Former FBI CIO Urges 'Actionable' Cybersecurity Plan
The first step: harden desktops, servers, switches, and routers and the software that runs them via security and management tools, says Zal Azmi.
InformationWeek
December 23, 2009 10:45 AM
Theo: http://www.informationweek.com/news/government/security/showArticle.jhtml?articleID=222100030
Bài được đưa lên Internet ngày: 23/12/2009
Lời người dịch: Azmi, cựu CIO của FBI thúc giục chính phủ hành động, chứ không chỉ đưa ra những chiến lược an ninh không gian mạng trên giấy. Và đây là một số khuyến cáo của ông: “chìa khóa của bất kỳ kế hoạch nào là tập trung vào phần cứng, phần mềm, và con người, và để hiểu rằng an ninh không gian mạng là một nỗ lực của quản lý rủi ro”. “Trước hết, điều quan trọng để tìm cách giải quyết những thứ mà chính phủ có sự kiểm soát bằng việc tăng cường cho các máy tính để bàn, các máy chủ, các bộ chuyển mạch (switch), các bộ định tuyến (routers) và các phần mềm mà chúng chạy trên các thiết bị đó thông qua các công cụ quản lý và an ninh”. “Ví dụ, Azmi nói các cơ quan phải có các phần cứng và phần mềm được ký số bởi các nhà cung cấp”. Thật khó cho Việt Nam khi mà phần cứng, phần mềm khó mà biết xuất xứ của chúng là từ đâu, và chúng lại đều là những đồ nhập khẩu. Sẽ không nói ngoa, chiểu theo những gợi ý của Azmi, thì an ninh không gian mạng của Việt Nam đâu đó ở mức 0, một báo động đỏ thực sự. Bạn có nghĩ như vậy không?
Cựu Giám đốc thông tin (CIO) của Cục Điều tra Liên bang (FBI) muốn thấy chính phủ phát triển và triển khai một kế hoạch an ninh không gian mạng tổng thể, ông đã nói trong một cuộc phỏng vấn tuần trước.
Lời kêu gọi của cựu CIO của FBI Zal Azmi tới chỉ mấy ngày trước khi chính quyền Obama chỉ định nhà điều phối an ninh không gian mạng của mình.
“Về mặt chiến lược, những gì chúng ta đang thiếu ngay bây giờ là một kế hoạch của cuộc chơi có hành động”, Azmi nói, người bây giờ là phó chủ tịch cao cấp cho nhóm giải pháp không gian mạng của nhà thầu của chính phủ CACI. “Tôi có quá nhiều nghiên cứu trong văn phòng của mình mà bạn không thể tin nổi, nhưng chúng ta cần phải tập trung hơn. Chúng ta cần đặt những cái đầu của chúng ta cùng nhau và có một kế hoạch hành động triển khai được”.
Đã từng có một số kế hoạch an ninh mạng của chính phủ đặt ra tước trong vài năm trở lại đây, kể cả Chiến lược Quốc gia năm 2004 để Đảm bảo an ninh Không gian mạng và Sáng kiến về An ninh không gian mạng Tổng thể Quốc gia không được công khai năm 2008. Các kế hoạch này đã bị rút ruột hoặc nếu không thì đã biến mất khỏi tầm nhìn của công chúng.
Bây giờ, chính quyền Obama, đang thúc đẩy kế hoạch tổng thể của riêng mình. Trong một video được đưa lên sau khi ông đã chỉ định người điều phối về an ninh không gian mạng của Nhà Trắng tuần này, Howard Schmidt đã nói Tổng thống Obama đã giao nhiệm vụ cho ông bằng việc tạo ra một chiến lược an ninh không gian mạng tổng thể, mà nó có lẽ sẽ phát triển ngoài sự xem xét lại về an ninh không gian mạng trong vòng 60 ngày của chính quyền đã kết thúc đầu năm nay.
Azmi đã nói rằng chìa khóa của bất kỳ kế hoạch nào là tập trung vào phần cứng, phần mềm, và con người, và để hiểu rằng an ninh không gian mạng là một nỗ lực của quản lý rủi ro. “Có những thứ mà bạn phải kiểm soát, và những thứ bạn sẽ không”, ông nói.
The former CIO of the Federal Bureau of Investigation wants to see the government develop and implement a comprehensive cybersecurity plan, he said in an interview last week.
Former FBI CIO Zal Azmi's call came only days before the Obama administration named its cybersecurity coordinator.
"Strategically, what we are lacking right now is an actionable game plan," said Azmi, who is now senior VP for government contractor CACI's cyber solutions group. "I have so many studies in my office that you wouldn't believe, but we need to be more focused. We need to put our heads together and get an actual plan going."
There have been a number of government cybersecurity plans put forward over the last several years, including 2004's National Strategy to Secure Cyberspace and 2008's largely classified Comprehensive National Cybersecurity Initiative. The plans have been gutted or otherwise disappeared off the public scene.
Now, the Obama administration, is pushing its own comprehensive plan. In a video posted after his appointment as White House cybersecurity coordinator this week, Howard Schmidt said President Obama had tasked him with creating a comprehensive cybersecurity strategy, which will likely grow out of the administration's 60-day cybersecurity review finalized earlier this year.
Azmi said that the key to any plan is to focus on hardware, software, and people, and to understand that cybersecurity is a risk management effort. "There are things you have control over, and things you don't," he explained.
Trước hết, điều quan trọng để tìm cách giải quyết những thứ mà chính phủ có sự kiểm soát bằng việc tăng cường cho các máy tính để bàn, các máy chủ, các bộ chuyển mạch (switch), các bộ định tuyến (routers) và các phần mềm mà chúng chạy trên các thiết bị đó thông qua các công cụ quản lý và an ninh, ông nói.
Tuy nhiên, điều này chỉ đi tới nay. Từ chuỗi cung cấp cho tới những người trong cuộc, có nhiều số lượng các yếu tố hệ thống IT mà các cơ quan chỉ có một số sự kiểm soát. Ví dụ, Azmi nói các cơ quan phải có các phần cứng và phần mềm được ký số bởi các nhà cung cấp.
Azmi đã thúc giục một nỗ lực chính để khuyến khích quan hệ đối tác giữa nhà nước và tư nhân, đặc biệt với các khu vực năng lượng và tài chính. “Bạn kết với quá nhiều mạng khác nhau và quá nhiều các nhà cung cấp dịch vụ Internet (ISP) khác nhau”, ông lưu ý. Ông cũng nói rằng chính phủ cần tìm các cách để mang những sản phẩm an ninh không gian mạng sáng tạo vào trong không gian chính phủ. “Chúng ta cần lấp chỗ trống giữa khu vực tư nhân và chính phủ”, ông nói. “Nhiều sự đổi mới sáng tạo xảy ra trong các công ty khởi nghiệp, nhưng họ làm việc với khu vực tư nhân và không với chính phủ vì qui trình này là quá lâu và những công ty này không có đủ nhân lực để làm việc với chính phủ”.
Cuối cùng bất kỳ chiến lược nào cũng cần có sự ủng hộ không chỉ của một nhà điều phối về không gian mạng, mà cũng của một “cơ quan chính phủ” mà có thể giúp nhà điều phối về không gian mạng thực hiện được nhiệm vụ của ông ta. “Các chính sách và thủ tục là tốt, nhưng nếu chúng không có hiệu lực, thì chúng không đáng gì hơn là một mẩu giấy”, Azmi nói.
CIO Liên bang Vivek Kundra là Sếp của Năm của chúng ta. Hãy tìm ra những kế hoạch của ông ta về việc thi hành về nhiều mục tiêu của ông cũng như nhiều thách thức ở phía trước. Hãy tải về báo cáo ở đây (cần phải đăng ký).
First, it is important to tackle the things the government has control over by hardening desktops, servers, switches, and routers and the software that runs on those devices via security and managemenet tools, he said.
However, this only goes so far. From the supply chain to insiders, there are any number of IT system elements that agencies have only some control over. For example, Azmi said agencies should have hardware and software digitally signed by manufacturers.
Azmi urged a major effort to encourage public-private partnerships, particularly with the energy and financial sectors. "You're married to so many different networks and so many different ISPs," he noted.
He also said that the government needs to find ways to bring innovative cybersecurity products into the government space. "We need to close the gap between the private sector and the government," he said. "A lot of innovation happens in startups, but they work with the private sector and not the government because the process is so long and these companies don't have the manpower to deal with the government."
Finally, any strategy needs to have the backing not just of a cyber coordinator, but also of a "governing body" that would help the cyber coordinator execute his mission. "Policies and procedures are good, but if they are not enforced, they are worth nothing more than a piece of paper," Azmi said.
Federal CIO Vivek Kundra is our Chief of the Year. Find out his plans for executing on his many goals as well as the many challenges ahead. Download the report here (registration required).
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.