Firmy potrzebują wsparcia cyberbezpieczeństwa, Kongres powiedział

Kongres USA powinien wyglądać tak, aby zachęcić prywatne firmy do przyjmowania silniejszych praktyk cyberbezpieczeństwa zamiast do tworzenia nowych mandatów, powiedział w zeszłym tygodniu podkomisja Kongresu ds. bezpieczeństwa informacji.

Osiemdziesiąt procent do 90 procent problemów związanych z cyberbezpieczeństwem można naprawić, jeśli firmy przestrzegają ustalonych najlepszych praktyk, a rząd może pomóc, oferując zachęty, takie jak pożyczki dla małych firm, ubezpieczenia i programy nagradzania, powiedział Larry Clinton, prezes i dyrektor generalny organizacji Internet Security Alliance, grupy zajmującej się ochroną bezpieczeństwa.

W ostatnich tygodniach niektórzy prawodawcy i eksperci od bezpieczeństwa cybernetycznego wezwali do wprowadzenia nowych przepisów dotyczących cyberbezpieczeństwa, ale regulacje byłyby statyczne w szybko zmieniającej się dziedzinie i mogłyby wprowadzić U. S. przemysł w niekorzystnej sytuacji konkurencyjnej, powiedział Clinton. Ponadto, przepisy amerykańskie dotarłyby tylko do granic państwa, dodał.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"To jest problem międzynarodowy" - powiedział Clinton podczas przesłuchania przed Domowy Komitet ds. Energetyki i Handlu Komitet ds. Komunikacji, Technologii i Internetu. "Potrzebujemy lepszego systemu - systemu XXI wieku."

Partnerstwa publiczno-prywatne ponaglające

Pod administracją byłego prezydenta USA George'a W. Busha rząd podjął w dużej mierze podejście nieskuteczne i czekał na zachęty na rynku prywatnym, które nigdy się nie zmaterializowały, powiedział Clinton. Zamiast tego rząd musi współpracować z prywatnym przemysłem, aby zapewnić zachęty do cyberbezpieczeństwa, w tym do ochrony odpowiedzialności i zamówień publicznych, powiedział.

"To, co próbujemy tutaj zrobić, to zmienić ekonomię cyberbezpieczeństwa poprzez stworzenie rynku, który sprawia, że ​​prywatne organizacje chcą stale inwestować w cyberbezpieczeństwo we własny interes gospodarczy "- powiedział Clinton. "Tylko wtedy możemy stworzyć rodzaj trwałego i ewoluującego systemu cyberbezpieczeństwa, którego potrzebujemy."

Clinton i Greg Nojeim, starszy doradca w Centrum na rzecz Demokracji i Technologii, nie wymieniali tego po imieniu, ale obaj wydawali się brać dążyć do wprowadzenia przepisów dotyczących bezpieczeństwa cybernetycznego, które zostały wprowadzone 1 kwietnia przez senatorów Jay'a Rockefellera, Demokratę z Zachodniej Wirginii i Olympię Snowe, republikę z Maine.

Ustawa o cyberbezpieczeństwie między innymi ustanowiłaby egzekwowalne standardy cyberbezpieczeństwa dla prywatnych firm i pozwoliłaby na Prezydent USA ogłosi kryzys w zakresie cyberbezpieczeństwa i zamknie zarówno publiczne, jak i niektóre prywatne sieci, które są zagrożone.

Stany Zjednoczone stoją w obliczu poważnych konsekwencji braku skupienia się na cyberbezpieczeństwie, powiedział Rockefeller podczas marcowego przesłuchania. "Uważam [cyberbezpieczeństwo] za problem głęboko i głęboko niepokojący, któremu nie poświęcamy zbyt wiele uwagi" - powiedział. "Problem w tym, że Ameryka jest niedopuszczalnie narażona na masową cyberprzestępczość."

Równowaga sił

Ale pozwolenie rządowi na zamknięcie prywatnych sieci i potencjalnie monitorowanie ruchu w sieciach prywatnych, daje mu zbyt dużo mocy, powiedział Nojeim. Taka władza wzbudziłaby pytania dotyczące wolności słowa w USA, powiedział.

"Środki, które mogą być odpowiednie do zabezpieczenia systemów kontroli rurociągu, mogą nie być odpowiednie dla zabezpieczenia Internetu," dodał Nojeim. "[Rząd] nie powinien zajmować się monitorowaniem prywatnych sieci, ani też rządem nie powinien być zamykanie ruchu internetowego na skompromitowane … systemy informacyjne w sektorze prywatnym."

Jeżeli prezydent mógłby zamknąć prywatne systemy, mógłby użyć tej mocy do przymusu, powiedział Nojeim. "Zgodnie z naszą wiedzą, nie powstała jeszcze żadna okoliczność, która usprawiedliwiłaby prezydencki nakaz odcięcia ruchu internetowego do prywatnego krytycznego systemu infrastruktury", powiedział.

Jedną z funkcji rządu byłoby dalsze wspieranie rozwoju bezpieczeństwa DNS Rozszerzenia, czyli DNSSec, pakietu poprawek bezpieczeństwa dla internetowego systemu nazw domenowych, powiedział Dan Kaminsky, dyrektor ds. Testów penetracyjnych w firmie IOActive, dostawcy usług cyberprzestępczych.

DNSSec pozwoliłoby organizacjom lepiej zaufać ruchowi pochodzącemu z zewnątrz, powiedział. "To zajmie trochę pracy, zajmie dużo pracy," dodał Kaminsky.