En post d'hier j'ai couvert la première moitié de la Loi sur la cybersécurité de l'année 2009. Voici l'écriture sur la seconde moitié de la facture.

Section 13: la compétition et le défi de cybersécurité

Comme son nom l'indique, ce met en place un financement pour une série de compétitions pour aider à identifier les meilleurs et les plus brillants.

(A) En général, le directeur de l'Institut National des Standards and Technology, directement ou intermédiaire d'entités fédérales, doit établir des compétitions de cybersécurité et de défis avec des prix en espèces pour-

(1) attirer, identifier, évaluer et recruter des personnes talentueuses pour le personnel fédéral technologie de l'information et

(2) stimuler l'innovation dans la recherche fondamentale et appliquée de cybersécurité, de développement technologique et de démonstration de prototypes qui ont le potentiel d'application pour les activités fédérales technologies de l'information du gouvernement fédéral.

Pas de drapeaux rouges ici. Les prix ne peuvent pas dépasser 1 million de dollars, sans freins et de contrepoids coups de pied po Ne vous laissez pas vos espoirs. C'est un événement tout entier, non pas un prix spécifique.

Section 14: public-privé de centre

Cette section semble assez bénigne, jusqu'à ce que vous lisez de près. Voici la première section:

(A) Désignation-Le Département du commerce doit servir de centre d'échange d'informations et de menace de cybersécurité vulnérabilité au gouvernement fédéral et du secteur privé détenue systèmes d'information critiques des infrastructures et des réseaux.

Yawn. Je vois cela comme quelque chose que vous ne pouvez pas le mandat. Si vous pouvez fournir des informations utiles, les utilisateurs pourront rechercher ce que vous avez à dire. Si vous vous contentez de réimpression ce qui a déjà été publié en open source, alors mon fil de nouvelles de Google va probablement me faire l'info rapidement et avec une meilleure interface. Il est facile de vouloir ignorer cette section repose sur la présente déclaration d'ouverture, mais s'il vous plaît lire un peu plus loin:

(B) Fonctions-Le Secrétaire du Commerce-

(1) doit avoir accès à toutes les données pertinentes concernant ces réseaux, sans égard à toute disposition de la loi, règlement, règle ou politique restreignant cet accès;

Qu'est-ce??? C'est pour moi est la prise de pouvoir ultime. Ainsi, tout réseau ou système qui peut être considéré comme «infrastructure critique» doit laisser le département du commerce ont un accès illimité à leur réseau. Cet accès est sans égard à une procédure régulière ou de la primauté du droit. «Pertinent» est un terme très subjectif qui peut être appliqué à n'importe quoi.

Donc, il revient à cette «infrastructure critique» la description que nous avons déjà déclaré est l'appel d'un jugement d'un seul individu. Peut-être que le réseau de Microsoft devrait être considérée comme des infrastructures essentielles, car elles sont des fournisseurs du gouvernement de bureau principal. Peut-être des serveurs de développement Linux devrait aussi être considérée comme "critique" que les serveurs, les appareils et la technologie embarquée est basée sur cette plateforme. Qu'en est-il des fournisseurs Anti-Virus et pare-feu qui fournissent des produits pour le gouvernement? Fournisseurs de services Internet les réseaux du gouvernement d'entretien? Employés de Telco gouvernement d'entretien? Universités financé à développer des techniques de protection cybernétique? Ce peut être une pente extrêmement glissante.

Pour moi, cela est probablement la partie la plus dangereuse de la facture.

Section 15: rapport de gestion du risque de cybersécurité

En bref, cet article exige le président de produire un rapport dans un an qui identifie:

(1) créer un marché pour la gestion des risques de cybersécurité, y compris la création d'un système de responsabilité civile et assurances (y compris la réassurance gouvernement);

(2) cybersécurité nécessitant d'être un facteur dans tous les notations des obligations.

Cet élément pourrait être pris dans un certain nombre de directions. S'ils sont intelligents, ils vont examiner la faisabilité de la miction accords utilisateur final afin que les fournisseurs de logiciels doivent accepter la responsabilité pour la sécurité échouent dans leur produit. Sans responsabilité, les fournisseurs ont peu de motivation à l'architecte dans un cadre de sécurité depuis la création du produit. Il est beaucoup plus facile et moins coûteux de le coller sur après avoir payé clients ont déjà des problèmes.

Article 16: révision du cadre juridique et de faire rapport

Cette section appelle à le bureau du président de revoir les lois existantes concernant la cybersécurité:

le cadre fédéral légales et réglementaires applicables à la cyber-activités liées aux États-Unis

En bref, il s'agit d'un examen pour voir si les lois sont toujours applicables ou doivent être modernisées.

Article 17: L'authentification et libertés civiles du rapport

Voici toute la section:

Dans 1 an après la date de promulgation de la présente loi, le président, ou son délégué, le président, doit examiner et faire rapport au Congrès, sur la faisabilité d'une gestion d'identité et le programme d'authentification, avec les libertés civiles appropriées et de protection de la confidentialité, pour le gouvernement et de systèmes d'information critiques des infrastructures et des réseaux.

Je ne sais pas quoi faire de cette section. Il se lit comme ils veulent trouver un single sign-on solution pour les réseaux gouvernementaux. Si tel est le cas, je ne comprends pas le "appropriée libertés civiles et la vie privée des protections« déclaration. Cela implique une application qui est davantage orientée vers le grand public. Jury est encore sur cette section que je n'ai pas vu toute autre opinion sur elle.

Section 18: la responsabilité et l'autorité de cybersécurité

Voici la section que tout le monde est paniqué à propos. Le texte de présentation:

Le président-

(2) peut déclarer une urgence pour la cybersécurité et la limitation ou l'arrêt du trafic Internet vers et depuis n'importe quel gouvernement fédéral compromis ou des États-Unis critiques du système d'information d'infrastructure ou de réseau;

Sonne mal, mais pensez-y de cette façon. Quand les avions s'écrasaient sur la construction de la présidente a ordonné la mise à la terre de tous les vols commerciaux. Je doute qu'il y avait une loi spécifique en lui donnant ce pouvoir particulier, mais étant donné qu'il s'agissait d'une situation d'urgence ne fait valoir que le point ou jugé un abus de pouvoir.

Je vois cette disposition comme étant similaires. S'il est confirmé que les attaquants ont pris le contrôle du réseau électrique et sont maintenant systématiquement l'arrêter, personne ne va à la faute du président pour les organisations nécessitant de s'isoler de l'Internet au sens large. Il peut ou ne peut pas réellement résoudre le problème, mais ce serait une posture de défense prévu. Ce serait le cas avec ou sans cette disposition dans la loi.

Donc pour moi cette section est un beaucoup de tapage pour rien. Certaines des sections précédemment sont loin plus effrayante.

Un autre point intéressant dans cette section:

(5) doit diriger la cartographie périodique de gouvernement fédéral et les États-Unis des systèmes d'information critiques des infrastructures ou réseaux, et élaborer des paramètres pour mesurer l'efficacité du processus de cartographie

Dans une certaine mesure, ce processus a déjà commencé dans le cadre de l' Internet Trusted Connectez (TIC) du programme. Je suis en fait un peu surpris qu'il n'est pas déjà une exigence. Il est possible que cela se fait déjà, mais que les données n'étaient pas disponibles lorsque la loi a été écrite.

Article 19: révision quadriennale de cyber

(A) en général, en commençant par 2013 et tous les quatre ans, le président, ou désignée par le président, doit effectuer un examen de la posture cybernétique des États-Unis, y compris un résumé non classifié de rôles, les missions, les réalisations, les plans, et des programmes.

En bref, chaque nouveau président arrive à fournir des commentaires sur la façon dont ils pensent que leur prédécesseur, réalisée en ce qui concerne la cybersécurité. Ce rapport serait beaucoup plus utile si elle était nécessaire un an plus tôt. De cette façon, il agirait comme un briefing pour le nouveau président. Elle leur donnerait une meilleure idée de ce qui est nécessaire à l'avenir.

Article 20: évaluation de la menace conjointe de renseignement

Indique (encore un) rapport annuel sur la cybersécurité au Congrès. Rien à voir ici. Passez votre chemin.

Article 21: Les normes internationales et des mesures de dissuasion cybersécurité

Voici le clip:

Le Président-

(1) travailler avec les représentants de gouvernements étrangers

(A) d'élaborer des normes, des organismes, et d'autres activités de coopération pour l'engagement international pour améliorer la cybersécurité et

(B) encourager la coopération internationale dans l'amélioration de la cybersécurité à l'échelle mondiale

Je vois cela comme étant plus le rôle du ministère de la Justice . Ce qu'il faut c'est une meilleure interaction entre les services répressifs à travers les frontières internationales, et non pas des extraits PR et la gesticulation. Pensez-y de cette façon, ce serait plus efficace d'empêcher les crimes physiques sur les frontières d'Etat, l'interaction fréquente entre les organismes d'État application de la loi, ou une interaction fréquente entre les gouverneurs?

Article 22: Fédéral des produits sécurisés et les services d'acquisitions du conseil

Pour moi, cela est probablement l'une des sections les plus positifs du projet de loi. Voici le texte de présentation:

(A) Création-Il est créé un Produits et services sécurisés Acquisitions Conseil. Le Conseil sera chargé d'examiner la cybersécurité et d'approbation des produits de haute valeur et d'acquisition des services et, en coordination avec l'Institut National des Standards and Technology, pour l'établissement de normes appropriées pour la validation des logiciels devant être acquis par le gouvernement fédéral.

En bref, le gouvernement serait en utilisant son pouvoir d'achat combiné d'appliquer les normes de sécurité pour tous les achats de logiciels. Cela peut avoir un impact profond sur l'industrie commerciale. Les fournisseurs aiment à se plaindre qu'il est trop coûteux d'expédier le logiciel sécurisé. Maintenant, si ils veulent vendre au gouvernement, ils auront à répondre aux normes appropriées du NIST. Très probablement le logiciel sécurisé serait disponible à l'achat commercial. Donc hors de la boîte, vous finiriez avec un produit plus sûr.

Encore une fois, je vois cela comme une exigence extrêmement positive. Alors que les vendeurs peuvent se plaindre à ce sujet, en tant que clients, nous serions tous gagnants.

Article 23: Définitions

C'est tout simplement une définition des termes utilisés dans le projet. Tous sont soit des termes courants (comme "Internet") ou décrits dans les sections précédentes.

Résumé Exec

Il ya des choses de l'amour ainsi que la peur dans ce projet de loi. Il augmente le financement pour la recherche de cybersécurité ainsi que s'appuie le pouvoir d'achat du gouvernement visant à générer des logiciels plus sûrs pour tous. Dans le même temps il tente de contourner des processus établis (ainsi que les règles de droit) qui ont le potentiel pour rendre la situation pire encore cybersécurité plutôt que de s'améliorer. Le projet de loi est actuellement examiné par le Comité sénatorial sur le commerce, la science et de transport . C'est maintenant le temps d'exprimer toute louanges ou des préoccupations que vous pourriez avoir.

Il ya eu tout un peu d'articles sur la Loi sur la cybersécurité de l'année 2009 . La plupart ont porté sur la section qui donnerait au président le pouvoir de "shutdown l'Internet". Mais y at-il d'autres choses dans ce projet de loi, vous devriez être encore plus préoccupé? Y at-il réellement utile dans la loi? Dans ce post en deux parties je vais vous guider à travers la section du projet de loi par l'article.

Les deux premières sections sont simplement les index et les résultats. Une citation remarquable de la section 2:

(1) échec de l'Amérique pour protéger le cyberespace est l'un des problèmes les plus urgents de la sécurité nationale se posent au pays.

Cela donne le ton pour le reste de la section et je dois dire que je suis d'accord avec l'énoncé. Sécurité sages nous sommes vraiment dans une situation pire que la plupart des gens veulent croire.

Section 3: comité consultatif de cybersécurité

Ces deux citations vraiment dire tout cela:

(A) En général, le président doit établir ou désigner un comité consultatif de cybersécurité.

(C) des droits-Le panneau conseille le président sur les questions relatives au programme de cybersécurité nationale et la stratégie

J'ai des sentiments mitigés au sujet de ces points. Je pense que la cybersécurité est suffisamment important pour mériter une visibilité de haut niveau. Cependant ce projet de loi va de pair avec S. 788, un projet de loi pour créer le poste de conseiller cybersécurité , et HR 1910, un projet de loi pour créer le poste de Chief Technology Officer . Ces deux postes ferait rapport directement au président, il semble donc plus utile d'avoir la chute du panneau en vertu de ces deux rouleaux dans l'organigramme national. Peut être simplement sémantique, mais l'une des questions que nous avons aujourd'hui est le régime parallèle avec aucun droit de propriété clairement des problèmes. Si tous les trois projets de loi passent, je vois une chance plus élevée de créer des conflits plutôt que de résolutions.

Section 4: Real bord cybersécurité du temps

J'ai vu peu d'attention accordée à cette question, mais il ya une déclaration faite facilement révocable dans cette section:

Le secrétaire au Commerce sera

(1) en consultation avec le Bureau de la gestion et du budget, élaborer un plan dans les 90 jours après la date de promulgation de cette loi pour mettre en œuvre un système pour fournir dynamique, complet, état cybersécurité en temps réel et informations sur la vulnérabilité de toutes les informations du gouvernement fédéral systèmes et des réseaux gérés par le Département du commerce;

Un couple de points ici, pourquoi tout le département du commerce? Si ce sera une ressource vraiment utile, pourquoi ne pas étendre son utilisation au-delà de ce bureau d'un gouvernement? En outre, la déclaration est un peu vague. Cela pourrait être aussi inefficace que le niveau de menace nationale ou d'un sous-ensemble des données fournies par des sites tels que DShield ou Homeland Security Report Ouvrez Infrastructure Source . De toute façon, je vois cela comme un échec à long terme.

Section 5: Etat et le programme de cybersécurité régionales

Voici l'objet de cette section:

(A) création et le soutien de la cybersécurité CENTRES-Le Secrétaire du Commerce fournira une assistance pour la création et le soutien des Centres de cybersécurité régional pour la promotion et la mise en œuvre des normes de cybersécurité. Chaque centre doit être affiliée à une institution des Etats-Unis basé à but non lucratif ou un organisme, ou son consortium, qui s'applique et est décerné une aide financière en vertu du présent article.

Sounds good on the first read, but what's up with the “affiliated with… nonprofit organizations” section? We could easily end up with a non-centralized system with no clear point of contact for their target audience. So if I need help with cybersecurity, I should go to… The Jimmy Fund ? Farm Aid ? Or maybe it's the Tennessee Elephant Sanctuary ?

Personally, I think these centers should be affiliated with InfraGard . They are established in nearly every state, already have a long history of community outreach, and are already focused on dealing with cybersecurity issues. My guess is that the commerce department wants complete control, while InfraGard is already associated with the FBI.

So what is the goal of creating these centers?

(b) PURPOSE- The purpose of the Centers is to enhance the cybersecurity of small and medium sized businesses in United States

This is an admirable goal. Due to lack of resources, small and medium size businesses are struggling the most. Probably the only demographic that is larger would be home users. If we could take steps to support these organizations, it would go a long way towards fortifying our national security posture.

The centers would support small and medium businesses by:

(1) disseminate cybersecurity technologies, standard, and processes based on research by the Institute for the purpose of demonstrations and technology transfer;

(2) actively transfer and disseminate cybersecurity strategies, best practices, standards, and technologies to protect against and mitigate the risk of cyber attacks to a wide range of companies and enterprises, particularly small- and medium-sized businesses; and

(3) make loans, on a selective, short-term basis, of items of advanced cybersecurity countermeasures to small businesses with less than 100 employees.

Again, I see these activities as a great fit for InfraGard. Deployment would be expedited as there is already a national structure. These would dramatically cut the curve on making these resources available.

Section 6: NIST standards development and compliance

The bill looks to NIST to develop security standards for all government agencies:

(a) IN GENERAL- Within 1 year after the date of enactment of this Act, the National Institute of Standards and Technology shall establish measurable and auditable cybersecurity standards for all Federal Government, government contractor, or grantee critical infrastructure information systems and networks

NIST is already responsible for setting standards. In fact their security documents are considered to be some of the best in the industry. Per the Information Technology Reform Act of 1996 , NIST is already charged with developing Federal Information Processing Standards (FIPS).

I'm not a lawyer, but I don't see anything in this section that has not already been specified by earlier bills except this tid bit under “(d) Compliance enforcement”:

(2) shall require each Federal agency, and each operator of an information system or network designated by the President as a critical infrastructure information system or network, periodically to demonstrate compliance with the standards established under this section.

I'm honestly not sure if the President currently has the power to (arbitrarily?) designate any network or system as “critical” and thus subject to this section. I prefer specific definitions versus subjectively trusting the judgment of a single individual. This way we are covered in both directions, from systems that should have been included but were missed, as well as systems that don't really belong on the list.

Section 7: Licensing and certification of cybersecurity professionals

This section really scares me as it has the potential to do more harm than good. Here's the description:

(a) IN GENERAL- Within 1 year after the date of enactment of this Act, the Secretary of Commerce shall develop or coordinate and integrate a national licensing, certification, and periodic recertification program for cybersecurity professionals.

To me, someone who has no idea of the scope of what is needed to address the problem wrote this section. Cybersecurity is not a single discipline. There are experts that focus on Malware analysis, perimeter security, packet decoding and intrusion analysis, incident handling, host specific security, auditing, forensics, wireless, databases, and the list goes on and on. A national certification and licensing program would end up being one of the following:

1. So general it really does not mean anything
2. So difficult “certified” resources would be hard to come by

Because of the diversity of the cybersecurity field, there really is no middle ground. This section then goes on to say:

(b) MANDATORY LICENSING- Beginning 3 years after the date of enactment of this Act, it shall be unlawful for any individual to engage in business in the United States, or to be employed in the United States, as a provider of cybersecurity services to any Federal agency or an information system or network designated by the President, or the President's designee, as a critical infrastructure information system or network, who is not licensed and certified under the program.

Attendez une minute. Let's just take one glaring example. Alan Paller is the Director of Research at SANS , was quoted in this bill (Section 2, #8), and is one of my personal heroes in this industry. He's provided council to the White House and Congress multiple times. He's one of those unique individuals that can mediate the gap between folks that speak different languages (geeks, CFO, COO, etc.). While he knows the industry, he's not the kind of guy that spends time writing Nessus plug-ins or decoding TCP attack streams. Is it truly the intent of this bill to loose resources like Alan if they choose not to certify?

There is a pattern here however. Like so many line items before it, this section puts control in the hands of the commerce department. So I personally think this is less about ensuring we have skilled personnel supporting network security, and more about grabbing power.

Section 8: Review of NTIA domain name contracts

This is another scary section:

(a) IN GENERAL- No action by the Assistant Secretary of Commerce for Communications and Information after the date of enactment of this Act with respect to the renewal or modification of a contract related to the operation of the Internet Assigned Numbers Authority, shall be final until the Advisory Panel–

(1) has reviewed the action;

(2) considered the commercial and national security implications of the action; and

(3) approved the action.

The Internet Assigned Numbers Authority (IANA) is run by The Internet Corporation for Assigned Names and Numbers (ICANN). This is a non-profit international organization that is responsible for guiding (not implementing) high-level operations of the Internet. They take guidance from a number of organizations, including the Internet Engineering Task Force (IETF) who defines the standards for Internet communications. The IETF is an international organization made up of everyone from individual researchers to vendors.

To me, this section sounds like an attempt to bring financial pressure on these organizations. Again, this seems to be an attempt to consolidate more power under the department of commerce. Especially when you combine it with section 9.

Section 9: Secure domain name addresses system

Here's the clip:

(a) IN GENERAL- Within 3 years after the date of enactment of this Act, the Assistant Secretary of Commerce for Communications and Information shall develop a strategy to implement a secure domain name addressing system. The Assistant Secretary shall publish notice of the system requirements in the Federal Register together with an implementation schedule for Federal agencies and information systems or networks designated by the President, or the President's designee, as critical infrastructure information systems or networks.

Comme mentionné dans la dernière section, le développement des normes Internet, le rôle de l'IETF, et non pas le département du Commerce. De plus, nous avons déjà des normes pour sécuriser la structure du nom de domaine ( DNSSEC ) ainsi que le routage et le système d'adressage IP ( SBGP ). Le problème est leur déploiement a été extrêmement lent. Nous avons besoin d'un déploiement des normes existantes, les pas compétitive développé en dehors du processus IETF acceptée.

Cette section passe ensuite en disant:

(B) le respect REQUIS-Le Président veille à ce que chaque agence fédérale et de chaque système ou de réseau met en oeuvre le système de nom de domaine sécurisé aborder en conformité avec le calendrier publié par le secrétaire adjoint.

OK, voici le problème. Afin de sécuriser IP et DNS la solution doit être mis en œuvre au niveau mondial. Cela fait partie de la raison pour laquelle il a été si long. Si le gouvernement fédéral aujourd'hui déployé DNSSEC et SBGP qu'il ferait peu pour empêcher le détournement de nom de domaine ou redirection voie parce que les attaquants pouvaient tout simplement travailler à l'extérieur du périmètre du gouvernement.

Je dois dire que je partage la frustration dans ce domaine. Les deux DNSSEC et SBGP ont été autour pendant 10 ans. Je pense que nous avons besoin de le sucer sur les perturbations qui peuvent être causées par le déploiement et juste faire le travail. Peut-être l'ICANN a besoin d'un feu allumé sous leurs mégots de créer des mouvements vers l'avant. Je ne suis pas convaincu que ces deux sections sont la voie à suivre à ce sujet.

Section 10: Promouvoir la sensibilisation à la cybersécurité

Vous connaissiez une campagne de relations publiques doit être inclus ici quelque part, non? Voici le texte de présentation:

Le secrétaire au Commerce doit élaborer et mettre en œuvre une campagne nationale de sensibilisation cybersécurité

Ne savez pas comment ce sera utile parce que les distributions de nouvelles sont déjà pleins d'histoires qui décrivent notre état actuel de la sécurité. Je vois cela comme ayant le potentiel d'être stupide plutôt que d'information. J'ai ces visions de la marche dans l'école de mon enfant et en voyant une affiche qui indique «Octets Billy dit de ne pas être un h4x0r". OK, j'espère que ça n'arrivera jamais, mais on ne sait jamais.

Section 11: la recherche et le développement de cybersécurité fédérale

Voici la déclaration initiale:

(A) La recherche-la cybersécurité FONDAMENTAUX directeur de la National Science Foundation donne la priorité à l'informatique et de l'information et de recherche en ingénierie pour assurer un soutien substantiel est prévu pour répondre aux défis suivants en matière de cybersécurité:

Cette section décharges beaucoup d'argent dans la recherche et le développement des techniques de cybersécurité. Il modifie les factures existantes pour augmenter les dépenses de 265 M $ en 2010, à plus de 310M $ en 2014. Il ya déjà d'autres programmes de recherche cybersécurité ce fonds, mais à condition que les fonds sont gérés de façon appropriée, je vois cela comme étant utile à la cause.

Section 12: bourse cyber fédéral pour le programme de service

Voici le clip:

(A) En général, Le directeur de la National Science Foundation établit un Cyber ​​fédérale des bourses à des fins de service du programme pour recruter et former la prochaine génération de technologies de l'information fédérale des travailleurs et des gestionnaires de sécurité.

Ce n'est pas différent de beaucoup d'autres «bourse pour le service" programmes. Je vois cela comme étant bénéfique à la fois l'étudiant ainsi que le gouvernement. 50M $ ont été alloués au programme, augmentant à 70 M $ en 2014.

Résumé

C'est tout pour maintenant. Demain je vais poster la dernière moitié de la facture.