Start your own group! All DESIGN 21 members have the ability to create organizations.

Create A Group
Hass and Associates

Hass and Associates

Communication, Community, Environment

11 Supporters

  • Cybersecurity--Få det rett denne gangen

    Community, Communication Design

    http://www.huffingtonpost.com/susan-landau/cybersecurity-executive-orderb2630685.html

    international hass associates news blog

    Administrasjonen har lagt ut et executive bestille på cybersecurity for kritisk infrastruktur. Kongressen er ikke fornøyd. Men jeg tror at denne rekkefølgen i stor grad får ting riktig.

    Rekkefølgen fokuserer på systemer og eiendeler, enten fysisk eller virtuell, hvis ødeleggelsene ville ha en ødeleggende effekt på sikkerhet, nasjonal sikkerhet, nasjonale økonomiske sikkerhet, nasjonale offentlige helse og sikkerhet, eller en kombinasjon. Det er riktig sett med problemer- og en langt gråte fra noen tidligere klassifisering av kritisk infrastruktur som hadde med alt fra en miniatyr golfbane i San Jose for å i vedtektene for Liberty i New York Harbor.

    Ordren krever direktør for National Intelligence å dele Uklassifisert informasjon på cyberthreats med den Department of Homeland Security (DHS) i tide, og for DHS "raskt" formidle det samme til de målrettede enheten. Helt riktig. Rekkefølgen setter direktør for National Institute for Standards and Technology (NIST) ansvarlig for å koordinere en "ramme" for å redusere risikoen for cyber mot kritisk infrastruktur. Det er rett byrået for jobben. DHS har rettshåndhevende organer i avdelingen, og disse gruppene har noen ganger komplisert forbindelser med den private sektoren. Sikring av kritisk infrastruktur-nettverk krever smir samarbeidsforbindelser med privat næringsliv. Begge NISTand sin overordnede avdeling, Department of Commerce, har masse erfaring med å utvikle slike frivillig innsats. Så var dette en god samtale.

    Rammen er ment for å være "prioritert, fleksibel, repeterbare prestasjonsbasert og kostnadseffektiv"--alle viktige aspekter. Rammen er å "ta metoder for å identifisere og redusere [negative] virkninger" på business konfidensialitet og personvern og borgerrettigheter. Og det er å bli gjennomgått og oppdatert med jevne mellomrom. DHS Sekretær vil etablere en frivillig program for å støtte innføringen av rammen. Alle gode.

    Sektor-spesifikk byråer er å gå gjennom rammen og utvikle implementere veiledning. Dette er veldig viktig. Cyber-beskyttelse som gir mening for power grid er ikke de som vil fungere for telekommunikasjon, og ingen av de passer behovene til den finansielle sektoren. Sette på plass beskyttelsene som fungerer for hver sektor er en kritisk del av å få cybersecurity høyre. (Dette er noe kolleger og jeg har skrevet om her.) Montering kur til problemet er viktig, og det er viktig at dette har blitt anerkjent helt fra starten.

    Det vil være årsrapport og insentiver for deltakelse. Det er nødvendig, og godt å se på plass. Rekkefølgen er svakere enn det kunne være på innkjøp, ber bare om anbefalinger på "trinn [at] kan tas for å harmonisere og gjøre konsekvent eksisterende anskaffelser krav knyttet til cybersecurity." Dette problemet saker. Opp til nå, har vært en ettertanke: vi ønsker bjeller og fløyter, og oh, ja, hvis du kan gjøre det samtidig som man bygger et sikkert system, det er bra. Dette er ett sted administrasjonen kunne ha reell innflytelse, og det gjenstår for å se hvor alvorlig anskaffelser aspekt vil være.

    Det er bra at DHS Sekretær må bruke en risikobasert tilnærming i å bestemme hvilke kritiske infrastruktursystemer trenger oppmerksomhet først.

    Dokumentet er ikke uten problemer. På papir kommer personvern og borgerrettigheter tidlig (seksjon 5 i rekkefølgen). I praksis, det er noen fare for at personvern og borgerrettigheter kunne bli dyttet av bordet. Beskyttelsene er å bli bygget på den rettferdig informasjon prinsipper, selv basis forprivacy beskyttelse rundt om i verden. Hva er trolig det viktigste i denne sammenhengen er rettferdig informasjon prinsipper beskyttelse mot "sekundær bruk" av informasjon uten eksplisitt velge i. Som er den gode del.

    Den dårlige nyheten er at mangel på tennene på rettshåndhevelse side. Samsvar vurderinger vil komme fra DHS Chief Privacy Officer, DHS offiser for sivile rettigheter og borgerrettigheter, Office of Management og budsjett, og personvern og borgerrettigheter forglemmelse styret. Men mens man kan argumentere for at den nåværende DHS Chief Privacy Officer har en interesse i personvern, gjeldende DHS offiser for sivile rettigheter og borgerrettigheter er bare en fungerende avtale. Personvern og borgerrettigheter forglemmelse styret møtte fjor høst for første gang på fem år, og det fortsatt mangler en stol.

    Administrasjonen har nå hatt en god post på aspekter av personvern. Nasjonal strategi for klarerte identiteter i Cyberspace har satt personvern front og senter i sin ID-innsats. I en årrekke har Federal Trade Commission aggressivt jage saker mot selskaper som bryter deres egne retningslinjer. Denne håndhevelse har vært sterk nok til at på minst de større bedriftene arbeider hardt å ikke bli neste. Og den gode nyheten på executive order er at dens fokus er på informasjonsdeling fra regjeringen til privat sektor.

    Men om det er screening-enheter på flyplasser, den økende samlingen av telefon transaksjonsdata, eller regjeringen tilgang til alt fra forretningsoppføringer til biblioteket lån med en enkel bokstav for nasjonal sikkerhet (og uten juridisk overoppsyn), det er rikelig med grunner for publikum å tvile på den amerikanske regjeringens forpliktelse til personvern. Det er derfor denne ellers utmerkede dokumentet har noen måter å gå.

    Hva mangler? For en start er det ingen styrende prinsipper i dokumentet. Vurdere hvordan det amerikanske forsvarsdepartementet har reagert på bekymringer om sin rolle i å beskytte cyber verden. Mens direktør for National Intelligence General Alexander ikke ønsker å være låste ned om hvor hans makt ender, var forsvarsminister Leon Panetta veldig klar på Dods rolle i cybersecurity. Sekretær sa at beskytte nasjonen mot cyberwar, "ikke betyr at det amerikanske forsvarsdepartementet vil overvåke citizens' personlige datamaskiner. Vi er ikke interessert i personlig kommunikasjon eller i e-post eller å sørge for den daglige sikkerheten av private og kommersielle nettverk. Det er ikke vårt mål. Det er ikke vår jobb. Det er ikke vår misjon."

    Den gjeldende executive ordren, diskuterer imidlertid prosessen, men ikke prinsippene. Presidenten kan ha samme intensjoner som sekretær Panetta, men slike beskyttelse må være tydelig stavet ut. Hvor gjør det sier at overvåket skal bare brukes til å hindre aktive skade på datasystemer? Den personlig kommunikasjonen vil bare bli overvåket av regjeringen, hvis det er en avlytting for?

    Executive order må være støttet av eksplisitt handlinger. Det inkluderer en aktiv personvern og borgerrettigheter Board, en permanent DHS offiser for sivile rettigheter og borgerrettigheter.

    Som for Kongressen er opprørt med ordren, som har mer å gjøre med pique enn innhold. I år har den lovgivende organ dilly-dallyed på cybersecurity. Nå har presidenten tilegnes dem. Det er ikke en god grunn til å motsette seg rekkefølgen-- men det er en god grunn for Kongressen å komme bak cybersecurity. Støtte NIST i sin innsats (finansiere programmet!), få eksplisitt forpliktelser fra administrasjonen på sivile frihet beskyttelse, insisterer på årlige rapportering på samme, gjennomføre overvåking for å sikre rammens hensikt er egentlig fulgte. Som tilsyn fungerer er viktig - og Kongressen bør gjøre det.

    Denne executive order treff til høyre peker. Det setter ansvar for cybersecurity framework i Department of Commerce, som kan arbeide med privat næringsliv, det fokuserer på bransjespesifikke løsninger, lover det betimelig anmeldelser av cybersecurity rammen, det setter risiko og kostnader effektiviteten først å bestemme beskyttelse. Styrke federal anskaffelser og sivile friheter aspekter, og vi har en arbeider cybersecurity planlegger her.

    Det er på tide.

    international hass associates news blog

Leave a Response

Fields marked * are required


No file selected (must be a .jpg, .png or .gif image file)


Once published, you will have 15 minutes to edit this response.

Cancel

Know the risks. Know the solution.

Join This Group

Hass and Associates

Contact Hass and Associates

Moderator: Adam Whales