Phỏng vấn với Bruce Schneier về Internet của Vạn vật, giám sát toàn cầu, và an ninh không gian mạng

An interview with Bruce Schneier on the Internet of Things, global surveillance, and cybersecurity

By Jamie – October 24, 2017

Theo:https://www.expressvpn.com/blog/interview-bruce-schneier-iot-surveillance-cybersecurity/

Bài được đưa lên Internet ngày: 24/10/2017

Xem thêm: Bruce Schneier nói về an toàn thông tin & hệ thống

Bruce Schneier là nhà mật mã học và nhà công nghệ an ninh nổi tiếng thế giới, người được tờ Economist coi là "siêu cao thủ an ninh Internet". Schneier là tác giả của hàng tá cuốn sách kể từ 1993, với cuốn sách tiếp theo của ông - Nhấn vào đây để Giết từng người: Nguy hiểm và Lời hứa trong Thế giới Ảo Được kết nối - dự kiến sẽ phát hành vào tháng 9/2018, và sẽ đề cập tới các xu thế đang bùng nổ của tội phạm không gian mạng, giám sát của các tập đoàn lớn, và cách để giảm nhẹ các rủi ro thảm họa từ các thiết bị không an toàn.

Đầu năm nay, Schneier đã viết bài báo gây ớn lạnh trên tạp chí New York Magazine chi tiết hóa các mối nguy hiểm đầy áp lực của các thiết bị Internet của Vạn vật (IoT) không an toàn và, gần đây hơn, đã tư vấn luật của cả 2 đảng để đảm bảo các thiết bị được chính phủ Mỹ mua đáp ứng được các tiêu chuẩn an toàn đặc thù.

Trên tất cả, Schneier thường xuyên viết blogs trên Internet và các vấn đề an toàn và quản lý thư tin hàng tháng, ‘Crypto-gram,’ đã tích lũy hơn 250.000 thư tin - nên chúng tôi nghĩ ông là tuyệt vời cho phần Hỏi - Đáp về an toàn không gian mạng của ExpressVPN.

Chúng tôi đã hỏi Bruce Schneier ông nghĩ thế nào về gốc gác các vấn đề để có thể cải thiện các thực hành an toàn không gian mạng của chúng.

1. Trước hết, cảm ơn ông nhiều vì nói cho chúng tôi! Chúng tôi đánh giá cao vì ông rất bận, vì thế hãy trực tiếp về nó - vì sao vấn đề các công nghệ không an toàn tồn tại trước hết?

An toàn được nghĩ sau khi thiết kế sản phẩm và không phải là thứ gì đó được xem xét đủ nghiêm túc. Các công ty được thưởng vì các tính năng, giá thành, và thời gian đưa ra thị trường. Là dễ dàng để vứt bỏ an toàn vì nó không rõ ràng ngay bạn đã làm thế.

2. Trước đó ông đã kêu gọi giám sát “mô hình kinh doanh trên Internet”. Điều này ngụ ý gì đối với người sử dụng thông thường Internet?

Nó ngụ ý là họ bị gián điệp 24x7. Họ bị gián điệp khi họ lướt web. Họ bị gián điệp khi họ gửi thư điện tử. Họ bị gián điệp bất kỳ khi nào họ sử dụng các điện thoại thông minh của họ. Các công ty như Facebook là các tổ chức giám sát lớn nhất trên trái đất, và họ cần phải được thừa nhận như vậy.

3. Vì sao có ít ưu đãi thị trường để cung cấp an toàn nếu điều này là thứ gì đó những người tiêu dùng đòi hỏi trong các sản phẩm của họ?

Các khách hàng không biết cách để làm cho các quyết định mua sắm dựa vào an toàn vì các chi tiết là phức tạp và chuyên dụng, nên có tối thiệu ưu đãi cho các công ty để cung cấp nó. Họ được thưởng vì giá thành, các tính năng, và thời gian đưa ra thị trường - là khôn ngoan hơn đối với họ để có cơ hội với an toàn.

Điều này là không khác gì với bất kỳ nền công nghiệp nào khác. Chúng ta không có các cải tiến về an toàn hoặc an ninh mà không có sự can thiệp của chính phủ. Là đúng đối với các ô tô, các máy bay, các thiết bị y tế, dược phẩm, an toàn nơi làm việc, vệ sinh các nhà hàng, an toàn thực phẩm, an toàn nhà máy điện hạt nhân, và - gần đây nhất - an toàn của các công cụ tài chính.

4. Nếu các công ty thiếu ưu đãi để làm điều đó, dạng sự kiện đại chúng nào ông nghĩ có thể thúc ép tri thức tốt hơn về an toàn không gian mạng đối với công chúng nói chung?

Tôi không biết. Tôi quen nghĩ đó từng là bất kỳ lỗ hổng dữ liệu không lồ nào trên báo chí, nhưng tôi đã từ bỏ điều đó rồi. Tôi sợ là sẽ có sự kiện an toàn có liên quan tới Internet-of-Things (IoT) giết chết mọi người mà sẽ làm thức tỉnh mọi người về các mối nguy hiểm đó. Miễn là sự kiện đó không liên quan tới súng, chúng ta có lẽ sau đó có cuộc trò chuyện lành mạnh và hợp lý về quy định của chính phủ.

5, Nói về quy định của chính phủ, ông gần đây đã tư vấn về luật được các Thượng Nghị sỹ Warner và Gardner đề xuất để cải thiện an toàn không gian mạng các thiết bị IoT năm nay - ông hy vọng gì về bước đầu này sẽ hoàn thành?

Các bước đầu, là rất tối thiểu. Nó không ép buộc bất kỳ quy định an toàn vào lên bất kỳ ai. Tất cả điều nó nói là các thiết bị IoT được chính phủ liên bang mua đáp ứng vài tiêu chuẩn an toàn cơ bản. Và thậm chí cải thiện khiêm tốn nhất còn chưa có ở bất cứ đâu.

6. Cảm ơn một lần nữa vì nói với chúng tôi. Cuối cùng đâu là thực hành tốt nhất an toàn không gian mạng tốt chúng tôi tất cả có thể bắt đầu làm ngay từ bây giờ?

Hãy kích hoạt xác thực 2 yếu tố bất kỳ ở đâu có thể. Và duy trì các bản sao lưu tốt.

Nếu bạn muốn đọc nhiều hơn về các suy nghĩ của Bruce Schneier về an toàn không gian mạng, hãy tới blog của ông và đăng ký vào thư tin của ông!

Bruce Schneier is a world-renowned cryptographer and security technologist whom the Economist has dubbed an “internet-security guru.” Schneier has authored a dozen books since 1993, with his next book—Click Here to Kill Everybody: Peril and Promise in a Hyper-Connected World—due for release in September 2018, and set to tackle the burgeoning trends of cybercrime, corporate surveillance, and how to mitigate the catastrophic risks from unsecured devices.

Earlier this year, Schneier wrote a chilling article in New York Magazine detailing the pressing dangers of unsecured IoT devices and, more recently, consulted on bipartisan legislation that will ensure devices purchased by the U.S. government meet specific security standards.

On top of all that, Schneier frequently blogs on internet and security matters and runs a monthly newsletter, ‘Crypto-gram,’ that has amassed a following exceeding 250,000—so we thought he’d be perfect for an ExpressVPN cybersecurity Q+A.

We asked Bruce Schneier what his thoughts were on the origin of the problems that permeate improve their cybersecurity practices.

1. Firstly, thank you so much for talking to us! We appreciate you have a busy schedule, so let’s get straight to it—why does the problem of unsecured technologies exist in the first place?

Security is an afterthought in product design and not something that’s taken seriously enough. Companies are rewarded for features, price, and time-to-market. It’s easy to slough off security because it’s not immediately obvious that you’ve done so.

2. You’ve previously called surveillance “the business model of the internet.” What does this mean to the average internet user?

It means that they are spied on 24×7. They’re spied on when they surf the web. They’re spied on when they send e-mail. They’re spied on whenever they use their smartphones. Companies like Facebook are the largest surveillance organizations on the planet, and they need to be recognized as such.

3. Why is there such little market incentive to provide security if this is something consumers demand in their products?

Customers don’t know how to make buying decisions based on security because the details are complex and specialized, so there’s minimal incentive for companies to provide it. They’re rewarded for price, features, and time to market—it’s smarter for them to take the chance with security.

This is no different from any other industry. We don’t get safety or security improvements without government intervention. It’s true for cars, planes, medical devices, pharmaceuticals, workplace safety, restaurant sanitation, food safety, nuclear power plant safety, and—most recently—the safety of financial instruments.

4. If companies lack the incentive to do it, what type of mass event do you think could force a better knowledge of cybersecurity onto the general public?

I have no idea. I used to think that it was whatever massive data breach was in the news, but I’ve given up on that. I’m afraid that it’s going to be a security event involving the Internet-of-Things killing people that will wake people up to the dangers. As long as that event doesn’t involve guns, we might then have a sane and reasoned conversation about government regulation.

5. Speaking of government regulation, you recently consulted on legislation proposed by Senators Warner and Gardner to improve IoT cybersecurity this year—what do you hope this first step will accomplish?

As first steps, it’s very minimal. It doesn’t impose any security regulations on anybody. All it says is that IoT devices purchased by the federal government meet some basic security standards. And even this modest improvement isn’t going anywhere.

6. Thanks again for speaking to us. Finally, what’s a good cybersecurity best practice we can all start doing right away?

Enable two-factor authentication wherever possible. And maintain good backups.

If you want to read more of Bruce Schneier’s thoughts on cybersecurity, check out his blog and sign up to his newsletter!

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com