Güncel manşetler bize güvenliğin tüm biçimleriyle önemli olduğunu hatırlatıyor. Siber güvenlik camiasındaki bizler için en önemli konu, kritik altyapı işlevlerinin, savunma güçlerinin iletişim kurabilmesi, vatandaşların doğru bilgilere erişip erişemeyeceği ve ekonomik ve ulusal güvenliğin teknolojik temellerinin güvenilir ve kullanılabilir olup olmadığıdır.
Siber güvenlikte son 30 yıl, iki karşıt güç tarafından karakterize edildi. Bir yanda, güvenlik ve yeniliği bilgi altyapısına yönlendirme arzusu var. Öte yandan, güvenlik açıklarını bulma ve bunları suç faaliyeti veya ulusal çıkar için kullanma avı var.
Yol boyunca ilkeler, bazı kurallar geliştirdik ve insanları en iyi uygulamaları benimsemeye teşvik etmeye çalıştık. Bunlar şunları içerir: Ürüne başlangıçta güvenlik sağlamalıyız; güvenlik insanlarla, süreçle ve teknolojiyle ilgilidir; avantaj suçtur; derinlemesine mimar savunması; güvenlik için bir sistem mühendisliği yaklaşımı kullanmak; ve şirketler güvenlik ve gizlilik konusunda rekabet etmelidir.
Gelişme kaydetme
Neyse ki, bunların birçoğunu ele alma konusunda ilerleme kaydettik. Bunların her biri birkaç gerçek tarafından canlandırılmıştır – bilgi altyapısı küreseldir; ticari ürünler bir kez üretilir ve dünya çapında satılır; aynı ticari ürün tüketiciler, kritik altyapı, hükümetler ve ordu tarafından kullanılır; ve siber yasalar, düzenlemeler ve kamu-özel ortaklıklarının gerçek ve küresel etkileri vardır.
Siber güvenliğin durumunu iyileştirmeye yönelik çok sayıda teklife ek olarak, rekabeti içeren ve güvenliği etkileyen çeşitli politika önerileri de değerlendirilmektedir. Hem eski bir siber güvenlik yöneticisi hem de Adalet Bakanlığı Antitröst Biriminin eski bir genelkurmay başkanı olarak, bu rekabet politikası önerileri dikkatimi çekti.
Bir antitröstcü olarak, ekonomi için kritik olan rekabete odaklanıldığını görmekten memnunum. Bir güvenlik uzmanı olarak, bu yasama politikası önerilerinin bazı bölümlerinin istenmeyen sonuçlarından endişe duyuyorum. bir dizi yarışma politika teklifler cep telefonu üreticilerini, incelenmemiş cep telefonu uygulamalarının bir cihaza indirilmesine izin vermeye zorlayacaktır. Bu, kötü amaçlı yazılımlarla dolu, izniniz olmadan sizinle ilgili bilgileri almak ve kullanmak için tasarlanmış, sizi gözetlemek, bankacılık bilgilerinizi çalmak veya telefonunuzu bir tuğlaya dönüştürmek için tasarlanmış uygulamaları içerebilir.
Telefonun resmi uygulama mağazaları tarafından incelenmemiş uygulamalara izin vermek, tüketicileri, kritik altyapıyı ve hükümetleri güvende tutmak için şu anda yürürlükte olan etkili teknik ve insani uygulama mağazası güvenlik ve gizlilik kontrollerini atlatacaktır. Resmi uygulama mağazaları reddediyor üzerinde yılda bir milyon uygulama ve anlamlı güvenlik ve gizlilik kontrolleri ve gereksinimleri vardır. Amerikalıların %85’i akıllı telefon kullanıyor ve yalnızca resmi bir uygulama mağazasından indirmenin belgelenmiş güvenlik avantajları (şirket tarafından belirtildiği gibi). DHS, NSA, NIST, GSAve siber ajanslar küresel) ve uygulamaların bu şekilde “yandan yüklenmesine” izin veren cihazların artan istismar dalgası, bu politikanın istenmeyen olumsuz güvenlik sonucu, yürürlüğe girmesi durumunda öngörülebilir, kritik ve önlenebilirdir. Bir kişinin elde etmeye çalıştığı rekabet politikası hedefleri ne olursa olsun, küresel güvenliği baltalamadan başarılmalıdır.
İşler Bu Kadar Zor Olmamalı
Uzun zamandır teknolojiyi kullanmak için bilgi güvenliği şefi olmanız gerekmediğini söyledim; sadece güvenli olmalıdır. Bugünlerde, Güvenlik olaylarının %75’inden fazlası sosyal mühendislikten kaynaklanmaktadır veya bir insan faktörü — kandırılmamamız gereken bir bağlantıya tıklamamız veya yapmamamız gereken bilgileri göndermemiz ya da kötü adamın içeri girmesine izin verecek bir ayarı değiştirmemiz için kandırılırız. İnsan olduğumuz düşünülürse, güvenilmez uygulamaları yaşama hakkını reddederiz. cihazlarımızda ilk etapta mantıklı. Günümüzün kötü oyuncuları yüzünden, güvenliği açıp kapatamazsınız – deneyimler bize gösteriyor ki kötü adamlar gerçekten de güvenliği kapatmanız için sizi kandırmanın bir yolunu bulacaklar (örneğin son FluBot ve SahteCasus suç kampanyaları). Şirketler güvenlik seviyelerini düşürmeye zorlanmamalıdır.
Hükümetin güvenli bir bilgi altyapısına olan ilgisi göz önüne alındığında, ulusal güvenlik kurumlarının bu konulardaki uzmanlıklarını politika yapıcılarla paylaşma görevi vardır. Bu, şirketlerin aslında hepimizin onlardan yapmalarını istediğimiz şeyi yaptığı, yani güvenlik ve gizlilik konusunda rekabet ettiği bu durumda özellikle doğrudur. Bunlar önemsiz konular değildir ve bu ürünlerin tüketici, kritik altyapı ve askeri ağlarda kullanıldığı düşünüldüğünde, hem ekonomik hem de ulusal güvenliği etkiler.
Dolayısıyla, böyle zamanlarda, gerekli “güvenlik ekranını” tüm politika tekliflerine uygulamak için zaman ayıracağımızı umuyorum. Teknik, pratik ve gerçek dünyadaki pazar ve güvenlik etkilerini inceleyin ve istenmeyen sonuçlardan kaçındığımızdan emin olun – hayati güvenlik tehlikede.