Người có ảnh hưởng về an toàn thông tin: Cuộc phỏng vấn với Bruce Schneier

Infosec Influencers: An Interview with Bruce Schneier

By David Bisson, Tripwire, July 16, 2015

Theo: https://www.schneier.com/news/archives/2015/07/infosec_influencers_.html

Bài được đưa lên Internet ngày: 16/07/2015

Xem thêm: http://vnfoss.blogspot.com/2014/12/schneier-noi-ve-toan_31.html

Tuần này, như một phần của loạt bài mới về 'Người có ảnh hưởng về an toàn thông tin', tôi đã có hân hạnh ngồi với Bruce Schneier, một nhà công nghệ về an toàn nổi tiếng thế giới và là một trong những ngườc có ảnh hưởng hàng đầu về an toàn của Nhà nước trong Bạn Nên Đi theo trong năm 2015. Ông đã viết 12 cuốn sách, bao gồm cả 'Những kẻ nói dối và những người ngoài: Xúc tác cho các nhu cầu xã hội tin cậy để thịnh vượng', không kể tới hàng trăm bài báo và tiểu luận được xuất bản. Blog của ông có 250.000 độc giả, và ông thường xuyên được trích dẫn trên báo chí. Hơn nữa, ông thường xuyên làm chứng trước Quốc hội và là một thành viên ban cố vấn của EFF và EPIC, trong số các tổ chức khác.

David Bisson (DB): Điều gì đã làm cho ông quyết định đi vào lĩnh vực an toàn thông tin?

Bruce Schneier (BS): Tôi luôn quan tâm tới mật mã học và đã từ lâu theo đuổi nó như một sở thích riêng. Tôi đã đi vào lĩnh vực này hầu như hoàn toàn ngẫu nhiên. Tôi từng làm nghề tự do viết các bài báo về máy tính để kiếm sống và đã thấy rằng tôi thích thú viết các bài báo về mật mã học cho tạp chí Dr. Dobb's Journal. Cuốn sách đầu tiên của tôi, Mật mã được áp dụng (Applied Cryptography), ra đời từ đó. Về cơ bản tôi đã viết cuốn sách về mật mã hiện đại mà tôi muốn đọc. Sau đó, nó hệt như bông tuyết. Tôi là một người chung chung: những gì tôi nghĩ như một người siêu - siêu - siêu (meta-meta-meta guy). Vì thế sau mật mã, tôi đã bắt đầu viết về an toàn máy tính và mạng, rồi công nghệ an toàn nói chung, rồi kinh tế và tâm lý an toàn, và bây giờ cả xã hội học và chính trị của an toàn.

Cùng với chúng, tôi đã thành lập hãng Counterpane Internet Security, Inc., một công ty tập trung vào việc giám sát an toàn được quản lý. Và bây giờ tôi là CTO ở Resilient Systems, Inc., một công ty làm phần mềm quản lý ứng cứu sự cố.

DB: Vì sao ông đã đi tiếp để trở thành một nhà mật mã học và sau đó là một người viết blog về an toàn? Đâu là những thách thức/thành công có liên quan tới các con đường đó?

BS: Các con đường tôi đã chọn là rất khác nhau. Đầu tiên là toán học, và thứ 2 là viết. Hầu hết mọi người là tốt trong một nghề và không thật tốt trong các nghề khác. Nhưng có giá trị khổng lồ trong việc tốt ở cả 2: thế giới cần những người kỹ thuật có thể giải thích mọi điều cho một khán thính phòng những người phi kỹ thuật. Rất nhiều vấn đề chính xã hội của chúng ta đối mặt có một khía cạnh kỹ thuật, và có sự mất lòng tin to lớn như vậy đối với khoa học ở những phần của xã hội ngày nay của chúng ta. Chúng ta càng có thể chống lại điều đó, tất cả chúng ta sẽ càng tốt.

DB: Đâu là sai lầm lớn nhất của ông, và ông đã học được điều gì từ nó?

BS: Điều này nghe có vẻ ngạo mạn và kỳ dị, nhưng tôi không nghĩ tôi đã làm bất kỳ sai lầm lớn nào. Hoặc, ít nhất, không sai lầm nào nổi lên trong đầu tôi. Bất kỳ ai cũng mắc sai lầm, và tôi nghĩ điều quan trọng nhất là trở nên phục hồi được và lanh lẹ sao cho chúng không trở nên lớn.

DB: Ông cảm thấy thế nào khi nền công nghiệp an toàn đã thay đổi kể từ khi ông đã bắt đầu bước vào lĩnh vực này?

BS: Nó đã chín chắn hơn một cách khủng khiếp. Là rất rõ ràng đối với tôi để nói rằng, kể từ bài viết về mật mã đầu tiên của tôi xuất hiện hầu như 25 năm về trước. Và nền công nghiệp an toàn đã phát triển cùng với Internet. Nhưng đây là sự thay đổi mà tôi đã và đang nghĩ nhiều tới gần đây. Những năm 1990 từng là thập niên của phòng ngừa: tất cả các sản phẩm an toàn đã cố phòng ngừa những điều tồi tệ khỏi xảy ra. Chống virus, các tường lửa, và vân vân. Tất nhiên chừng đó là không đủ, và những năm 2000 từng là thập kỷ của dò tìm. Các sản phẩm phòng ngừa đã không đi khỏi, nhưng chúng ta đã bổ sung thêm những điều giống như IDS (hệ thống dò tìm thâm nhập trái phép) và các dịch vụ giám sát lưu ký. Thập kỷ này, những năm 2010, là thập kỷ của ứng cứu. Chúng ta cuối cùng đã nhận thức được rằng phòng ngừa và dò tìm sẽ là không đủ và rằng một tổ chức cần phải đầu tư nhiều vào ứng cứu. Khi tôi đi tới các hội nghị những ngày này, đây là lĩnh vực thú vị nhất của công nghệ an toàn mà tôi thấy.

DB: Đâu là mối đe dọa thúc bách nhất mà những người sử dụng máy tính ngày nay đối mặt? Ông có bất kỳ khuyến cáo nào cho cách những người sử dụng có thể tự bảo vệ được mình không?

BS: Tôi nghĩ mối đe dọa cấp bách nhất tới từ những sử dụng pháp lý các dữ liệu của chúng ta. Vì cuộc sống của chúng ta liên quan tới máy tính quá nhiều, chúng ta sinh ra lượng dữ liệu khổng lồ về bản thân chúng ta và các hành động của chúng ta mỗi ngày. Cả các tập đoàn và các chính phủ đang thu thập các dữ liệu đó và sử dụng nó cho các mục đích của riêng họ. Tôi nghĩ đây là mối đe dọa khổng lồ và là mối đe dọa mà chúng ta sẽ không dễ để giảm nhẹ. Các giải pháp phần lớn không phải là kỹ thuật; chúng là các giải pháp về pháp lý và chính trị.

DB: Ông có thể khuyến cáo điều gì cho ai đó đang xem xét một sự nghiệp trong an toàn thông tin?

BS: Hãy thực hiện nó. Đây là một sự nghiệp thú vị, và có những đòi hỏi khổng lồ đối với những người có kỹ năng trong từng khía cạnh của lĩnh vực đó. Hãy chọn nghề nghiệp mà bạn thú vị nhất, và hãy thực hiện nó. Và sau đó khi nghề nghiệp khác cuốn hút bạn hơn, hãy thay đổi.

This week, as part of our new 'Infosec Influencer' series, I had the pleasure of sitting down with Bruce Schneier, an internationally renowned security technologist and one of The State of Security's Top Influencers in Security You Should Be Following in 2015. He has written 12 books, including Liars and Outliers: Enabling the Trust Society Needs to Thrive, not to mention published hundreds of articles and essays. His blog has is read by over 250,000 people, and he is regularly quoted by the press. Additionally, he regularly testifies before Congress and is an advisory board member for EFF and EPIC, among other organizations.

David Bisson (DB): What made you decide to get into the field of information security?

Bruce Schneier (BS): I have always been interested in cryptography and have long pursued it as a hobby. I got into the field almost by accident though. I was writing freelance computer articles for a living and found that I enjoyed writing cryptography articles for the magazine Dr. Dobb's Journal. My first book, Applied Cryptography, came from that. I basically wrote the modern cryptography book I wanted to read. After that, it just snowballed. I am a generalist: what I think of as a meta-meta-meta guy. So after cryptography, I started writing about computer and network security, then security technology in general, then the economics and psychology of security, and now both the sociology and politics of security.

Along the way, I founded Counterpane Internet Security, Inc., a company that focused on managed security monitoring. And now I am the CTO at Resilient Systems, Inc., a company that makes incident response management software.

DB: Why did you go on to become a cryptographer and then a security blogger? What are the challenges/successes associated with these paths?

BS: The paths I chose are very different. The first is math, and the second is writing. Most people who are good at one are not very good at the other. But there's huge value in being good at both: the world needs technical people who can explain things to a non-technical audience. So many of the major problems our society faces have a technical aspect, and there is such broad mistrust of science in parts of our society today. The more we can counter that, the better off we're all going to be.

DB: What is your biggest mistake, and what have you learned from it?

BS: This is going to sound weird and arrogant, but I don't think I've made any big mistakes. Or, at least, no mistakes that stand out in my mind. Everyone makes mistakes, and I think the most important thing is to be resilient and agile so they don't become big.

DB: How do you feel the security industry has changed since you first started in the field?

BS: It's matured enormously. It's kind of obvious for me to say that, since my first cryptography article appeared almost 25 years ago. And the security industry has grown alongside the Internet. But here's a change that I have been thinking a lot about recently. The 1990s was the decade of prevention: all security products tried to prevent bad things from happening. Antivirus, firewalls, and so on. Of course that wasn't enough, and the 2000s was the decade of detection. The prevention products didn't go away, but we added things like IDSs and log monitoring services. This decade, the 2010s, is the decade of response. We've finally recognized that prevention and detection aren't enough and that an organization needs to invest just as much in response. When I go to conferences these days, this is the most interesting area of security technology innovation I see.

DB: What is the most pressing threat facing computer users today? Do you have any recommendations for how users can protect themselves?

BS: I think the most pressing threat comes from legal uses of our data. Because so much of our lives involve computers, we generate an enormous amount of data about ourselves and our actions every day. Both corporations and governments are collecting that data and using it for their own ends. I think this is a huge threat and one that we're not going to easily mitigate. The solutions largely aren't technical; they're legal and political.

DB: What would you recommend to someone who is looking at a career in information security?

BS: Do it. It's a fun career, and there are huge demands for skilled people in every aspect of the field. Pick the specialization that interests you the most, and do it. And then when another specialization interests you more, change.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com