Nel post di ieri ho coperto la prima metà del Cybersecurity Act del 2009. Ecco l'scrivere nella seconda metà del disegno di legge.

Sezione 13: competizione e la sfida Cybersecurity

Come suggerisce il nome, questo crea un finanziamento per una serie di concorsi per aiutare a identificare i migliori e più brillanti.

(A) IN GENERALE-Il direttore del National Institute of Standards and Technology, direttamente o tramite le entità federali, stabilisce concorsi sicurezza informatica e le sfide con premi in denaro, al fine di-

(1) attirare, identificare, valutare e reclutare persone di talento per la forza lavoro federale delle tecnologie dell'informazione e

(2) stimolare l'innovazione nel campo della ricerca cibernetica di base ed applicata, sviluppo tecnologico e dimostrazione prototipo che hanno il potenziale per l'applicazione alle attività federali di tecnologia dell'informazione del governo federale.

Non ci sono bandiere rosse qui. I premi non possono superare 1 milione di dollari senza controlli e contrappesi calci dentro Non si illuda troppo. E 'per un intero evento, non un premio specifico.

Sezione 14: pubblico-privato clearinghouse

In questa sezione sembra piuttosto benigno, finché lo si legge attentamente. Ecco la sezione di apertura:

(A) DENOMINAZIONE-Il Dipartimento del Commercio funge da stanza di compensazione di minaccia cibernetica e le informazioni sulla vulnerabilità al governo federale e del settore privato di proprietà critiche sistemi informativi delle infrastrutture e delle reti.

Sbadigliare. Io vedo questo come qualcosa che non si può imporre. Se si riesce a fornire informazioni utili, gli utenti potranno cercare quello che hai da dire. Se avete semplicemente ristampare ciò che è già stato rilasciato come open source, poi il mio feed di notizie Google probabilmente farmi le informazioni più velocemente e con una migliore interfaccia. E 'facile voler ignorare questa sezione in base a questo discorso di apertura, ma vi prego di leggere un po' di più:

(B) FUNZIONI-Il segretario del Commercio-

(1) hanno accesso a tutti i dati rilevanti in materia di tali reti, senza riguardo a qualsiasi disposizione di legge, regolamento, regola, o la politica che limitare tale accesso;

Cosa?? Questo per me è la presa di potere definitiva. Quindi qualsiasi rete o sistema che può essere considerato "infrastruttura critica" deve lasciare che il Dipartimento del Commercio hanno libero accesso alla loro rete. Questo accesso è senza riguardo al giusto processo o lo Stato di diritto. "Rilevante" è un termine molto soggettivo che può essere applicato a qualsiasi cosa.

Così si ritorna a quella "infrastrutture critiche", descrizione che abbiamo già detto è la chiamata in giudizio di un singolo individuo. Forse network di Microsoft dovrebbe essere considerato infrastrutture critiche, in quanto sono vendor desktop principale del governo. Forse server di sviluppo Linux dovrebbero essere ritenuti "critici" come server, apparecchiature e tecnologie embedded si basa su questa piattaforma. Ciò che sui fornitori di antivirus e firewall che forniscono prodotti per il governo? Gli Internet Service Provider reti di governo di manutenzione? Telco dipendenti pubblici di assistenza? Università finanziato per sviluppare tecniche di protezione informatica? Questo può essere una pista estremamente scivolosa.

Per me, questa è probabilmente la parte più pericolosa del disegno di legge.

Sezione 15: gestione dei rischi rapporto Cybersecurity

In breve, questa sezione richiede al Presidente di presentare una relazione entro un anno che identifica:

(1) creare un mercato per la gestione del rischio sicurezza informatica, compresa la creazione di un sistema di responsabilità civile e assicurazione (compresa la riassicurazione del governo) e

(2) sicurezza informatica richiedono di essere un fattore in tutti i rating delle obbligazioni.

Questo articolo potrebbe essere preso in un numero di direzioni. Se sono intelligenti, si esaminerà la possibilità di invalidare gli accordi degli utenti finali in modo che i produttori di software dovrebbero assumersi la responsabilità per la mancanza di sicurezza nei loro prodotti. Senza responsabilità, i venditori sono poco motivati ​​ad architetto in un quadro di sicurezza dall'inizio prodotto. È molto più facile e meno costoso da incollare sul dopo il pagamento di clienti hanno già problemi.

Sezione 16: riesame del quadro normativo e la relazione

Questa sezione contiene un invito per l'ufficio del presidente a rivedere le leggi esistenti in materia di sicurezza informatica:

il quadro federale legale e giuridico applicabile ai cyber-attività connesse negli Stati Uniti

In breve, si tratta di una revisione per vedere se le leggi sono ancora applicabili e devono essere aggiornate.

Sezione 17: Autenticazione e civile rapporto di libertà

Ecco l'intera sezione:

Entro 1 anno dalla data di entrata in vigore della presente legge, il Presidente, o designata del Presidente, esamina, e riferire al Congresso, sulla fattibilità di una gestione delle identità e programma di autenticazione, con le libertà appropriate civili e tutela della privacy, per il governo sistemi informativi e dei punti critici delle infrastrutture e delle reti.

Non sono sicuro di cosa fare di questa sezione. Si legge come si vuole trovare un single sign-on per le reti governative. Se questo è il caso, non capisco le "libertà civili adeguate protezioni e privacy" istruzione. Ciò implica una applicazione che si orienta più verso il pubblico. Della giuria è ancora fuori in questa sezione in quanto non ho visto eventuali altri pareri su di esso.

Sezione 18: la responsabilità e l'autorità Cybersecurity

Ecco la sezione che ognuno sta andando fuori di testa circa. Il blurb:

Il Presidente

(2) può dichiarare un'emergenza di cybersicurezza e ordinare la limitazione o l'arresto del traffico Internet da e verso qualsiasi compromesso Governo federale o degli Stati Uniti critici di infrastruttura informativa o di rete;

Suona male, ma pensa in questo modo. Quando gli aerei si schiantavano nella costruzione del presidente ha ordinato la messa a terra di tutti i voli commerciali. Dubito che ci fosse una legge specifica dargli l'autorità specifica, ma dato che era una situazione di emergenza che nessuno ha sostenuto il punto o ritenuto un abuso di potere.

Vedo questa disposizione come simili. Se viene confermato che i pirati hanno preso il controllo della rete elettrica e sono ora sistematicamente arresto, nessuno sta per colpa del Presidente per obbligare le organizzazioni di isolarsi da Internet in generale. Si può o non può effettivamente risolvere il problema, ma sarebbe una postura di difesa previsto. Questo avverrebbe con o senza questa disposizione nel disegno di legge.

Quindi per me questa sezione è un sacco di trambusto per nulla. Alcune delle sezioni precedentemente discussi sono molto più spaventosa.

Un altro punto interessante in questa sezione:

(5) dirige la mappatura periodica del governo federale e Stati Uniti i sistemi informativi delle infrastrutture critiche o reti, e sviluppare metriche per misurare l'efficacia del processo di mappatura

In una certa misura, questo processo ha già avviato come parte del Trusted Internet Connect (TIC) del programma. In realtà sono un po 'sorpreso che non sia già un requisito. E 'possibile che questo è già stato fatto, ma che i dati non erano disponibili quando la legge è stata scritta.

Sezione 19: Quadriennale di revisione informatica

(A) IN GENERALE-Inizio con 2013 e in seguito ogni quattro anni, il Presidente, o designata del presidente, deve completare l'esame della postura Cyber ​​degli Stati Uniti, compresa una documentazione non classificata dei ruoli, missioni, realizzazioni, progetti, e programmi.

In breve, ogni nuovo presidente arriva a fornire commenti su come pensano che il loro predecessore effettuata per quanto riguarda la sicurezza informatica. Questo rapporto sarebbe molto più utile se fosse stato necessario un anno prima. In questo modo agirebbe come un briefing per il nuovo Presidente. E darebbe loro una migliore idea di ciò che è necessario andare avanti.

Sezione 20: comune valutazione della minaccia di intelligence

Specifica (ennesima) relazione annuale al Congresso sulla sicurezza informatica. Niente da vedere qui. Muovetevi lungo.

Sezione 21: norme internazionali e le misure di deterrenza sicurezza informatica

Ecco la clip:

Il Presidente-

(1) lavorare con i rappresentanti di governi stranieri-

(A) di elaborare norme, le organizzazioni, ed altre attività di cooperazione per l'impegno internazionale per migliorare la sicurezza informatica, e

(B) per incoraggiare la cooperazione internazionale per migliorare la sicurezza informatica a livello globale

Vedo questo come più il ruolo del Dipartimento di Giustizia . Ciò che occorre è una migliore interazione tra l'applicazione della legge attraverso le frontiere internazionali, e non frammenti di PR e atteggiamento. Pensare in questo modo, ciò che sarebbe più efficace nello scoraggiare i crimini fisici oltre i confini dello stato, interazione frequente tra le forze di polizia, statali o interazione frequente tra i governatori?

Sezione 22: federali prodotti sicuri e servizi di bacheca acquisizioni

Per me, questo è probabilmente uno dei tratti più positivi del disegno di legge. Ecco il blurb:

(A) STABILIMENTO-Non è stabilito un prodotti sicuri e Servizi a bordo Acquisitions. Il consiglio è responsabile per la revisione cybersecurity e approvazione dei prodotti di alto valore e di acquisizione dei servizi e, in coordinamento con il National Institute of Standards and Technology, per la definizione di norme adeguate per la convalida del software da acquisire da parte del governo federale.

In breve, il governo stava usando il suo potere d'acquisto combinato di far rispettare gli standard di sicurezza per tutti gli acquisti di software. Questo può avere un profondo impatto sul settore commerciale. I venditori amano lamentarsi che è troppo costoso per la spedizione del software protetto. Ora, se vogliono vendere al governo, dovranno soddisfare le pertinenti norme NIST. Molto probabilmente il software protetto sarebbe disponibile per l'acquisto commerciale. Quindi fuori dalla scatola si finirebbe con un prodotto più sicuro.

Anche in questo caso, vedo questo come un requisito estremamente positivo. Mentre i fornitori possono lamentarsi, come i clienti saremmo tutti beneficio.

Sezione 23: Definizioni

Questa è semplicemente una definizione dei termini utilizzati nel conto. Tutti sono o termini comuni (come "Internet") o descritti nelle sezioni precedenti.

Riassunto Exec

Ci sono cose da amare così come la paura in questo disegno di legge. Aumenta finanziamenti per la ricerca cibernetica così come sfrutta il potere di acquisto del governo di generare software più sicuro per tutti. Al tempo stesso tenta di eludere i processi stabiliti (come pure norme di legge) che hanno il potenziale per rendere la situazione sicurezza informatica peggiorando invece di migliorare. Il disegno di legge è attualmente all'esame della commissione del Senato per il commercio, la scienza, e trasporti . Ora è il momento di esprimere qualsiasi lodi o dubbi si possono avere.

Ci sono stati un bel paio di articoli sulla Cybersecurity Act del 2009 . La maggior parte sono concentrati sulla sezione che darebbe al presidente il potere di "spegnere Internet". Ma ci sono altre cose in questo disegno di legge che dovrebbe essere ancora più preoccupati? C'è qualcosa di effettivamente utile nel disegno di legge? In questo post in due parti ti porterò attraverso la sezione disegno di legge per sezione.

Le prime due sezioni sono semplicemente l'indice e le conclusioni. Una citazione notevole dalla sezione 2:

(1) fallimento dell'America per proteggere il cyberspazio è uno dei problemi più urgenti di sicurezza nazionale di fronte al paese.

Consente di impostare il tono per il resto della sezione e devo dire che sono d'accordo con la dichiarazione. Sicurezza saggio siamo veramente in condizioni peggiori di quanto la gente vuole credere.

Sezione 3: advisory panel Cybersecurity

Queste due citazioni in realtà dicono tutto:

(A) IN GENERALE-Il presidente istituisce o designa un Advisory Panel Cybersecurity.

(C) FUNZIONI-Il pannello consiglia il presidente sulle questioni relative al programma nazionale di sicurezza informatica e la strategia

Ho sentimenti contrastanti riguardo a questi punti. Penso che cybersecurity è abbastanza importante da meritare di alto livello visibilità. Tuttavia questo disegno di legge va di pari passo con la S. 788, una legge per creare il posto di Cybersecurity Advisor , e HR 1910, una legge per creare il posto di Chief Technology Officer . Entrambe queste posizioni si riferiscono direttamente al presidente, così sembra più utile avere la caduta del pannello in queste due rulli in organigramma nazionale. Potrebbe essere solo semantica, ma uno dei problemi che abbiamo oggi è mandato parallelo, privo di proprietà chiara dei problemi. Se tutti e tre bollette passano vedo una maggiore possibilità di creare dei conflitti piuttosto che risoluzioni.

Sezione 4: Real dashboard cybersecurity tempo

Ho visto poca attenzione data a questo elemento, ma c'è una dichiarazione facilmente dismissible fatta in questa sezione:

Il Segretario del Commercio deve

(1) in consultazione con l'Ufficio di Gestione e Bilancio, sviluppare un piano entro 90 giorni dalla data di entrata in vigore della presente legge per implementare un sistema per fornire informazioni dinamiche, completo, in tempo reale lo stato di sicurezza informatica e della vulnerabilità di tutte le informazioni del governo federale sistemi e reti gestiti dal Dipartimento del Commercio;

Un paio di punti qui, perché proprio il dipartimento del commercio? Se questa sarà una risorsa veramente utile, perché non estendere il suo utilizzo al di là di questo ufficio un governo? Inoltre, l'affermazione è un po 'vago. Questo potrebbe essere un incapace come il livello di minaccia nazionale o un sottoinsieme dei dati forniti da siti come DShield o Homeland Security Infrastructure Fonte aprire il rapporto . Ad ogni modo io vedo questo come un fallimento a lungo termine.

Sezione 5: programma di sicurezza informatica statale e regionale

Ecco il fulcro di questa sezione:

(A) creazione e il sostegno alla sicurezza informatica CENTRI-Il Segretario del Commercio dovrà fornire assistenza per la creazione e il sostegno della sicurezza informatica Centri regionali per la promozione e l'attuazione di norme di sicurezza informatica. Ogni Centro devono essere affiliate a un istituto sede negli Stati Uniti o l'organizzazione senza scopo di lucro, o loro consorzi, che si applica e si aggiudica l'assistenza finanziaria ai sensi della presente sezione.

Suona bene la prima lettura, ma cosa succede con la sezione "affiliata con le organizzazioni senza scopo di lucro ..."? Si potrebbe facilmente finire con un non-sistema centralizzato senza chiaro punto di contatto per il loro target di riferimento. Quindi, se ho bisogno di aiuto con cybersecurity, dovrei andare a ... Il Fondo di Jimmy ? Farm Aid ? O forse è il Santuario Elephant Tennessee ?

Personalmente, credo che questi centri dovrebbero essere affiliato con InfraGard . Essi sono stabiliti in quasi ogni stato, hanno già una lunga storia di sensibilizzazione della comunità, e sono già concentrati su come affrontare i problemi di sicurezza informatica. La mia ipotesi è che il Dipartimento del Commercio vuole il controllo completo, mentre InfraGard è già associato con l'FBI.

Allora, qual è l'obiettivo della creazione di questi centri?

(B) SCOPO-L'obiettivo dei Centri è quello di migliorare la sicurezza informatica delle imprese piccole e medie imprese negli Stati Uniti

Si tratta di un obiettivo ammirevole. A causa della mancanza di risorse, le aziende piccole e medie imprese stanno lottando di più. Probabilmente l'unica demografica che è più grande sarebbe utenti domestici. Se potessimo prendere misure per sostenere tali organizzazioni, sarebbe andare un lungo cammino verso la fortificare la nostra postura sicurezza nazionale.

I centri sosterrebbe piccole e medie imprese per:

(1) diffondere le tecnologie di sicurezza informatica, standard e processi basati sulla ricerca da parte dell'Istituto ai fini della dimostrazione e trasferimento tecnologico;

(2) attiva il trasferimento e la diffusione di strategie di sicurezza informatica, best practice, standard e tecnologie per proteggere e mitigare il rischio di attacchi informatici ad una vasta gamma di aziende e imprese, in particolare imprese di piccole e medie imprese, e

(3) concedere prestiti, in modo selettivo, a breve termine, di elementi di sicurezza informatica avanzate contromisure alle piccole imprese con meno di 100 dipendenti.

Ancora una volta, io vedo queste attività come un grande adatto per InfraGard. Deployment sarebbe accelerato in quanto vi è già una struttura nazionale. Si tratterebbe di ridurre drasticamente la curva per rendere queste risorse a disposizione.

Sezione 6: NIST sviluppo degli standard e la conformità

Il disegno di legge guarda al NIST per sviluppare standard di sicurezza per tutte le agenzie governative:

(A) IN GENERALE-Entro 1 anno dalla data di entrata in vigore della presente legge, il National Institute of Standards and Technology di stabilire norme di sicurezza informatica misurabili e verificabili per tutti governo federale, contractor del governo, o concessionario critiche sistemi informativi e delle reti infrastrutturali

NIST è già responsabile per la fissazione di norme. In realtà i loro documenti di sicurezza sono considerate tra le migliori nel settore. Per l' Information Technology Reform Act del 1996 , il NIST è già incaricata di sviluppare Federal Information Processing Standard (FIPS).

Io non sono un avvocato, ma non vedo nulla in questa sezione che non sia già stato specificato da precedenti bollette tranne questo bocconcini sotto "(d) l'applicazione Compliance":

(2) esigono che ogni agenzia federale, e ogni operatore di un sistema informativo o di rete designato dal presidente come un sistema di informazioni critiche per l'infrastruttura di rete o, periodicamente per dimostrare la conformità alle norme stabilite in questa sezione.

Sono onestamente non so se il presidente ha attualmente il potere di (arbitrariamente?) Designa una rete o sistema come "critico" e quindi soggetto alla presente sezione. Io preferisco definizioni specifiche rispetto soggettivamente fiducia il giudizio di un singolo individuo. In questo modo sono coperti in entrambe le direzioni, dai sistemi che avrebbe dovuto essere incluse ma erano perse, nonché sistemi che non appartengono nell'elenco.

Sezione 7: licenze e la certificazione dei professionisti della sicurezza informatica

In questa sezione vengono veramente mi spaventa in quanto ha il potenziale per fare più male che bene. Ecco la descrizione:

(A) IN GENERALE-Entro 1 anno dalla data di entrata in vigore della presente legge, il segretario al Commercio deve sviluppare o coordinare ed integrare una licenza nazionale, certificazione, e il programma di ricertificazione periodica per i professionisti della sicurezza informatica.

Per me, qualcuno che non ha idea della portata di ciò che è necessario per affrontare il problema ha scritto questa sezione. Cybersecurity non è una singola disciplina. Ci sono esperti che si concentrano sull'analisi del malware, sicurezza perimetrale, pacchetto decodifica e l'analisi delle intrusioni, gestione degli incidenti, sicurezza host specifico, auditing, forensics, wireless, banche dati, e la lista potrebbe continuare all'infinito. Una certificazione nazionale e programma di licenza finirebbe per essere uno dei seguenti:

1. Quindi, in generale in realtà non significa nulla
2. Così difficili "certificato" risorse sarebbe difficile da trovare

A causa della diversità del campo di sicurezza informatica, non c'è davvero di mezzo. Questa sezione va poi a dire:

(B) OBBLIGATORI licenze inizio 3 anni dalla data di entrata in vigore della presente legge, sarà illegale per ogni individuo di esercitare la sua attività negli Stati Uniti, o da impiegare negli Stati Uniti, come un fornitore di servizi di sicurezza informatica qualsiasi agenzia federale o un sistema di informazione o di rete designato dal presidente, o designato il Presidente, come un sistema di informazioni critiche per l'infrastruttura o di rete, che non è concesso in licenza e certificati nell'ambito del programma.

Aspetta un attimo. Basti fare un esempio lampante. Alan Paller è il direttore della ricerca presso SANS , è stato citato in questo disegno di legge (art. 2, # 8), ed è uno dei miei eroi personali in questo settore. Ha fornito Consiglio alla Casa Bianca e Congresso più volte. Lui è uno di quegli individui unici che possono mediare il divario tra gente che parlano lingue diverse (geeks, CFO, COO, ecc.) Mentre lui conosce il settore, non è il tipo di ragazzo che passa il tempo scrivendo Nessus plug-ins o decodifica flussi di attacco TCP. E 'veramente l'intento di questo disegno di legge di perdere risorse come Alan se scelgono di non certificare?

Vi è un modello comunque qui. Come tante voci prima di esso, questa sezione mette il controllo nelle mani del Dipartimento del Commercio. Quindi io personalmente penso che questo sia meno di assicurare abbiamo personale qualificato sostegno della sicurezza della rete, e più di potere grabbing.

Sezione 8: Rassegna di NTIA contratti di nomi di dominio

Questo è un altro inquietante capitolo:

(A) in generale, nessuna azione da parte del Segretario Assistente di Commercio per le comunicazioni e le informazioni dopo la data di entrata in vigore della presente legge per quanto riguarda il rinnovo o modifica di un contratto relativo al funzionamento della Internet Assigned Numbers Authority, è definitiva fino a quando il Panel-Advisory

(1) ha esaminato il ricorso;

(2) preso in considerazione le implicazioni di sicurezza nazionale, commerciali e dell'azione, e

(3) ha approvato l'azione.

L'Internet Assigned Numbers Authority (IANA) è gestito dalla Internet Corporation for Assigned Names and Numbers (ICANN). Questa è una organizzazione non-profit internazionale che si occupa di guidare (non applicazione) operazioni di alto livello di Internet. Prendono la guida di un certo numero di organizzazioni, tra cui l' Internet Engineering Task Force (IETF), che definisce gli standard per le comunicazioni Internet. La IETF è un'organizzazione internazionale costituita da tutti, dai singoli ricercatori ai fornitori.

Per me, questa sezione suona come un tentativo di portare la pressione finanziaria su queste organizzazioni. Ancora una volta, questo sembra essere un tentativo di consolidare più potenza sotto il dipartimento del commercio. Soprattutto quando si combinano con la sezione 9.

Sezione 9: Secure nome di dominio degli indirizzi del sistema

Ecco la clip:

(A) IN GENERALE-Entro 3 anni dalla data di entrata in vigore della presente legge, l'Assistente Segretario di Commercio per le comunicazioni e le informazioni devono sviluppare una strategia per implementare un sistema sicuro di nome di dominio di indirizzamento. Il Segretario Assistente pubblica avviso in merito ai requisiti di sistema nel registro federale insieme ad un calendario di attuazione per le agenzie federali e dei sistemi informativi o le reti di designati dal Presidente, o designato il Presidente, come i sistemi di informazioni critiche per infrastrutture e alle reti.

Come accennato nel paragrafo precedente, lo sviluppo di standard Internet, nel ruolo della IETF, non il Dipartimento del Commercio. Inoltre, abbiamo già le norme per fissare la struttura dei nomi di dominio ( DNSSEC ), così come il routing e lo schema di indirizzamento IP ( sBGP ). Il problema è la loro diffusione è stata estremamente lenta. Ciò di cui abbiamo bisogno è applicare le norme esistenti, non su quelle concorrenziali sviluppati al di fuori del processo accettata IETF.

Questa sezione va poi a dire:

(B) richiesta conformità-Il Presidente si accerta che ogni agenzia federale ed ogni tale sistema o di rete implementa il nome di dominio sicuro sistema di indirizzamento secondo il calendario pubblicato dal Segretario Assistente.

OK ecco il problema. Al fine di assicurare IP e DNS la soluzione deve essere attuata a livello globale. Questa è parte del motivo per cui si è preso così a lungo. Se il governo federale, oggi schierato DNSSEC e sBGP sarebbe fare ben poco per impedire che il nome del dominio dirottamento o reindirizzamento percorso, perché gli aggressori possono semplicemente lavorare al di fuori del perimetro del governo.

Devo dire che condivido la frustrazione in questo settore. Sia DNSSEC e sBGP sono stati in giro per 10 anni. Penso che abbiamo bisogno di succhiare in su le perturbazioni che possono essere causati dalla distribuzione e solo ottenere il lavoro fatto. Forse ICANN ha bisogno di un fuoco acceso sotto i loro mozziconi di creare qualche movimento in avanti. Sono convinto non solo queste due sezioni sono la strada per andare su di esso.

Sezione 10: Promuovere la conoscenza cybersecurity

Sapevi una campagna di PR deve essere inclusa in qui da qualche parte, giusto? Ecco il blurb:

Il Segretario del Commercio deve sviluppare e implementare una campagna di sensibilizzazione nazionale sicurezza informatica

Non sei sicuro di quanto sia utile questo sarà perché il news feed sono già pieni di storie che descrivono il nostro stato attuale della sicurezza. Vedo questo come avente il potenziale di essere stupido, piuttosto che informativa. Ho queste visioni di entrare in scuola di mio figlio e di vedere un manifesto che recita "Bytes Billy dice Non Be A H4X0R". OK, spero che non accadrà mai, ma non si sa mai.

Sezione 11: ricerca cibernetica federale e sviluppo

Ecco la dichiarazione iniziale:

(A) CyberSecurity RICERCA FONDAMENTALE-Il direttore della National Science Foundation deve dare priorità alla scienza informatica e di ingegneria dell'informazione e della ricerca per garantire il supporto sostanziale per soddisfare le seguenti sfide in sicurezza informatica:

Questa sezione discariche un sacco di soldi nella ricerca e sviluppo di tecniche di sicurezza informatica. Essa modifica fatture esistenti per aumentare la spesa di $ 265m nel 2010, a oltre $ 310M entro il 2014. Ci sono già altri programmi che la ricerca cibernetica fondo, ma a condizione che i fondi sono gestiti in modo appropriato vedo questo come essere utile alla causa.

Sezione 12: borsa di studio informatica federale per il programma di servizio

Ecco la clip:

(A) IN GENERALE-Il direttore della National Science Foundation stabilisce una borsa di studio federale Cyber-for-Service programma per reclutare e formare la prossima generazione di lavoratori federali informatici e responsabili della sicurezza.

Questo non è diverso da molti "borsa di studio per il servizio" altri programmi. Vedo questo come vantaggioso per entrambe lo studente così come il governo. $ 50M è stato assegnato al programma, aumentando a 70 milioni di dollari entro il 2014.

Riassunto

Questo è tutto per ora. Domani vi posto l'ultima metà del disegno di legge.