Intervjuu küberturvalisuse hiljutiste edusammude autoriga – lisatud on tasuta peatükk


Mis pani sind kirjutama Viimased edusammud küberturvalisuses?

Tahtsin viia esmatähtsatesse küberjulgeoleku ja kriitilise infrastruktuuri kaitsega seotud küsimused esiplaanile ning paljastada IKT ja küberturvalisuse uurimisringkonnad praegustele probleemidele, poliitikale ja tavadele. Lisaks soovisin esitada rikkaliku ülevaate juhtivate IKT-riikide riikide kogemustest ja tavadest küberturvalisuse küsimustes ning elutähtsate infrastruktuuride kaitsmisel..

Millised uued teadmised raamatu kirjutamise ajal saite?

Üks peamisi järeldusi, mis tehti pärast selles raamatus tõstatatud probleemide uurimist, oli see, et me peaksime kõik kokku saama: üksikisikud, riigid, valitsusvälised organisatsioonid ja rahvusvahelised organisatsioonid, et kaitsta IKT-uuenduste ülejääki. Lapsed, perekonnad, elutähtsad infrastruktuurid, digitaalne demokraatia ja sõnavabadus on vaid mõned neist, mis siin on kaalul. Lähiajal tuleks tegeleda piiriüleste küberrünnakute, juriidiliste probleemide, piiriülese küberkuritegevuse omistamise ja tehniliste kuritegude omistamise probleemidega.

Kindle’i versioon Viimased edusammud küberturvalisuses on saadaval Amazonist.

Allpool on peatükk 12 Viimased edusammud küberturvalisuses autor Elsadig Saeid

Ameerika Ühendriikide kogemus

Praegune riiklik kava ja edasised suunad

USA on infoturbe ja elutähtsate infrastruktuuride kaitse valdkonnas juhtiv riik maailmas. Ehkki USA ja teiste riikide vahel on info- ja kommunikatsioonitehnoloogia arengus suur lõhe, on USA-l pidev ego juhtida selles valdkonnas maailma. Seega kulub igal aastal selle valdkonna teadusuuringutele, arendustegevusele ja uuendustegevusele märkimisväärne summa eelarvet.

2010. aastal kuulutas USA valitsus Ameerika majanduse elavdamise ja reinvesteerimise seaduse osana välja riikliku lairibaühenduse kava [157]. Selle plaani kuus logiaja eesmärki on järgmised:

1. Vähemalt 100 miljonil USA kodul peaks olema taskukohane juurdepääs tegelikule allalaadimiskiirusele vähemalt 100 megabitti sekundis ja tegelikule allalaadimiskiirusele vähemalt 50 megabitti sekundis..

2. USA peaks juhtima mobiilses innovatsioonis maailma, kus on kõigi riikide kiireimad ja ulatuslikumad traadita võrgud

3. Igal ameeriklasel peaks olema taskukohane juurdepääs kindlale lairibateenusele ning vahendid ja oskused tellimiseks, kui nad seda soovivad

4. Igal Ameerika kogukonnal peaks olema taskukohane juurdepääs vähemalt 1 gigabiti sekundis lairibateenusele selliste asutuste jaoks nagu koolid, haiglad ja valitsushooned.

5. Ameerika inimeste turvalisuse tagamiseks peaks igal esimesel reageerijal olema juurdepääs üleriigilisele, traadita, koostalitlusvõimelisele üldkasutatavale lairibavõrgule.

6. Et tagada Ameerika juhtroll puhta energiamajanduses, peaks igal ameeriklasel olema võimalus kasutada lairibaühendust oma reaalajas energiatarbimise jälgimiseks ja haldamiseks

Selle plaani elluviimist kontrollib USA föderaalne kommunikatsioonikomisjon (FCC), otsides selleks statistika ja näitajaid. Joonis 12.1, näidake riikliku lairibakava peamist veebilehte (Allikas: www.Broadband.gov)
Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk
Joonis 12.1: USA riikliku lairibakava peamine veebileht (Allikas: www.Broadband.gov)

Kriitilised sektorid

USA-s määratleb sisejulgeolekuministeerium vastavalt presidendipoliitikadirektiivile 21 (PPD-21) kriitilisi infrastruktuure kui „taristut, mis pakub Ameerika ühiskonnale olulisi teenuseid. Turvalise, toimiva ja vastupidava kriitilise taristu – sealhulgas vara, võrkude ja süsteemide – tugevdamiseks ja säilitamiseks on vaja ennetavaid ja kooskõlastatud jõupingutusi, mis on üldsuse usalduse ning riigi turvalisuse, õitsengu ja heaolu tagamiseks ülitähtsad. selle määratluse põhjal määratletakse järgmised sektorid riigikriitilisteks infrastruktuurideks ”[158].

• Infotehnoloogiasektor
• telekommunikatsioonisektor
• keemiasektor
• Äripindade sektor
• Tammide sektor
• Kaubanduslikud tuumareaktorid ، materjalid ، ja jäätmesektor
• valitsuse rajatised
• Transpordisüsteemide sektor
• Hädaabiteenuste sektorid
• Posti- ja postiteenuste sektor
• Põllumajandus ja toidusektor
• rahvatervise ja tervishoiu valdkonnad
• energiasektorid
• Pangandus- ja finantssektor
• Kaitsetööstuse baassektor
• Kriitilised tootmissektorid

Varasemad ja praegused algatused ja poliitika

USA-s tunnistavad inimesed kriitilise teabe infrastruktuuri kaitse olulisust alates 1990. aastast. USA-s võivad kõik rünnakud avaldada suurt mõju riigi ja kogu maailma majandusele ja rahvuslikule julgeolekule. Arvestades selle tundlikkuse osakaalu, on föderaalvalitsus käivitanud mitmeid algatusi ja võtnud mitmeid ennetavaid meetmeid informaatika ja kommunikatsiooni kriitilise infrastruktuuri kaitsmiseks. Need algatused ja meetmed on kokku võetud järgmiselt:

• Kriitilise infrastruktuuri kaitse presidendikomisjoni (PCCIP) moodustamine 1997. aastal (kaasates nii valitsuse kui ka erasektori liikmeid) [159].
• Presidendi 1998. aasta direktiiv 62 ja 63 kriitilise infrastruktuuri kaitseks [160].
• Riiklik teabekava [161] süsteemikaitse, 2000
• Siseturvalisuse täitevkomitee korraldused [162] ja sisejulgeoleku osakonna loomine 2003. aastal
• Siseturvalisuse presidendi direktiiv / HSPD-7 2003 [163], millega antakse kriitilise infrastruktuuri kaitse eest vastutus sisejulgeoleku osakonnale
• Riiklik sisejulgeoleku strateegia 2002, mis sisaldab järgmisi punkte:
• Riiklik küberruumi turvalise strateegia [164]
• Suurendada riikide vastupanuvõimet küberrünnakute vastu
• Vähendage kaotust, vähendades seisaku aega (kui on rünnak)
• Elutähtsate infrastruktuuride ja põhivahendite füüsilise kaitse riiklik strateegia [165].
• Riiklik teabevahetusstrateegia määratleb selle teabe jagamise protokolli erinevate valitsussektorite vahel. Seda strateegiat uuendati 2012. aastal pärast Wikileaksi probleemi [166].
• Küberruumis tegutsemise kaitsestrateegia osakond: see strateegia kuulutatakse välja 2011. aastal järgmiste eesmärkide täitmiseks [167]:
• Kaitsevahendite kasutamine infoturbe tagamiseks
• Otsige uusi infoturbe tööriistu
• Teha koostööd ja jagada teadmisi
• Suhete loomine infoväärtpaberitel
• Toetage innovatsiooni
• Riikidevaheline organiseeritud kuritegevuse vastu võitlemise strateegia [168]: Riiklikule julgeolekule vastavate ohtude käsitlemine: see strateegia kuulutatakse välja 2011. aastal
• Küberruumi rahvusvaheline strateegia: heaolu ، turvalisus ، ja avatus võrgustatud maailmas: see strateegia kuulutatakse välja 2011. aastal [169, 170].
• Usaldusväärsete identiteetide riiklik strateegia küberruumis: see strateegia töötati välja 2011. aastal, et tugevdada infoturvet ja elutähtsate infrastruktuuride kaitset [171]
• Ameerika tarbijate kaitse & Perekondade privaatsus: selle küberturvalisuse algatuse eesmärk on kaitsta Ameerika ettevõtteid, tarbijaid ja infrastruktuuri küberohtude eest, kaitstes samal ajal privaatsust ja kodanikuvabadusi [172].
• Juhtkiri, mis edendab erasektori küberturbealase teabe jagamist 2015: selle täitevkorralduse eesmärk on luua raamistik laiendatud teabevahetuseks, mille eesmärk on aidata ettevõtetel töötada koos föderaalvalitsusega, küberohtude kiireks tuvastamiseks ja nende eest kaitsmiseks..

Organisatsiooni ja institutsionaalne ülevaade

Infoturbe ja elutähtsate infrastruktuuride kaitse ajastu alguses seab USA valitsus kriitilise infrastruktuuri kaitse eest vastutuse kaubandusministeeriumi valitsusasutustele, mida tuntakse kriitilise infrastruktuuri tagamise ametina (CIAO). See amet tegi küberkuritegude uurimiseks ja küberjulgeolekuintsidentide reageerimise juhtimiseks tihedat koostööd föderaalse juurdlusbürooga (FBI). Info- ja kommunikatsioonisektori arenguga ning küberrünnakute arvu suurendamisega asutas valitsus sisejulgeolekuministeeriumi (DHS), et kaitsta kriitilist infrastruktuuri järgmise organisatsiooni abiga:

1. Riiklik infrastruktuuri kaitse amet (OIP): see pakub järgmisi teenuseid:

• Juhib kriitilise infrastruktuuri kaitse operatsiooni / plaani
• Hinnake riskijuhtimiskavasid
• Jälgida teabe jagamist eri sektorite vahel
• Koguge andmed ja tehke vajalik riskianalüüs
• Luua rahvusvahelised suhted infoturbe ja elutähtsa infrastruktuuri kaitseks.

2. Küberturvalisuse ja kommunikatsiooni amet (CS&C): see kontor koordineerib erinevate riskide juhtimise ja küberrünnakute juhtumite käsitlemise valdkondi. Peamised eesmärgid on [173]:

• Telekommunikatsioonivõrk peaks pakkuma teenust kogu aeg ja mis tahes tingimustel.
• Riiklik infoturbesektor peaks kriitilise infrastruktuuri kaitsmiseks tegema kõik era- ja avalikud sektorid
• Hädaabikõnede amet (OEC): see büroo töötab välja hädaabisidesüsteemi, et tagada valitsuse korralduse kooskõlastamine hädaolukorras.

3. USA välisministeerium: riigiosakond teeb tihedat koostööd kaitseosakonna ja välisliiduga, et toetada kõiki infoturbega seotud algatusi riski ja haavatavuse vähendamiseks.

4. Kongressi fookus: töötamine sisejulgeoleku komitee osana järgmiste suuniste toetamiseks:

• Side ja kriitilise teabe kaitse
• Toetada infoturbe ja riskijuhtimisega seotud uurimisalgatusi.
• veenduda, et kogu side- ja infosüsteem saaks hädaolukorras töötada;
• Riikliku luure, teabe jagamise ja riskijuhtimisega seotud teabe toetamine

5. Valitsuse vastutusamet (GAO): see amet koostab perioodilisi aruandeid küberturbeintsidentide ja küberkuritegevusega konkureeriva riigi staatuse kohta.

6. Kaitsekogukonna rühm: Tegemist on määratletud ja tööstuslike kaitsesüsteemide strateegilise küberturvalisuse strateegia väljatöötamisega.

7. Arvutikuritegude ja intellektuaalomandi osakond: see jaotis töötab justiitsministeeriumis arvutikuritegude ja intellektuaalomanditega seotud seaduste sõnastamiseks..

8. Kaitstud elutähtsate infrastruktuuride kaitseprogramm (PCIIP): selle programmi eesmärk on edendada teabe jagamist erasektorite vahel

9. Teabevahetus- ja analüüsikeskused (ISAC) (joonis 12.2, http://www.isaccouncil.org/memberisacs.html): nendes teabevahetuskeskustes on omavahel seotud tööstuskontsernid, nagu Microsoft, Intel, CA, Symantec, CSC , IBM, Oracle, eBay, EWA-IIT ، Harris ، Hewlett Packard, BAE Systems, IT ja VeriSign, In. moodustavad teabe jagamise teabekeskuse riskiteabe jagamiseks.

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12.2: teabevahetuskeskuste veebisait (Allikas: http://www.isaccouncil.org/memberisacs.html)

10. InfraGard kontor: see kontor koordineerib erasektorite ja FBI vahel infoturbe ja elutähtsate infrastruktuuride kaitsega seotud teadus- ja arendustegevust [174].

11. Riikliku küberjulgeoleku alliansi (NCSA) kontor: selle kontori eesmärk on koondada teabejagamisrühma tööstusrühmad ja sektorid, et võimaldada neil jagada väärtuslikku ühist infoturbe ja kriitilise infrastruktuuri tava ning tõhusaid juhtumitele reageerimise tehnikaid. Joonis 12.3 näitab nende rühmade peamist veebilehte (www.staysafeonline.org)

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12. 3: Riiklik küberturvalisuse liit (NCSA) (www.staysafeonline.org)

Varajane hoiatamine ja avalik teavitustegevus

Ameerika Ühendriikides vastutavad tehnilise toe pakkumise ja üldsuse teadlikkuse tõstmise eest küberturvalisuse küsimustes järgmised organisatsioonid:

1. CERT-i koordinatsioonikeskus, Carnegie Mellon (http://www.cert.org/): seda keskust toetab föderaalvalitsus teadusuuringute ja uuenduste arendamisel ning CERT-meeskondade jõupingutuste koordineerimisel)

2. USA arvutipõhine hädaolukordade lahendamise meeskond (US-CERT): asutatud Garage Melloni ülikoolis, et ennetada küberkuritegusid ning pakkuda täiustatud tehnilist tuge ja reageerida hädaolukordades;

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12.4: Ameerika Ühendriikide arvuti hädaolukordade lahendamise meeskonna peamine veebisait (Allikas: www.us-cert.gov)

3. Föderaalne juurdlusbüroo (FBI): FBI vastutab seaduse abil küberkuritegude uurimise eest:

4. OnGuardOnline.gov (www.onguardonline.gov) seda veebisaiti toetavad teaduskeskused ja suured ettevõtted, et tõsta avalikkuse teadlikkust privaatsete andmete kaitsest.

5. Tööstuslike juhtimissüsteemide küberõnnetustele reageerimise meeskond (ICS-CERT) (http://ics-cert.us-cert.gov/): see keskus pakub täiustatud tehnilist tuge tööstussüsteemide küberturvalisuse alal.

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12.5: OnGuardOnline’i peamine veebileht (Allikas: www.onguardonline.gov/)

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12.6: tööstuslike juhtimissüsteemide küberõnnetustele reageerimise meeskonna (ICS-CERT) peamine veebileht (Allikas: http://ics-cert.us-cert.gov/)

6. Kaitseküberkuritegevuse kuritegevuse keskus (DC3): joonis 12.7 näitab peamist veebilehte (http://www.dtic.mil), sellel keskusel on kolm laborit:

• Kaitsearvutite kohtuekspertiisi labor (DCFL): selle labori ülesanded hõlmavad küberkuritegude uurimist ning teadus- ja arendustegevust.
• Kaitseväe küberuurimise väljaõppe akadeemia (DCITA): see akadeemia pakub täiendõpet küberturvalisuse kõigis aspektides
• Kaitseküberkuritegevuse Kuritegevuse Instituut (DCCI): vastutab põhjalike teadusuuringute läbiviimise ja uuenduste toetamise eest.

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12.7: Kaitseküberkuritegevuse keskuse (DC3) peamine veebileht (Allikas: www.dtic.mil)

Laste veebikaitse (COP)

USA mõistab ja tunnistab laste kaitsmise tähtsust küberruumis algusest peale. Seega võib valitsuse seadusandja selles osas seadusi:

• Laste eraelu puutumatuse kaitse seadus (1998): see seadus kohustab veebisaite säilitama laste privaatsuse andmeid. [175].
• Laste Interneti kaitse seadus (2000): see seadus kohustab koole ja avalikke raamatukogusid kasutama tehnilisi turvameetmeid laste navigeerimise kontrollimiseks Internetis [176]
• Laste kaitsmine 21. sajandil (2007): see seadus täiendab 2000. aasta lastekaitseseadust, mis annab haridusasutustele täiendava õiguse kontrollida lapsi küberruumis [177, 178]

Samuti on palju organisatsioone, kes pakuvad Internetis väärtuslikku materjali, et suurendada avalikkuse teadlikkust küberruumis veebis esinevatest riskidest; üks neist olulistest organisatsioonidest on teadmata kadunud ja ärakasutatud laste riiklik keskus (http://www.missingkids.com/home) fig12.8, peamine veebisait.

Intervjuu küberturvalisuse hiljutiste edusammude autoriga - lisatud on tasuta peatükk

Joonis 12.8 Kadunud ja ärakasutatud laste riikliku keskuse keskne veebisait (Allikas: http://www.missingkids.com)

Seadused ja õigusaktid

Arvestades info- ja kommunikatsioonitehnoloogia revolutsiooni suurt mõju inimeste igapäevaelule, mõistavad ja mõistavad USA valitsus selle suure revolutsiooni varasest east alates selle sektori reguleerimise olulisust. Tänapäeval saab USA-s olulisemad info- ja kommunikatsioonisektoriga seotud seadused kokku võtta järgmiselt:

• 1972. aasta föderaalse nõuandekomitee seadus (FACA) [179]: see seadus määratleb ja reguleerib teabevahetust valitsussektorite vahel.
• Arvutipettuste ja kuritarvituste seadus (CFAA) 1986:
• 1986. aasta arvuti väärkasutuse seadus, mida muudeti vastavalt 1994. ja 2007. aastal, et kohandada uusi küberkuritegusid [180].
• Täitekorraldus 13010 elutähtsate infrastruktuuride kaitse kehtestamiseks [181].
• SA PATRIOTI 2001. aasta seadus: see seadus volitab FBI-d uurima küberkuritegusid, pääsema vajadusel juurde isiklikule teabele. Ehkki selle seadusega on seotud palju probleeme, pikendab president Obama seda seadust 2011. aastal 4 aastaks [182] [183].
• täitekorraldus 13228; EO 13228, 2001 sisejulgeoleku ja sisejulgeolekunõukogu osakonna loomiseks [184].
• 16. oktoobri 2001. aasta korraldus 13231 infosüsteemil põhinevate kriitiliste infrastruktuuride kaitseks [185].
• 2002. aasta sisejulgeoleku seadus: see seadus annab sisejulgeolekule juurdepääsu suurele hulgale isiklikele andmetele:
• Teabevabaduse seadus (FOIA): see seadus välistab kriitilise infrastruktuuri ettevõtjate avaldamise [186].
• 2002. aasta terroririski kindlustusseadus (muudetud ja ajakohastatud vastavalt 2005. ja 2007. aastal), selle seaduse, millega määratakse kindlaks rahasumma, võib kindlustusselts rünnaku korral kasutajale tagasi maksta [187]
• Adam Walsh 2007. aasta lastekaitset ja turvalisust käsitlev seadus [188].

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map