Thứ Hai, 22 tháng 11, 2010

Tranh luận nổi lên về kiểm tra các chứng chỉ về an ninh không gian mạng

Debate swirls on overhauling cybersecurity certifications

By Aliya Sternstein 11/17/2010

Theo: http://www.nextgov.com/nextgov/ng_20101117_4910.php

Bài được đưa lên Internet ngày: 17/11/2010

Lời người dịch: Nhiều người muốn kiểm tra việc cấp chứng chỉ về an ninh không gian mạng (ANKGM) trong chính phủ Mỹ phải được tuân thủ, trong bối cảnh ANKGM ngày một nóng và sự thiếu hụt nhân sự trong việc này là rất lớn. “Các cựu quan chức liên bang đã đánh giá chỉ có 1,000 chuyên gia về an ninh của Mỹ với các kỹ năng cần thiết để vận hành trong không gian mạng – và đất nước này cần khoảng 10,000-30,000 các chuyên gia như vậy”. Không biết Việt Nam thì cần bao nhiêu chuyên gia ANKGM nhỉ??? 20,000 người chăng??? Hiện ta đang có bao nhiêu người đủ năng lực để giải quyết vấn đề ANKGM nhỉ??? 200 người chăng??? Hay là bao nhiêu nhỉ???

Hầu hết các chuyên gia về an ninh không gian mạng (ANKGM) phản đối ý tưởng cấu trúc lại việc huấn luyện để thúc đẩy các cấp độ nhân lực, theo một khảo sát mà hiệp hội thương mại đã đưa ra hôm thứ tư, 2 ngày trước một báo cáo đấu nhau bởi một cơ quan nghiên cứu về an ninh ở Washington đã gọi chương trình cấp chứng chỉ hiện hành là không phù hợp.

Cuộc khảo sát hôm thứ tư, được tiến hành bởi ISC, một nhóm phi lợi nhuận mà cấp chứng chỉ và huấn luyện cho những người chuyên nghiệp về an ninh, đã thấy 69% các nhân viên không gian mạng không tin tưởng vào một ban lãnh đạo của những người chấm thi do chính phủ quản lý phải được thiết lập để thay đổi các chương trình cấp chứng chỉ đang tồn tại. Phát hiện này là lạ lẫm với các khuyến cáo mà Trung tâm Nghiên cứu Chiến lược và Quốc tế (CSIS) đã hé lộ vào tháng 7 và đã chi tiết hóa trong một tài liệu ngày 15/11 mà gửi tới chính phủ để tảo ra một “cơ quan quản lý” để quản lý các chứng chỉ trong những lĩnh vực đặc biệt và phát triển các tiêu chí cho việc đánh giá các chương trình cấp chứng chỉ hiện đang tồn tại.

Cả 2 nhóm đang cố gắng hình dung pháp lý chưa được giải quyết trong Quốc hội nhằm vào việc kiểm tra các qui định về ANKGM của cả liên bang và giới công nghiệp trong sự nổi lên các cuộc tấn công KGM mà các chính phủ nước ngoài được cho là đã dàn dựng.

Tổ chức của chúng ta đã làm việc chặt chẽ với chính phủ và bất kỳ lúc nào mà họ tin tưởng họ cần một sự ủy nhiệm đặc biệt, kỹ thuật hơn, thì chúng tôi sẽ ngồi xuống và xây dựng nó”, Giám đốc điều hành W. Hord Tipton, một cựu giám đốc thông tin của Bộ Nội vụ, nói. “Báo cáo của cơ quan này cũng đưa ra những vu khống ít nhất nhằm vào tôi và những người mà họ có sự ủy nhiệm”.

CSIS và 700 chuyên gia được khảo sát đã đồng ý về một thứ: có tột sự thiếu hụt các chuyên gia không gian mạng trong chính phủ liên bang. Các cựu quan chức liên bang đã đánh giá chỉ có 1,000 chuyên gia về an ninh của Mỹ với các kỹ năng cần thiết để vận hành trong không gian mạng – và đất nước này cần khoảng 10,000-30,000 các chuyên gia như vậy.

Most cybersecurity professionals oppose the idea of restructuring training to boost workforce levels, according to a survey a trade association released on Wednesday, two days after a dueling report by a Washington security think tank called current certification programs inadequate.

The Wednesday poll, conducted by (ISC)2, a nonprofit group that certifies and trains information security professionals, found 69 percent of cyber personnel do not believe a government-run board of examiners should be established to change existing certification programs. This finding is at odds with recommendations the Center for Strategic and International Studies unveiled in July and detailed in a Nov. 15 paper that directs the government to create a "governance body" to administer certifications in specialty areas and develop criteria for evaluating existing certification programs.

Both groups are trying to shape pending legislation in Congress aimed at overhauling federal and industry cybersecurity rules in the wake of cyberattacks foreign governments allegedly orchestrated.

"Our organization has worked closely with government and anytime that they believe they need a more technical, specific credential, we sit down and build it," said (ISC)2 Executive Director W. Hord Tipton, a former Interior Department chief information officer. "The [CSIS] report also casts aspersions at least to me and people who have credentials."

CSIS and the 700 professionals (ISC)2 surveyed did agree on one thing: there is a shortage of federal government cyber experts. Former federal officials have estimated there are only 1,000 U.S. security specialists with the skills necessary to operate in cyberspace -- and the country needs about 10,000 to 30,000 such professionals.

Mà nhiệm vụ của CSIS về ANKGM đối với tổng thống lần thứ 44 trong tài liệu hôm thứ hai về các vấn đề năng lực kỹ thuật đã chê những ủy nhiệm của những người thực hành không gian mạng ngày nay của liên bang. “Đây là sự đồng thuận của ủy ban mà chế độ chứng chỉ chuyên nghiệp hiện hành chỉ là không phù hợp, nó tạo ra một cảm tưởng nguy hiểm không đúng về an ninh” vì những ủy nhiệm không cải thiện được các kỹ năng của các nhân viên, Karen Evans, một cựu quản trị về chính phủ điện tử và công nghệ thông tin tại Văn phòng Quản lý và Ngân sách, và Frank Reeder, một cựu giám đốc chính sách thông tin tại OMB.

Các ủy nhiệm hiện hành tập trung nhiều vào việc thể hiện sựt tinh thông trong việc làm tài liệu về tuân thủ an ninh hơn là sự tinh thông trong việc ngăn ngừa và phản ứng lại với các cuộc tấn công, họ nói.

Sự đánh giá mà cơ quan CSIS đã đề xuất có thể được tạo ra như một cơ quan phi lợi nhuận với các đại diện từ khu vực tư nhân, hàn lâm và chính phủ liên bang. Những khuyến cáo dài hạn đã đưa vào một ban lãnh đạo độc lập của những người kiểm tra an ninh thông tin để quản lý các chứng chỉ chuyên nghiệp đối với những lĩnh vực đặc biệt như phát triển phần mềm, các hoạt động nghiên cứu và mạng. “Trong y tế, chúng tôi bây giờ có các tiêu chuẩn và các chứng chỉ chuyên nghiệp đặc biệt”, Evans và Reeder đã viết. “Chúng tôi có thể kham được không gì ít hơn trong thế giới của ANKGM”.

Các quan chức của ISC nói CSIS đã không đưa ra được các dữ liệu để ủng hộ cho lời kêu rằng có những thiếu sót trong môi trường chứng chỉ hiện hành. “Nó làm cho bọn tội phạm rời khỏi những người mà họ thực nghiệm an ninh”, Tipton nói. ISC đã thấy 52% các chuyên gia không gian mạng không nghĩ việc nhấn mạnh các chứng chỉ đặc biệt sẽ đảo ngược được sự thiếu hụt về nhân lực. Hơn nữa, đa số những người được hỏi – 54% - nói việc đầu tư vào các kỹ năng kỹ thuật huấn luyện và chứng chỉ sẽ không giải quyết được các vấn đề về an ninh quốc gia.

Tipton nói các dự luật chủ chốt về không gian mạng trong Quốc hội là im ắng về vấn đề các chứng chỉ chuyên nghiệp đối với các nhân viên của liên bang, bao gồm Luật Bảo vệ Tài sản Quốc gia và Không gian mạng 2010 (S.3480), được bảo trợ bởi Nghị sỹ Joe Lieberman, I-Conn., chủ tịch của Ủy ban Công tác Chính phủ và An ninh Nội địa. Nhưng Luật về ANKGM 2009 (S.773), được giới thiệu bởi Nghị sỹ John D. Rockefeller, D-W. Va, chủ tịch của Ủy ban Thương mại, Khoa học và Giao thông, có thể đòi hỏi tất cả chính phủ hoặc các chuyên gia về ANKGM của các hạ tầng sống còn sẽ phải được cấp chứng chỉ theo một chương trình quốc gia trong vòng 3 năm.

Pháp chế chủ đạo không đoán trước được sẽ thông qua bất kỳ thứ gì sớm, nhưng Tipton nói ông có quan tâm tới một điều khoản chứng chỉ có thể được gắn vào thành một thứ không liên quan, dự luật phải thông qua, theo cách mà các mệnh đề về an ninh thông tin liên bang đã được chèn vào trong phiên bản của Hạ viện của Luật Ủy quyền Quốc phòng (H.R.5136).

But CSIS' Commission on Cybersecurity for the 44th Presidency in Monday's paper on technical proficiency issues condemned the credentials of today's federal cyber practitioners. "It is the consensus of the commission that the current professional certification regime is not merely inadequate, it creates a dangerously false sense of security" because the credentials do not improve employees' skills, wrote Karen Evans, a former administrator for e-government and information technology at the Office of Management and Budget, and Frank Reeder, a former chief of information policy at OMB.

Current credentials focus too much on demonstrating expertise in documenting security compliance rather than expertise in preventing and responding to attacks, they added.

The evaluation body CSIS proposed would be created as a nonprofit with representatives from the private sector, academia and the federal government. Long-term recommendations included an independent board of information security examiners to administer professional certifications for specialty areas such as software development, forensics and network operations. "In medicine, we now have accreditation standards and professional certifications by specialty," Evans and Reeder wrote. "We can afford nothing less in the world of cybersecurity."

(ISC)2 officials said CSIS did not provide data to support the claim that there are flaws in the current certification environment. "It makes criminals out of people who practice security," Tipton said. (ISC)2 found 52 percent of cyber professionals do not think emphasizing specialty certifications will reverse the workforce shortage. In addition, the majority of respondents -- 54 percent -- said investing in technical skills training and certification will not solve the nation's security problems.

Tipton said uprooting the current certification system would undo hard-won progress in educating the cyber workforce and exacerbate what already is a human capital crisis. Professionals polled said one of the main causes of the shortage is the lack of a defined career path. Several trade groups, including (ISC)2, Information Systems Security Association and CompTIA, are asking Congress to take advantage of existing training programs to grow the cyber workforce.

Most of the major cyber bills in Congress are silent on the issue of professional certifications for federal employees, including the bipartisan 2010 Protecting Cyberspace as a National Asset Act (S. 3480), sponsored by Sen. Joe Lieberman, I-Conn., chairman of the Homeland Security and Governmental Affairs Committee. But the 2009 Cybersecurity Act (S.773), introduced by Sen. John D. Rockefeller, D-W.Va., chairman of the Commerce, Science and Transportation Committee, would require all government or critical infrastructure cybersecurity professionals to be certified under a national program within three years.

Major legislation is not anticipated to pass anytime soon, but Tipton said he is concerned a certification provision might be tagged onto an unrelated, must-pass bill, in the way federal information security clauses were inserted into the House version of the 2011 National Defense Authorization Act (H. R. 5136).

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.