Start your own group! All DESIGN 21 members have the ability to create organizations.

Create A Group
Abney and Associates Cyber Security

Abney and Associates Cyber Security

Communication, Community, Education

1 Supporter

  • Nous avons besoin d'un Dialogue sur la cybersécurité

    Community, Communication Design

    Cyber-security_432_

    Source

    Les radiodiffuseurs ont augmenté de plus en plus tributaires de l'Internet, que ce soit pour atteindre un public potentiel et annonceurs, conduite des affaires quotidiennes ou remplir leurs obligations de FAC EAS pour surveiller le service CAP IPAWS.

    L'inconvénient de la dépendance de l'Internet, bien sûr, est que l'industrie de la radiodiffusion est maintenant en première ligne des attaques potentielles par n'importe quel nombre de cyber-menaces. Le veuille ou non, cyber sécurité continuera d'être une réalité pour les radiodiffuseurs et les fabricants d'EAS.

    BEAUCOUP À FAIRE

    EAS technologies ne sont pas des appareils de sécurité elles-mêmes. Les radio diffuseurs doivent protéger ces technologies comme ils le feraient n'importe quel système sensible dans leurs opérations.

    Protection signifie, à tout le moins, gardant toutes les connexions réseau aux dispositifs pare-feu depuis l'Internet public, en vérifiant régulièrement avec les fournisseurs afin de s'assurer que le logiciel est à jour et vérification régulière des systèmes EAS de l'installation pour toute les indications potentielles d'attaque ou tout accès non autorisé. (Pour les utilisateurs DASDEC, l'actuel 2.0-2 communiqué publié en avril comprend plusieurs cumulatives sécurité et fonctionnalité mises à jour.)

    Le 15 mai, FEMA publiée un rappel à diverses listes de courriel de l'industrie sur l'importance de maintenir à jour logiciel/firmware sur les dispositifs CAP EAS.

    Cependant, il y a beaucoup plus à faire. Méthodes conseillées communes et contrôles critiques doivent être identifiés et mis en œuvre dans chacun des domaines des principaux intervenants dans le système EAS : diffuseurs, fabricants de CAP EAS et réseaux CAP EAS, y compris les IPAWS et les différents réseaux de CAP État qui évoluent. Ces meilleures pratiques ne doivent pas nécessairement être onéreux, mais ils ont besoin d'être mis en œuvre-l'échelle du système.

    Le système n'est aussi fort que son maillon.

    MEILLEURES PRATIQUES

    Quelles pratiques de sécurité ou des contrôles de l'industrie devrait envisager ? Et qui devrait être l'arbitre ou à l'avocat pour ces meilleures pratiques de cyber sécurité ? Eh bien, une première liste de « Best Practices for Public Warning cybersécurité » pourrait inclure :

    • Sauvegarde matériel — s'assurer que l'équipement EAS CAP est derrière un pare-feu, au minimum, et qu'il a des versions les plus récentes du logiciel/firmware de fabricants. Toute l'administration distante doit être effectuée sur des canaux sécurisés, de préférence avec un cryptage fort, ou sur un second canal SSL ou IPSEC.

    • Sécurisation Configuration — des pare-feux, routeurs et commutateurs. Ces éléments restent souvent moins sûrs qu'ils devraient l'être. Radiodiffuseurs devraient également limiter l'accès aux ports et aux autres services.

    • Périmètre de défense — créer une forte « périmètre de défense », comme un pare-feu simple peut ne pas toujours suffire. Radiodiffuseurs devraient envisager la que création d'une couche limite par à l'aide de pare-feu, proxy, réseaux de périmètre de DMZ et protection contre les intrusions sur le réseau et détection, mais aussi de filtrage du trafic entrant et sortant. Systèmes d'alerte numérique a publié un livre blanc sur ce sujet en 2011. ("CAP, EAS et IPAWS : introduction d'une stratégie de sécurité de défense en profondeur pour les radiodiffuseurs," disponible à www.digitalalertsystems.com/pdf/wpdas-122.pdf.)

    • Méfiez-vous de Malware — défenses contre les logiciels malveillants peuvent devenir encore plus importants à l'avenir, si et quand les messages de CAP contiennent des liens vers les ressources (fichier) sur des serveurs Web tiers. Même si un message de CAP vient via le serveur de la FEMA IPAWS, message de CAP pouvant contenir un lien vers quelques multimédia séparé rompre que l'appareil peut automatiquement tentez d'accéder.

    • Favoriser des compétences et la formation — une culture plus forte de sensibilisation autour de cybersécurité est nécessaire dans le secteur des médias de masse. Il doit également être une plus grande possibilités de formation qui aident le personnel clé dans le développement ou l'amélioration des compétences en matière de sécurité de cyber. Avec le soutien des principaux organismes publics, organisations nationales telles la Society of Broadcast Engineers ou NAB pourraient prendre la tête pour promouvoir ces activités.

    • Accès contrôlé — prendre en charge les utilisateurs ayant accès matériel CAP EAS en changeant tous les mots de passe par défaut pour les applications, systèmes d'exploitation, routeurs, pare-feu, points d'accès sans fil et autres systèmes d'une valeur difficile à deviner et en limitant les privilèges d'administration.

    Les radiodiffuseurs ont un incitatif financier et concurrentiel de sauvegarder leurs propres réseaux. Organismes gouvernementaux, y compris la FEMA et la FCC ont une incitation inhérente pour protéger la résistance et la fiabilité du système d'alerte d'urgence globale, et cela signifie éliminer les risques qui accompagnent sa nouvelle dépendance sur Internet.

    L'incident alarmant depuis février, quand quelqu'un a piraté l'EAS et a émis un avertissement que les zombies étaient réels et sur l'attaque, a suscité au moins un dialogue sur la cybersécurité. Toutefois, ce dialogue reste le manque de coordination entre l'industrie et du gouvernement et est loin d'être ce qui donne un cadre de sécurité s'adressant aux intérêts du public et du secteur privé.

    PARTENARIAT

    Depuis le décret du président Obama février sur la cyber-sécurité globale, la maison blanche a favorisé en combinant des mesures de sécurité volontaire ainsi que de mesures incitatives pour les entreprises qui sont conformes. Congrès, pour sa part, semble être penché vers la législation qui favoriserait l'adoption de meilleures pratiques de cyber sécurité par entités les secteur privé et secteur public.

    Ce qui manque de cette approche est un moyen d'identification, de traduire et de promouvoir les meilleures pratiques dans l'ensemble de l'industrie de la radiodiffusion. Création d'un partenariat public-privé autour de cybersécurité pour avertissement public pourrait être un moyen efficace de combler cette lacune. Le résultat d'un tel partenariat serait le partage de l'information sur les meilleures pratiques, des approches pratiques et potentiels cyber menaces à la sécurité pour l'ensemble du système EAS de CAP.

    Ce n'est pas une suggestion hypothétique. Juste ce type d'approche de public-privé est déjà étant englobée dans d'autres industries. En principe, il pourrait être reproduit dans l'industrie de la radiodiffusion.

    Le Department of Homeland Security, ainsi que le Department of Energy, a récemment conclu un partenariat avec un certain nombre de sociétés d'énergie pour identifier et combattre les menaces dans cette industrie. Grâce à cette relation de travail, l'industrie de l'énergie est le partage d'informations sur les risques auxquels il est confronté, et le gouvernement est le partage d'informations sur les menaces éventuelles.

    Ce partenariat de l'industrie de l'énergie prévoit un véritable point de repère comment il pourrait fonctionner un partenariat public-privé pour la cyber-sécurité dans la zone de mise en garde publique et, en fin de compte, à produire des résultats mutuellement avantageuses pour le gouvernement et l'industrie.

    Une autre recommandation est l'inclusion des technologies liées à l'EAS et systèmes en vertu du programme DHS protégé Critical Infrastructure Information (PCII). PCII est un programme de protection des informations qui améliore le partage entre les propriétaires d'infrastructures, opérateurs et le gouvernement de l'information volontaire. Protections PCII signifient que les partenaires de sécurité de patrie peuvent être confiants que partager leurs informations avec le gouvernement n'exposera pas les données sensibles ou propriétaires.

    Étapes simples peuvent être prises pour renforcer la sécurité du nouveau système EAS de CAP, et bon nombre de ces mesures relèvent du contrôle du radiodiffuseur local. Cependant, CAP EAS est un système, un système qui sera seulement aussi sécurisé que son maillon.

    Par conséquent, est maintenant le temps d'ouvrir un dialogue sur la formation d'un partenariat public-privé sur la cybersécurité dans un avertissement public. Maintenant est le temps pour les radiodiffuseurs à devenir plus conscients des exigences de sécurité réseau croissant que demandes de CAP EAS d'entre eux. La sophistication croissante des cybermenaces ne va pas disparaître, et la nature reliés entre eux d'un système basé sur Internet CAP EAS met tous les radiodiffuseurs sur les lignes de front.

Leave a Response

Fields marked * are required


No file selected (must be a .jpg, .png or .gif image file)


Once published, you will have 15 minutes to edit this response.

Cancel

Current precautions may not be as safe as we think

Join This Group

Abney and Associates Cyber Security

Contact Abney and Associates Cyber Security

Moderator: Aleksandra Wilson