I gårdagens inlägg jag täckte den första halvan av cybersäkerhet Act från 2009. Här är de skriva upp på andra hälften av notan.

Avsnitt 13: cybersäkerhet konkurrens och utmaning

Som namnet antyder sätter upp detta medel för en serie av tävlingar för att identifiera de bästa och smartaste.

(A) i allmänhet, direktör för National Institute of Standards and Technology, direkt eller genom lämpliga federala organ, skall upprätta cybersäkerhet tävlingar och utmaningar med kontantpriser för att-

(1) attrahera, identifiera, utvärdera och rekrytera begåvade individer för den federala IT-personal, och

(2) stimulera innovation i grundforskning och tillämpad cybersäkerhet forskning, teknisk utveckling och prototyp demonstration som har potential för ansökan till den federala verksamheten informationsteknik i den federala regeringen.

Inga röda flaggor här. Priser kan inte överstiga $ 1 miljon utan maktfördelning sparka in inte får din förhoppningar upp. Det är en hel händelse, inte ett specifikt pris.

Avsnitt 14: Offentlig-privat clearinghus

Detta avsnitt verkar ganska godartad, tills du läser det noga. Här är öppningen avsnitt:

(A) utseende-Handelsministeriet skall tjäna som clearinghus för cybersäkerhet hot och sårbarhet information till federala regeringen och privata sektorn ägs kritisk infrastruktur informationssystem och nätverk.

Gäspning. Jag ser detta som något du inte kan mandat. Om du kan ge användbar information, kommer användarna att söka ut vad du har att säga. Om du bara skriva vad som redan har släppts som öppen källkod, då mitt Google nyhetsflödet kommer förmodligen få mig information snabbare och med ett bättre gränssnitt. Det är lätt att vilja ignorera detta avsnitt grundar sig på detta inledningsanförande, men läs lite längre:

(B) FUNKTIONER-sekreterare Commerce-

(1) skall ha tillgång till alla relevanta uppgifter om dessa nät utan hänsyn till någon bestämmelse i lag, förordning, regel eller policy att begränsa sådan tillgång;

Vad?? Detta för mig är den ultimata maktövertagande. Så alla nätverk eller system som kan anses vara "kritisk infrastruktur" har att låta handeln avdelning har fri tillgång till deras nätverk. Denna tillgång är utan hänsyn till rättssäkerhet eller rättsstaten. "Relevanta" är en mycket subjektiv term som kan användas till någonting.

Så det kommer tillbaka till att "kritisk infrastruktur" beskrivning som vi redan sagts är det dom kallar för en enskild individ. Kanske Microsofts nätverk bör anses kritisk infrastruktur, eftersom de är regeringens primära skrivbordet leverantör. Kanske Linux-utveckling-servrar bör också anses vara "kritisk" som servrar, apparater och inbyggda teknik är baserad på denna plattform. Vad sägs om Anti-Virus och brandvägg leverantörer som levererar produkter till regeringen? Internetleverantörer service regeringen nätverk? Telco är service statligt anställda? Universiteten finansieras för att utveckla IT Tekniker? Detta kan vara ett extremt hala sluttning.

För mig är detta förmodligen den enskilt mest farliga delen av notan.

§ 15: cybersäkerhet riskhantering rapport

I korthet innebär detta avsnitt ordförande att utarbeta en rapport inom ett år som identifierar:

(1) skapa en marknad för cybersäkerhet riskhantering, inklusive inrättandet av ett system för skadeståndsansvar och försäkring (inbegripet statliga återförsäkring), och

(2) kräver cybersäkerhet vara en faktor i alla band betyg.

Denna post skulle kunna vidtas på ett antal håll. Om de är smarta, kommer de att titta på möjligheten att tömning avtal slutanvändare så att programvaruleverantörer måste acceptera ansvaret för säkerheten inte i deras produkt. Utan ansvar, säljare har lite motivation till arkitekt i en ram av säkerhet från produkt starten. Det är mycket lättare och billigare att limma på den igen efter betalande kunder redan har får problem.

16 §: Den rättsliga ramen granska och rapportera

Detta avsnitt kräver presidentens kansli att se över befintliga cybersäkerhet lagar angående:

Federal lag och rättsliga ram som gäller för it-relaterade aktiviteter i USA

I korthet är detta en översyn för att se om de lagar som fortfarande gäller eller behöver uppdateras.

§ 17: Autentisering och medborgerliga friheter rapport

Här är hela avsnittet:

Inom ett år efter dagen för antagandet av denna lag, skall ordföranden, eller presidentens utsedd, granska och rapportera till kongressen om genomförbarheten av en identitetshantering och autentisering programmet, med lämpliga medborgerliga friheter och skydd för privatlivet, för regeringens och kritisk infrastruktur informationssystem och nät.

Jag är inte säker på vad man ska göra av detta avsnitt. Det ser ut som de vill hitta en single sign-on lösning för statliga nätverk. Om så är fallet förstår jag inte de "lämpliga medborgerliga friheter och skydd privatliv" uttalande. Detta innebär ett program som är inriktad mer mot allmänheten. Juryn är fortfarande ute på detta avsnitt som jag inte har sett några andra åsikter om den.

§ 18: cybersäkerhet ansvar och befogenheter

Här är det avsnitt som alla är arg på. Den blurb:

Ordförande-

(2) kan förklara att en cybersäkerhet undantagstillstånd och för att begränsa eller avstängning av Internet-trafik till och från alla äventyras federala regering eller USA kritisk infrastruktur datasystem eller nätverk;

Låter dåligt, men tänk på det här sättet. När flygplanen kraschade in i byggnaden presidenten beordrade jordning av alla kommersiella flygningar. Jag tvivlar på att det fanns en särskild lag som ger honom den särskilda myndighet, men med tanke på att det var en nödsituation ingen hävdade punkt eller ansåg att det var ett maktmissbruk.

Jag ser denna bestämmelse som likartade. Om det bekräftas att angripare har tagit kontroll över elnätet och nu systematiskt stänga av den, kommer ingen att kritisera president för att kräva dessa organisationer att isolera sig från Internet i stort. Det kan eller inte kan faktiskt åtgärda problemet, men det skulle vara en förväntad försvar hållning. Detta skulle ske med eller utan denna bestämmelse i propositionen.

Så för mig det här avsnittet finns en hel del hoopla för ingenting. Några av de tidigare diskuterats sektionerna är långt mer skrämmande.

En annan intressant punkt i detta avsnitt:

(5) skall leda den periodiska kartläggning av federala regeringen och USA kritisk infrastruktur informationssystem eller nätverk och skall utveckla mätmetoder för att mäta effektiviteten i kartläggningen

Till viss del har denna process startade redan som en del av Trusted Internetanslutning (TIC) program. Jag är faktiskt ganska förvånad över att det inte redan är ett krav. Det är möjligt det redan görs, men att data inte var tillgänglig när räkningen skrevs.

§ 19: Quadrennial Cyber ​​recension

(A) i allmänhet, börjar med 2013 och vart fjärde år därefter, skall ordföranden, eller presidentens utser, slutföra en översyn av Cyber ​​hållning i USA, däribland en oklassificerade sammanfattning av roller, uppdrag, prestationer, planer, och program.

Kort sagt får varje ny president att ge kommentarer om hur de tror att deras föregångare som utförs med avseende på cybersäkerhet. Denna rapport skulle vara mycket mer användbar om den var skyldig ett år tidigare. På så sätt skulle det fungera som ett informationsmöte för den nya presidenten. Det skulle ge dem en bättre uppfattning om vad som krävs framöver.

§ 20: Gemensam intelligens hotbild

Anger (ännu en) årliga rapport om cybersäkerhet till kongressen. Inget att se här. Flytta med.

§ 21: Internationella normer och cybersäkerhet åtgärder avskräckning

Här är klippet:

Ordföranden skall-

(1) tillsammans med företrädare för utländska regeringar-

(A) för att utveckla normer, organisationer och andra samverkande aktiviteter för internationellt engagemang för att förbättra cybersäkerhet, och

(B) för att uppmuntra internationellt samarbete för att förbättra säkerheten på Internet på global basis

Jag ser detta som mer den roll som justitiedepartementet . Vad som behövs är bättre samspel mellan brottsbekämpande över internationella gränser, inte PR-fragment och poserande. Tänk på det här sättet, vad skulle vara mer effektiv för att motverka fysiska brott över statsgränser, täta samspelet mellan verkställighet statliga brottsbekämpande myndigheter, eller täta samspelet mellan cheferna?

§ 22: Federal säkra produkter och tjänster förvärv ombord

För mig är detta förmodligen en av de mest positiva delarna av lagförslaget. Här är blurb:

(A) ETABLERING-Det finns etablerat ett säkrare produkter och tjänster Förvärv styrelse. Styrelsen skall ansvara för cybersäkerhet granskning och godkännande av högt värde produkter och tjänster förvärv och, i samarbete med National Institute of Standards and Technology, för att upprätta lämpliga standarder för validering av programvara som skall förvärvas av den federala regeringen.

Kort sagt, skulle regeringen använda sin samlade köpkraft att upprätthålla säkerhetsstandarder för alla programvaror inköp. Detta kan ha en djupgående inverkan på den kommersiella branschen. Leverantörer älskar att klaga på att det är för dyrt att frakta säkrade programvara. Nu om de vill sälja till regeringen, måste de uppfylla de lämpliga NIST standarder. Troligtvis den säkra mjukvaran skulle vara tillgängliga för kommersiella köpa också. Så ur lådan du skulle sluta med en säkrare produkt.

Återigen ser jag detta som ett mycket positivt krav. Även leverantörer kan klaga på det, som kunderna skulle vi alla nytta.

§ 23: Definitioner

Detta är bara en definition av termer som används i propositionen. Alla är antingen vanliga termer (som "Internet") eller beskrivits i tidigare avsnitt.

Exec Sammanfattning

Det finns saker att älska samt rädsla i denna proposition. Det ökar finansieringen för cybersäkerhet forskning samt utnyttjar regeringens köpkraft att generera säkrare program för alla. Samtidigt den försöker att kringgå etablerade processer (liksom rättsregler) som har potential att göra cybersäkerhet situationen värre snarare än bättre. Propositionen är för närvarande granskas av senatens utskott för handel, vetenskap, och transport . Nu är det dags att ge uttryck för sina lovord eller funderingar du har.

Det har varit en hel del artiklar om cybersäkerhet Act från 2009 . De flesta har fokuserat på den del som skulle ge presidenten befogenhet att "stänga av Internet". Men finns det andra saker i denna proposition bör du vara ännu mer oroad över? Finns det något faktiskt användbart i propositionen? I denna två del inlägg jag tar dig igenom räkningen sektion för sektion.

De två första avsnitten är helt enkelt index och resultaten. Ett anmärkningsvärt citat från avsnitt 2:

(1) USA: s misslyckande att skydda cyberrymden är en av de mest akuta nationella säkerheten problem som landet står inför.

Detta sätter tonen för resten av avsnittet, och jag måste säga att jag instämmer i påståendet. Säkerhet klokt vi verkligen är i sämre skick än de flesta vill tro.

Avsnitt 3: cybersäkerhet rådgivande panel

Dessa två citat säger egentligen allt:

(A) i allmänhet, ordförande skall inrätta eller utse en Cybersäkerhet Advisory Panel.

(C) ARBETSUPPGIFTER-Panelen ska ge råd till ordföranden i frågor som rör det nationella cybersäkerhet programmet och strategi

Jag har blandade känslor när det gäller dessa punkter. Jag tror att cybersäkerhet är viktig nog att förtjäna hög nivå synlighet. Men denna proposition går hand i hand med S. 788, ett lagförslag för att skapa den positionen för cybersäkerhet rådgivare och HR 1910, ett lagförslag för att skapa den positionen för Chief Technology Officer . Båda dessa positioner skulle rapportera direkt till presidenten, så det verkar mer användbart att ha panelen faller under dessa två rullar i den nationella organisationsschemat. Kanske bara är semantik, men en av de frågor som vi har idag är parallell anställning utan någon tydlig ägare av problem. Om alla tre räkningar passerar ser jag en större chans att skapa konflikter snarare än resolutioner.

Avsnitt 4: Realtid cybersäkerhet instrumentbrädan

Jag har sett lite uppmärksamhet ägnas åt denna punkt, men det finns en lätt dismissible uttalande i detta avsnitt:

Sekreteraren för handel skall

(1) i samråd med Office of Management and Budget, utarbeta en plan inom 90 dagar efter dagen för antagandet av denna lag att införa ett system för att ge dynamiskt, omfattande, i realtid cybersäkerhet status och sårbarhet information av alla federala regeringens uppgifter system och nätverk hanteras av Department of Commerce;

Ett par poäng här, varför bara Department of Commerce? Om detta kommer att bli en verkligt nyttig resurs, varför inte utöka dess användning utöver detta en regering kontor? Dessutom är uttalandet lite vag. Detta kan vara lika ineffektiv som den nationella hot nivå eller en delmängd av uppgifterna från webbplatser som DShield eller Homeland Securitys Open Source Infrastruktur Rapport . Hursomhelst Jag ser detta som en långsiktig misslyckande.

Avsnitt 5: statliga och regionala cybersäkerhet programmet

Här är fokus i detta avsnitt:

(A) inrättande av och stöd för cybersäkerhet CENTER-Sekreteraren Handelskammaren skall ge stöd för att skapa och stödja regionala Cybersäkerhet centrum för främjande och genomförande av cybersäkerhet standarder. Varje center ska vara knuten till en USA-baserad ideell institution eller organisation, eller detta konsortium, som ansöker om och beviljas ekonomiskt stöd enligt denna paragraf.

Låter bra på första läsa, men vad är upp med "anslutna med ... ideella organisationer" i? Vi kunde lätt sluta med en icke-centraliserat system utan någon tydlig kontaktpunkt för sin målgrupp. Så om jag behöver hjälp med cybersäkerhet, ska jag gå till ... Jimmy fonden ? Farm Aid ? Eller kanske är det Tennessee Elephant Sanctuary ?

Personligen tror jag att dessa centrum bör vara knuten till InfraGard . De är etablerade i nästan varje stat, som redan har en lång historia av samhällsengagemang, och redan fokuserade på att hantera cybersäkerhet frågor. Min gissning är att handeln avdelningen vill ha fullständig kontroll, medan InfraGard är redan kopplad med FBI.

Så vad är målet att skapa dessa centra?

(B) för ändamålet Syftet Centers är att förbättra cybersäkerhet av små och medelstora företag i USA

Detta är en beundransvärd mål. På grund av bristande resurser, små och medelstora företag kämpar mest. Förmodligen det enda demografiska som är större skulle vara hemma användare. Om vi ​​kunde vidta åtgärder för att stödja dessa organisationer, skulle det gå en lång väg mot befästa vår nationella säkerhet hållning.

Centren skulle stödja små och medelstora företag genom:

(1) sprida cybersäkerhet teknik, standard och processer som bygger på forskning av Institutet i syfte att demonstrationer och tekniköverföring,

(2) aktivt överföra och sprida cybersäkerhet strategier, bästa metoder, standarder och teknologier för att skydda mot och minska risken för cyberattacker till ett brett utbud av företag och företag, särskilt små och medelstora företag, och

(3) lämna lån på selektiv, kort sikt, med objekt av avancerade cybersäkerhet motåtgärder till små företag med färre än 100 anställda.

Återigen, jag ser dessa aktiviteter som en bra passform för InfraGard. Deployment skulle påskyndas eftersom det redan finns en nationell struktur. Dessa skulle dramatiskt minska kurvan på att göra dessa resurser tillgängliga.

Avsnitt 6: NIST standarder utveckling och efterlevnad

Propositionen ser till NIST att utveckla säkerhetsstandarder för alla statliga myndigheter:

(A) i allmänhet, inom 1 år efter dagen för antagandet av denna lag, skall National Institute of Standards and Technology skapa mätbara och kontrollerbara cybersäkerhet normer för alla federala regering, entreprenör eller stipendiat kritisk infrastruktur informationssystem och nät

NIST är redan ansvarar för att fastställa normer. Faktum är att deras säkerhet dokument anses vara några av de bästa i branschen. Per den IT Reform Act of 1996 , är NIST redan laddat med att utveckla Federal Standards Information Processing (FIPS).

Jag är inte jurist, men jag kan inte se något i detta avsnitt som inte redan har angetts av tidigare räkningar förutom detta tre gånger dagligen bit under "(d) Efterlevnad verkställighet":

(2) ska kräva att varje federal myndighet och varje operatör av ett datasystem eller nätverk som utsetts av presidenten som en kritisk infrastruktur datasystem eller nätverk, med jämna mellanrum för att visa att de uppfyller de normer som fastställs i detta avsnitt.

Jag är ärligt talat inte säker på om ordföranden för närvarande har makten att (godtyckligt?) Utse ett nätverk eller system som "kritiska" och således omfattas av detta avsnitt. Jag föredrar specifika definitioner kontra subjektivt lita på dom av en enda individ. På så sätt är vi omfattas i båda riktningarna, från system som borde ha funnits med men missade, samt system som egentligen inte hör hemma på listan.

Avsnitt 7: Tillstånd och certifiering av cybersäkerhet proffs

Detta avsnitt skrämmer mig verkligen som det har potential att göra mer skada än nytta. Här är beskrivningen:

(A) i allmänhet, inom 1 år efter dagen för antagandet av denna lag skall sekreteraren of Commerce utveckla eller samordna och integrera en nationell licensiering, certifiering, och periodiska omcertifiering för cybersäkerhet proffs.

För mig, skrev någon som inte har någon uppfattning om omfattningen av vad som behövs för att lösa problemet här avsnittet. Cybersäkerhet är inte en enda disciplin. Det finns experter som fokuserar på Malware analys, skalskydd, paket avkodning och intrång analys, incidenthantering, värd särskild säkerhet, revision, kriminalteknik, trådlös, databaser, och listan kan göras lång. A national certification and licensing program would end up being one of the following:

1. So general it really does not mean anything
2. So difficult “certified” resources would be hard to come by

Because of the diversity of the cybersecurity field, there really is no middle ground. This section then goes on to say:

(b) MANDATORY LICENSING- Beginning 3 years after the date of enactment of this Act, it shall be unlawful for any individual to engage in business in the United States, or to be employed in the United States, as a provider of cybersecurity services to any Federal agency or an information system or network designated by the President, or the President's designee, as a critical infrastructure information system or network, who is not licensed and certified under the program.

Vänta en minut. Let's just take one glaring example. Alan Paller is the Director of Research at SANS , was quoted in this bill (Section 2, #8), and is one of my personal heroes in this industry. He's provided council to the White House and Congress multiple times. He's one of those unique individuals that can mediate the gap between folks that speak different languages (geeks, CFO, COO, etc.). While he knows the industry, he's not the kind of guy that spends time writing Nessus plug-ins or decoding TCP attack streams. Is it truly the intent of this bill to loose resources like Alan if they choose not to certify?

There is a pattern here however. Like so many line items before it, this section puts control in the hands of the commerce department. So I personally think this is less about ensuring we have skilled personnel supporting network security, and more about grabbing power.

Section 8: Review of NTIA domain name contracts

This is another scary section:

(a) IN GENERAL- No action by the Assistant Secretary of Commerce for Communications and Information after the date of enactment of this Act with respect to the renewal or modification of a contract related to the operation of the Internet Assigned Numbers Authority, shall be final until the Advisory Panel–

(1) has reviewed the action;

(2) considered the commercial and national security implications of the action; and

(3) approved the action.

The Internet Assigned Numbers Authority (IANA) is run by The Internet Corporation for Assigned Names and Numbers (ICANN). This is a non-profit international organization that is responsible for guiding (not implementing) high-level operations of the Internet. They take guidance from a number of organizations, including the Internet Engineering Task Force (IETF) who defines the standards for Internet communications. The IETF is an international organization made up of everyone from individual researchers to vendors.

To me, this section sounds like an attempt to bring financial pressure on these organizations. Again, this seems to be an attempt to consolidate more power under the department of commerce. Especially when you combine it with section 9.

Section 9: Secure domain name addresses system

Here's the clip:

(a) IN GENERAL- Within 3 years after the date of enactment of this Act, the Assistant Secretary of Commerce for Communications and Information shall develop a strategy to implement a secure domain name addressing system. The Assistant Secretary shall publish notice of the system requirements in the Federal Register together with an implementation schedule for Federal agencies and information systems or networks designated by the President, or the President's designee, as critical infrastructure information systems or networks.

As mentioned in the last section, developing Internet standards in the role of the IETF, not the commerce department. Further, we already have standards to secure the domain name structure ( DNSSEC ) as well as routing and the IP addressing scheme ( sBGP ). The problem is their deployment has been extremely slow. What we need is deployment of the existing standards, not competitive ones developed outside of the accepted IETF process.

This section then goes on to say:

(b) COMPLIANCE REQUIRED- The President shall ensure that each Federal agency and each such system or network implements the secure domain name addressing system in accordance with the schedule published by the Assistant Secretary.

OK here's the problem. In order to secure IP and DNS the solution has to be implemented globally. That's part of the reason why it has been taking so long. If the federal government today deployed DNSSEC and sBGP it would do little to prevent domain name hijacking or route redirection because attackers could simply work outside of the government's perimeter.

I have to say I share the frustration in this area. Both DNSSEC and sBGP have been around for 10 years. I think we need to suck it up on the disruptions that may be caused by deployment and just get the job done. Perhaps ICANN needs a fire lit under their butts to create some forward motion. I'm just not convinced these two sections are the way to go about it.

Section 10: Promoting cybersecurity awareness

You knew a PR campaign has to be included in here somewhere, right? Here's the blurb:

The Secretary of Commerce shall develop and implement a national cybersecurity awareness campaign

Not sure how useful this will be because the news feeds are already full of stories that describe our current state of security. I see this as having the potential to be silly rather than informative. I have these visions of walking into my kid's school and seeing a poster that states “Billy Bytes Says Don't Be A H4X0r”. OK, hopefully that will never happen, but you never know.

Section 11: Federal cybersecurity research and development

Here's the initial statement:

(a) FUNDAMENTAL CYBERSECURITY RESEARCH- The Director of the National Science Foundation shall give priority to computer and information science and engineering research to ensure substantial support is provided to meet the following challenges in cybersecurity:

This section dumps a lot of money into the research and development of cybersecurity techniques. It amends existing bills to increase spending by $265M in 2010, to over $310M by 2014. There are already other programs that fund cybersecurity research, but provided the funds are managed appropriately I see this as being helpful to the cause.

Section 12: Federal cyber scholarship for service program

Here's the clip:

(a) IN GENERAL- The Director of the National Science Foundation shall establish a Federal Cyber Scholarship-for-Service program to recruit and train the next generation of Federal information technology workers and security managers.

This is no different than many other “scholarship for service” programs. I see this as being beneficial to both the student as well as the government. $50M has been allocated to the program, increasing to $70M by 2014.

Sammanfattning

Det var allt för nu. Tomorrow I'll post the last half of the bill.