Bố ơi, bố sẽ làm gì trong các cuộc chiến tranh an ninh mới ?


 

– Phần I

Daddy, what will you do in the new security wars?
Phụ thuộc vào việc chúng ta đang nói về kẻ thù nào, con trai ạ.
Depends which enemy are we talking about, son
By Tom Brewster, 24 Jun 2014
Một nhân vật cao cấp ở hãng khổng lồ chống virus McAfee từng nói cho nhà báo này rằng nền công nghiệp an ninh từng là một mớ lộn xộn. Từng có quá nhiều nhà bán hàng cố làm quá nhiều điều. Nhưng những gì nền công nghiệp này phản chiếu là bức tranh về các mối đe dọa mà nó đang cố làm dịu xuống.
Hãy chỉ nhìn vào những gì đã xảy ra trong 6 tháng vừa qua. 2 trong số những lỗ hổng đáng kể nhất trong lịch sử của web đã xảy ra, với các cuộc tấn công vào hãng bán lẻ Mỹ Terget và người khổng lồ bán đấu giá eBay. Cũng đã có vấn đề nhỏ đối với chỗ bị tổn thương Heartbleed trong OpenSSL, một trong những lỗi an ninh web cao cấp nhất cho tới nay. Từ quan điểm an ninh, những điều đó sẽ không để cho lên và dường như không có đoạn kết trước mắt.
Một vấn đề phổ biến, làm chán nản đã nổi lên từ từng trong số các vấn đề đó là việc nhiều người chỉ đang không thực hiện quyền cơ bản cũ kỹ. Toàn bộ lĩnh vực an ninh, từ nhà bán hàng tới những người tiêu dùng, cần phải là nhạy cảm trong phản ứng của mình, Javvad Malik, nhà phân tích từ 451 Research, nói.
“Nền công nghiệp này lộn xộn trong chốt lát bây giờ và điều quan trọng nền công nghiệp đó đáp trả theo một cách thức võ đoán và thống nhất để cố thử và chiến thắng lại sự tin tưởng của các doanh nghiệp đang đầu tư vào an ninh không phải là một lý do mất mát hoàn toàn. Chúng ta vẫn còn chưa tốt trong việc quản lý các cơ sở, trong việc vá, quản lý nhận diện quyền ưu tiên, các công cụ mà làm quá tải người sử dụng với những cảnh báo bên trong các vấn đề quan trọng nào có thể bị bỏ qua”, Malik nói.
Trong khi các đội CNTT thường được nói họ cần một tiếp cận mới cho việc bảo vệ doanh nghiệp, thì họ phải làm cho những vấn đề cũ được giải quyết trước đã.
Tiếp cận mới về bảo vệ chống phần mềm độc hại
Vượt ra khỏi các vấn đề sơ đẳng ban đầu, dù, việc vượt qua được các vấn đề nhiều lần lặp lại đó một cách có hiệu quả sẽ đòi hỏi sự bảo vệ truyền thống phải thay đổi và các bảo vệ mới sẽ nổi lên từ các phòng thí nghiệm nghiên cứu và tìm thấy con đường của nó trong các doanh nghiệp. “Khi Internet động chạm tới ngày một nhiều hơn các lĩnh vực trong cuộc sống của chúng ta – các thiết bị nhỏ, tiền tệ như Bitcoin, đám mây và ảo hóa – đơn giản việc phản ứng đối với các mối đe dọa không còn là cách thức có hiệu quả nhất nữa để bảo vệ cả các cá nhân và các tổ chức”, David Emm, một nhà nghiên cứu cao cấp về an ninh ở Kaspersky Lab, nói.
Tuy nhiên, điều đó không có nghĩa là giết đi việc chống virus, thậm chí nếu các tiếp cận dựa vào chữ ký theo truyền thống đã hỏng. Các hệ thống chống virus hiện đại, những hệ thống tốt nhất, ít nhất làm được một số phân tích uy tín và tự tìm tòi, hơn là chỉ cố dò tìm ra các phần mềm độc hại đã được thấy rồi đang bùng phát.
Emm nói các công nghệ dò tìm phần mềm độc hại nên xem xét vượt ra khỏi tình trạng tĩnh và đánh giá các đối tượng hoặc các ứng dụng theo ngữ cảnh của một môi trường cụ thể, yêu cầu những gì đang được làm ở đó, những gì đang kết nối tới và những gì nó từng được thiết kế để so sánh với hành vi được kỳ vọng của nó.
“Điều này cho phép các chuyên gia an ninh nhận diện bất kỳ điều gì đang được sử dụng cho những mục đích bất chính trước khi một cuộc tấn công được triển khai”, ông nói.
“Đã từng có những người từng nói rằng bảo vệ bằng chống virus chết rồi nhưng những gì điều này thực sự có ý nghĩa là chúng ta phải đi vượt ra khỏi sự bảo vệ dựa vào chữ ký theo truyền thống và sử dụng các công nghệ tinh vi phức tạp hơn, bao gồm cả sự tự tìm tòi, sandboxing, dò tìm hành vi chủ động tích cực, tình báo các mối đe dọa từ đám mây, kiểm soát ứng dụng, ngăn chặn khai thác tự động, đảm bảo an ninh cho ngân hàng và hơn thế nữa”.
Vượt ra khỏi khuôn viên
Ngoài các vấn đề phần mềm độc hại, sự gia tăng di động đã mang tới sự triệt bỏ khuôn viên CNTT. Điều đó giải thích vì sao tường lửa cũng bị đánh trong những năm gần đây. Và vâng nó vẫn sống sót như một công nghệ, bất chấp theo nghĩa truyền thống hoặc “thế hệ tiếp sau”. Thay vì đánh sập các tường lửa, sự ứng cứu trước cái chết của khuôn viên sẽ được dựa vào một tiếp cận phân lớp, không phải là một chiến lược bị bỏ đi hoặc thay thế, giáo sư Alan Woodward của phòng điện toán ở Đại học Surrey, nói.
“Tôi nghĩ chúng ta có thể lấy các bài học từ cách mà an ninh vật lý từng được dựng lên trong lịch sử: thứ gì đó đơn giản như pháo đài từng không có một bức tường. Đã có các lớp tường và cuối cùng một cái đồn bốt trong đó các món đồ quí giá nhất đã được lưu giữ”, Woodward nói.
“Phòng thủ chiều sâu từng được coi như là tiếp cận mặc định. Với sự nổi lên của các mối đe dọa từ những người bên trong và việc tấn công phishing tăng vọt thì những người với sự truy cập được ưu tiên, khuôn viên đang trở thành rào cản tuyệt đối ít hơn đối với những kẻ thâm nhập trái phép nhưng vẫn còn gây ra cho một số cuộc tấn công phải chống lại nên có thể coi hơi ngớ ngẩn đơn giản cho phép nó đổ vỡ”.
Emm nói một tiếp cận như vậy cần phải tập trung nhiều hơn vào cá nhân, thay vì cố gắng các biện pháp an ninh bao phủ. “Mọi người vẫn còn làm việc trong văn phòng, kết nối tới các máy chủ tập đoàn sao cho mạng vẫn cần phải được bảo vệ. Tuy nhiên, không gian làm việc đã trở thành đa dạng hơn mà trong đó nhiều người sẽ làm việc từ nhà trên một máy tính xách tay hoặc khi di chuyển với điện thoại thông minh hoặc máy tính bảng của họ”, Emm bổ sung.
“Điều này dẫn tới một đống các vấn đề an ninh bổ sung thêm vào – từ những người đang đăng nhập vào các mạng Wifi có thể tiềm tàng được bị bọn tội phạm theo dõi, tới việc mất thiết bị của họ trong giao thông công cộng – và các thiết bị đó không được bảo vệ theo các chính sách truyền thống, các tường lửa, bảo vệ đầu cuối và lọc thư đang tồn tại trong các văn phòng”.
“Vì thế chúng tôi cần nhìn vào một giải pháp an ninh mà bảo vệ được cá nhân, tính tới các thiết bị và chính sách và các thủ tục mới cho các môi trường không được tin cậy – nghĩa là an ninh ‘đi theo tôi’”.
Tất cả điều này trỏ tới một nhu cầu cho các hệ thống tri thức tốt hơn, các hệ thống có thể cảnh báo các tổ chức tới sự dị thường trong mạng do các mối đe dọa ngày số 0 và sự không nhất quản trong truy cập gây ra, trong khi cho phép phân tích lớn hơn hành vi của kẻ tấn công. Hiệu quả nhất có khả năng sẽ được dựa vào công nghệ Dữ liệu Lớn (Big Data), các công nghệ có thể vẽ cùng nhau các dạng dữ liệu để xác định bản chất tự nhiên của mối đe dọa đó. Sử dụng Hadoop và các dự án tạo kho dữ liệu lớn có khả năng sẽ là lĩnh vực của các doanh nghiệp lớn.

– Phần II

Với những vấn đề mới về an ninh không gian mạng trong thời đại hiện nay, những biện pháp cũ không còn có hiệu quả nữa. Việc giáo dục về an ninh không gian mạng cần phải là một công việc thường xuyên, liên tục, rộng khắp cho tất cả những người dân thường.
Thiếu giáo dục
Câu trả lời cho sự gia tăng các cuộc tấn công Internet sẽ không chỉ tới thông qua công nghệ. Nếu có một chủ đề mà các chuyên gia an ninh có thể đồng ý về nó, khi họ cãi nhau về phản ứng mức mã, thì đó là giáo dục các nhu cầu cho công chúng nói chung để cải thiện. Sự chú ý không đủ đối với mọi người và điều này từng đã và đang là sự thất bại lớn nhất của giới công nghiệp, giáo sư Woodward nói.
“Các cỗ máy không tự nó khởi xướng các cuộc tấn công – chúng được mọi người chỉ huy và mọi người thường xuyên hơn không phải là mục tiêu đặc biệt của việc thiết kế một cuộc tấn công. Một nhận thức nhỏ bé có thể đi cùng”, Woodward nói.
“Nhận thức đó cần phải mở rộng vượt ra khỏi chỉ các đầu đề mức đỉnh. Tôi nghĩ người sử dụng đầu cuối … cần phải luôn tự họ cập nhật về bản chất tự nhiên của mối đe dọa. Biết cách một số mẩu kỹ thuật xã hội làm việc ngày hôm nay không có nghĩa là nó sẽ giúp được trong vài tháng khi mà bọn vô lại sẽ có suy nghĩ về một mưu mẹo mới để lừa bạn”.
“Cá nhân tôi nghĩ cách duy nhất điều này sẽ xảy ra là nếu có một sự kết hợp phù hợp của cây gậy và củ cà rốt. Sau tất cả, chúng ta kỳ vọng mọi người nắm lấy những phòng ngừa hợp lý trong việc bảo vệ tài sản vật lý – các công ty bảo hiểm sẽ không chi trả nếu bạn không làm thế”.
Chính phủ Anh đã chỉ ra một số xu hướng hướng với việc cải thiện nhận thức của công chúng. Vào tháng 1 nó đã đưa ra chiến dịch Không gian mạng Đường phố (Cyber Streetwise). Nó đã thấy các biển quảng cáo được đặt ra khắp đất nước, kêu gọi mọi người sử dụng các mật khẩu phức tạp hơn, các thiết lập tính riêng tư đúng phù hợp hơn và chống virus tao nhã hơn. Còn Ít được biết về tác động thực sự của sáng kiến này.
Nhưng nó không chỉ là các cá nhân mà không có vấn đề. Các bước cơ bản để cải thiện nhận thức của nhân viên về kỹ thuật xã hội mà nó được sử dụng trong hầu hết các cuộc tấn công thời nay vào các công ty, có thể là một sự khởi đầu tốt, Peter Wood, CEO của công ty tư vấn First Base Technologies, nói.
“Phản ứng rõ ràng là phải đầu tư vào con người nhiều như công nghệ. Đây là một nhiệm vụ phức tạp và sáng tạo, rất giống với một chiến dịch marketing chuyên nghiệp, nhưng nó phải được tiến hành và nó phải là một qui trình liên tục. Việc gửi đi một thư điện tử và nói cho mọi người đọc chính sách về an ninh không bao giờ làm việc được, mà các chương trình nâng cao nhận thức tưởng tượng và phúc âm có thể làm việc nếu đúng người tham gia và cam kết được thực hiện ở trên đỉnh”, Wood nói.
Trong khi nhân viên trung bình có thể làm vớimột bài học về an ninh, thì quá thường xuyên, sự thiếu hiểu biết đi ngay lên đỉnh của các tổ chức, Simon Placks, người lãnh đạo các vụ điều tra tội phạm không gian mạng ở EY, nói.
“Các công ty đang bắt đầu hiểu rằng họ cần đánh giá sự tiết lộ của họ, nhưng làm thế với nhận thức tình huống hạn chế. Chúng ta cần thấy các công ty nghĩ lại cách mà họ xem xét an ninh. Tiếp cận tốt nhất mà một tổ chưc có thể nắm lấy là đưa ra an ninh không gian mạng tới trách nhiệm mức ban lãnh đạo”, Placks bổ sung.
“Tương tự, khi các lỗ hổng xảy ra, các tập đoàn cần ứng xử với các sự cố như các cuộc điều tra của tập đoàn, chứ không phải các bài tập điều trị CNTT. Nhiều tổ chức vẫn còn đối xử với những thâm nhập trái phép mạng dường như chúng là các cơn bột phát của virus. Một sự thâm nhập không phép không phải là một căn bệnh mà có thể ngăn chặn được với sự vệ sinh không gian mạng tốt. Một số người đi ra ngoài để có được bạn, và bạn cần ứng phó một cách tương xứng, nếu không thì đó chỉ là một vấn đề về thời gian trước khi chúng ta thấy sự sụp đổ tập đoàn lần đầu tiên ở phạm vi rộng tiếp sau một cuộc tấn công không gian mạng có tính tàn phá”.
Các điểm chính sách
Sự đáp trả về chính sách cũng sẽ là sống còn. Tại Anh, Luật Lạm dụng Máy tính, Luật Bảo vệ Dữ liệu và pháp luật giả mạo được thiết kế để bảo vệ dữ liệu của mọi người, với các lực lượng cảnh sát giống như Đơn vị chống Tội phạm Không gian mạng Quốc gia và bảo vệ tính riêng tư mà Văn phòng Ủy viên Thông tin được thiết lập để ép tuân thủ luật.
Vâng chúng tất cả có thể cần việc phát triển và cập nhật, nếu những kẻ lừa đảo không gian mạng sẽ bị bắt. Theo Stewart Room, luật sư và cố vấn pháp luạt chuyên về bảo vệ dữ liệu, pháp luật đó được yêu cầu để cải thiện cuộc đấu tranh chống tội phạm trực tuyến, là một bản cáo trạng đối với các nỗ lực của các tổ chức phi nhà nước.
“Các luật điều chỉnh được thiết kế để chữa trị ‘những khiếm khuyết của thị trường’, theo đó tôi ngụ ý sự thất bại của các thị trường để chữa cho chính chúng khỏi bệnh tật của riêng chúng. Khi các điều chỉnh được áp dụng, luật đang nói rằng thị trường không có các kỹ năng, cần thiết, những khuyến khích hoặc trình dẫn dắt để làm những gì là cần thiết trong các mối quan tâm rộng lớn hơn của xã hội, nó bao gồm những mối quan tâm lớn hơn về kinh tế, để tự nó sửa lỗi”, Room nói.
“Theo nghĩa này, sự áp dụng các điều chỉnh là một tuyên bố trống trải về thị trường. Nếu vấn đề đột nhập cần các điều chỉnh để cải thiện an ninh không gian mạng, thì như một vấn đề logic đơn giản mà phương thuốc phải mạnh, vì thị trường đã thất bại hoàn toàn”.
Trong khi Woodward và Malik tin tưởng các lực lượng thị trường nên được phép làm công việc của họ, thì Room nói một con đường khó khăn hơn nhiều phải được áp dụng nếu nền công nghiệp không thể đứng vững được với cuộc chơi của nó. “Bất kỳ sơ đồ điều chỉnh nào cũng có thể gây ra nhiều khó khăn khi nó giải quyết. Ưu tiên của tôi có thể là cho thị trường để tự nó cải thiện, với lãnh đạo từ nền công nghiệp an ninh và những người bên trong khác. Tuy nhiên, tôi có rất ít lòng tin rằng sự điều chỉnh nghiêm ngặt sẽ tránh được mãi, vì vấn đề an ninh không gian mạng dường như sẽ tồi tệ hơn”.
Tại Mỹ người ta nói nhiều về việc thay đổi Luật Lạm dụng và Giả mạo Máy tính – CFAA (Computer Fraud and Abuse Act), với nhiều hy vọng về hành lang của Luật được Aaron đề xuất, được đặt tên sau khi nhà hoạt động xã hội Internet Aaron Swartz tự sát sau khi bị đe dọa với luật đột nhập. Vâng ơ nước Anh, ít điều được nói về việc trao cho CMA một sự cập nhật kỹ lưỡng. Tuy nhiên, điều đó không nói lên rằng nó sẽ không sớm xảy ra.
“Bước đi sắc bén của công nghệ làm thay đổi và các mối đe dọa không gian mạng mà đi với nó chỉ chỉ tăng tốc… Sự điều chỉnh mạnh hơn an ninh không gian mạng trong các hạ tầng sống còn của khu vực nhà nước, khu vực tư nhân, điều khoản dịch vụ CNTT-TT và các công ty sống còn đối với nền kinh tế Anh có lẽ xảy ra trong tương lai, cũng như sự dò tìm ra, sự điều tra, sự kết án và sự phá hủy mối đe dọa chủ động tích cực hơn của chính phủ và sự ép tuân thủ luật”, Placks nói.
Bên ngoài việc thúc đẩy và giải quyết mà cảnh sát ứng phó đối với tội phạm số, giáo dục bắt buộc có thể đưa vào một yêu cầu đặc biệt cho sự đầu tư liên tục vào giáo dục người sử dụng. Không phải là chào mời huấn luyện cơ bản bắt buộc gắn vào trong một cái hộp, dù chúng có thể đóng góp một phần, mà là các yêu cầu được kiểm tra cho các chiến dịch nâng cao nhận thức đủ mạnh mẽ, được mọi người và các ý tưởng sáng tạo hỗ trợ”.
Luật mà giáo dục tốt hơn là sự trừng phạt chăng? Bây giờ điều đó có thể là sự mới lạ.
A senior figure at the anti-virus giant McAfee once told this writer the security industry was a mess. There were too many vendors trying to do too many things. But what the industry mirrors is the threat landscape it is trying to calm down.
Just look at what’s happened in the past six months. Two of the most significant breaches in the history of the web have occurred, with the attacks on US retailing firm Target and auction giant eBay. There was also the small matter of the Heartbleed vulnerability in OpenSSL, one of the most high-profile web security flaws to date. From a security perspective, things aren’t letting up and there appears to be no end in sight.
One common, depressing problem that’s emerged from each of these issues is that many people just aren’t doing the old basics right. The whole security sector, from vendors to customers, needs to be sensible in its response, says Javvad Malik, analyst from 451 Research.
“The industry’s been messy for a while now and it’s important the industry responds in a pragmatic and unified manner to try and win back confidence of businesses that investing in security isn’t a completely lost cause. We’re still bad at managing the basics, patching, privilege identity management, tools that overload users with alerts within which important issues can be missed,” Malik says.
Whilst IT teams are often told they need a new approach to protecting the business, they have to get the old problems nailed first.
A new approach to malware protection
Beyond the rudimentary matters, though, coping with these manifold problems effectively will require traditional protections to change and new ones to emerge from research labs and find their way into businesses. “As the internet touches more and more areas of our lives – smart devices, currencies such as Bitcoin, cloud and virtualisation – simply reacting to threats is no longer the most effective way to protect both individuals and organisations,” says David Emm, senior security researcher at Kaspersky Lab.
That does not mean killing anti-virus, however, even if the traditional signature-based approaches have failed. Modern AV systems, the best ones, at least do some heuristic and reputation analysis, rather than just try to detect malicious software that’s already been seen in the wild.
Emm says malware detection technologies should look beyond the static and evaluate objects or applications within the context of a specific environment, questioning what it’s doing there, what it’s connecting to and what it has been designed to do compared with its expected behaviour.
“This enables security experts to identify anything that is being used for nefarious purposes before an attack has been carried out,” he adds.
“There have been those who have said that ‘AV’ protection is dead but what this really means is that we have to go beyond traditional signature-based protection and use more sophisticated technologies including heuristics, sandboxing, proactive behaviour detection, cloud-enabled threat intelligence, application control, automatic exploit prevention, secure banking and more.”
Out of the perimeter
Outside of malware problems, the rise of mobile has brought about a dismantling of the IT perimeter. That’s why the firewall has also taken a battering in recent years. And yet it still survives as a technology, whether in the traditional or “next-generation” sense. Rather than taking down the firewall, the response to the death of the perimeter should be based on a layered approach, not a rip and replace strategy, says Professor Alan Woodward, of the computing department at the University of Surrey.
“I think we can take lessons from how physical security has been mounted historically: something as simple as a castle didn’t have just one wall. There were layers of walls and eventually a redoubt within which the most precious items were kept,” Woodward says.
“Defence in depth has to be seen as the default approach. With the rise of insider threats and spear phishing attacking those with privileged access, the perimeter is becoming less of an absolute barrier to intruders but is still causing some attacks to bounce off so it would seem a little silly to simply let it crumble.”
Emm says such an approach needs to focus more on the individual, rather than attempt blanket security measures. “People do still work in the office, connecting to corporate servers so that network still needs to be protected. However, the workspace has become more diverse in that many people will work from home on a laptop or on the move with their smartphone or tablet,” Emm adds.
“This leads to a host of additional security issues – from people logging on to insecure Wi-Fi networks that could potentially be being watched by cybercriminals, to losing their device on public transport – and it is these devices that are not protected by traditional policies, firewalls, endpoint protection and mail filtering that exist in offices.
“We therefore need to look at a security solution that protects the individual, taking into account new devices and policies and procedures for untrusted environments – i.e. ‘follow-me’ security.”
This all points to a need for better intelligence systems, ones that can alert organisations to anomalies on the network caused by zero-day threats and access inconsistencies, whilst allowing for greater analysis of attacker behaviour. The most effective are likely to be based on Big Data technology, ones that can draw together different data types to determine the nature of the threat. Use of Hadoop and big data warehousing projects will likely be the domain of large enterprises. Security Information and Event Management (SIEM) technologies will likely be suitable for smaller enterprises, the most attractive being those that allow for actionable intelligence and pull in as many different sources as possible.
Proper intelligence solutions aren’t just thought to be useful in understanding the adversary, they’re also likely to save businesses money. Research from the Ponemon Institute last year, looking at 234 breached organisations, showed those who invested in security intelligence systems gained average cost savings of nearly $2m in comparison to those who didn’t.
Education lacking
The answer to the rise of internet attacks won’t come solely through technology. If there’s one topic that security experts can agree on, as they squabble over the code-level response, it’s that the education of the general public needs to improve. Not enough attention goes on people and this has been the industry’s biggest failing, says Professor Woodward.
“Machines don’t spontaneously mount attacks – they are commanded by people and people are more often than not the specific target of engineering an attack. A little awareness can go a long way,” Woodward says.
“That awareness needs to extend beyond just top level headlines. I think end users … need to be constantly updating themselves about the nature of the threat. Knowing how some piece of social engineering works today does not mean it will help in several months time when the miscreants will have thought of a new ruse to fool you.
“Personally I think the only way this will happen is if there is a suitable combination of carrot and stick. After all, we expect people to take reasonable precautions in protecting physical property – insurance companies won’t pay out if you haven’t done so.”
The UK government has shown some inclination towards improving public awareness. In January it launched the Cyber Streetwise campaign. It saw posters put up across the country, calling on people to use more complex passwords, decent anti-virus and adequate privacy settings. Little is known of the initiative’s actual impact.
But it’s not just individuals who don’t get the problem. Basic steps to improve workers’ awareness of social engineering, which is used in most modern-day attacks on companies, would be a good start, says Peter Wood, CEO of consultancy First Base Technologies.
“The obvious response is to invest in people as much as technology. It’s a complex and creative task, very similar to a professional marketing campaign, but it has to be done and it has be an ongoing process. Sending out an email and telling people to read the security policy never worked, but imaginative and evangelical awareness programmes can work if the right people are involved and commitment is made at the top,” says Wood.
Whilst the average employee could do with a lesson in security, too often, the lack of understanding goes right to the top of organisations, says Simon Placks, head of cybercrime investigations at EY.
“Companies are starting to understand that they need to assess their exposure, but are doing so with limited situational awareness. We need to see companies re-thinking how they view security. The best approach an organisation can take is to raise cyber security to board level responsibility,” Placks adds.
“Similarly, when breaches occur, corporations need to treat incidents as corporate investigations, not IT remediation exercises. Many organisations are still treating network intrusions as if they were virus outbreaks. An intrusion is not an illness that can be prevented with good cyber-hygiene. Someone is out to get you, and you need to respond accordingly, otherwise it is only a matter of time before we see the first large-scale corporate collapse following a devastating cyber-attack.”
Policy points
The policy response will be crucial too. In the UK, the Computer Misuse Act, the Data Protection Act and fraud legislation are designed to protect people’s data, with police forces like the National Cyber Crime Unit and privacy watchdog the Information Commissioner’s Office set up to enforce the law.
Yet they may all need developing and updating, if cyber crooks are to be caught. According to Stewart Room, barrister and solicitor specialising in data protection, that legislation is required to improve the fight against online crimes, is an indictment of the efforts of non-public organisations.
“Regulatory laws are designed to cure ‘market imperfections’, by which I mean the failure of markets to cure themselves of their own ills. When regulations are adopted, the law is saying that the market does not have the skills, wherewithal, incentives or drivers to do what is necessary in the wider interests of society, which includes the wider interests of the economy, to fix itself,” says Room.
“In this sense, the adoption of regulations is a bleak statement about the market. If the hacking problem needs regulations to improve cyber security, then as a matter of simple logic the medicine has to be strong, because the market has utterly failed.”
Whilst Woodward and Malik believe market forces should be allowed to do their work, Room says a much harder line might have to be adopted if the industry can’t up its game. “Any scheme of regulation to improve the performance on cyber security will need to include compulsory breach disclosure, regulatory audits, fines and penalties. Toothless regulation will not improve anything.
“I am not an immediate fan of increased regulation, however, and I believe that badly designed regulation can cause as much difficulty as it solves. My preference would be for the market to improve itself, with leadership from the security industry and other insiders. However, I have very little confidence that tough regulation will be avoided forever, because the cyber security problem seems to be getting worse.”
In the US there is much talk of changing the Computer Fraud and Abuse Act (CFAA), with many hopeful of the passage of the proposed Aaron’s Law, named after the late internet activist Aaron Swartz who committed suicide after being threatened with the hacking law. Yet in the UK, little has been said of giving the CMA a thorough updating. That’s not to say it won’t happen soon, however.
“The blistering pace of technology change and the cyber threats that come with it are only going to accelerate… Stronger regulation of cybersecurity in the public sector, private sector critical infrastructures, ICT service provision and companies critical to the UK’s economy may happen in the future, as well as more proactive detection, investigation, prosecution and disruption of the threat by government and law enforcement,” says Placks.
Outside of improving and expediting the police response to digital crime, mandating education could be the way forward for government, adds Wood. “My change to regulatory frameworks would be to include a specific requirement for continual investment in user education. Not the tick-in-a-box compulsory basic training offerings, although they can play a part, but audited requirements for full-blown awareness campaigns, backed by creative people and ideas.”
Law that educates rather than punishes? Now that would be novel. ®
Dịch: Lê Trung Nghĩa

One thought on “Bố ơi, bố sẽ làm gì trong các cuộc chiến tranh an ninh mới ?

  1. Wonderful goods from you, man. I have take into
    accout your stuff prior to and you are just extremely magnificent.
    I really like what you’ve got here, really like
    what you’re saying and the way in which in which you say it.

    You’re making it entertaining and you continue to take care
    of to stay it wise. I can’t wait to learn far more from you.
    This is actually a wonderful website.

    Like

Thank for your comments

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s