In het bericht van gisteren Ik had betrekking op de eerste helft van de Cybersecurity Act van 2009. Hier is de up schrijven over de tweede helft van het wetsvoorstel.

Deel 13: Cybersecurity concurrentie en uitdaging

Zoals de naam al impliceert, dit zet de financiering van een reeks van wedstrijden om te helpen identificeren van de beste en de slimste.

(A) IN HET ALGEMEEN-De directeur van het National Institute of Standards and Technology, rechtstreeks of door middel van passende federale entiteiten, stelt cyberveiligheid competities en uitdagingen met geldprijzen, om-

(1) te trekken, te identificeren, evalueren en getalenteerde individuen voor de Federale informatietechnologie beroepsbevolking, en

(2) stimuleren van innovatie in fundamenteel en toegepast cybersecurity onderzoek, technologische ontwikkeling en prototype te tonen dat de mogelijkheden voor toepassing van de Federale informatietechnologie activiteiten van de federale regering hebben.

Geen rode vlaggen hier. Prijzen kunnen niet meer dan $ 1M zonder checks and balances binnen schoppen niet je hoop op te staan. Dat is voor een hele gebeurtenis, niet een specifieke prijs.

Deel 14: Publiek-private clearinghouse

Dit gedeelte lijkt vrij onschuldig uit, tot je goed lezen. Hier is de opening sectie:

(A) Aanwijzing-Het ministerie van Handel dienen als coördinatiecentrum voor cyberveiligheid bedreiging en de kwetsbaarheid van informatie van de federale overheid en de private sector in handen kritieke infrastructuur informatiesystemen en netwerken.

Yawn. Ik zie dit als iets wat je niet kunt mandaat. Als u nuttige informatie verstrekken, zullen de gebruikers op zoek gaan naar wat je te zeggen hebt. Als je gewoon opnieuw af te drukken wat reeds is vrijgegeven als open source, dan is mijn Google nieuwsfeed zal waarschijnlijk me de info sneller en met een betere interface. Het is gemakkelijk om te willen deze sectie op basis van deze opening verklaring negeren, maar lees een beetje verder please:

(B) functies, de secretaris van Koophandel-

(1) hebben toegang tot alle relevante gegevens met betrekking tot dergelijke netwerken en los van elke bepaling van de wet, regeling, regel, of beleid beperken van die toegang;

Wat?? Dit is voor mij de ultieme macht te grijpen. Dus een netwerk of systeem dat kan worden beschouwd als "kritieke infrastructuur" te laten commerce afdeling hebben vrije toegang tot hun netwerk. Deze toegang is zonder rekening te houden op een eerlijk proces of van de rechtsstaat. "Relevant" is een zeer subjectief begrip dat kan worden toegepast op iets.

Dus het komt terug naar die "kritieke infrastructuur" beschrijving die we al gezegd is het oordeel roep van een enkel individu. Misschien is Microsoft's netwerk moet worden beschouwd als kritieke infrastructuur, omdat ze van de overheid de primaire desktop-leverancier. Misschien is Linux-servers ontwikkeling moet ook worden beschouwd als "kritiek" als servers, apparaten en embedded technologie is gebaseerd op dit platform. Hoe zit het Anti-Virus en firewall leveranciers die producten leveren aan de overheid? Internet service providers onderhoud overheid netwerken? Onderhoud overheid telco's medewerkers? Universiteiten gefinancierd om cyber-beveiliging technieken te ontwikkelen? Dit kan een zeer hellend vlak te zijn.

Voor mij is dit waarschijnlijk de meest gevaarlijke deel van de rekening.

Deel 15: Cybersecurity risk management rapport

Kortom, dit onderdeel vereist dat de voorzitter een verslag binnen een jaar dat aangeeft:

(1) het creëren van een markt voor cybersecurity risicobeheer, waaronder de oprichting van een systeem van burgerlijke aansprakelijkheid en verzekering (met inbegrip overheid herverzekering), en

(2) die cyberveiligheid om een ​​factor in alle obligatie-ratings worden.

Dit item kunnen worden genomen in een aantal richtingen. Als ze slim zijn, zullen ze kijken naar de haalbaarheid van de plassen eindgebruiker overeenkomsten, zodat softwareleveranciers moeten aansprakelijkheid aanvaarden voor de veiligheid niet in hun product. Zonder aansprakelijkheid, verkopers hebben weinig motivatie om een ​​architect in security kader van product oprichting. Het is veel gemakkelijker en goedkoper te lijmen hem op na het betalen van klanten al problemen ondervindt.

Deel 16: Wettelijk kader beoordelen en rapporteren

Dit gedeelte vraagt ​​om het kantoor van de president om de bestaande wetten met betrekking tot computerbeveiliging review:

de federale wettelijke en juridische kader voor cyber-gerelateerde activiteiten in de Verenigde Staten

Kortom, dit is een overzicht te zien of de wetten worden nog steeds van toepassing of moet worden bijgesteld.

Artikel 17: Authenticatie en de burgerlijke vrijheden rapporteren

Hier is de hele sectie:

Binnen 1 jaar na de datum van inwerkingtreding van deze wet, wordt de voorzitter, of de president aangestelde, toetsing, en het rapport aan het Congres, over de haalbaarheid van een identity management en authenticatie-programma, met de juiste burgerlijke vrijheden en privacy bescherming, voor de overheid en kritieke infrastructuur informatiesystemen en netwerken.

Ik weet niet zeker wat te maken van deze sectie. Het leest als ze willen een single sign-on oplossing te vinden voor de overheid netwerken. Als dat het geval is, begrijp ik niet de "juiste burgerlijke vrijheden en privacy-bescherming" statement. Dit impliceert een applicatie die meer is gericht op het grote publiek. Jury is nog steeds op dit gedeelte als ik heb geen andere meningen op.

Sectie 18: Cybersecurity verantwoordelijkheid en gezag

Hier is het gedeelte dat iedereen is freaking out gaat. De blurb:

De voorzitter-

(2) mag verklaren een cyberveiligheid noodsituatie en om de beperking of uitschakeling van het internet verkeer van en naar eventuele gecompromitteerd Federale Regering of de Verenigde Staten kritieke infrastructuur informatie systeem of netwerk;

Klinkt slecht, maar denk aan het op deze manier. Toen vliegtuigen werden crashen in de bouw van de voorzitter beval de aarding van alle commerciële vluchten. Ik betwijfel of er was een specifieke wet die hem dat specifieke bevoegdheid, maar gezien het was een noodsituatie niemand stelde het punt of de beschouwde het als een misbruik van macht.

Ik zie deze bepaling als zijnde vergelijkbaar. Als het wordt bevestigd dat de aanvallers de controle over het stroomnet genomen en worden nu systematisch af te sluiten, gaat niemand schuld van de president voor het vereisen van die organisaties om zich te isoleren van het internet in het algemeen. Het kan wel of niet echt het probleem oplossen, maar het zou een verwachting van verdediging worden. Dit zou gebeuren met of zonder deze bepaling in het wetsvoorstel.

Dus voor mij dit onderdeel is een veel heisa om niets. Sommige van de eerder besproken secties zijn veel enger.

Een ander interessant punt in deze sectie:

(5) leidt de periodieke in kaart brengen van de federale regering en de Verenigde Staten kritieke infrastructuur informatie-systemen of netwerken, en ontwikkelt het metrics om de effectiviteit van het mapping proces te meten

Tot op zekere hoogte is dit proces al is begonnen als onderdeel van de Trusted Internet Connect (TIC) programma. Ik ben eigenlijk wel verbaasd is het al niet een vereiste. Het is mogelijk dit is al gedaan, maar dat gegevens niet beschikbaar was toen de rekening werd geschreven.

Artikel 19: Quadriënnale cyber overzicht

(A) IN HET ALGEMEEN-Beginnend met 2013 en in elk vierde jaar nadien, stelt de voorzitter, of de president aangestelde, compleet een herziening van de cyber houding van de Verenigde Staten, waaronder een niet-geclassificeerde samenvatting van de rollen, taken, prestaties, plannen, en programma's.

Kortom, elke nieuwe president krijgt om commentaar over hoe ze denken dat hun voorganger uitgevoerd met betrekking tot cyberveiligheid. Dit rapport zou veel nuttiger zijn als het een jaar eerder nodig. Op die manier zou fungeren als een briefing voor de nieuwe president. Het zou hen een beter idee van wat nodig is voor de toekomst.

Artikel 20: Gemeenschappelijke intelligentie dreigingsbeeld

Specificeert (nog een) jaarverslag over cyberveiligheid aan het Congres. Niets te zien hier. Move along.

Sectie 21: Internationale normen en cyberbeveiliging afschrikking maatregelen

Hier is de clip:

De president-

(1) werken met vertegenwoordigers van buitenlandse regeringen-

(A) aan normen, organisaties en andere coöperatieve activiteiten te ontwikkelen voor de internationale actie voor computerbeveiliging te verbeteren, en

(B) om de internationale samenwerking in het verbeteren van cybersecurity op een wereldwijde basis aan te moedigen

Ik zie dit als meer de rol van het ministerie van Justitie . Wat nodig is is een betere interactie tussen de rechtshandhaving in de internationale grenzen, geen PR-snippets en geneuzel. Denk aan het op deze manier, wat zou effectiever zijn in het afschrikken fysieke misdaden dan staatsgrenzen, frequente interactie tussen overheids-wetshandhavingsinstanties, of frequente interactie tussen de presidenten?

Sectie 22: Federale veilige producten en diensten overnames board

Voor mij is dit waarschijnlijk een van de meest positieve onderdelen van het wetsvoorstel. Hier is de blurb:

(A) VESTIGING-Er is gevestigd, een Secure Producten en Diensten Acquisitions Board. Het bestuur is verantwoordelijk voor cyberveiligheid beoordeling en goedkeuring van hoogwaardige producten en diensten verwerven en, in samenwerking met de National Institute of Standards and Technology, voor de vaststelling van passende normen voor de validatie van software te worden overgenomen door de federale regering.

In het kort, zou de overheid worden met behulp van de gecombineerde koopkracht om de veiligheid normen voor alle software aankopen af ​​te dwingen. Dit kan een grote invloed op de commerciële sector. Leveranciers graag klagen dat het te duur is om beveiligde software schip. Nu als ze willen verkopen aan de overheid, zullen ze moeten de juiste NIST-standaarden te voldoen. Waarschijnlijk is de beveiligde software zou beschikbaar zijn voor commerciële koop ook. Zo uit de doos zou je eindigen met een beter beveiligde product.

Nogmaals, ik zie dit als een zeer positief vereiste. Terwijl de leveranciers kunnen mopperen over, omdat klanten zouden we allemaal profiteren.

Artikel 23: Definities

Dit is gewoon een definitie van de termen die in het wetsvoorstel. Alle zijn ofwel algemene termen (zoals "Internet") of die in eerdere hoofdstukken.

Exec Samenvatting

Er zijn dingen zo goed als angst in dit wetsvoorstel de liefde. Het verhoogt de middelen voor cyberveiligheid onderzoek en maakt gebruik van de overheid koopkracht te genereren meer beveiligde software voor iedereen. Tegelijkertijd probeert te omzeilen vastgestelde processen (evenals de regels van de wet), die het potentieel om de computerbeveiliging situatie eerder slechter dan beter zijn. Het wetsvoorstel wordt momenteel beoordeeld door de Senaatscommissie voor Handel, Wetenschap en Transport . Nu is het tijd om alle lof of aangelegenheden die je hebt gesproken.

Er zijn nogal wat artikelen over de Cybersecurity Act van 2009 . De meeste zijn gericht op het deel dat zou de president de macht geven om "shutdown het Internet". Maar zijn er nog andere dingen in dit wetsvoorstel moet je nog meer zorgen over? Is er iets echt nuttig in het wetsvoorstel? In dit tweedelige post zal ik nemen u mee door de rekening sectie voor sectie.

De eerste twee delen zijn gewoon de index en de bevindingen. Een opmerkelijk citaat uit sectie 2:

(1) Amerika's gebrek aan cyberspace te beschermen is een van de meest urgente nationale veiligheid problemen in het land.

Dit zet de toon voor de rest van de sectie en ik moet zeggen dat ik eens met de stelling. Beveiliging wijs we werkelijk zijn in slechtere staat dan de meeste mensen willen geloven.

Afdeling 3: Cybersecurity adviespanel

Deze twee citaten echt zeggen het allemaal:

(A) IN HET ALGEMEEN-De Voorzitter stelt of aanwijzing van een Cybersecurity Advisory Panel.

(C) VERPLICHTINGEN-Het panel adviseert de voorzitter over aangelegenheden met betrekking tot de nationale cyberveiligheid programma en strategie

Ik heb gemengde gevoelens ten aanzien van deze punten. Ik denk dat cyberveiligheid is belangrijk genoeg is om op hoog niveau zichtbaarheid verdienen. Maar dit wetsvoorstel gaat hand in hand met S. 788, een wetsvoorstel om de positie van Cybersecurity Advisor te creëren , en HR 1910, een wetsvoorstel om de positie van Chief Technology Officer te creëren . Beide functies zouden rechtstreeks rapporteren aan de president, zo lijkt het nuttiger om het paneel te vallen hebben onder deze twee rollen in de nationale organigram. Kan gewoon semantiek, maar een van de kwesties die we vandaag hebben is parallel ambtstermijn zonder duidelijke eigendom van problemen. Als alle drie de rekeningen passeren zie ik een hogere kans op het creëren van conflicten in plaats van resoluties.

Deel 4: Real-time dashboard cyberveiligheid

Ik heb gezien dat er weinig aandacht besteed aan dit onderwerp, maar er is een makkelijk afgezet kunnen verklaring in deze sectie:

De secretaris van Koophandel zal

(1) in overleg met het Bureau van Management en Budget, het ontwikkelen van een plan binnen 90 dagen na de datum van inwerkingtreding van deze wet aan een systeem om dynamische, uitgebreide, real-time de status van cyberveiligheid en de kwetsbaarheid informatie van alle federale regering informatie te verschaffen implementeren systemen en netwerken worden beheerd door het ministerie van Handel;

Een paar punten hier, waarom juist het ministerie van Handel? Of dit een echt nuttig hulpmiddel zijn, waarom dan niet uit te breiden is het gebruik dan dit een regering kantoor? Ook de verklaring is een beetje vaag. Dit kan net zo ineffectief als de National Threat niveau of een subset van de gegevens verstrekt door sites zoals DShield of Homeland Security Infrastructuur Open Source Report . Hoe dan ook ik dit zien als een lange termijn falen.

Afdeling 5: nationale en regionale programma voor cyberveiligheid

Hier is de focus van deze sectie:

(A) oprichting en ondersteuning van cyberveiligheid CENTERS-De secretaris van Koophandel wordt de bijstand voor de oprichting en ondersteuning van regionale Cybersecurity Centra voor de bevordering en uitvoering van cybersecurity normen. Elk centrum moet aangesloten zijn bij een in de Verenigde Staten gevestigde non-profit instelling of organisatie, of consortium hiervan, dat geldt voor en wordt toegekend financiële steun uit hoofde van deze sectie.

Klinkt goed op het eerste lezen, maar wat is er met het "verbonden met ... non-profit organisaties" sectie? We kunnen gemakkelijk eindigen met een niet-gecentraliseerd systeem met geen duidelijk aanspreekpunt voor de doelgroep. Dus als ik hulp nodig hebt met cyberveiligheid, moet ik naar ... The Jimmy Fund ? Farm Aid ? Of misschien is het de Tennessee Elephant Sanctuary ?

Persoonlijk denk ik dat deze centra moet worden aangesloten bij InfraGard . Zij zijn gevestigd in bijna elke staat, hebben al een lange geschiedenis van community outreach, en zijn nu al gericht op het omgaan met cyberveiligheid kwesties. Mijn gok is dat het ministerie van Handel volledige controle wil, terwijl InfraGard is al verbonden met de FBI.

Dus wat is het doel van het creëren van deze centra?

(B) DOEL-Het doel van de Centers is het verbeteren van de computerbeveiliging van de kleine en middelgrote bedrijven in de Verenigde Staten

Dit is een bewonderenswaardig doel. Te wijten aan gebrek aan middelen, kleine en middelgrote bedrijven worstelen het meest. Waarschijnlijk de enige demografische die groter is zou zijn thuisgebruikers. Als we zouden kunnen stappen te ondernemen om deze organisaties te ondersteunen, zou het een lange weg te gaan naar versterkende onze nationale veiligheid houding.

De centra zouden het ondersteunen van kleine en middelgrote ondernemingen door:

(1) te verspreiden cybersecurity-technologieën, standaard en processen op basis van onderzoek door het Instituut voor het doel van de demonstraties en overdracht van technologie;

(2) actieve overdracht en verspreiding van cybersecurity-strategieën, best practices, standaarden en technologieën om te beschermen tegen en het inperken van het risico van cyberaanvallen om een ​​breed scala van bedrijven en ondernemingen, met name kleine en middelgrote bedrijven, en

(3) te maken leningen, op een selectieve, korte termijn, van items van geavanceerde cyberbeveiliging tegenmaatregelen voor kleine bedrijven met minder dan 100 werknemers.

Nogmaals, ik zie deze activiteiten als een prima geschikt voor InfraGard. Inzet zou worden bespoedigd, omdat er al een nationale structuur. Deze zouden drastisch snijden de bocht op het maken van deze middelen beschikbaar.

Deel 6: NIST de ontwikkeling van normen en naleving

Het wetsvoorstel ziet er naar NIST het ontwikkelen van veiligheidsnormen voor alle overheden:

(A) IN HET ALGEMEEN-Binnen 1 jaar na de datum van inwerkingtreding van deze wet, wordt de National Institute of Standards and Technology te stellen meetbaar en controleerbaar cybersecurity normen voor alle federale regering, contractant van de overheid, of gerechtigde kritieke infrastructuur informatiesystemen en netwerken

NIST is nu al verantwoordelijk voor het vaststellen van normen. In feite is hun veiligheid documenten worden beschouwd als een van de beste in de industrie. Per de Information Technology Reform Act van 1996 , is NIST al belast met de ontwikkeling Federal Information Processing Standards (FIPS).

Ik ben geen jurist, maar ik zie niets in deze sectie, die niet reeds door eerdere facturen gespecificeerd, behalve deze tid beetje onder "(d) Naleving van tenuitvoerlegging":

(2), verlangen elke federale agentschap, en elke exploitant van een informatie systeem of netwerk aangewezen door de Voorzitter als een kritieke infrastructuur informatie systeem of netwerk, periodiek aan te tonen dat aan de normen in dit hoofdstuk.

Ik ben eerlijk gezegd niet zeker of de voorzitter op dit moment de macht om (willekeurig?) Aan te wijzen welk netwerk of systeem als "kritiek" en dus onderworpen aan deze sectie. Ik geef de voorkeur specifieke definities versus subjectief vertrouwen het oordeel van een enkel individu. Deze manier worden behandeld in beide richtingen, van systemen die hadden moeten worden opgenomen, maar werden gemist, evenals systemen die niet echt thuis op de lijst.

Deel 7: Licensing en certificering voor cyberveiligheid professionals

Dit gedeelte schrikt me echt als het heeft de potentie om meer kwaad dan goed doen. Hier is de beschrijving:

(A) IN HET ALGEMEEN-Binnen 1 jaar na de datum van inwerkingtreding van deze wet, de minister van Handel zal ontwikkelen of en integreren van een nationale licentie, certificering, en periodieke hercertificering programma voor cyberveiligheid professionals te coördineren.

Voor mij, iemand die geen idee heeft van de draagwijdte van wat nodig is om het probleem aan te pakken schreef deze sectie. Cyberveiligheid is geen enkele discipline. Er zijn experts die zich richten op Malware-analyse, perimeter beveiliging, packet-decodering en inbraak analyse, incident afhandeling, host specifieke beveiligings-, auditing, forensisch onderzoek, draadloze, databases, en de lijst gaat maar door. Een nationale certificaten en vergunningen programma zou uiteindelijk een van de volgende:

1. Dus het algemeen niet echt iets betekenen
2. Zo moeilijk is "gecertificeerd" middelen moeilijk zou zijn om langs te komen

Vanwege de diversiteit van de cybersecurity veld, er is echt geen tussenweg. In dit hoofdstuk gaat dan met te zeggen:

(B) verplicht vergunningenstelsel-Vanaf 3 jaar na de datum van inwerkingtreding van deze wet, wordt het onwettig voor een individu om in het bedrijfsleven gaan in de Verenigde Staten, of te worden gebruikt in de Verenigde Staten, als aanbieder van diensten aan cybersecurity een federale agentschap of een informatie systeem of netwerk aangewezen door de president of de president aangestelde, als een kritieke infrastructuur informatie systeem of het netwerk, die niet is in licentie gegeven en gecertificeerd onder het programma.

Wacht een minuut. Laten we gewoon een oog springende voorbeeld. Alan Paller is de directeur van Research bij SANS , werd geciteerd in dit wetsvoorstel (hoofdstuk 2, # 8), en is een van mijn persoonlijke helden in deze industrie. Hij is voorzien raad naar het Witte Huis en het Congres meerdere keren. Hij is een van die unieke individuen dat de kloof tussen mensen die verschillende talen (geeks, CFO, COO, etc.) spreken kunnen bemiddelen. Terwijl hij kent de branche, hij is niet het soort man die tijd besteedt het schrijven van Nessus plug-ins of decoderen van TCP-aanval stromen. Is het werkelijk de bedoeling van dit wetsvoorstel tot hulpbronnen, zoals Alan verliezen als ze ervoor kiezen niet te certificeren?

Er is een patroon hier echter. Zoals zoveel posten voordat het in deze paragraaf geeft controle in de handen van het ministerie van Handel. Dus ik persoonlijk denk dat dit minder over het waarborgen hebben wij deskundig personeel ondersteunend netwerk beveiliging, en meer over grijpen macht.

Deel 8: Beoordeling van de NTIA domeinnaam contracten

Dit is een ander eng sectie:

(A) IN HET ALGEMEEN-geen actie door de adjunct-secretaris van Koophandel voor Communicatie en Informatie na de datum van inwerkingtreding van deze wet met betrekking tot de verlenging of wijziging van een contract met betrekking tot de werking van de Internet Assigned Numbers Authority, is definitief tot de Advisory Panel-

(1) heeft beoordeeld de actie;

(2) beschouwd als de commerciële en nationale veiligheid implicaties van de actie, en

(3) goedgekeurd de actie.

De Internet Assigned Numbers Authority (IANA) wordt uitgevoerd door The Internet Corporation for Assigned Names and Numbers (ICANN). Dit is een non-profit internationale organisatie die verantwoordelijk is voor het begeleiden van (niet de uitvoering) op hoog niveau operaties van het internet. Ze nemen begeleiding van een aantal organisaties, waaronder de Internet Engineering Task Force (IETF), die worden de normen voor communicatie via internet. De IETF is een internationale organisatie die bestaat uit iedereen van individuele onderzoekers naar leveranciers.

Voor mij is dit gedeelte klinkt als een poging om de financiële druk te brengen op deze organisaties. Nogmaals, dit lijkt een poging om meer macht te consolideren onder het ministerie van Handel. Zeker als je het combineert met hoofdstuk 9.

Deel 9: Secure domeinnaam adressen-systeem

Hier is de clip:

(A) IN HET ALGEMEEN-Binnen 3 jaar na de datum van inwerkingtreding van deze wet, wordt de adjunct-secretaris van Koophandel voor Communicatie en Informatie een strategie ontwikkelen om een ​​veilige domeinnamen aanpakken systeem te implementeren. De adjunct-secretaris maakt kennis van het systeem eisen in het Federal Register, samen met een uitvoeringsschema voor federale agentschappen en informatie systemen of netwerken aangewezen door de president of de president aangestelde, als kritische infrastructuur informatie-systemen of netwerken.

Zoals vermeld in het laatste deel, het ontwikkelen van Internet standaarden in de rol van de IETF, niet het Commerce Department. Verder hebben we al normen om de domeinnaam structuur (secure DNSSEC ) en routing en de IP-adressering regeling ( sBGP ). Het probleem is hun inzet is zeer traag. Wat we nodig hebben is de inzet van de bestaande normen, niet concurrerende ontwikkeld buiten de geaccepteerde IETF proces.

In dit hoofdstuk gaat dan met te zeggen:

(B) de naleving VEREIST-De Voorzitter ziet erop toe dat elke federale agentschap en elk van deze systeem of het netwerk van de beveiligde domeinnaam het aanpakken van het systeem implementeert in overeenstemming met het schema gepubliceerd door de adjunct-secretaris.

OK hier is het probleem. Met het oog op veilige IP-en DNS van de oplossing moet wereldwijd worden geïmplementeerd. Dat is een deel van de reden waarom het zo lang duurt. Als de federale overheid vandaag de dag ingezet DNSSEC en sBGP het zou weinig doen om domeinnaam kaping of route omleiding te voorkomen, omdat aanvallers kon eenvoudig werk buiten de overheid omtrek.

Ik moet zeggen dat ik deel de frustratie op dit gebied. Zowel de DNSSEC en sBGP zijn er al 10 jaar. Ik denk dat we nodig om het zuigen op de verstoringen die veroorzaakt kan worden door inzet en gewoon de klus te klaren. Misschien ICANN heeft een vuur aangestoken onder hun kont om enkele voorwaartse beweging te creëren. Ik ben gewoon niet overtuigd van deze twee delen zijn de weg te gaan over.

Deel 10: Het bevorderen van bewustwording cyberveiligheid

Je wist een pr-campagne moet worden opgenomen in de hier ergens, toch? Hier is de blurb:

De secretaris van Koophandel zal ontwikkelen en implementeren van een nationaal cybersecurity sensibiliseringscampagne

Weet u niet zeker hoe nuttig dit zal zijn, omdat de nieuws-feeds zijn nu al vol met verhalen die onze huidige staat van veiligheid te beschrijven. Ik zie dit als het potentieel te hebben zo gek dan informatief. Ik heb deze visioenen van het lopen in de school van mijn kid's en het zien van een poster die stelt: "Billy Bytes zegt geen Be A H4X0R". OK, hopelijk dat zal nooit gebeuren, maar je weet nooit.

Sectie 11: Federale cyberveiligheid onderzoek en ontwikkeling

Hier is de eerste verklaring:

(A) FUNDAMENTELE cybersecurity-ONDERZOEK De directeur van de National Science Foundation, geven voorrang aan de computer en de informatie wetenschap en techniek onderzoek om ervoor te zorgen substantiële steun wordt verleend aan de volgende uitdagingen in cyberveiligheid voldoen:

Dit gedeelte dumpt veel geld in het onderzoek en de ontwikkeling van cybersecurity technieken. Het strekt tot wijziging van de bestaande nota's om de uitgaven te verhogen met $ 265m in 2010, tot meer dan $ 310M in 2014. Er zijn al andere programma's die het fonds cyberveiligheid onderzoek, maar op voorwaarde dat de fondsen juiste wijze worden beheerd Ik zie dit als een nuttig de oorzaak.

Sectie 12: Federale cyber beurs voor service programma

Hier is de clip:

(A) IN HET ALGEMEEN-De directeur van de National Science Foundation stelt een federale Cyber ​​Scholarship-for-service-programma te werven en trainen van de volgende generatie van de federale informatietechnologie arbeiders en security managers.

Dit is niet anders dan veel andere "beurs voor service" programma's. Ik zie dit als gunstig voor zowel de student als de overheid. $ 50M is toegewezen aan het programma, oplopend tot $ 70 miljoen in 2014.

Overzicht

Dat is het voor nu. Morgen zal ik post de laatste helft van het wetsvoorstel.