendo un approccio unico ed uniformità di pensiero. A meno che il nuovo coordinatore non distribuisca le responsabilità, la sicurezza informatica non migliorerà.
Avanzando con la pianificazione, l’amministrazione, dovrebbe applicare due principi. Il primo è che le decisioni che riguardano la sicurezza, debbono essere effettuate senza discostarsi dal reale problema. La protezione delle reti dovrebbe essere effettuata da persone che abbiano competenze specifiche, inoltre le minacce devono essere valutate da persone che siano vicine a quest’ultime. Ma la responsabilità distribuita è più rischiosa, quindi la supervisione è di vitale importanza.
Secondo, il coordinamento della sicurezza deve avvenire al più alto livello possibile, sia che si tratti di valutare le informazioni relative alle diverse minacce, reagire ad a un Internet worm, o istituire le linee guida per la protezione dei dati personali. L’immagine nella sua interezza è più grande di ogni singola opera.
Questo articolo è apparso in precedenza sul sito web de The New York Times, insieme a molti altri che commentavano il discorso di Obama.
Tutti gli articoli meritano di essere letti, anche se vorrei citare in particolare James Bamford, che si è soffermato su un un punto importante, da me citato più volte:
La storia degli zar della Casa Bianca non è gloriosa, come chiunque abbia seguito l’ascesa e la caduta degli zar antidroga può dire. C’è un sacco di battage pubblicitario, un discorso alla Casa Bianca e poi le cose tornano alla normalità. Il potere, la capacità di provocare cambiamenti, dipendono soprattutto da chi controlla il denaro e chi è più vicino all’orecchio del presidente.
Visto che il nuovo cyber-zar non avrà né un libretto degli assegni, né accesso diretto al Presidente Obama; il suo ruolo sarà più simile a quello di un poliziotto che dirige il traffico, che a quello di uno zar.
Gus Hosein ha scritto un ottimo articolo sulla necessità della privacy:
Ovviamente creare barriere attorno a sistemi di computer è sicuramente un buon inizio. Ma quando questi sistemi vengono violati, le nostre informazioni personali sono vulnerabili. Tuttavia i governi e le aziende raccolgono sempre più informazioni che ci riguardano.
Il presupposto dovrebbe essere che tutti i dati raccolti sono soggetti a violazioni o furti. Dobbiamo quindi raccogliere solo ciò che è assolutamente necessario.
Come ho già detto, tutti meritano di essere letti. E qui ci sono ancora ulteriori link.
Ho scritto qualcosa di simile in merito alla creazione del Dipartimento della Sicurezza Nazionale:
Il corpo umano si difende attraverso la sovrapposizione di sistemi di protezione. Possiede un complesso sistema immunitario, creato specificatamente per la lotta contro le malattie; ma questo sistema di lotta contro la malattia è anche distribuito in ogni organo e cellula. Il corpo ha tutti i tipi di sistemi di protezione: dalla pelle che mantiene le sostanze nocive al di fuori del corpo, al fegato che filtra le sostanze nocive dal flusso sanguigno, fino alle difese del sistema digerente. Questi sistemi compiono i loro compiti a modo loro. Essi si sovrappongono reciprocamente e, in una certa misura, un organo può compensare quando un altro non porta a termine il suo compito. Potrebbe sembrare ridondante e inefficiente, ma è più robusto, affidabile e sicuro. Sei vivo e leggi tutto questo grazie ad esso.
Fonte : Obama’s Cybersecurity Speech