Daddy,
what will you do in the new security wars?
Phụ
thuộc vào việc chúng ta đang nói về kẻ thù nào, con
trai ạ.
Depends
which enemy are we talking about, son
By
Tom Brewster, 24 Jun 2014
Bài
được đưa lên Internet ngày: 24/06/2014
Lời
người dịch: Với những vấn đề mới về an ninh không
gian mạng trong thời đại hiện nay, những biện pháp cũ
không còn có hiệu quả nữa. Việc giáo dục về an ninh
không gian mạng cần phải là một công việc thường
xuyên, liên tục, rộng khắp cho tất cả những người
dân thường.
Thiếu
giáo dục
Câu
trả lời cho sự gia tăng các cuộc tấn công Internet sẽ
không chỉ tới thông qua công nghệ. Nếu có một chủ đề
mà các chuyên gia an ninh có thể đồng ý về nó, khi họ
cãi nhau về phản ứng mức mã, thì đó là giáo dục các
nhu cầu cho công chúng nói chung để cải thiện. Sự chú
ý không đủ đối với mọi người và điều này từng
đã và đang là sự thất bại lớn nhất của giới công
nghiệp, giáo sư Woodward nói.
“Các
cỗ máy không tự nó khởi xướng các cuộc tấn công -
chúng được mọi người chỉ huy và mọi người thường
xuyên hơn không phải là mục tiêu đặc biệt của việc
thiết kế một cuộc tấn công. Một nhận thức nhỏ bé
có thể đi cùng”, Woodward nói.
“Nhận
thức đó cần phải mở rộng vượt ra khỏi chỉ các đầu
đề mức đỉnh. Tôi nghĩ người sử dụng đầu cuối
... cần phải luôn tự họ cập nhật về bản chất tự
nhiên của mối đe dọa. Biết cách một số mẩu kỹ
thuật xã hội làm việc ngày hôm nay không có nghĩa là nó
sẽ giúp được trong vài tháng khi mà bọn vô lại sẽ có
suy nghĩ về một mưu mẹo mới để lừa bạn”.
“Cá
nhân tôi nghĩ cách duy nhất điều này sẽ xảy ra là nếu
có một sự kết hợp phù hợp của cây gậy và củ cà
rốt. Sau tất cả, chúng ta kỳ vọng mọi người nắm lấy
những phòng ngừa hợp lý trong việc bảo vệ tài sản
vật lý - các công ty bảo hiểm sẽ không chi trả nếu
bạn không làm thế”.
Chính
phủ Anh đã chỉ ra một số xu hướng hướng với việc
cải thiện nhận thức của công chúng. Vào tháng 1 nó đã
đưa ra chiến dịch Không gian mạng Đường phố (Cyber
Streetwise). Nó đã thấy các biển quảng cáo được đặt
ra khắp đất nước, kêu gọi mọi người sử dụng các
mật khẩu phức tạp hơn, các thiết lập tính riêng tư
đúng phù hợp hơn và chống virus tao nhã hơn. Còn Ít được
biết về tác động thực sự của sáng kiến này.
Nhưng
nó không chỉ là các cá nhân mà không có vấn đề. Các
bước cơ bản để cải thiện nhận thức của nhân viên
về kỹ thuật xã hội mà nó được sử dụng trong hầu
hết các cuộc tấn công thời nay vào các công ty, có thể
là một sự khởi đầu tốt, Peter Wood, CEO của công ty tư
vấn First Base Technologies, nói.
“Phản
ứng rõ ràng là phải đầu tư vào con người nhiều như
công nghệ. Đây là một nhiệm vụ phức tạp và sáng
tạo, rất giống với một chiến dịch marketing chuyên
nghiệp, nhưng nó phải được tiến hành và nó phải là
một qui trình liên tục. Việc gửi đi một thư điện tử
và nói cho mọi người đọc chính sách về an ninh không
bao giờ làm việc được, mà các chương trình nâng cao
nhận thức tưởng tượng và phúc âm có thể làm việc
nếu đúng người tham gia và cam kết được thực hiện ở
trên đỉnh”, Wood nói.
Trong
khi nhân viên trung bình có thể làm vớimột bài học về
an ninh, thì quá thường xuyên, sự thiếu hiểu biết đi
ngay lên đỉnh của các tổ chức, Simon Placks, người lãnh
đạo các vụ điều tra tội phạm không gian mạng ở EY,
nói.
“Các
công ty đang bắt đầu hiểu rằng họ cần đánh giá sự
tiết lộ của họ, nhưng làm thế với nhận thức tình
huống hạn chế. Chúng ta cần thấy các công ty nghĩ lại
cách mà họ xem xét an ninh. Tiếp cận tốt nhất mà một
tổ chưc có thể nắm lấy là đưa ra an ninh không gian
mạng tới trách nhiệm mức ban lãnh đạo”, Placks bổ
sung.
“Tương
tự, khi các lỗ hổng xảy ra, các tập đoàn cần ứng xử
với các sự cố như các cuộc điều tra của tập đoàn,
chứ không phải các bài tập điều trị CNTT. Nhiều tổ
chức vẫn còn đối xử với những thâm nhập trái phép
mạng dường như chúng là các cơn bột phát của virus.
Một sự thâm nhập không phép không phải là một căn
bệnh mà có thể ngăn chặn được với sự vệ sinh không
gian mạng tốt. Một số người đi ra ngoài để có được
bạn, và bạn cần ứng phó một cách tương xứng, nếu
không thì đó chỉ là một vấn đề về thời gian trước
khi chúng ta thấy sự sụp đổ tập đoàn lần đầu tiên
ở phạm vi rộng tiếp sau một cuộc tấn công không gian
mạng có tính tàn phá”.
Các
điểm chính sách
Sự
đáp trả về chính sách cũng sẽ là sống còn. Tại Anh,
Luật Lạm dụng Máy tính, Luật Bảo vệ Dữ liệu và
pháp luật giả mạo được thiết kế để bảo vệ dữ
liệu của mọi người, với các lực lượng cảnh sát
giống như Đơn vị chống Tội phạm Không gian mạng Quốc
gia và bảo vệ tính riêng tư mà Văn phòng Ủy viên Thông
tin được thiết lập để ép tuân thủ luật.
Vâng
chúng tất cả có thể cần việc phát triển và cập
nhật, nếu những kẻ lừa đảo không gian mạng sẽ bị
bắt. Theo Stewart Room, luật sư và cố vấn pháp luạt
chuyên về bảo vệ dữ liệu, pháp luật đó được yêu
cầu để cải thiện cuộc đấu tranh chống tội phạm
trực tuyến, là một bản cáo trạng đối với các nỗ
lực của các tổ chức phi nhà nước.
“Các
luật điều chỉnh được thiết kế để chữa trị
'những khiếm khuyết của thị trường', theo đó tôi ngụ
ý sự thất bại của các thị trường để chữa cho
chính chúng khỏi bệnh tật của riêng chúng. Khi các điều
chỉnh được áp dụng, luật đang nói rằng thị trường
không có các kỹ năng, cần thiết, những khuyến khích
hoặc trình dẫn dắt để làm những gì là cần thiết
trong các mối quan tâm rộng lớn hơn của xã hội, nó bao
gồm những mối quan tâm lớn hơn về kinh tế, để tự
nó sửa lỗi”, Room nói.
“Theo
nghĩa này, sự áp dụng các điều chỉnh là một tuyên bố
trống trải về thị trường. Nếu vấn đề đột nhập
cần các điều chỉnh để cải thiện an ninh không gian
mạng, thì như một vấn đề logic đơn giản mà phương
thuốc phải mạnh, vì thị trường đã thất bại hoàn
toàn”.
Trong
khi Woodward và Malik tin tưởng các lực lượng thị trường
nên được phép làm công việc của họ, thì Room nói một
con đường khó khăn hơn nhiều phải được áp dụng nếu
nền công nghiệp không thể đứng vững được với cuộc
chơi của nó. “Bất kỳ sơ đồ điều chỉnh nào cũng
có thể gây ra nhiều khó khăn khi nó giải quyết. Ưu tiên
của tôi có thể là cho thị trường để tự nó cải
thiện, với lãnh đạo từ nền công nghiệp an ninh và
những người bên trong khác. Tuy nhiên, tôi có rất ít
lòng tin rằng sự điều chỉnh nghiêm ngặt sẽ tránh được
mãi, vì vấn đề an ninh không gian mạng dường như sẽ
tồi tệ hơn”.
Tại
Mỹ người ta nói nhiều về việc thay đổi Luật Lạm
dụng và Giả mạo Máy tính - CFAA (Computer Fraud and Abuse
Act), với nhiều hy vọng về hành lang của Luật được
Aaron đề xuất, được đặt tên sau khi nhà hoạt động
xã hội Internet Aaron Swartz tự sát sau khi bị đe dọa với
luật đột nhập. Vâng ơ nước Anh, ít điều được nói
về việc trao cho CMA một sự cập nhật kỹ lưỡng. Tuy
nhiên, điều đó không nói lên rằng nó sẽ không sớm
xảy ra.
“Bước
đi sắc bén của công nghệ làm thay đổi và các mối đe
dọa không gian mạng mà đi với nó chỉ chỉ tăng tốc...
Sự điều chỉnh mạnh hơn an ninh không gian mạng trong các
hạ tầng sống còn của khu vực nhà nước, khu vực tư
nhân, điều khoản dịch vụ CNTT-TT và các công ty sống
còn đối với nền kinh tế Anh có lẽ xảy ra trong tương
lai, cũng như sự dò tìm ra, sự điều tra, sự kết án và
sự phá hủy mối đe dọa chủ động tích cực hơn của
chính phủ và sự ép tuân thủ luật”, Placks nói.
Bên
ngoài việc thúc đẩy và giải quyết mà cảnh sát ứng
phó đối với tội phạm số, giáo dục bắt buộc có thể
đưa vào một yêu cầu đặc biệt cho sự đầu tư liên
tục vào giáo dục người sử dụng. Không phải là chào
mời huấn luyện cơ bản bắt buộc gắn vào trong một
cái hộp, dù chúng có thể đóng góp một phần, mà là
các yêu cầu được kiểm tra cho các chiến dịch nâng cao
nhận thức đủ mạnh mẽ, được mọi người và các ý
tưởng sáng tạo hỗ trợ”.
Luật
mà giáo dục tốt hơn là sự trừng phạt chăng? Bây giờ
điều đó có thể là sự mới lạ.
Education
lacking
The
answer to the rise of internet attacks won’t come solely through
technology. If there’s one topic that security experts can agree
on, as they squabble over the code-level response, it’s that the
education of the general public needs to improve. Not enough
attention goes on people and this has been the industry’s biggest
failing, says Professor Woodward.
“Machines
don’t spontaneously mount attacks – they are commanded by people
and people are more often than not the specific target of engineering
an attack. A little awareness can go a long way,” Woodward says.
“That
awareness needs to extend beyond just top level headlines. I think
end users … need to be constantly updating themselves about the
nature of the threat. Knowing how some piece of social engineering
works today does not mean it will help in several months time when
the miscreants will have thought of a new ruse to fool you.
“Personally
I think the only way this will happen is if there is a suitable
combination of carrot and stick. After all, we expect people to take
reasonable precautions in protecting physical property – insurance
companies won’t pay out if you haven’t done so.”
The
UK government has shown some inclination towards improving public
awareness. In January it launched the Cyber Streetwise campaign. It
saw posters put up across the country, calling on people to use more
complex passwords, decent anti-virus and adequate privacy settings.
Little is known of the initiative's actual impact.
But
it’s not just individuals who don’t get the problem. Basic steps
to improve workers’ awareness of social engineering, which is used
in most modern-day attacks on companies, would be a good start, says
Peter Wood, CEO of consultancy First Base Technologies.
“The
obvious response is to invest in people as much as technology. It’s
a complex and creative task, very similar to a professional marketing
campaign, but it has to be done and it has be an ongoing process.
Sending out an email and telling people to read the security policy
never worked, but imaginative and evangelical awareness programmes
can work if the right people are involved and commitment is made at
the top,” says Wood.
Whilst
the average employee could do with a lesson in security, too often,
the lack of understanding goes right to the top of organisations,
says Simon Placks, head of cybercrime investigations at EY.
“Companies
are starting to understand that they need to assess their exposure,
but are doing so with limited situational awareness. We need to see
companies re-thinking how they view security. The best approach an
organisation can take is to raise cyber security to board level
responsibility,” Placks adds.
“Similarly,
when breaches occur, corporations need to treat incidents as
corporate investigations, not IT remediation exercises. Many
organisations are still treating network intrusions as if they were
virus outbreaks. An intrusion is not an illness that can be prevented
with good cyber-hygiene. Someone is out to get you, and you need to
respond accordingly, otherwise it is only a matter of time before we
see the first large-scale corporate collapse following a devastating
cyber-attack.”
Policy
points
The
policy response will be crucial too. In the UK, the Computer Misuse
Act, the Data Protection Act and fraud legislation are designed to
protect people’s data, with police forces like the National Cyber
Crime Unit and privacy watchdog the Information Commissioner’s
Office set up to enforce the law.
Yet
they may all need developing and updating, if cyber crooks are to be
caught. According to Stewart Room, barrister and solicitor
specialising in data protection, that legislation is required to
improve the fight against online crimes, is an indictment of the
efforts of non-public organisations.
“Regulatory
laws are designed to cure ‘market imperfections’, by which I mean
the failure of markets to cure themselves of their own ills. When
regulations are adopted, the law is saying that the market does not
have the skills, wherewithal, incentives or drivers to do what is
necessary in the wider interests of society, which includes the wider
interests of the economy, to fix itself,” says Room.
“In
this sense, the adoption of regulations is a bleak statement about
the market. If the hacking problem needs regulations to improve cyber
security, then as a matter of simple logic the medicine has to be
strong, because the market has utterly failed.”
Whilst
Woodward and Malik believe market forces should be allowed to do
their work, Room says a much harder line might have to be adopted if
the industry can’t up its game. “Any scheme of regulation to
improve the performance on cyber security will need to include
compulsory breach disclosure, regulatory audits, fines and penalties.
Toothless regulation will not improve anything.
“I
am not an immediate fan of increased regulation, however, and I
believe that badly designed regulation can cause as much difficulty
as it solves. My preference would be for the market to improve
itself, with leadership from the security industry and other
insiders. However, I have very little confidence that tough
regulation will be avoided forever, because the cyber security
problem seems to be getting worse.”
In
the US there is much talk of changing the Computer Fraud and Abuse
Act (CFAA), with many hopeful of the passage of the proposed Aaron’s
Law, named after the late internet activist Aaron Swartz who
committed suicide after being threatened with the hacking law. Yet in
the UK, little has been said of giving the CMA a thorough updating.
That’s not to say it won’t happen soon, however.
“The
blistering pace of technology change and the cyber threats that come
with it are only going to accelerate… Stronger regulation of
cybersecurity in the public sector, private sector critical
infrastructures, ICT service provision and companies critical to the
UK's economy may happen in the future, as well as more proactive
detection, investigation, prosecution and disruption of the threat by
government and law enforcement,” says Placks.
Outside
of improving and expediting the police response to digital crime,
mandating education could be the way forward for government, adds
Wood. “My change to regulatory frameworks would be to include a
specific requirement for continual investment in user education. Not
the tick-in-a-box compulsory basic training offerings, although they
can play a part, but audited requirements for full-blown awareness
campaigns, backed by creative people and ideas.”
Law
that educates rather than punishes? Now that would be novel. ®
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.