Virksomheter trenger Cybersecurity Support, Congress Told

Den amerikanske kongressen bør se for å gi incentiver for private bedrifter til å vedta sterkere sikkerhetspraksis i stedet for å skape nye mandater, en informasjonssikkerhetsekspert fortalte en kongressens underkomité forrige uke.

Åtti prosent til 90 prosent av sikkerhetsproblemer kan løses dersom virksomheter følger etablerte beste praksis, og regjeringen kan hjelpe ved å tilby insentiver som småbedriftslån, forsikrings- og tildelingsprogrammer, sier Larry Clinton, president og administrerende direktør i Internet Security Alliance, en sikkerhetstilsynsgruppe.

I de siste ukene har noen lovgivere og cybersikkerhetseksperter har kalt for nye regler for cybersikkerhet, men regelverket vil være statisk i et raskt skiftende felt og kunne sette U. S. industrien på en konkurransedyktig ulempe, sa Clinton. I tillegg vil amerikanske forskrifter bare nå landets grenser, la han til.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Dette er et internasjonalt problem," sa Clinton under en høring før Hus Energi- og handelsutvalgets underkomité for kommunikasjon, teknologi og Internett. "Vi trenger et bedre system - et system fra det 21. århundre."

Offentlig-private partnerskap oppfordret

Under administrasjonen av den tidligere amerikanske presidenten George W. Bush tok regjeringen stort sett praktisk hånd og ventet på privatmarkedet insentiver som aldri materialisert, sa Clinton. I stedet må regjeringen jobbe med privat industri for å gi incentiver for cybersikkerhet, inkludert ansvarsbeskyttelse og innkjøpspriser, sa han.

"Hva vi prøver å gjøre her, er å endre økonomien til cybersikkerhet ved å bygge et marked som gjør private organisasjoner vil kontinuerlig investere i cybersikkerhet i sin egen økonomiske selvinteresse, "sa Clinton. "Først da kan vi skape den slags bærekraftig og utviklende system for cybersikkerhet vi trenger."

Clinton og Greg Nojeim, seniorrådgiver ved Senter for demokrati og teknologi, nevnte det ikke med navn, men begge syntes å ta sikte på lov om cybersikkerhet som ble introdusert 1. april av senatorene Jay Rockefeller, en West Virginia-demokrat, og Olympia Snowe, en republikan i Maine.

Cybersecurity Act ville blant annet etablere håndhevbare standarder for cybersikkerhet for private bedrifter og kunne tillate USAs president skal erklære en nødsituasjon for cybersikkerhet og slå av både offentlige og enkelte private nettverk som er kompromittert.

USA står overfor store konsekvenser for manglende fokus på cybersikkerhet, sa Rockefeller under en høring i mars. "Jeg ser [cybersecurity] som et dypt og dypt bekymrende problem som vi ikke betaler mye oppmerksomhet for," sa han da. "Problemet er at Amerika er uakseptabelt utsatt for massiv nettkriminalitet."

Maktbalanse

Men å la regjeringen stenge private nettverk, og potensielt overvåke trafikk på private nettverk, gir det for mye makt, sa Nojeim. En slik makt ville stille spørsmål om ytringsfrihet i USA, sa han.

"Tiltak som kan være hensiktsmessig for å sikre styringssystemene til en rørledning, kan ikke være riktig for å sikre Internett," tilføyde Nojeim. "[Regjeringen] burde ikke være i drift med å overvåke private nettverk selv, og heller ikke regjeringen skulle være i ferd med å slå ned internettrafikken til kompromitterte … informasjonssystemer i privat sektor."

Hvis en president kunne stenge ned private systemer, kunne han bruke den kraften til tvang, sa Nojeim. "Vi vet at det ennå ikke har oppstått noe forhold som ville rettferdiggjøre en presisjonsordre for å kutte Internett-trafikk til et privat kritisk infrastruktur-system," sa han.

En rolle for regjeringen ville være å fortsette å oppmuntre til utvikling av DNS-sikkerhet Extensions, eller DNSSec, en pakke med sikkerhetsoppdateringer for Internet Domain Name System, sa Dan Kaminsky, direktør for penetrasjonstest hos cybersecurity-leverandøren IOActive.

DNSSec ville tillate organisasjoner bedre å stole på Internett-trafikk som kommer fra utsiden, sa han. "Det vil ta litt arbeid, det vil ta mye arbeid," la Kaminsky til.