Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti – včetně kapitoly zdarma


Co vás přimělo napsat Poslední pokrok v kybernetické bezpečnosti?

Chtěl jsem uvést do popředí kritické otázky kybernetické bezpečnosti a ochrany kritické infrastruktury a vystavit výzkumné komunity v oblasti IKT a kybernetické bezpečnosti aktuálním problémům, politikám a postupům. Dále jsem chtěl poskytnout bohatý soupis zkušeností a postupů předních národních států IKT v otázkách kybernetické bezpečnosti a ochrany kritické infrastruktury..

Jaké nové znalosti jste získali při psaní knihy?

Jedním z hlavních závěrů, které vyvstaly po prozkoumání otázek vznesených v této knize, bylo, že bychom se měli všichni sejít: jednotlivci, státy, nevládní organizace a mezinárodní organizace, abychom chránili nadbytek inovací v oblasti IKT. Děti, rodiny, kritická infrastruktura, digitální demokracie a svoboda projevu jsou jen některé z věcí, které jsou zde v sázce. V blízké budoucnosti by se měly řešit přeshraniční počítačové útoky, právní problémy, přeshraniční přidělování počítačové kriminality a problémy spojené s přidělováním technické trestné činnosti..

Zapalovací verze Poslední pokrok v kybernetické bezpečnosti je možné zakoupit na Amazonu.

Níže je kapitola dvanáct Poslední pokrok v kybernetické bezpečnosti od Elsadiga Saeida

Spojené státy americké zkušenosti

Aktuální národní plán a budoucí pokyny

Spojené státy jsou přední zemí na světě v oblasti informační bezpečnosti a ochrany kritické infrastruktury. Přestože existuje velký rozdíl ve vývoji informačních a komunikačních technologií mezi USA a dalšími zeměmi, USA mají stále ego, aby vedly svět v této oblasti. Každý rok se tak v této oblasti vynakládá značné množství rozpočtu na výzkum, vývoj a inovace.

V roce 2010 a v rámci amerického zákona o zotavení a reinvestici vláda USA oznámila Národní plán širokopásmového připojení [157]. Cílem tohoto plánu je šest log termínů:

1. Alespoň 100 milionů amerických domácností by mělo mít cenově dostupný přístup ke skutečným rychlostem stahování alespoň 100 megabitů za sekundu a skutečným rychlostem stahování alespoň 50 megabitů za sekundu.

2. Spojené státy by měly být světovým lídrem v oblasti mobilních inovací s nejrychlejšími a nejrozsáhlejšími bezdrátovými sítěmi jakéhokoli státu

3. Každý Američan by měl mít cenově dostupný přístup k robustním širokopásmovým službám a prostředky a dovednosti k odběru, pokud se tak rozhodnou

4. Každá americká komunita by měla mít cenově dostupný přístup k širokopásmové službě s rychlostí alespoň 1 gigabit za sekundu do kotevních institucí, jako jsou školy, nemocnice a vládní budovy.

5. Pro zajištění bezpečnosti Američanů by měl mít každý první respondent přístup k celonárodní bezdrátové, interoperabilní širokopásmové síti veřejné bezpečnosti

6. Aby byla zajištěna vedoucí pozice Ameriky v oblasti čisté energie, měl by být každý Američan schopen používat širokopásmové připojení ke sledování a řízení spotřeby energie v reálném čase.

Federální komise pro komunikaci USA (FCC) dohlíží na provádění tohoto plánu vyhledáním statistik a ukazatelů. Obrázek 12.1, ukázat hlavní webovou stránku Národního širokopásmového plánu (Zdroj: www.Broadband.gov)
Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma
Obrázek 12.1: hlavní webová stránka amerického národního širokopásmového plánu (Zdroj: www.Broadband.gov)

Kritické sektory

V USA definuje Ministerstvo vnitřní bezpečnosti podle směrnice o prezidentské politice 21 (PPD-21) kritické infrastruktury jako „infrastruktura poskytuje základní služby, na nichž je založena americká společnost. Pro posílení a udržování bezpečné, funkční a odolné kritické infrastruktury - včetně aktiv, sítí a systémů -, které jsou životně důležité pro důvěru veřejnosti a bezpečnost, prosperitu a pohodu státu, je nezbytné aktivní a koordinované úsilí. na základě této definice jsou následující sektory označeny jako státní kritické infrastruktury “[158].

• Sektor informačních technologií
• telekomunikační sektor
• Chemický sektor
• Sektor komerčních zařízení
• Sektor Dams
• Komerční jaderné reaktory ، materiály ، a odvětví odpadu
• Vládní zařízení
• Sektor přepravních systémů
• Sektory nouzové služby
• Sektor poštovních a přepravních služeb
• Zemědělství a potravinářství
• Odvětví veřejného zdraví a zdravotnictví
• Energetické sektory
• Bankovní a finanční sektory
• Sektor obranné průmyslové základny
• Kritické výrobní sektory

Minulé a současné iniciativy a politiky

V USA lidé uznávají důležitost ochrany kritických informačních infrastruktur od roku 1990. Ve Spojených státech může mít jakýkoli útok zásadní dopad na hospodářství a národní bezpečnost země a světa. S ohledem na poměr této citlivosti zavedla federální vláda řadu iniciativ a přijala řadu preventivních opatření na ochranu kritické infrastruktury informatiky a komunikací. Tyto iniciativy a opatření byly shrnuty takto:

• Zřízení předsednické komise pro ochranu kritické infrastruktury (PCCIP) v roce 1997 (zahrnuje členy vlády i soukromého sektoru) [159].
• Prezidentská směrnice 62 a 63 z roku 1998 na ochranu kritické infrastruktury [160].
• Národní plán ochrany informací [161], 2000
• Výkonné příkazy pro vnitřní bezpečnost [162] a zřízení ministerstva vnitřní bezpečnosti v roce 2003
• Prezidentská směrnice pro vnitřní bezpečnost / HSPD-7 2003 [163], kterou se odpovědnost za ochranu kritické infrastruktury přiznává ministerstvu vnitřní bezpečnosti
• Národní strategie pro vnitřní bezpečnost 2002, která zahrnuje následující body:
• Národní strategie pro zajištění kyberprostoru [164]
• Zvýšit národní odpor vůči kybernetickým útokům
• Snížit ztrátu zkrácením doby odstávky (při útoku)
• Národní strategie pro fyzickou ochranu kritických infrastruktur a klíčových aktiv [165].
• Národní strategie pro sdílení informací Tato strategie definuje protokol sdílení informací mezi různými vládními sektory. Tato strategie byla aktualizována v roce 2012 po problému Wikileaks [166].
• Oddělení obranné strategie pro provoz v kyberprostoru: tato strategie je vyhlášena v roce 2011, aby splnila následující požadavky [167]:
• Použití nástrojů obrany pro zabezpečení informací
• Hledejte nové nástroje pro zabezpečení informací
• Spolupracovat a sdílet znalosti
• Budování vztahů založených na informačních zárukách
• Podporovat inovace
• Národní strategie boje proti nadnárodnímu [168] organizovanému zločinu: řešení konvergenčních hrozeb pro národní bezpečnost: tato strategie je ohlášena v roce 2011
• Mezinárodní strategie pro kybernetický prostor: Prosperita ، Bezpečnost ، a otevřenost v propojeném světě: Tato strategie byla vyhlášena v roce 2011 [169, 170].
• Národní strategie pro důvěryhodné identity v kybernetickém prostoru: tato strategie byla vyvinuta v roce 2011 s cílem posílit informační bezpečnost a ochranu kritické infrastruktury [171]
• Ochrana amerických spotřebitelů & Ochrana soukromí rodin: cílem této iniciativy v oblasti kybernetické bezpečnosti je ochrana amerických společností, spotřebitelů a infrastruktury před kybernetickými hrozbami a zároveň ochrana soukromí a občanských svobod [172].
• Výkonné nařízení podporující sdílení informací o kybernetické bezpečnosti soukromého sektoru v roce 2015: cílem tohoto výkonného nařízení je stanovit rámec pro rozšířené sdílení informací, který má společnostem pomoci spolupracovat a spolupracovat s federální vládou, rychle identifikovat a chránit před kybernetickými hrozbami.

Organizační a institucionální přehled

Na začátku éry informační bezpečnosti a ochrany kritické infrastruktury vláda USA přidělí odpovědnost za ochranu kritické infrastruktury vládním orgánům ministerstva obchodu známým jako CIAO (Critical Infrastructure Assurance Office). Tento úřad úzce spolupracoval s Federálním úřadem pro vyšetřování (FBI), aby vyšetřil počítačové zločiny a zvládl reakci na kybernetickou bezpečnost. S rozvojem informačního a komunikačního sektoru a zvyšováním míry kybernetických útoků vláda zřídila Ministerstvo vnitřní bezpečnosti (DHS), aby chránila kritickou infrastrukturu pomocí následující organizace:

1. Národní úřad pro ochranu infrastruktury (OIP): poskytují tyto služby:

• Vedení provozu / plánu ochrany kritické infrastruktury
• Vyhodnotit plány řízení rizik
• Dohlíží na sdílení informací mezi různými sektory
• Shromažďujte data a proveďte nezbytnou analýzu rizika
• Navázat mezinárodní vztahy v oblasti bezpečnosti informací a ochrany kritické infrastruktury.

2. Úřad pro kybernetickou bezpečnost a komunikaci (CS&C): tato kancelář koordinuje různé řízení rizik a řešení incidentů kybernetického útoku. Hlavními cílovými body jsou [173]:

• Telekomunikační síť by měla poskytovat službu po celou dobu a za jakýchkoli podmínek.
• Národní sektor bezpečnosti informací by měl pracovat na ochraně kritické infrastruktury všech soukromých i veřejných sektorů
• Úřad pro nouzové komunikace (OEC): tento úřad pracuje na vývoji systému pro nouzovou komunikaci, aby zajistil koordinaci vládního příkazu v nouzovém čase.

3. Ministerstvo zahraničí USA: státní oddělení úzce spolupracuje s ministerstvem obrany a zahraničním spojenectvím na podpoře všech iniciativ souvisejících s bezpečností informací s cílem snížit riziko a zranitelnost.

4. Kongresové zaměření: práce jako součást výboru pro vnitřní bezpečnost na podporu následujících směrů:

• Komunikace a ochrana kritických informací
• Podporovat výzkumné iniciativy týkající se bezpečnosti informací a řízení rizik.
• Zajistit, aby veškerý komunikační a informační systém mohl fungovat v nouzovém čase;
• Podpora národních zpravodajských informací, sdílení informací a informací o řízení rizik

5. Úřad vlády pro odpovědnost (GAO): Tento úřad generuje pravidelné zprávy o incidentech s kybernetickou bezpečností a stavu země v boji proti počítačové kriminalitě..

6. Skupina obranného společenství: Jedná se o práci na vývoji strategické strategie kybernetické bezpečnosti pro systémy definice a průmyslové obrany.

7. Sekce počítačová kriminalita a duševní vlastnictví: Tato sekce pracuje v rámci ministerstva spravedlnosti a formuluje zákony a právní předpisy týkající se počítačové kriminality a duševního vlastnictví.

8. Program informací o chráněné kritické infrastruktuře (PCIIP): cílem tohoto programu je posílit sdílení informací mezi soukromými sektory.

9. Centra pro sdílení informací a analýzu (ISAC): (obrázek 12.2, http://www.isaccouncil.org/memberisacs.html): v těchto střediscích pro sdílení informací propojená průmyslová skupina jako Microsoft, Intel, CA, Symantec, CSC , IBM, Oracle, eBay, EWA-IIT ، Harris ، Hewlett Packard, BAE Systems, IT a VeriSign, In. vytvářejí kontaktní místo pro sdílení informací o sdílení informací o rizicích.

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12.2: web pro střediska sdílení informací (Zdroj: http://www.isaccouncil.org/memberisacs.html)

10. Kancelář InfraGard: tato kancelář koordinuje soukromý sektor a FBI v oblasti výzkumu a vývoje v oblasti informační bezpečnosti a ochrany kritické infrastruktury [174]..

11. Kancelář Národní aliance pro kybernetickou bezpečnost (NCSA): Účelem této kanceláře je shromáždit průmyslovou skupinu a sektory ve skupině pro sdílení informací, aby jim umožnily sdílet cennou společnou bezpečnost informací a praxi kritické infrastruktury a účinné techniky řešení incidentů. Obrázek 12.3 ukazuje hlavní webovou stránku těchto skupin (www.staysafeonline.org)

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12. 3: Národní aliance pro kybernetickou bezpečnost (NCSA) (www.staysafeonline.org)

Včasné varování a veřejný kontakt

Ve Spojených státech jsou za poskytování technické podpory a zvyšování povědomí veřejnosti o otázkách kybernetické bezpečnosti odpovědné následující organizace:

1. Koordinační centrum CERT, Carnegie Mellon (http://www.cert.org/): toto středisko je podporováno federální vládou při rozvoji výzkumu a inovací a koordinaci úsilí týmů CERT)

2. americký tým pro řešení nouzových situací v USA (US-CERT): zřízený na University of Garage Mellon s cílem předcházet kybernetickým zločinům a poskytovat vyspělou technickou podporu a reagovat v mimořádných situacích;

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12.4: Hlavní webová stránka týmu počítačů pro mimořádné situace v USA (Zdroj: www.us-cert.gov)

3. Federální úřad pro vyšetřování (FBI): FBI je podle zákona povinna vyšetřovat počítačové zločiny:

4. OnGuardOnline.gov (www.onguardonline.gov) Tato webová stránka je podporována výzkumnými středisky a velkými společnostmi, aby zvýšila informovanost veřejnosti o ochraně soukromých údajů..

5. Tým průmyslových řídicích systémů Cyber ​​Emergency Response Team (ICS-CERT) (http://ics-cert.us-cert.gov/): toto středisko poskytuje pokročilou technickou podporu kybernetické bezpečnosti průmyslových systémů..

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12.5: hlavní webová stránka OnGuardOnline (Zdroj: www.onguardonline.gov/)

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12.6: hlavní webová stránka týmu průmyslových řídicích systémů Cyber ​​Emergency Response Team (ICS-CERT) (Zdroj: http://ics-cert.us-cert.gov/)

6. Obranné centrum pro kybernetickou kriminalitu (DC3): obrázek 12.7 ukazuje hlavní webovou stránku (http://www.dtic.mil), ve které má toto středisko tři laboratoře:

• Obranná počítačová forenzní laboratoř (DCFL): tato laboratorní odpovědnost zahrnuje vyšetřování počítačové kriminality a výzkum a vývoj.
• Akademie obrany Cyber ​​Investigations Training Academy (DCITA): tato akademie poskytuje pokročilé školení ve všech aspektech kybernetické bezpečnosti
• Defence Cyber ​​Crime Institute (DCCI): odpovědný za provádění pokročilého výzkumu a podporu inovací.

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12.7: hlavní stránka Centra obrany pro kybernetickou kriminalitu (DC3) (Zdroj: www.dtic.mil)

Online ochrana dětí (COP)

Spojené státy si uvědomují a uznávají důležitost ochrany dětí v kyberprostoru od prvních dnů. Vládní legislativa tedy může v tomto ohledu zákony:

• Zákon o ochraně soukromí online dětí (1998): tento akt ukládá webům povinnost ukládat údaje o soukromí dětí. [175].
• Zákon o ochraně dětí na internetu (2000): tento zákon ukládá školám a veřejným knihovnám zavádění technických bezpečnostních nástrojů k řízení dětské navigace na internetu [176]
• Ochrana dětí v 21. století (2007): tento zákon doplňuje zákon o ochraně dětí z roku 2000, který dává vzdělávacím institucím další právo kontrolovat děti v kyberprostoru [177, 178]

Existuje také mnoho organizací, které poskytují na internetu cenné materiály ke zvýšení povědomí veřejnosti o rizicích online v kybernetickém prostoru; jednou z těchto důležitých organizací je Národní centrum pro pohřešované a zneužívané děti (http://www.missingkids.com/home) obrázek12.8, hlavní webová stránka.

Rozhovor s autorem posledních pokroků v kybernetické bezpečnosti - včetně kapitoly zdarma

Obrázek 12.8 hlavní webová stránka Národního centra pro pohřešované a zneužívané děti (Zdroj: http://www.missingkids.com)

Zákony a právní předpisy

Vzhledem k velkému vlivu revoluce v oblasti informačních a komunikačních technologií na každodenní život lidí si americká vláda od raného věku této velké revoluce uvědomuje a chápe význam regulace tohoto sektoru. Dnes lze v USA shrnout nejdůležitější zákony týkající se odvětví informací a komunikace takto:

• Zákon Federálního poradního výboru (FACA) z roku 1972 [179] .: tento zákon definuje a upravuje sdílení informací mezi vládními sektory.
• Zákon o počítačových podvodech a zneužívání (CFAA) 1986:
• zákon o zneužití počítače z roku 1986 a upravený v letech 1994 a 2007, aby vyhověl nové počítačové kriminalitě [180].
• Výkonný příkaz 13010 k zavedení ochrany kritických infrastruktur [181].
• Zákon SA PATRIOT z roku 2001: tento zákon opravňuje FBI vyšetřovat počítačovou kriminalitu a v případě potřeby přistupovat k soukromým informacím. Ačkoli s tímto zákonem je spojeno mnoho problémů, prezident Obama tento zákon obnovuje v roce 2011 na 4 roky [182] [183].
• Výkonný příkaz 13228; EO 13228, 2001 o zřízení ministerstva vnitřní bezpečnosti a rady vnitřní bezpečnosti [184].
• Vyhláška č. 13231 ze dne 16. října 2001 o ochraně kritických infrastruktur založených na informačním systému [185].
• Zákon o vnitřní bezpečnosti z roku 2002: tento zákon dává vnitřní bezpečnosti právo na přístup k velkému množství soukromých údajů:
• Zákon o svobodném přístupu k informacím (FOIA): Tento zákon vylučuje zveřejňování formulářů provozovatelů kritických infrastruktur [186].
• Zákon o pojištění rizik proti terorismu z roku 2002 (upravený a aktualizovaný v roce 2005, respektive 2007) tento zákon, který určuje částku peněz, může pojišťovna vrátit uživateli v případě útoku [187]
• Zákon o ochraně dětí a bezpečnosti Adam Walsh z roku 2007 [188].

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me