昨日の記事で私は、2009年のサイバー法の最初の半分をカバー。 ここでは、法案の後半に取り上げています。

第13章：サイバーセキュリティの競争と挑戦

名前が示すように、これは最も優秀を特定するために、大会のシリーズAの資金調達をセットアップします。

（）国立標準技術研究所の一般的なディレクター、直接に又は適当な連邦政府のエンティティでは、受注に賞金とサイバー大会や課題を確立しなければならない。

（1）、誘致を識別、評価、および連邦情報技術労働力のための有能な人材を募集、と

（2）連邦政府の連邦情報技術活動への応用の可能性を持っている基礎研究と応用サイバーセキュリティの研究、技術開発、およびプロトタイプのデモンストレーションで技術革新を刺激する。

ここには赤い旗はありません。 賞品は、あなたの希望を取得しないインチ蹴りと均衡せずに$ 1Mを超えることはできません。 それは、イベント全体ではなく、ある特定の賞のためだ。

第14章：官民のクリアリングハウス

あなたが密接にそれを読むまで、このセクションでは、かなり良性だ。 ここで開口部は次のとおりです。

（A）指定-商務省は、連邦政府と民間所有の重要インフラ情報システムやネットワークへのサイバーセキュリティの脅威と脆弱性情報の交換所を務めるものとする。

あくび。 私はあなたを強制できないものとしてこれを参照してください。 あなたが有益な情報を提供できる場合、ユーザーはあなたが言っているか出てまいります。 あなたは、単にすでにオープンソースとしてリリースされているものを転載した場合は、私のGoogleニュースのフィードは、おそらくより良いインターフェースで情報をより速く私を取得しています。 それはこの冒頭陳述に基づいて、このセクションを無視するが、さらにビットを読んで喜ばせたいのは簡単です。

（b）の機能 - の商務長官、

（1）そのようなアクセスを制限する法律、規制、規則、またはポリシーのいずれかの規定に関係なくこのようなネットワークに関するすべての関連データへのアクセスを有する。

何が？ これは私にとって究極のパワーグラブです。 "重要なインフラストラクチャは、"商務省は、そのネットワークへ自由にアクセスさせるには持っていると判断することができますので、任意のネットワークまたはシステム。 このアクセ​​スは、正当な手続きや法の支配に関係なくです。 "関連"何にでも適用できる非常に主観的な用語です。

だから、我々はすでに一人の審判の判定である述べている"重要インフラ"の説明に戻ってくる。 彼らは政府の主要なデスクトップのベンダーであるため、おそらくMicrosoftのネットワークは、重要なインフラとみなされるべきである。 おそらく、Linux開発のサーバも、このプラットフォームに基づいているサーバ、アプライアンス、および組込み技術として"重要"とみなされるべきである。 政府に製品を供給するアンチウィルスとファイアウォールのベンダーはどうですか？ インターネットサービスプロバイダサービス政府のネットワーク？ 電話会社のサービスの公務員？ 大学は、サイバーの保護技術を開発するために資金を供給？ これは非常に滑りやすい坂道することができます。

私にとって、これはおそらく、法案の単一の最も危険な部分です。

セクション15：サイバーセキュリティリスク管理レポート

一言で言えば、このセクションでは、社長が識別する一年以内にレポートを生成する必要があります。

（1）民事責任と保険（政府の再保険を含む）のシステムの作成を含むサイバーセキュリティのリスク管理のための市場を、作成、および

（2）必要とするサイバーセキュリティは、すべての債券の格付けの要因になるために。

この項目は、方向の数で取ることができる。 彼らはスマートな場合はソフトウェアベンダが自社製品に障害が発生したセキュリティに対する責任を受け入れる必要があるように、彼らは排尿エンドユーザー契約の可能性を見ていきます。 責任を負うことなく、ベンダーは製品の開始からセキュリティフレームワークの建築家にはほとんど意欲を持っている。 それはそれは、顧客が既に問題が発生している支払った後で接着剤にはるかに容易かつ安価です。

第16条：法的枠組みの見直しとレポート

このセクションでは、に関する既存のサイバーセキュリティ法を検討するために大統領のオフィスを求めて：

米国におけるサイバー関連の活動に適用される連邦法的および法的枠組み

要するに、これは法律がまだ適用されるか、又は更新が必要かどうかを確認するレビューです。

セクション17：認証と市民の自由報告書

ここで全体のセクションは次のとおりです。

政府のために、適切な市民の自由とプライバシーの保護で、ID管理と認証プログラムの実現可能性に、この法律の施行の日後1年以内に、社長、または社長の指名は、レビューする、と議会に報告と重要インフラ情報システムやネットワーク。

私は、このセクションのようにすることがよく分かりません。 彼らは政府のネットワークに対するシングルサインオンソリューションを検索するようにそれを読み取ります。 その場合、私は"適切な市民の自由とプライバシー保護"の文を理解していない。 これは一般大衆に向かってよりを対象としているアプリケーションを意味する。 陪審は、私がそれについて他の意見を見ていないとして、このセクションではまだ外です。

セクション18：サイバーセキュリティの責任と権限

ここに誰もが知ってひどく神経質にされているセクションです。 宣伝文：

大統領

（2）サイバーセキュリティの緊急事態を宣言し、任意の侵害、連邦政府機関、もしくは米国政府重要インフラ情報システムやネットワークからのインターネットトラフィックの制限または停止を命ずることができる。

悪い聞こえるが、それをこのように考える。 飛行機は社長を構築するにクラッシュしたときにすべての商業飛行の接地を命じた。 私は彼にその特定の権限を与える特定の法律があった疑いが、それは誰が点を主張していないか、権力の濫用とみなさ緊急事態だったが与え。

私は同じようなものとしてこの規定を参照してください。 それは攻撃者が電力グリッドの制御を撮影したし、今で体系的にそれをシャットダウンしていることが確認されている場合は、誰もそれらの組織が大規模で、インターネットから自分を隔離する必要のためにフォールト社長をするつもりはありません。 それは、または実際には問題が解決されないことがありますが、それは予想される防衛態勢となる。 これは、法案のこの規定の有無に関係なく発生します。

だから、私にこのセクションでは、何も約騒動がたくさんある。 前述のセクションのいくつかは、はるかに恐ろしいです。

このセクションのもう一つの興味深い点：

（5）連邦政府と米国の重要インフラ情報システムやネットワークの定期的なマッピングを指示するものとし、マッピングプロセスの有効性を測定する基準を作成しなければならない

ある程度まで、このプロセスは既にの一部として開始された信頼できるインターネット接続 （TIC）プログラム。 私はそれが既に要件ではない驚いて、実際の一種だ。 それはこれが既に行われていることは可能ですが、法案が書き込まれたときにそのデータが利用できませんでした。

セクション19：Quadrennialサイバーレビュー

（A）2013年で、その後4年ごとに一般 - 初めに、社長、または社長の指名は、分類されていない役割の概要、ミッション、成果、計画、を含む、米国のサイバー姿勢の見直しを完了しなければならないとプログラム。

要するに、それぞれの新大統領は、彼らの前任者は、サイバーセキュリティに関してで行わどのように考えるかについて解説を提供するために取得します。 これは前年要求された場合は、このレポートでは、はるかに便利です。 そうすればそれは新しい大統領のための説明会として行動する。 それは、彼らに今後何が必要かの良いアイデアを与えるだろう。

第20条：共同インテリジェンス脅威評価

（まだ別の）議会へのサイバーセキュリティに関する年次報告書を指定します。 ここで見て何もない。 に沿って移動する。

第21節：国際的な規範とサイバーセキュリティの抑止対策

ここではクリップは次のとおりです。

社長ものとする -

（1）外国の代表者と協力し、政府、

（）サイバーセキュリティを改善するために国際的な関与のための規範、組織、およびその他の協力活動を展開する、と

（B）グローバルベースでのサイバーセキュリティを改善するための国際協力を奨励する

私はより多くの役割として、これを参照してください司法省 。 必要なのは、国境で​​はなく、PRスニペットと姿勢間の法執行機関間のより良い相互作用です。 この方法でそれを考え、どのような状態の国境、州の法執行機関間の頻繁な相互作用、または知事の間で頻繁な相互作用を介して物理的な犯罪を抑止するのより効果的でしょうか？

セクション22：連邦安全な製品やサービスの買収ボード

私にとって、これはおそらく、法案の中で最も肯定的なセクションの一つです。 ここで宣伝文は次のとおりです。

（a）の事業所があるセキュアな製品とサービスの買収委員会を設置しています。 理事会は、サイバーセキュリティのレビューと連邦政府によって買収されるソフトウェアの検証のための適切な基準の確立のための高付加価値製品やサービスの取得と、国立標準技術研究所との連携で、承認のための責任を負うものとします。

一言で言えば、政府はすべてのソフトウェアの購入のためのセキュリティ標準を適用すること、その結合された購買力を使用することになる。 これは、商業産業に大きな影響を持つことができます。 ベンダーは、セキュアなソフトウェアを出荷する費用がかかりすぎると文句を言うのが大好き。 彼らは政府に販売することを望むなら、今、彼らは適切なNISTの基準を満たす必要があります。 最も可能性の高いセキュアなソフトウェアは、同様に商業的な購入が可能になります。 そう箱から出して、より安全な製品になってしまいます。

繰り返しますが、私は非常に肯定的な要件としてこれを参照してください。 ベンダーがそれについて不平を言うかもしれないが、顧客と我々は、すべての恩恵を受けるだろう。

セクション23：定義

これは、単に請求書で使用される用語の定義です。 すべては、一般的な用語です（"インターネット"のような）またはそれ以前のセクションで説明します。

Execの概要

だけでなく、この法案の恐怖を愛することの事がある。 それはだけでなく、サイバーセキュリティの研究のための資金を増加させるすべての人のためのより安全なソフトウェアを生成するために政府の購買力を活用しています。 同時に、サイバーセキュリティの状況をさらに悪化というより良いものにする可能性を持っている確立されたプロセスを（だけでなく、法律のルール）回避しようとします。 法案は、現在で検討されている上院商業委員会、科学、交通 。 今はあなたが持つかもしれない賞賛や懸念を表明する時間です。

上でかなりの数の記事がありました2009年のサイバーセキュリティ法を 。 ほとんどの"シャットダウンインターネット"に大統領に力を与えるセクションに焦点を当てている。 しかし、あなたが約にももっと心配すべきは、この法案の他の事はありますか？ 法案で実際に有用なものはありますか？ この2部構成の記事で私は、セクションによって手形のセクションを通してあなたを取るよ。

最初の2つのセクションでは、単にインデックスとの調査結果です。 セクション2から一つ注目に値する引用：

（1）サイバー空間を守るためにアメリカの失敗は国が直面する最も緊急の国家安全保障問題の1つです。

これはセクションの残りのためのトーンを設定し、私が文に同意と言わざるを得ない。 ほとんどの人が信じるようにするよりもセキュリティ面では、我々は本当に悪い形になります。

セクション3：サイバー諮問パネル

これら2つの引用符は、実際にそれをすべて言う：

（）での汎社長は、サイバーセキュリティ諮問委員会を確立するか指定するものとする。

（C）義務パネルは、国家サイバーセキュリティプログラムと戦略に関連する事項について会長に助言するものと

私はこれらの点についての心境は複雑だ。 私は、サイバーセキュリティが高レベルの視認性に値するほど重要だと思います。 しかしこの法案は、と手をつないで行くS. 788、サイバーセキュリティ顧問の位置に作成するための法案 、およびHR 1910、最高技術責任者の位置を作成する法案を 。 これらの位置の両方が社長に直接報告していましたので、それは国家の組織図でこれら2つのロールの下のパネル落下する方が便利だ。 単に意味論であるが、我々が今日持っている問題の一つは、問題の明確な所有権を持つ並列在職期間である可能性があります。 すべての3つの法案が通過した場合、私はむしろ解像度よりも競合を作成するより高い可能性を参照してください。

セクション4：リアルタイムのサイバーセキュリティダッシュボード

私はこのアイテムに与えられた少しの注意を見てきたが、このセクションで行った簡単に削除可能な文があります：

商務長官ものとする

（1）行政管理予算局と協議の上、すべての連邦政府の情報のダイナミックな、包括的な、リアルタイムのサイバーセキュリティの状況や脆弱性の情報を提供するシステムを実装するには、この法律の施行の日から90日以内に、計画を策定する商務省によって管理されるシステムとネットワーク;

ここでのポイントのカップル、なぜ商業のちょうど部門？ これは本当に有用なリソースとなる場合、なぜこの官庁を超えての使用を拡張することは？ また、声明は少し曖昧です。 これは、同じくらい効果がないかもしれない国立脅威のレベルやなどなどのサイトで提供されるデータのサブセットDShieldや国土安全保障省、オープンソースインフラストラクチャレポート 。 いずれにせよ、私は長期的な失敗としてこれを参照してください。

セクション5：国家と地域のサイバーセキュリティプログラム

ここでは、このセクションの焦点は次のとおりです。

サイバーセキュリティの（a）の作成とサポートセンター - 商務長官は、サイバーセキュリティ基準の促進と実施のための地域のサイバーセキュリティセンターの創設と支援のための支援を提供しなければならない。 各センターはに適用し、このセクションの下に金融支援を授与される米国ベースの非営利団体や組織、またはコンソーシアムのその、に所属するものとする。

最初の読み出しで良く聞こえる、しかし"と提携...非営利団体"セクションで何かあったの？ 我々は簡単に彼らのターゲットとするユーザーの連絡先の明確なポイントと非集中型のシステムになってしまう可能性があります。 私はサイバーセキュリティのヘルプが必要なのであれば、私はに行く必要があります... ジミーファンド ？ ファームエイド ？ または多分それはですテネシー州のエレファントサンクチュアリ ？

個人的に、私はこれらのセンターが所属されるべきだと思うInfraGard 。 それらはほぼすべての国で設立され、すでにコミュニティアウトリーチの長い歴史を持ち、すでにサイバーセキュリティ問題に対処するに焦点を当てている。 私の推測では、InfraGardが既にFBIに関連付けられている間、商業部門は、完全な制御をしたいということです。

したがって、これらのセンターを作るの目標は何ですか？

（b）の目的、センターの目的は、米国における中小企業のサイバーセキュリティを強化することです

これは立派な目標です。 リソース不足のため、中小企業はほとんどが苦労している。 おそらく大きいだけの人口統計は、ホームユーザーになります。 我々はこれらの組織をサポートするための措置を講じることができれば、それは私達の国家安全保障態勢を強化に向けての長い道を行くだろう。

センターは、中小企業をサポートするのが望ましい。

（1）サイバーセキュリティ技術、標準、およびデモンストレーションや技術移転の目的のための研究所で研究に基づいてプロセスを普及させる。

（2）積極的に、から保護し、企業と企業の広い範囲にサイバー攻撃のリスクを軽減するために、特に中小企業のサイバーセキュリティ戦略、ベストプラクティス、標準、および技術の移転と普及、および

（3）100人未満の小規模企業への高度なサイバーセキュリティ対策の項目から、選択的、短期的には、融資を行う。

繰り返しますが、私はInfraGardにぴったりとして、これらの活動を参照してください。 国の構造がすでにあるので、展開が速くれる。 これらは、劇的にこれらのリソースが利用可能にする上で曲線を切るだろう。

セクション6：NISTの標準の開発とコンプライアンス

法案はすべての政府機関のセキュリティ基準を開発するためにNISTになります。

（a）の1年間GENERAL -以内に、この法律の施行の日の後、国立標準技術研究所は、すべての連邦政府、政府の請負業者、または権限受領重要インフラ情報システムやネットワークのための測定可能と監査可能なサイバーセキュリティの基準を確立しなければならない。

NISTは、既に基準を設定する責任があります。 実際にはそれらのセキュリティのドキュメントは、業界で最高の一部と考えられている。 当たり1996年の情報技術改革法 、NISTは、すでに連邦情報処理規格（FIPS）の開発を担当しています。

私は弁護士ではないんだけど、私はすでに"（D）コンプライアンスの実施"の下にこのTIDのビットを除き、以前の請求書で指定されていないこのセクションでは何も表示されません。

（2）定期的にこのセクションの下で設立された基準の遵守を実証するために、各連邦政府機関、及び重要インフラ情報システムやネットワークなどの社長で指定された情報システムやネットワークの各演算子を必要とするものとします。

私は正直社長は、現在の電源（任意？）"クリティカル"、したがって、このセクションの対象として、任意のネットワークやシステムを指定しているかどうかはよく知りません。 私は主観的に、単一の個々の判断を信頼することに対して特定の定義を好む。 この方法では、我々は含まれているはずですが、見逃していたシステムだけでなく、実際にリストに属していないシステムから、両方向に覆われている。

セクション7：サイバーセキュリティの専門家のライセンスと認証

それが良いよりも害を行う可能性を秘めているとして、このセクションでは、本当に私を心配になる。 ここでの説明は次のとおりです。

（）この法律の施行の日以後GENERAL -以内1年では、商務長官は、国家ライセンス、認定、およびサイバーセキュリティの専門家のための定期的な再認証プログラムを開発したり、調整し、統合するものとします。

私には、問題を解決するために必要とされるものの範囲のないアイデアを持っていない人は、この節を書いた。 サイバーセキュリティは、単一の規律ではありません 。 そのマルウェアの解析に焦点を当てた専門家が、境界セキュリティ、パケットデコードおよび侵入の分析、インシデント対応が存在する、ホスト固有のセキュリティ、監査、フォレンジック、ワイヤレス、データベース、およびリストは延々と続く。 国家認証およびライセンスプログラムは、次のいずれかになってしまうでしょう。

1. 一般的なので、それは本当に何の意味もない
2. 非常に難しい"認定"リソースを手に入れることは難しいだろう

ためにサイバーセキュリティ分野の多様性から、実際には妥協点はありません。 このセクションでは、次にように続けています。

（b）この法律の施行の日後にライセンス - はじまりMANDATORY 3年間の個人が米国で事業に従事するために、それは違法でなければならない、またはにサイバーセキュリティサービスのプロバイダとして、米国で採用されるあらゆる連邦機関またはプログラムの下でライセンスと認定されていない重要インフラ情報システムやネットワーク、として、社長、または社長の指名で指定された情報システムやネットワーク。

ちょっと待ってください。 ここでは単に1つ明白な例を取るアランパラーはでの研究のディレクターであるSANS 、この法案（セクション2、＃8）に引用され、そしてこの業界で私の個人的なヒーローの一つです。 彼はホワイトハウスと議会に複数回協議会を提供している。 彼は、異なる言語を（オタク、CFO、COOなど）を話す人々の間のギャップを媒介することができるそれらのユニークな個人の一つです。 彼は業界を知っている間、彼はNessusのプラグイン化または復号化、TCP攻撃ストリームの作成に時間を費やしている男のようなものではありません。 それは本当に彼らが証明しないことを選択した場合、アランのような資源を失うことが、この法案の目的です？

パターンは、しかしここにあります。 その前に非常に多くのラインのアイテムと同じように、このセクションでは、商務省の手でコントロールを置きます。 だから私は個人的にこれは、我々はネットワークのセキュリティを支える人材を持って確保についてはあまり、とグラブ電源についての詳細だと思う。

セクション8：NTIAのドメイン名の契約の見直し

これは、別の恐ろしいセクションです。

（）での汎用はインターネット割り当て番号局の操作に関連する契約の更新や修正については、この法律の施行の日以後の通信と情報の商務次官補による行為は、最終的にはならないまで、諮問委員会、

（1）アクションを検討している。

（2）アクションの商業および国家安全保障への影響を考慮、し

（3）アクションを承認した。

インターネット割り当て番号機関（IANA）は次式で実行されているアイキャン （ICANN）。 これは、（実装しない）、インターネットの高度な操作を導くための責任がある非営利の国際組織です。 彼らは、などの組織の数は、指導を取るインターネットエンジニアリングタスクフォースインターネット通信を実現するための基準を定義する（IETF）。 IETFは、個々の研究者からベンダーへのみんなから構成される国際組織です。

私には、このセクションでは、これらの組織に財政的な圧力をもたらすための試みのように聞こえます。 繰り返しますが、これは商業の部門の下に多くの電力を統合する試みのようです。 あなたは、セクション9とそれを組み合わせる場合は特に。

セクション9：セキュアなドメイン名のアドレスシステム

ここではクリップは次のとおりです。

（）この法律の施行の日以後3年 - 内の一般的には、通信情報のための商務次官補は、システムに対処するセキュリティで保護されたドメイン名を実装するための戦略を開発する。 次官補は、システム要件の通知を公表しなければならない連邦大統領、または大統領の指名で指定された連邦機関との情報システムやネットワークのための実施スケジュールと一緒に登録する、重要インフラの情報システムやネットワークなど。

としてIETFではなく、商業部門の役割で、インターネット標準を開発、最後のセクションで述べた。 さらに、我々はすでにドメイン名の構造（保護するための規格があるDNSSEC ）だけでなく、ルーティングとIPアドレッシング方式（ sBGPを ）。 問題は、彼らの展開が非常に遅れているです。 必要なのは、既存の標準ではなく、受け入れられるIETFプロセスの外で開発された競争力のあるものの展開です。

このセクションでは、次にように続けています。

（b）要件REQUIRED - 社長は、各連邦政府機関とそれぞれのそのようなシステムやネットワークが次官補が発行するスケジュールに従って、安全なドメインネームアドレッシングシステムを実装することを保証しなければならない。

[OK]をここで問題です。 IPとDNSを確保するために解決策は、世界的に実装する必要があります。 それはそう長い間服用している理由の一部です。 連邦政府は本日、DNSSECとsBGPをデプロイした場合、それは、攻撃者は単に政府の境界の外で働く可能性があるため、ハイジャック、ドメイン名またはルートのリダイレクトを防止するために少しをするだろう。

私はこの分野でのフラストレーションを共有して言わなければならない。 DNSSECとsBGP両方は10年前から出回っている。 私たちは、展開によって引き起こされるとだけ仕事を得ることが混乱にそれを吸うために必要があると思う。 おそらく、ICANNは、いくつかの前進運動を作成するために彼らのお尻の下に点灯して火を必要とします。 私はちょうどこれらの2つのセクションではそれについて移動するための方法であると確信していないよ。

第10節：サイバーセキュリティの意識を促進

あなたがPRのキャンペーンはどこかに、ちょうどここに含まれる必要がある知っていた？ ここで宣伝文は次のとおりです。

商務長官は、国家サイバーセキュリティ啓発キャンペーンを開発し、実施しなければならない

ニュースフィードは、すでにセキュリティの私達の現在の状態を記述する物語の完全であるのでこれがものになるかどうかに役立つかわからない。 私は愚かなのではなく、有益となる可能性を持っているとしてこれを参照してください。 私は私の子供の学校に歩いて、"ビリーのバイトがH4X0rではないということを言っていた"ことを示すポスターを見てのこれらのビジョンを持っている。 [OK]を、うまくいけばそれは決して起こることが、あなたは知っていることはない。

セクション11：連邦サイバーセキュリティの研究開発

ここで最初のステートメントは次のとおりです。

（）基礎的サイバーセキュリティの研究 - 国立科学財団の理事が実質的なサポートを確実にするため、コンピュータと情報科学と工学の研究に優先順位を与えなければならないが、サイバーセキュリティの次の課題を満たすために提供されています：

このセクションのダンプサイバーセキュリティ技術の研究開発に多額のお金。 それは2014年までに以上$ 310Mに、2010年に$ 265Mで支出を増やすために、既存の請求書を改訂。 そこに他のプログラムは既にその資金のサイバーセキュリティの研究ですが、資金は私が原因に有用であるとしてこれを参照して適切に管理されて提供。

第12条：サービスのプログラムのための連邦政府のサイバー奨学金

ここではクリップは次のとおりです。

（）での汎国立科学財団の理事は、連邦情報技術労働者とセキュリティ管理者の次世代を募集し、訓練するために連邦サイバー奨学非サービスのプログラムを確立しなければならない。

これは他の多くの"サービスのための奨学金"プログラムと違いはありません。 私は学生だけでなく、政府の両方に有益であるとしてこれを参照してください。 $ 50Mは2014年までに$ 70Mに増加し、プログラムに割り当てられています。

まとめ

それは今のところこれだけです。 明日私は、法案の後半を掲載します。