I gårdagens inlägg jag täckte första halvan av cybersäkerhet Act of 2009. Här är skriva upp på den andra halvan av räkningen.

Avsnitt 13: cybersäkerhet konkurrens och utmaning

Som namnet antyder sätter upp detta medel för en serie av tävlingar för att identifiera de bästa och smartaste.

(A) i allmänhet, direktör för National Institute of Standards and Technology, direkt eller genom lämpliga federala organ, inrätta cybersäkerhetslösningar tävlingar och utmaningar kontantpriser för till-

(1) attrahera, identifiera, utvärdera och rekrytera begåvade individer för den federala IT arbetskraft, och

(2) stimulera innovation i grundforskning och tillämpad cybersäkerhet forskning, teknisk utveckling och prototyp demonstration som har potential för ansökan till federala verksamheten informationsteknik för den federala regeringen.

Inga röda flaggor här. Priser kan inte överstiga $ 1 miljon utan maktfördelning sparkar in inte får din förhoppningar upp. Det är för en hela evenemanget, inte en specifik pris.

14 §: Offentlig-privat clearinghus

Detta avsnitt verkar ganska godartad, tills du läser den noga. Här är den inledande avsnitt:

(A) utseende-Handelsministeriet skall fungera som informationscentral för cybersäkerhet hot och sårbarhet information till federala regeringen och inom den privata sektorn kritisk infrastruktur informationssystem och nätverk.

Gäspning. Jag ser detta som något du inte kan mandat. Om du kan ge användbar information, kommer användarna söka på vad du har att säga. Om du bara skriva vad som redan har släppts som öppen källkod, sedan min Google nyhetsflöde kommer förmodligen att få mig info snabbare och med bättre gränssnitt. Det är lätt att vilja ignorera detta avsnitt grundar sig på denna öppning uttalande, men läs lite längre:

(B) Funktioner-sekreterare Commerce-

(1) skall ha tillgång till alla relevanta uppgifter om dessa nätverk utan hänsyn till någon bestämmelse i lagar, regel eller policy att begränsa sådan tillgång;

Vad?? Detta för mig är den ultimata maktövertagande. Så alla nätverk eller system som kan anses "kritisk infrastruktur" har för att låta handeln avdelning har fri tillgång till deras nätverk. Denna tillgång är utan hänsyn till en rättvis rättegång eller rättsstatsprincipen. "Relevant" är en högst subjektiv term som kan tillämpas på något.

Så det kommer tillbaka till att "kritisk infrastruktur" beskrivning som vi redan sagts är dom samtalet av en enda individ. Kanske Microsofts nätverk ska anses kritisk infrastruktur, eftersom de är regeringens främsta skrivbord leverantör. Kanske Linux utveckling servrar bör också anses "kritisk" som servrar, apparater och inbyggda tekniken är baserad på denna plattform. Vad sägs om Anti-Virus och brandvägg leverantörer som levererar produkter till regeringen? Internetleverantörer service statliga nätverk? Telco s service statligt anställda? Universiteten finansieras för att utveckla it skydd teknik? Detta kan vara en extremt hal sluttning.

För mig är detta förmodligen den enskilt mest farliga delen av notan.

Avsnitt 15: cybersäkerhet riskhantering rapport

I korthet kräver detta avsnitt talmannen att utarbeta en rapport inom ett år som identifierar:

(1) att skapa en marknad för cybersäkerhet riskhantering, inklusive inrättandet av ett system för skadeståndsansvar och försäkring (inbegripet statliga återförsäkring), och

(2) kräver cybersäkerhet vara en faktor i alla obligationer betyg.

Denna post skulle tas i ett antal riktningar. Om de är smarta, kommer de titta på möjligheten att tömning avtal slutanvändare så att programvaruleverantörer måste acceptera ansvaret för säkerheten inte i sin produkt. Utan ansvar, leverantörer har lite motivation att arkitekt i en ram av säkerhet från produkt början. Det är mycket enklare och billigare att limma på det efter att ha betalat kunder har redan stöter på problem.

Avsnitt 16: Rättslig ram granskning och rapport

Detta avsnitt kräver presidentens kontor för att granska befintliga cybersäkerhetslösningar lagar om:

den federala lagstadgade och rättsliga ram som gäller för IT-verksamhet i USA

Kort sagt är detta en översyn för att se om de lagar som fortfarande gäller eller behöver uppdateras.

§ 17: Verifiering och medborgerliga friheter rapport

Här är hela avsnittet:

Inom 1 år efter dagen för antagandet av denna lag, skall ordföranden, eller presidentens utser, granska och rapportera till kongressen, om genomförbarheten av en identitetshantering och autentisering program, med lämpliga medborgerliga friheter och skydd för privatlivet, för regeringen och kritiska infrastruktur informationssystem och nätverk.

Jag är inte säker vad jag ska göra av detta avsnitt. Det ser ut som de vill hitta en single sign-on lösning för statliga nätverk. Om så är fallet förstår jag inte de "lämpliga medborgerliga friheter och skydd privatliv" uttalande. Detta innebär ett program som är inriktad mer mot allmänheten. Juryn är fortfarande ute på detta avsnitt eftersom jag inte har sett några andra synpunkter på det.

18 §: cybersäkerhet ansvar och befogenheter

Här är det avsnitt som alla är arg på. Den blurb:

Ordförande-

(2) kan förklara en cybersäkerhet akut och beställa begränsning eller avstängning av Internet trafik till och från alla äventyras federala regeringen eller USA kritisk infrastruktur datasystem eller nätverk;

Låter illa, men tänk på det här sättet. När flygplanen kraschar på att bygga ordföranden beordrade jordning av alla kommersiella flygningar. Jag tvivlar på att det fanns en särskild lag som ger honom att särskild myndighet, men med tanke på att det var en nödsituation ingen hävdade punkt eller ansåg det ett missbruk av makt.

Jag ser denna bestämmelse som liknar varandra. Om det bekräftas att angriparna har tagit kontroll över elnätet och nu systematiskt stänga av den, ingen kommer att kritisera president för att kräva dessa organisationer att isolera sig från Internet i stort. Det kan eller inte kan faktiskt lösa problemet, men det skulle vara en förväntad försvaret hållning. Detta skulle ske med eller utan denna bestämmelse i propositionen.

Så för mig detta avsnitt är en mycket hoopla ingenting. Några av de tidigare diskuterade sektionerna är långt mer läskig.

En annan intressant punkt i detta avsnitt:

(5) skall leda den periodiska kartläggning av federala regeringen och USA kritisk infrastruktur informationssystem eller nätverk och skall utveckla mätmetoder för att mäta effektiviteten i kartläggningen

Till viss del har denna process redan börjat som en del av Trusted Internet Connect (TIC) program. Jag är faktiskt ganska förvånad över att det inte redan är ett krav. Det är möjligt detta redan sker, men att uppgifterna inte var tillgänglig när räkningen skrevs.

19 §: Quadrennial Cyber ​​granskning

(A) i allmänhet, Från och med 2013 och vart fjärde år därefter, skall ordföranden, eller presidentens utsedda, genomföra en översyn av cyber hållning i USA, inklusive en oklassificerade sammanfattning av roller, uppdrag, prestationer, planer, och program.

Kort sagt, får varje ny president att ge kommentarer om hur de tror att deras föregångare som utförs med avseende på cybersäkerhet. Denna rapport skulle vara mycket mer användbar om den var skyldig ett år tidigare. På så sätt skulle det fungera som en genomgång för den nya presidenten. Det skulle ge dem en bättre uppfattning om vad som krävs framöver.

20 §: Gemensam intelligens hotbedömning

Anger (ännu en) årliga rapport om cybersäkerhet till kongressen. Ingenting att se här. Flytta med.

21 §: Internationella normer och cybersäkerhet åtgärder avskräckande

Här är klippet:

Ordföranden skall-

(1) Arbetet med företrädare för utländska regeringar-

(A) för att utveckla normer, organisationer och andra kooperativa aktiviteter för internationellt engagemang för att förbättra cybersäkerhet, och

(B) för att uppmuntra internationellt samarbete för att förbättra cybersäkerhet på global basis

Jag ser detta som mer roll justitiedepartementet . Vad som behövs är en bättre samverkan mellan polis över internationella gränser, inte PR utdrag och poserande. Tänk på det här sättet, vad skulle vara mer effektiv för att motverka fysiska brott över statliga gränser, ofta förekommande samspel mellan brottsbekämpande statliga brottsbekämpande organ eller ofta förekommande samspel mellan centralbankschefer?

22 §: Federal säkra produkter och tjänster förvärv styrelse

För mig är detta förmodligen en av de mest positiva delarna av räkningen. Här är blurb:

(A) ETABLERING-Det är etablerad säkra produkter och tjänster Förvärv styrelseledamöter. Styrelsen skall ansvara för cybersäkerhet granskning och godkännande av högvärdiga produkter och tjänster förvärv och i samordning med National Institute of Standards and Technology, för att upprätta lämpliga standarder för validering av programvara som skall förvärvas av den federala regeringen.

Kort sagt, skulle regeringen använda sin kombinerade köpkraft för att upprätthålla säkerhetsstandarder för alla program inköp. Detta kan ha en djupgående inverkan på den kommersiella branschen. Leverantörer älskar att klaga på att det är för dyrt att transportera säker programvara. Nu om de vill sälja till regeringen, måste de uppfylla de relevanta NIST standarder. Troligtvis den säkrade programvara skulle vara tillgänglig för kommersiell köpa också. Så ur lådan du skulle sluta med en säkrare produkt.

Återigen ser jag detta som ett mycket positivt krav. Även leverantörer kan klaga om det, eftersom kunderna skulle vi alla dra nytta av.

23 §: Definitioner

Detta är bara en definition av termer som används i propositionen. Alla är antingen vanliga termer (som "Internet") eller som beskrivs i tidigare avsnitt.

Exec Sammanfattning

Det finns saker att älska, liksom rädsla i denna proposition. Det ökar medel för cybersäkerhet forskning samt utnyttjar regeringens köpkraft att generera säkrare programvara för alla. Samtidigt den försöker att kringgå etablerade processer (liksom rättsregler) som har potential att göra cybersäkerhet situationen värre snarare än bättre. Propositionen är för närvarande granskas av senaten kommittén för handel, vetenskap och transport . Nu är det dags att ge uttryck för sina lovord eller funderingar du kan ha.

Det har varit en hel del artiklar om cybersäkerhet Act of 2009 . De flesta har fokuserat på den del som skulle ge presidenten befogenhet att "stänga av Internet". Men är det andra saker i denna proposition bör du vara ännu mer oroad över? Finns det något som faktiskt är användbara i propositionen? I denna tvådelade inlägg Jag tar dig genom räkningen sektion för sektion.

De första två avsnitten är helt enkelt index och resultaten. En anmärkningsvärd citat från avsnitt 2:

(1) USA: s misslyckande att skydda cyberrymden är en av de mest angelägna nationella säkerhetsproblem som landet står inför.

Detta sätter tonen för resten av avsnittet, och jag måste säga att jag instämmer i påståendet. Säkerhet klokt vi verkligen i sämre skick än de flesta vill tro.

Avsnitt 3: cybersäkerhet rådgivande panel

Dessa två citat säger egentligen allt:

(A) i allmänhet, ordförande skall inrätta eller utse en panel cybersäkerhet rådgivande.

(C) TULL-Panelen ska ge råd till ordföranden i frågor som rör det nationella cybersäkerhet programmet och strategi

Jag har blandade känslor när det gäller dessa punkter. Jag tror att cybersäkerhet är viktig nog för att förtjäna hög nivå synlighet. Men detta lagförslag går hand i hand med S. 788, en faktura för att skapa ställning cybersäkerhet Advisor och HR 1910, ett lagförslag om att inrätta en tjänst som Chief Technology Officer . Båda dessa positioner skulle rapportera direkt till presidenten, så det verkar mer användbart att ha panelen faller under dessa två rullar i den nationella organisationsschemat. Kan bara vara semantik, men en av de frågor som vi har idag är parallell anställning utan någon tydligt ägarskap av problem. Om alla tre räkningar passerar ser jag en större chans att skapa konflikter snarare än resolutioner.

Avsnitt 4: Realtid cybersäkerhet instrumentpanelen

Jag har sett lite uppmärksamhet ägnas åt denna punkt, men det finns en lätt dismissible uttalande i detta avsnitt:

Sekreterare handel skall

(1) i samråd med Office of Management and Budget, utarbeta en plan inom 90 dagar efter den dag då antagandet av denna lag att införa ett system för att tillhandahålla dynamisk och omfattande, real-time cybersäkerhet status och sårbarhet information om alla federala regeringens uppgifter system och nätverk förvaltas av Department of Commerce,

Ett par punkter här, varför just Department of Commerce? Om detta kommer att bli en riktigt användbar resurs, varför inte utvidga det användning utöver detta en regering kontor? Dessutom är uttalandet lite vagt. Detta kan vara lika ineffektiv som den nationella Hotnivå eller en delmängd av de data som webbplatser som DShield eller Homeland Security Open Source infrastruktur rapport . Hursomhelst Jag ser detta som en långsiktig misslyckande.

Avsnitt 5: statliga och regionala cybersäkerhet program

Här är fokus i detta avsnitt:

(A) inrättandet av och stödet för it CENTER-sekreterare Commerce skall ge stöd för att skapa och stödja regionala cybersäkerhetslösningar centrum för främjande och genomförande av säkerheten på Internet-standarder. Varje center ska vara knuten till en USA-baserad ideell institution eller organisation, eller därav konsortiet, som gäller för och tilldelas ekonomiskt stöd enligt detta avsnitt.

Låter bra på första läsning, men vad är upp med "anslutna med ... ideella organisationer" avsnitt? Vi kunde lätt sluta med en icke-centraliserat system utan någon tydlig kontaktpunkt för sin målgrupp. Så om jag behöver hjälp med cybersäkerhet, ska jag gå till ... The Jimmy Fonden ? Farm Aid ? Eller kanske är det Tennessee Elephant Sanctuary ?

Personligen tror jag att dessa centrum bör vara knuten till InfraGard . De är etablerade i nästan varje stat, som redan har en lång historia av samhällsengagemang, och redan fokuserade på att hantera cybersäkerhetslösningar frågor. Min gissning är att handeln avdelningen vill ha fullständig kontroll, medan InfraGard är redan i samband med FBI.

Så vad är målet att skapa dessa centra?

(B) SYFTE-Syftet med Centers är att förbättra cybersäkerhet av små och medelstora företag i USA

Detta är en beundransvärd mål. På grund av brist på resurser är små och medelstora företag kämpar mest. Förmodligen den enda demografiska som är större skulle vara hemanvändare. Om vi ​​kunde vidta åtgärder för att stödja dessa organisationer skulle det gå långt för att befästa vår nationella säkerhet hållning.

Centren skulle stödja små och medelstora företag genom:

(1) sprida cybersäkerhetslösningar teknik, standard, och processer baserade på forskning av Institutet för att demonstrationer och tekniköverföring,

(2) aktivt överföra och sprida cybersäkerhetslösningar strategier, bästa metoder, standarder och teknologier för att skydda mot och minska risken för cyberattacker till ett brett utbud av företag och företag, särskilt små och medelstora företag, och

(3) lämna lån på ett selektivt, kort sikt, poster av avancerade cybersäkerhetslösningar motåtgärder mot små företag med färre än 100 anställda.

Återigen ser jag dessa aktiviteter som en bra passform för InfraGard. Deployment skulle påskyndas eftersom det redan finns en nationell struktur. Dessa skulle drastiskt minska kurvan på att göra dessa resurser tillgängliga.

Avsnitt 6: NIST utveckling av standarder och efterlevnad

I propositionen ser ut att NIST att utveckla säkerhetsstandarder för alla statliga myndigheter:

(A) i allmänhet, inom 1 år efter dagen för antagandet av denna lag skall National Institute of Standards and Technology skapa mätbara och kontrollerbara cybersäkerhetslösningar standarder för alla federala regering, entreprenör eller Deltagarnas kritisk infrastruktur informationssystem och nät

NIST är redan ansvarar för att fastställa standarder. I själva verket deras säkerhetsdokument anses vara några av de bästa i branschen. Per IT Reform Act of 1996 , är NIST redan i uppdrag att utveckla Federal Standards Information Processing (FIPS).

Jag är inte jurist, men jag kan inte se något i detta avsnitt som inte redan har angivits i tidigare propositioner förutom denna TID bit under "(d) Efterlevnad verkställighet":

(2) skall kräva att varje federal myndighet, och var och en operatör av ett informationssystem eller nätverk som utsetts av ordföranden som en kritisk infrastruktur informationssystem eller nätverk, med jämna mellanrum för att visa överensstämmelse med de standarder som fastställs i detta avsnitt.

Jag är ärligt talat inte säker på om ordföranden för närvarande har makten att (godtyckligt?) Utse alla nätverk eller system som "kritiskt" och därmed omfattas av detta avsnitt. Jag föredrar specifika definitioner jämfört subjektivt lita dom av en enda individ. På så sätt är vi täckta i båda riktningarna, från system som borde ha tagits men som missade, samt system som egentligen inte hör hemma på listan.

7 §: Tillstånd och certifiering av säkerheten på Internet proffs

Detta avsnitt skrämmer mig verkligen som det har potential att göra mer skada än nytta. Här är beskrivningen:

(A) i allmänhet, inom 1 år efter dagen för antagandet av denna lag skall handelsminister utveckla eller samordna och integrera en nationell licensiering, certifiering och periodisk omcertifiering för cybersäkerhetslösningar proffs.

För mig, skrev någon som inte har någon uppfattning om omfattningen av vad som behövs för att lösa problemet här avsnittet. Cybersäkerhet är inte en enda disciplin. Det finns experter som fokuserar på Malware analys, skalskydd, paket avkodning och intrång analys, incidenthantering, värdspecifika säkerhet, revision, kriminalteknik, trådlös, databaser och listan kan göras lång och på. En nationell certifiering och licensiering programmet skulle hamna på något av följande:

1. Så allmänt det egentligen inte betyder något
2. Så svårt "certifierad" resurser skulle vara svårt att komma med

På grund av mångfalden av cybersäkerhet fältet, det är verkligen ingen medelväg. Detta avsnitt går sedan med att säga:

(B) obligatorisk auktorisation-Början 3 år efter dagen för antagandet av denna lag, skall det vara olagligt för en individ att engagera sig i verksamhet i USA eller att användas i USA, som en leverantör av säkerheten på Internet tjänster till någon federal myndighet eller ett datasystem eller nätverk som utsetts av ordföranden, eller presidentens utsedda som en kritisk infrastruktur informationssystem eller nätverk, som inte licensierade och certifierade enligt programmet.

Vänta en minut. Låt oss bara ta ett slående exempel. Alan Paller är chef för Forskning vid SANS , citerades i denna proposition (avsnitt 2, # 8), och är en av mina personliga hjältar i den här branschen. Han som rådet till Vita Huset och kongressen flera gånger. Han är en av de unika individer som kan förmedla klyftan mellan folk som talar olika språk (nördar, CFO, COO, etc.). Medan han kan branschen, han är inte den sortens kille som spenderar tid på att skriva Nessus plug-ins eller avkodning TCP-strömmar attack. Är det verkligen syftet med detta lagförslag att förlora resurser som Alan, om de väljer att inte certifiera?

Det finns ett mönster här dock. Som så många poster innan det sätter detta avsnitt kontroll i händerna på handeln avdelningen. Så jag tror personligen det handlar mindre om att se till att vi har kompetent personal som stöder nätverkssäkerhet, och mer om att ta tag makt.

Avsnitt 8: Översyn av NTIA domännamn kontrakt

Detta är en annan skrämmande avsnitt:

(A) i allmänhet, Ingen åtgärd av biträdande handelsminister för kommunikation och information efter tidpunkten för antagandet av denna lag med avseende på förnyelse eller ändring av ett avtal i samband med driften av Tilldelad Internet Numbers Authority, skall vara slutligt tills Advisory Panel-

(1) har granskat åtgärden;

(2) anses de kommersiella och nationell säkerhet konsekvenser för åtgärden, och

(3) godkände åtgärden.

Internet Assigned Numbers Authority (IANA) drivs av Internet Corporation för Assigned Names och Numbers (ICANN). Detta är en icke vinstdrivande internationell organisation som är ansvarig för att leda (inte genomföra) på hög nivå verksamhet på Internet. De tar vägledning från ett antal organisationer, däribland Internet Engineering Task Force (IETF) som definieras standarderna för Internet-kommunikation. IETF är en internationell organisation som består av alla från enskilda forskare till leverantörer.

För mig låter detta avsnitt som ett försök att få ekonomiska trycket på dessa organisationer. Återigen verkar detta vara ett försök att konsolidera mer makt i det amerikanska handelsdepartementet. Speciellt när du kombinerar den med 9 §.

9 §: Säker domännamn adress-system

Här är klippet:

(A) i allmänhet, inom 3 år efter dagen för antagandet av denna lag, skall biträdande handelsminister för kommunikation och information utveckla en strategi för att genomföra en säker domän adresseringssystemet. Den biträdande skall offentliggöra meddelande om systemkraven i Federal Register tillsammans med en genomförandeplan för federala myndigheter och informationssystem eller nätverk som utsetts av ordföranden, eller presidentens utsedda, kritiska infrastruktur informationssystem eller nätverk.

Som nämndes i förra avsnittet, utveckla Internet-standarder i rollen som IETF, inte handeln avdelningen. Dessutom har vi redan standarder för att säkra strukturen domännamn ( DNSSEC ) samt routing och IP-adressering systemet ( sBGP ). Problemet är deras utplacering har varit extremt långsam. Vad vi behöver är utplaceringen av befintliga standarder, inte sådana som är konkurrensutsatta utvecklats utanför den accepterade IETF-processen.

Detta avsnitt går sedan med att säga:

(B) Överensstämmelse KRÄVS-Ordföranden skall säkerställa att varje federal myndighet och varje sådant system eller nätverk implementerar den säkra domännamn adressering system i enlighet med den tidsplan publicerats av biträdande sekreterare.

OK här är problemet. För att säkerställa IP och DNS lösningen måste genomföras globalt. Det är en del av förklaringen till varför det har tagit så lång tid. Om den federala regeringen i dag distribueras DNSSEC och sBGP det skulle göra mycket för att förhindra att domännamn kapning eller rutt omdirigering eftersom angriparna kan helt enkelt jobba utanför regeringens omkrets.

Jag måste säga att jag delar den frustration på detta område. Både DNSSEC och sBGP har funnits i 10 år. Jag tror att vi måste suga upp det på de störningar som kan orsakas av spridning och bara få jobbet gjort. Kanske ICANN behöver en brasa under deras rumpor att skapa några framåt. Jag är bara inte övertygad dessa två sektioner är rätt väg att gå om det.

Avsnitt 10: Att främja cybersäkerhet medvetenhet

Du visste en PR-kampanj måste ingå i här någonstans, eller hur? Här är blurb:

Sekreteraren Handelskammaren skall utveckla och genomföra en nationell kampanj cybersäkerhet medvetenhet

Inte säker på hur användbart detta kommer att bero på nyhetsflöden redan är fulla av berättelser som beskriver vår nuvarande tillstånd av säkerhet. Jag ser detta som har potential att bli dum snarare än informativ. Jag har dessa visioner promenad i min barn skola och se en affisch som säger "Billy Bytes säger inte finnas någon h4x0r". OK, förhoppningsvis som aldrig kommer att hända, men man vet aldrig.

Avsnitt 11: Federal cybersäkerhet forskning och utveckling

Här är det första uttalande:

(A) grundläggande cybersäkerhet FORSKNING-direktör för National Science Foundation ska prioritera datavetenskap och teknisk forskning för att säkerställa omfattande stöd ges för att möta följande utmaningar i cybersäkerhet:

I detta avsnitt tippar en massa pengar i forskning och utveckling av säkerheten på Internet tekniker. Det ändrar befintliga räkningar att öka utgifterna med $ 265 under 2010, till över $ 310M 2014. Det finns redan andra program som fonden cybersäkerhet forskning, men förutsatt att medel hanteras på lämpligt sätt ser jag detta som hjälp för orsaken.

12 §: Federal Cyber ​​stipendiet för serviceprogram

Här är klippet:

(A) i allmänhet, direktör för National Science Foundation ska upprätta en federal Cyber ​​stipendium-for-service för att rekrytera och utbilda nästa generation av federala arbetare IT och chefer säkerhet.

Det är inte annorlunda än många andra "stipendium för service" program. Jag ser detta som fördelaktigt för både eleven och regeringen. $ 50M har anslagits till programmet, vilket ökar till $ 70M 2014.

Summary

Det var allt för nu. Imorgon ska jag lägga den sista halvan av räkningen.