我们认为网络威胁的重力程度是观点,经验,互动和意识的问题。无论我们是否将其视为犯罪行为,恐怖主义还是混合动力,都是讨论的重要一点。解决该问题有助于构建我们如何看待那些负责网络攻击的人,并促进有关对其行为的惩罚的解决方案。这个问题与执法,检察官,辩护律师和司法机构有关。标题所暗示的,我们的重点是网络安全合作?以最大程度地减少攻击的影响。正如我们将要看到的那样,合作引起了不同方面的关注。其中一些担忧是合法的。它需要解决并令人信服。合作模型旨在提供制度化的机制,以防止(或至少最小化)仅仅是攻击的威胁所造成的伤害,而是攻击本身更不用说了。
今天,人们普遍认为,网络威胁是现实。我们认为的重力程度是观点,经验,互动和意识的问题。无论我们是否将其视为犯罪行为,恐怖主义还是混合动力,都是讨论的重要一点。
解决该问题有助于构建我们如何看待那些负责网络攻击的人,并促进有关对其行为的惩罚的解决方案。这个问题与执法,检察官,辩护律师和司法机构有关。在责任和问责制的背景下,也存在与此讨论有关的道德考虑。
从历史上看,另外一个现实是,在面对严重威胁时结合在一起的独特(基因相互联系)之间缺乏合作。回顾性的分析对网络攻击的潜在目标以及具有既得兴趣和能力最小化威胁的能力的潜在目标是如何绘制出令人不安的图片的。简而言之,这张图片反映了一种不愿出现的原因 - 出于各种原因 - 认识到统一反应对网络攻击的好处。
这种不愿或犹豫并不是2018年的新事物;我从事网络安全写作项目的研究表明这一点很清楚。换句话说,2018年缺乏合作并不是最新的发展,这恰恰相反:多年来对相关数据,文学和轶事证据的综述令人信服地强调了一个缺乏更好的术语,因为缺乏更好的术语。合作。在考虑网络参与者享有成功的不同原因时,由于潜在目标的一致失败无法认识到采用合作模型的好处,因此他们的邪恶性得到了增强。鉴于那些致力于从事网络恐怖主义/网络攻击的人的持久,坚定和不懈的努力,未能始终如一地承诺合作模型的人是值得注意的,而且令人不安。值得注意的是,因为它反映了一种一致的模式;令人不安的是因为它促进了对社会的持续伤害,广泛定义。
黎巴嫩特勤局总部的一名蒙面特工向媒体展示了一条无线路由器在黎巴嫩集团中发现的无线路由器,被捕并促使以色列间谍活动。贝鲁特,2009年5月
这种历史模式部分解释了网络攻击的成功。它反映了未能完全制定防御措施,该防御措施将最大程度地减少(如果不减轻),危害因网络攻击的影响而存在。认识到缺乏合作的后果在审查这些年来的网络安全问题时脱颖而出;开发和实施合作模型反映了一种积极的且急需的,以更有效地应对明显的威胁。这些双胞胎现实是讨论的核心。
构建问题对于确定分配给反击,减轻和最小化威胁的资源至关重要。同样,解决恐怖主义 - 犯罪法律困境与确定可以针对参与者或行为者进行特定攻击的行为者实施的操作措施有关。但是,尽管讨论很重要,但它并不是随后的页面中追求的内容。标题所暗示的,我们的重点是网络安全合作?以最大程度地减少攻击的影响。正如我们将要看到的那样,合作引起了不同方面的关注。其中一些担忧是合法的。它需要解决并令人信服。
要进行有关网络安全的讨论,需要定义该术语。在此类问题中始终如一,合理的思想可以合理地不同意。那是可以理解的。
我将网络攻击定义为“旨在损害个人,社区,机构和政府的技术的故意,邪恶地使用”。尽管该提出的定义是存在分歧的,但假定“危害”(不对攻击是否成功)是一个很大程度上同意的概念。
为了使网络有效,不需要攻击,也不必成功。鉴于网络的无所不能(仅仅是对这种攻击的恐惧),我们是在单独和集体上花费大量资源,时间和精力来最大程度地减少攻击的潜在影响的。就像反恐一样,分配了巨大的努力来防止攻击,也是发生的,其影响和后果。询问的目的是我们如何最有效地保护自己;我们目前这样做吗?并且是否有更有效的创造性机制。可以肯定地假设,那些致力于故意损害公民社会的人是广泛而狭义的定义的那些相同的问题。
建立旨在提供制度化机制的合作模型将有助于预防或至少最大程度地减少攻击威胁所造成的伤害,更不用说攻击本身了
无论分配给网络的范式如何,情况就是如此。然而,确定网络的定义和类别的重要性无法最小化。但是,尽管如此,而且它的重要性不得被赋予,我们的重点是网络的另一个方面。
为此,我们引起了人们的注意。
简而言之,它是不同潜在目标,不同执法机构以及目标与执法部门之间的合作。简而言之,它提出,通过建立合作模型可以最大程度地减少网络攻击的影响。它旨在提供制度化的机制,以防止或最小化攻击的威胁所造成的伤害,更不用说是攻击本身。鉴于攻击的后果以及最大程度地减少其影响所需的资源,拟议的合作模型旨在最大程度地减少网络的直接和间接成本。该模型是基于假设的:防止攻击或最少做出一致确定的努力,这是吸收成功攻击的成本的优选。
网络犯罪分子的影响因其潜在目标的丧失能力而增加了采用合作模型的优势
正如我所学习的那样,有一些公司高管赞成一个明显不同的论点:吸收打击而不是投资于复杂的保护模型更具成本效益。我遇到了高管,他们的公司是成功攻击这一理论的成功攻击目标。1?对我而言,这种理由反映了针对狭窄的经济考虑的短期思维,这表明对积极保护与合作产生的利益缺乏理解楷模。这些人还表达了人们对公众形象,客户焦虑以及竞争对手可能会获得的关注。从严格的业务角度来看,定义和应用,这种方法也许是可以理解的。提出的论点是理性的,既不冲动,也不是当下的刺激。从我的互动来看,我的对话者认为这种观点反映了最佳企业实践。
这是不应随身携带的手浪费的东西。尽管如此,他们的论点反映了狭窄的战术考虑因素,内部集中于内部,没有检查可能产生的更大图片和可能的好处。尽管信息共享是为了最大程度地减少危害,但被提交给这些高管作为积极的危害,但他们(内向)的观点使他们认为信息共享是负面的,对他们的产品和定位产生了重大影响。
重要的是要补充一点,执法人员将合作模式视为积极的,尽管有一个警告,但加强了他们的努力:明确表达了联邦执法部门的犹豫,以与其州和地方同行合作信息共享。这是制度化的犹豫还是限制在特定个人的情况下尚不清楚;探索这个问题并没有以一种或另一种方式导致清晰度。
在白宫西翼,当时美国总统巴拉克·奥巴马(Barack Obama)宣布在五角大楼进行网络攻击后,政府的网络安全政策发生了变化,其中F-35战斗机的信息被盗。2009年5月29日。
在本文中,我希望说服读者这种方法的短视性,并强调拟议合作模型的好处。
简而言之,问题是:增强网络安全的最有效手段是什么?
为了说服读者,我们必须研究网络,威胁和攻击的成本。也就是说,接受合作模型必须带来好处。该收益必须超过任何随之而来的费用,否则该提案从一开始就不是一项了。同样,必须减轻关注,合作不是一个“自己的目标”,即积极意图具有有害的,意想不到的后果来减轻合作的价值。如下所述,工作前提是合作是积极的,应该相应地观察,并且需要开发模型以促进其成功的实施。
这并不容易,因为我在写书时对我来说很清楚,网络安全:地缘政治,法律和政策,2?然后在进行桌面练习时得到加强。“头部刮擦者” - 我相信,面对无情的网络攻击,提议的合作模型值得谨慎关注。正如陈词滥调的那样:“最好的防守是一个很好的进攻。”
下面的讨论将分为以下五个部分:“合作是什么意思”;“谁之间的合作”;“合作在多大程度上”;“好,坏和丑陋的合作”;和“最后一句话”。
合作是什么意思
合作有许多定义和含义。背景,时代,文化和环境在定义术语及其实际实施中都起着重要作用。合作可以是永久的,暂时的或情境的;它可以基于正式安排和非正式理解。当各方认为这种关系是互惠互利时,合作,无论是双边还是多边,都处于最佳状态。
这并不意味着这种协议(正式或非正式)是免费的。它不是。但这就是任何意义上的共识的现实,就是某些“自由”被自愿放弃以获得感知的利益。人们只需要回忆起霍布斯,洛克或卢梭的著作来认识到创建和加入社区的成本和收益。4
那就是合作的本质。在加入社区并与其成员合作时,我们寻求安全,保障和保护。通常被认为是积极的;作为回报,我们放弃了个人主义,一定程度的自由意志和一定的独立性。对于某些人来说,这是一个不可接受的成本,不超过合作中散发出的积极因素可能赚取的利益。很公平。
但是,正如历史所暗示的那样,在合作的主要好处中,合作的好处超过了所感知的或实际的成本。存在异常。毫无疑问。但是,通常认为“共同企业或承诺”的概念比“独自行动”更可取。为了促进(如果不增强)效果,合作的协议必须包括:
关于共同目标的共识;
评估持续成本的机制 - 效益;
退出协议的机制;
协议的建立参数;
协议实施该协议的实施机制。
不用说,基本的谓词是当事方自愿签订协议,承认需要这种安排,并认识到替代方案没有好处。随着我们在讨论中的前进,这些原则是我们建议合作的基础,即合作是最大程度地减少网络攻击所带来的威胁的组成部分,无论是被视为犯罪,恐怖主义还是混合动力。
将肉放在骨头上:我建议的合作模型将使私人和公共实体都受益。同样,该模型将需要(统计)被黑客入侵以将报告机制制度化为执法和客户的公司。公众(广义上讲),市政当局,执法部门和公司(公共和私人)之间的相交向量很多。
这种复杂性反映了威胁和脆弱目标的多样性。正如我所学习的那样,要实施这一建议,对于包括公司(毫不奇怪)和执法部门在内的许多受影响方(令人惊讶的是),这是违反直觉的。如下所述,将其视为一种集体安全模式与合法的自卫(均根据国际法所通过)的概念遭到了怀疑。
2016年7月6日,欧洲议会通过了NIS指令,该指令提供了合法的Meares,以提高欧盟的整体网络安全水平
企业抵抗反映出对竞争者获得的优势幌子的潜在收入损失和意外后果的关注;执法犹豫的基础是在两个不同的理由上:联邦执法人员不愿与地方官员合作,以及缺乏可用于解决网络攻击的资源。第一个论点是非开始者。第二个要求认识到网络犯罪需要足够的资源分配,以将执法部门定位为更有效的合作伙伴,这必须是一项集体努力,以最大程度地减少邪恶行为者的威胁(请参阅下文,以下讨论2015年的网络安全信息共享法案)。
如何实现公司模型?有许多替代方案和选择,有些反映了自愿措施,另一些反映了自愿措施。从理想来看,前者将“统治一天”。但是,正如许多对话中所表明的那样,不幸的是,不太可能。这引起了对立法合作模型的提议,对网络攻击的潜在影响目标施加了义务(在下面的“合作”中概述了潜在目标的清单)。
一个谨慎的话:建议国会干预,超出现有要求,是极大的不适,特别是对于私营部门和意识形态问题,尤其是对于强烈拒绝此类措施的自由主义者而言。两者都是合法,有力的绊脚石,试图推进此类立法。这种效力被政治的现实所扩大,特别是在目前定义美国的分裂环境中。
企业抵抗反映了对竞争者所获得的优势幌子的潜在损失和意外后果的关注
报告要求,如2002年的《萨班斯 - 奥克斯利法》所示,是许多公司领导人的祸根。一位公司主管将该立法施加了笨拙的负担,成本和义务。据这位高管称,他的团队组成的合规人员多于生产官。
毫无疑问,这将不需要的(也许是不必要的)对公司产生了成本。然而,网络攻击所带来的风险和威胁证明了探索合作的机制。也就是说,如果不可能进行自愿合作,则需要将讨论扩展到要求合作的可能性。
由美国参议员理查德·伯尔(R-NC)引入的2015年网络安全信息共享法(S. 754),由奥巴马总统于2015年12月18日签署,这是“授权在私人之间及之中的网络安全信息共享”的重要措施。部门;州,地方,部落和领土政府;和联邦政府。” 6?立法试图实现四个重要目标;即它:
- 要求联邦政府发布定期最佳实践。然后,实体将能够使用最佳实践来进一步捍卫其网络基础设施;
- 确定联邦政府允许的网络威胁指标和防御措施的使用,同时还限制了信息的披露,保留和使用;
- 授权实体彼此共享网络威胁指标和防御措施,并与国土安全部(国土安全部),责任保护;
- 通过要求实体从与联邦政府共享的任何信息中删除已识别的PII来保护PII [个人身份信息]。它要求任何接收包含PII的网络信息以保护PII免受未经授权使用或披露的联邦机构。美国总检察长兼国土安全部秘书将发布指南,以协助满足这一要求。7
同样的是,2016年7月6日,欧洲议会通过了网络和信息系统安全指令(NIS指令),该指令提供了法律措施,以确保通过:
- 成员国的准备,要求他们配备适当的装备,例如通过计算机安全事件响应小组(CSIRT)和一个有能力的国家纽约市管理局;
- 所有成员国之间通过建立合作小组的合作,以支持和促进战略合作和成员国之间的信息交流。他们还需要建立一个CSIRT网络,以促进针对特定网络安全事件的迅速而有效的运营合作,并共享有关风险的信息;
- 一种对我们的经济和社会至关重要的跨部门安全文化,并且在很大程度上依赖于能源,运输,水,银行,金融市场基础设施,医疗保健和数字基础设施等ICT。这些部门的企业被会员国确定为基本服务的运营商,必须采取适当的安全措施,并将严重事件通知相关的国家当局。重要的数字服务提供商(搜索引擎,云计算服务和在线市场)也必须遵守新指令下的安全性和通知要求。8
问题是如何建立这两个重要措施并增加不同社区之间的合作水平,从而创建了一个基础设施,该基础设施最有效地最大程度地减少了网络攻击的可能后果。这需要集成部门,向量和利益群体。这样做最有效地需要认识到,现有的合作措施(可能是他们的可能性)不足。我很清楚“为什么”;我们在讨论中继续前进的挑战是确定必须更有效地制度化谁的合作。9
正是这个问题引起了我们的注意。
合作
从一般到特定。在网络安全领域中,目标数量(如果不影响)包括以下目标(这不是全包列表):
- 身份盗用目标的个人; 10
- 当医疗保健提供者被黑客入侵时,隐私受到损害的个人;
- 数据被损害的公司(各种规模);
- 金融业,包括银行,投资公司,股市;
- 基础设施(即交通信号,供水系统)的市政当局受到损害;
- 医院,从而危害患者福利以及健康记录的安全和保护;
- 军队,当武器系统受到损害时;
- 航空公司和空运控制系统;
- 政府机构和办公室。
该列表虽然不包含在内,但足够广泛,可以突出潜在的网络攻击目标范围。它强调了网络攻击风险的大量人员,机构,公司和关键基础设施。“风险”的概念对于合作讨论至关重要。没有潜在的风险,签订协议的动力被显着最低限制,即使不是完全被杀害。111111
但是,网络安全的现实是,它是一个清晰但未知,看不见,不可见力的威胁的世界,直到袭击实际发生。网络威胁必须用作“何时会发生攻击”而不是“如果发生攻击”。
上面的列表反映了潜在目标的广泛范围。它还突出了受特定攻击影响的次要受害者的范围。此外,它突出了一个重要的问题,即“欠谁的义务”。不得将合作视为“拥有的好”,而是一种保护意图和意外的网络攻击受害者所必需的手段。显而易见的是:被黑客攻击到上述任何实体的个人数量都是惊人的。财务成本不仅是非凡的,而且市政当局的破坏,对医院的影响,航空旅行者造成的危险,政府机构提供的服务所面临的后果实际上是压倒性的。
网络安全的现实是,它是一个清晰但未知,看不见的,不可见力的威胁的世界,直到袭击实际发生。网络威胁必须用作“何时会发生攻击”而不是“如果发生攻击”
这本身应该使上述明显的措施使其合作。我建议我们通过外推,国际法来考虑这一主张。这样做,使我们能够将合作视为自卫和集体安全。在网络攻击的潜在受害者之间合作的背景下,这种拟议的二元性提供了一种智力,也许是实用的。它突出了两个重要的现实:自卫的必要性和认识到加入部队的必要性12?是增强保护的有效手段。
合作或相互安全的并不意味着就所有问题达成共识,也没有表明利益,价值观和目标的完美融合。但是,它确实反映了人们的认识,即某些威胁,鉴于其可能的后果,即使当事方可能具有相互竞争的利益,也要找到足够的会议理由。这两个原则 - 自卫和集体安全 - 可以被视为彼此免费的。一方面,个人行动是合理的。另一方面,认识到某些实例需要合作才能促进保护。
《联合国宪章》第51条:
如果武装袭击发生针对联合国成员,直到安全理事会采取必要的措施来维持国际和平与安全,则本宪章中没有任何损害个人或集体自卫的固有权利。成员在行使这种自卫权方面采取的措施应立即报告给安全理事会,并且不得以任何方式影响安全理事会根据本宪章的权力和责任,以便在任何时候采取此类行动为了维持或恢复国际和平与安全所必需的认为。13
《北约条约》第5条:
双方同意,在欧洲或北美对他们中的一个或多个武装袭击将被视为对他们全部的攻击,因此他们同意,如果发生这种武装袭击,则每个人都在行使个人权利时或《联合国宪章》第51条认可的集体自卫,将协助党和政党通过个人和与其他当事方的共同攻击,这是必要的行动,包括使用武装的行动武力,恢复和维护北大西洋地区的安全。任何此类武装袭击及其所采取的所有措施均应立即将其报告给安全理事会。当安全理事会采取必要的恢复和维持国际和平与安全所需的措施时,应终止此类措施。14
应用于网络领域,这两个原则反映了一种综合方法,该方法可以实现网络攻击潜在目标的主要利益的见面:首先要防止它,或者在发生实际攻击时,最大程度地减少其影响。从潜在受害者的角度来看,例如具有巨大财务利益的客户,这将反映出对保护和反映实施措施以履行这一义务的义务的认识。与政府有义务保护其平民的方式一样。
“客户作为合作伙伴”的概念在打击网络恐怖主义时,三角形的关系?在公司(客户/客户 - 劳力执行)之间创建的是比不必要的最小化(如果不否认威胁)更有效的。
对于公司而言,反应或处理黑客而不是花钱在国防和保护方面是便宜的。在黑客之后(成功或以其他方式)立即转发的公司数量?说“我们已经被黑客入侵,我们很脆弱,让我们从中学习”是最小的。对于那家公司和其他公司来说,这都是失去的机会。它代表了黑客16的双重胜利:公司的成功渗透和未能互相学习。尽管每个公司都必须保护利益,但仍有足够的相似性和共同价值观,可以促进并欢迎有关成功或未遂渗透的信息。
然而,现实是,大多数公司都非常犹豫地挺身而出,并承认他们已经被黑客入侵。为此,他们并没有与客户,股东和执法部门结合在一起。此外,他们正在抑制或阻止其他公司保护自己。也许有一个耻辱的因素,尽管防火墙和IT团队支出了巨大的支出,但仍然存在脆弱性。但是,鉴于网络攻击者的邪恶性以及造成的损害,公司应该抛弃这种羞耻因素,并将更加出色。
为此,建议认为未分享信息为犯罪行为。《网络安全信息共享法》提供的框架为此提供了平台。下面阐明了该建议的原因。
- ?让我们考虑客户?作为被黑客入侵的公司的客户,您立即?想知道您的隐私处于危险之中。您有权知道“您未授权的人”拥有您的社会保险号,您的健康信息以及其他深切个人性质的信息。公司必须有“立即通知其客户的义务”。
- ?让我们考虑股东?股东拥有巨大的财务利益。也就是说,在确定何时以及如何将尝试或成功的网络攻击通知股东的何时以及如何将其告知股东。显然,公司谨慎地权衡了负面反应的影响。然而,公司必须具有绝对的责任,即尽可能立即成为股东。
- 让我们考虑执法人员?向执法部门提供有关网络攻击的更快信息,更有效的执法可以开始确定谁负责的过程。表面上,受攻击的公司在协助执法方面具有既得利益;然而,报告的重复延误表明,无论立即报告和信息共享带来的表面上的利益如何,公司内的冲突。
为了促进制度化的报告过程,我们将注意力转移到了直接受到公司网络攻击影响的各方的加强合作。
合作在多大程度上
引言中引用的桌面练习中的评论和回应强调了此问题的复杂性。对话框可以总结如下:17
- Amos N. Guiora(Ang):您什么时候告诉客户您已被黑客入侵,从而可能损害他们的隐私?
- 首席执行官:只有在解决此问题时;从来没有解决潜在的黑客。
- 参与者/客户:我(公司)知道,我想尽快知道;这样,我就可以采取措施来保护自己。
- 首席执行官:我的重点是解决问题,而不是通知客户。
- 参与者/客户:即使您知道它可能受到损害,您也不会使我保护我的隐私?
- 首席执行官:正确。
- Ang:您是否会告诉竞争对手(在同一行业)您被黑客入侵以使他们“抬头”?
- 首席执行官:不。
- Ang:为什么?
- 首席执行官:他们会利用它的利益,从而削弱了我的财务状况。
- Ang:您会通知执法部门,本地还是国家?
- 首席执行官:这不是当务之急。
我在他的坦率中发现首席执行官令人印象深刻。也很明显他的公司的网络协议很复杂,反映了很多思考和理解。那是他的荣誉。但是,同样,我被一个不愿意的人(阐明)与三个不同的演员合作:客户,竞争对手和执法部门。他的回答反映了一种“独自一人”的方法。当参与者与我分享以下内容时,这得到了加强:首席信息安全官(CISO)表示,他只会在攻击期间与他认识并亲自信任的那些公司实体共享信息。
业务考虑,财务利益,竞争和商业秘密作为这种方法的主要原因。另一方面,长期的战略思维表明,一种不同的方法对于成功反击网络攻击至关重要。长期,更具战略意义的方法主要基于对“共同敌人”和“联合力量”的认识,将显着增强更有效的对策的发展。合作模型表明,公司与公司与执法部门之间的合作。
与执法人员的互动强调了关于网络安全的三个不同层次的缺乏合作:公司与公司,公司与执法部门以及执法执法。
公司发现发生渗透率时该怎么办?
- 对“损害损害”进行诚实评估;
- 采取一切措施保护现有数据;
- 尽快通知客户和客户;
- 立即告知执法部门,并与他们携手合作,以最大程度地减少损害;
- 通知公众;
- 与其他公司合作,以最大程度地减少内部伤害并防止将来的攻击。
采取这些措施需要精致,团队合作和能力以及意愿分析内部脆弱性,这需要拥有必要的工具和有能力的团队成员。愿意至关重要的意愿,必须以必要的技能水平来补充。立即的反应性,需要整合团队合作,能力和意愿,从而最大程度地减少未来的伤害。但是,研究公司对成功黑客的反应是未能迅速做出反应的主要收获。未能迅速响应是故意的,这是一个悬而未决的问题。然而,它表明了无法迅速识别渗透率的挑战,并且无法告知客户。这两个问题(挑战和通知客户)都由读者评论了以下情况:
今天,我们正在与坚定而有才华的威胁行为者(黑客)打交道,这是高技能和动机,并以时间和民族国家的支持在目标系统上执行其Tradecraft(Hack)。是的,有些公司似乎很容易,但这也是新闻报道。该新闻不会报告公司的内部变更管理,漏洞管理,资产管理(硬件/软件),IT安全流程……这些实体是孤岛/部门,为了进行黑客黑客活动而必须汇集在一起。随着最近的一些黑客攻击,威胁行为者故意使他们的活动混淆,以避免被发现。他们领先于任何警报活动的系统;当他们描绘了网络上的普通用户时,这是超越病毒保护的,病毒保护不关注。
是否在进行调查时通知客户,这是一把双刃剑。直到确定暴露的全部范围之前,建议客户可能会损害调查工作,尤其是如果您想查看威胁演员是否仍在系统中活跃,这是吸引他的一种方式。公司必须确定客户曝光的全部范围。正如我们在Equifax(2017年遭受数据泄露的数据)中所见,它必须一遍又一遍地向公众提供有关黑客的更多细节。18
金融业的监管要求现在正在解决您可以等待多长时间,直到您建议公众的黑客攻击,并且在新闻/公众之前将“应”通知客户。后果很重要:持续的脆弱性;对客户的持续威胁;在不充分保护客户信息/隐私的情况下,潜在的民事责任;以及未能通知客户违规行为以及对客户的后果的责任。
尽管专注于可能的诉讼是可以理解的,但更重要的问题是无法保护和未能告知。原因很明显:
- 潜在客户一旦发现未能保护/无法告知,他们就会犹豫“带来业务”;
- 现有客户可以将所有合理措施采取任何合理措施来保护其隐私,可能会将其业务带到其他地方;
- 更广泛的公众将在未能消除网络攻击并最大程度地降低网络风险的背景下对公司进行负面看法,但最有力的批评是吗?未能说出真相。
那么,这对公司意味着什么?从鲜明的角度来看,公司需要更加出色。我认为,在公开讨论何时被违反的公司时,有明显的好处。虽然公众将在据报告的袭击事件发生后表示关注,但长期的反应将是对“说实话”的欣赏。
此外,关于与公众共享违规的知识可能会阻止以类似方式在另一家公司中违反未来的违规行为。这种行为变化可能会产生巨大的积极影响,可能会影响数百万消费者。
那个真相19?需要解决以下内容:
- 对渗透的认可;
- 采取的措施立即解决旨在保护客户的渗透率;
- 旨在保护客户的措施清单;
- 在“信息共享”的背景下与其他公司接触;
- 实施积极的反周期测量。
这种“开放”方法有风险;但是,从成本效益的角度来看,“上升空间”最终超过了“缺点”。虽然脆弱性的因素是由开放和坦率造成的,但一种强调实施措施以防止未来攻击和对客户和公众的诚实的方法反映了以下情况:(1)更好的客户保护;(2)更好的关键基础设施保护;(3)更好地保护“更大的兴趣”。
大多数公司非常犹豫地挺身而出,并承认他们已经被黑客入侵。为此,他们并不是与客户,股东和执法部门结合在一起
基于诚实和积极积极进取的措施的风险缓解是双赢的。从法律的角度来看,就民事诉讼的潜在影响最小化,坦率和诚实的政策是“我们正在采取措施最小化个人信息的曝光和从中学习,并与客户携手合作”将减轻可能性针对公司的法律诉讼。从公司的角度来看,这种方法表明愿意吸引不同的受众,尤其是客户和执法部门。
为了使执法部门能够有效保护公司,它需要在合作的背景和概念上进行根本性的改变,并且要求公司更加出于执法。
读者提出了以下警告:
您是否认为“执法”有网络才能发现脆弱性以及如何解决问题?谁能做到这一点:地方,州或联邦?LE [执法]涉及的问题:LE主要是在“谁”犯下黑客攻击之后,而公司则专注于重新开始业务。这些是竞争的议程,没有立即将LE称为LE的原因之一是该公司正在尝试完成这项工作而不会分散LE的注意力。仅仅因为它们是LE,并不意味着他们拥有很快就可以进行调查的网络人才。根据业务,公司可能没有能力在调查发生时不开放业务。20
这种合作将促进执法部门对黑客所在的位置,特定脆弱性在哪里的理解,并将增强解决脆弱性点的问题。仅当公司即将到来时,才会发生这种情况。从这个意义上讲,负担在他们身上。未能与执法部门携手合作,可以防止发展成熟的,企业与执法合作模型的发展 - 较少的实施。由于成功由成功的网络攻击而导致的个人脆弱,因此需要“开箱即用”的执法方法。21
合作将有助于执法部门对黑客所在的位置,特定脆弱性的理解,也将增强解决脆弱性点
但是,这种方法的条件在于公司愿意将执法部门视为全面的合作伙伴。为此,需要针对网络安全的公司治理模型;虽然目前未开发,但其发展负担在于公司。执法人员反复表达了与公司在该模型的开发和应用中密切合作的意愿,这将强调:?22
- 威胁识别;
- 脆弱性最小化;
- 资源优先级;
- 成本效益分析;
- 资产保护;
- 增强对脆弱性点的理解;
- 最大程度地减少未来攻击的影响。
Equifax前董事总经理理查德·史密斯(Richard Smith)准备在2017年10月4日在美国参议院的银行,住房和城市事务委员会作证。有关近1.45亿美国公民的信息
那么,公司需要做什么?
公司领导者可以坐在桌子上,对脆弱性要点进行无尽的讨论,但是真正理解脆弱性点的最有效的机制是在内部或与专家进行复杂的模拟练习来确定公司脆弱的地方。
我热情建议执法部门与其他公司和政府官员一起在桌子上席位。否则,该练习将类似于回声室,在阐明和实施有效的网络安全政策方面,在很大程度上无效。我完全理解并尊重许多公司领导者与执法部门,政府实体和其他公司/竞争对手的制度化合作的想法,这会增加危险信号。23
但是,鉴于公司安全黑客的成本,影响和邪恶性,我认为除了重新建立公司网络安全模型外,还有其他选择。
以下是要考虑了解合作的性质和程度的问题。24
- 公司是否应该对自己的网络安全负责?
- 政府强制公司是否应该制定网络安全政策?
- 是否应该要求公司与包括竞争对手在内的其他公司共享相关的网络安全信息?
- 当公司遭到攻击时是否需要向执法部门报告?
- 公司是否应该有责任向股东报告网络攻击?
如上所述,合作不是“给定的”。离得很远。但是,将其摘自手头是太容易了。面临的挑战是创建可行的模型,从而创建适当的平衡,以保护不同的利益相关者而不对合作实体造成意外的财务损害。重新阐述:在确定合作范围的挑战是说服公司在战术和战略上都有利,与客户,执法和竞争对手合作(与客户,执法和竞争对手)相关。
战术利益反映了短期收益;战略收益会带来长期收益。两者不一定是同义词。它们可以互斥。在考虑采用合作模型时,可以将困境作为成本效益思想实验提出。
要向前推动球,必须考虑四个不同的公司:下面的两个图表旨在促进对公司与合作之间的关系的理解。
公司中的数据泄露(具有重大保护的公司)
公司中的数据泄露?(没有明显保护的公司)
公司
公司A对其访问的信息量承担着很大的责任。因此,公司为网络保护投入了大量金钱和时间。它与执法部门紧密合作,从事员工培训,并积极雇用几位数据专家来保护其免受网络攻击。
现在,尽管竭尽全力,公司A仍被破坏。类似于Target或Ebay(分别在2013年和2014年遭受数据泄露),现已超过1亿客户受到漏洞的影响。然后,问题变成了下一步是什么,谁在袭击后负责?但是,由于Corporation A采取了重大措施来保护自己免受网络攻击的侵害,并且无论如何都成为受害者,因此问题或报复是否应该更大,因为它采取了措施试图防止这一事件?
无论哪种方式,当公司是网络攻击的受害者时,必须发生的第一件事是通知执法。尽管公司可能不想报告客户怀疑或影响,但这必须是法律义务。如果没有执法通知,执法部门将无法创建可能阻止将来攻击的模式或算法。
接下来要考虑的事情是,公司A是否承担了责任,因为它采取了必要的预防措施,并且没有自己的过错,仍然是网络攻击的猎物。这很难回答,直到提出附加的相关立法之前,可能不会完全回答。
公司b
公司B,例如公司A,是美国最大的公司之一。由此,公司B对其访问的信息量承担了很大的责任。但是,公司B尚未投入大量资金或时间来进行网络保护。相反,它的董事会积极意识到网络安全的威胁,投票决定推迟任何财务或人员投资以追求网络保护,因为它很昂贵,并且公司从事赚钱的业务。这个问题是保护与利润辩论的顶峰。
现在,想象公司B已被破坏。
与Target或eBay类似,现在超过1亿客户受到违规影响。然后,问题变成了下一步是什么,谁在袭击后负责?如前所述,美国政府可能会像以前一样,在公司存在一定规模的情况下参与其中。
执法部门应与其他公司和政府官员一起在桌子上席位。否则,该练习将类似于回声室,在表达和实施有效的网络安全政策方面基本上无效
但是,问题就变成了,因为公司B没有采取重大措施来保护自己免受网络攻击的影响,而不是受害者,因为赔偿或报复是否不采取措施,因为它没有采取措施来防止事件?
如前所述,无论哪种方式,当公司成为网络攻击的受害者时,必须发生的第一件事是通知对执法部门的攻击。通常,大多数公司都不想报告,无论是担心客户怀疑还是股东的看法,还是其他影响;这需要是一项法律义务。接下来要考虑的是,公司B是否对其疏忽承担责任。
与公司A不同,由于不采取必要的预防措施,因此无法以任何方式免除其责任。尽管首席情报官或公司中其他员工的建议可能会提出,但B公司还是选择了利润而不是保护,并成为一个容易的目标。然后,由于其疏忽,攻击后的赔偿或保护应该较小吗?这是一个需要由未来立法决定的问题。
公司c
与公司A和B公司不同,Corporation C是美国较小的公司之一,这是一家由几个家庭成员密切拥有的小镇业务。由此,Corporation C在其访问的信息数量中承担的责任降低了。
但是,像公司A一样,Corporation C在网络保护方面投入了大量金钱和时间。它与执法部门紧密合作,从事员工培训,并积极雇用数据专家来保护自己免受网络攻击。
尽管Corporation C尽力而为,但仍被违反了。但是,与公司A和B公司不同,违规行为不会影响超过1亿客户。相反,违规只影响了5,000个人。问题仍然变成,下一步是什么,在袭击事件发生后谁承担责任?可以肯定地假设,与公司A和B场景相比,当违规如此之小时,美国政府的参与可能较小。
但是,要问的问题是,因为Corporation C采取了重大措施来保护自己免受网络攻击的侵害,并且无论如何都会成为受害者,如果以某种方式得到补偿或支持,那么不仅仅是一家无需努力保护自己免受免受的公司网络攻击?
尽管公司与公司A和B相比,Corporation C的规模很小,但仍必须有法律义务向执法部门报告,该法律是网络攻击的受害者。此后,下一个要考虑的问题是,公司c免于责任是因为它采取了必要的预防措施,并且由于没有自己的过错,仍然是网络攻击的牺牲品。
公司d
公司D,与公司A和B公司不同,但类似于Corporation C,是美国较小的公司之一,这是一家由少数家庭成员密切拥有的小镇业务。由此,公司D在其访问的信息量中承担的责任大大减少。但是,像公司B一样,公司D并未在网络保护方面投入大量金钱或时间。
相反,公司决定推迟任何财务或人员投资以追求网络保护,因为它很昂贵,并且公司专注于赚钱。公司B也证明了这个问题,是保护与利润辩论的巅峰之作。
由于公司缺乏努力,因此被违反了。但是,与公司A和B公司不同,违规行为不会影响超过1亿客户。相反,违规只影响了5,000个人。现在的推理和考虑与CorporationC中的违规行为发生的问题非常相似。问题仍然变成,下一步是什么,谁在袭击后负责?
可以肯定地假设,与公司A和B相比,与公司相比,美国政府不太可能参与。并且成为受害者,因为没有采取措施防止事件的措施,赔偿或报复是否应该更少?
尽管公司与公司A和B相比,公司的规模很小,但仍必须有法律义务在是网络攻击的受害者时报告。要考虑的下一个问题是责任。与公司A和C公司不同,其责任不能以任何方式免除,因为它没有采取必要的预防措施。
尽管首席情报官或公司其他员工的建议可能会选择利润而不是保护,并成为一个容易的目标。然后,由于其疏忽,攻击后的赔偿或保护应该较小吗?这是一个需要由未来立法决定的问题。
好,坏事和丑陋的合作
说起来容易做起来难。
经常重复的Maxim适用于本文基本前提的公司模型。公司不是免费的。人们对脆弱性,暴露和不必要的风险有可以理解的关注,也许“上升空间”很少。
首席执行官在“在多大程度上”的部分中引用了他的简洁性。对他来说,合作是绝对的非生命者。我听到了其他公司领导人的类似主题。令我惊讶的是,当被问及他们是否会与当地执法合作时,联邦执法人员表达了类似的谴责。答案简短,令人尴尬:“我们不与当地执法部门合作。”令人尴尬的是,在我在场的一次会议上,简短的,实际上是残酷的答案。但是,官员的简洁起见,强调了一个重要的(尽管令人不安):执法部门在彼此合作的程度上,与外部实体更少。
那时,这让我感到震惊,一直持续到今天,以反映短期傲慢,将自己的“草皮”与公共利益相提并论。在最近与联邦执法人员的一次会议中,我保证了高级官员将对这样的回应产生极大的反对。我希望就是这样。
除了保证之外,重要的是,在地方,州和联邦官员中合作是制度化的,而不是特定官员的异想天开和幻想。这似乎符合公共利益和公共利益,这是执法的主要义务。制度化合作 - 各种利益相关者 - 要求时间,奉献精神和资源。对于代表不同文化,规范和道德的参与者来说,这不是一个“给予”的“给予”,并且本能地(本能地)就可以轻松地促进合作。这将需要一致的努力。
除了保证之外,重要的是,在地方,州和联邦官员中合作是制度化的,而不是特定官员的异想天开和幻想。这似乎符合公共利益和公共利益,这是执法的主要义务
必须分配资源以进行此类实施;必须找到通用语言;需要确定共同的目标;可以理解的犹豫,沉默和怀疑,必须暂时持续下去。这需要所有参与者的奉献精力;这样做的动机必须集中于更大的利益,而不是临时成本和负担。否则,这项事业落下了。
相反,合作的积极性远远超过了冲突和紧张局势。从公共安全的角度来看,这是对此的看法。坦率地说,这必须是权衡采用合作模型的最重要考虑因素。
最后一句话
合作的主题一直是本文的核心。那不是偶然的。
我曾在国土安全委员会的主持下担任国会特遣部队的法律顾问,该委员会针对美国国土安全政策。合作原则在我的发展中是有效的网络核算性的最高脑中。本文中的讨论旨在促进读者对发展制度化合作的需求的理解,并同时认识到这种努力的困难。
前美国国家安全局监视中心位于慕尼黑南部的Bad Aibling。2013年6月,爱德华·斯诺登(Edward Snowden)对美国国家安全局(NSA)挫败美国与其欧洲合作伙伴之间的外交关系的大规模监视计划的启示
原因有所不同;正如执法人员向我解释的那样,无论是经济上的驱动,还是“草皮”和预算的情况,后果都是可以预见的。始终缺乏合作的受益者是不法行为。受害者很多。在写书时,缺乏合作主题一直向我表达。进行桌面运动时,它被重复。在所有三个情况下 - 美国国会,书籍研究,练习 - 与我订婚的合作,无论是主动还是反应性:该概念不符合其“模型”。咒语重复了足够的次数。
这与我在以色列与一位领先的网络专家举行的会议形成鲜明对比。当时的谈话非常有见地,阐明了国家安全与网络安全之间的交集。更重要的是,它强调了政府在网络方面可以并且应该扮演的关键角色。我们的谈话集中在法律和政策问题上;毫无疑问,技术事务并不是我们讨论的问题的最前沿。在合作的背景下,我给我留下了深刻的印象,这是当公共和私营部门联合并合作时所带来的巨大利益。
这并不是要掩盖两者之间不可避免的紧张局势,嫉妒和竞争。但是,这与我与美国执法人员的讨论形成了鲜明对比。两种方法之间的区别是震撼。后果是显而易见的。因此,合作主题在我的书中至关重要:网络安全:地缘政治,法律和政策。
无论是个人,专业还是社区的基础,我们中的许多人都是受害的受害者。我们对网络犯罪的脆弱性有充分的记录;无需重复一系列事件,从烦人到真正的灾难性。
合作原则应在开发和实施有效的网络核心方面占上风
显然,全世界的团体中的个人致力于不断寻求利用网络发挥自己的优势和劣势的方式。关于网络,确实有一个“我们 - 你”。网络犯罪分子和网络曲折造成的危害很大。更令人担忧的是,他们无疑计划对社会施加的未来危害。其中,我毫无疑问。
关于政府参与问题,缺乏共识。也许是作为我在以色列国防军中的背景的直接反映,我是狂热的 - 毫无疑问 - 犹豫不决地向我表达了政府在网络保护中的作用。我认为,网络攻击需要被认为类似于物理攻击。
对我来说,这是明确的:对美国公司的攻击值得政府的回应。尽管这需要上面讨论的合作,但收益(同样和长期)显着地超过了政府“过度”参与的任何负面后果。坦率地说,这些赌注太高了,无法诉诸于疲倦的陈词滥调和关于隐私问题的咒语。这并不是要最大程度地减少隐私问题 - NSA泄漏令人不安地强调了政府入侵的现实 - 而是暗示网络威胁需要平衡且细致的方法。总体而言,驳回政府参与是短视的,最终会适得其反。
与政府的参与并驾齐驱是自卫和集体自卫的问题。实际上,两者是直接相关的,不能将一个与另一个分开。
自卫是网络讨论中的一个关键问题。询问是,国家国家是否应对受到网络攻击受害的公司和个人的责任。这不是一个抽象的问题,而是一个旨在作为具体查询的问题。
在网络攻击之后,在国家国家施加“反应”负担很大。仅当采用合作模型时,这才有可能。如果所有潜力以及实际的网络攻击目标都将被“卡在”非合作范式中,那么黑暗的力量是显而易见的赢家。这很明显。
然而,通过私营部门和公共部门,足够多的反对派一直在表达,这必须暂停。这种反对,当然是怀疑主义是合法的,不能随意的手忽略。但是。
然而,潜在的网络攻击构成的持续威胁,更不用说成功袭击后的实际影响,保证仔细考虑提案,以提出立法合作要求和义务。考虑到成功攻击的后果,本文概述的不同参与者之间的合作将有可能最大程度地减少特定影响的后果。
至少,合作将通过确保其他受影响的实体(是的,竞争对手)可以实施,积极地,保护措施,同时确保执法部门(本地和地方)完全参与最小化衰落,将涵盖后果。
有不同的机制来确定这种事业的生存能力。正如我在桌面练习中清楚的那样,沟通和对话是极好的起点。将不同的参与者聚集在一起,以探索如何做出反应并(希望)最小化攻击的后果是重要的一步。建议这样的练习包括广泛的参与者,包括民选官员,执法部门(地方,州和国家),公司领导人(大小,私人和公共),市政官员,消费者倡导组织的代表以及公众。
这样的事业将使社区(狭义地定义)能够确定确保面对网络攻击时合作的最佳机制。
这是我们必须进行的讨论。探索合作模型的推迟远非“免费”;恰恰相反:它的成本很高。现有措施提供了一个有效的平台。这样做的挑战很棒。现在是时候了。
致谢
我非常感谢以下个人,他们慷慨地阅读了先前的草稿,并发表了深刻的评论和建议,这些评论和建议大大加强了最终产品;不用说,所有错误,错误和遗漏都是我的责任:Anne-Marie Cotton,Ghent Artevelde大学学院传播管理高级讲师(比利时);Jessie Dyer JD(预期2019年),犹他大学S. J. Quinney法学院;Brent Grover&Co。总裁Brent Grover;底特律Mercy大学丹尼尔·鞋匠教授;SunTrust Bank网络威胁情报负责人Judy A. Towers。
笔记
1.是较早草案的读者建议,该声明适用于他与之互动的99%的业务主管。
2.?Amos N. Guiora,网络安全:地缘政治,法律和政策,Routledge,2017年。
3.“查塔姆之家”规则,参与者的身份及其评论可能不会注意到;该练习是在国家网络伙伴关系的主持下进行的。
4.是关于社会契约的深思熟虑的讨论,请看到吗?
5.?
6.?
7.?
8.?
9.?
10.?乡村问题:不仅窃取身份证,而且还属于财产,如本广告中所示:
11.是一个早期草案的读者指出:“很多人会说网络安全无非是风险管理”;在我的记录中发送电子邮件。
12.是由比利时机构插图的:
13.?
14.?
15.?对声誉的负面影响呢?失去信心?与重新设计“防火墙”的经济成本的财务数据相比,无形资产……但是,品牌资产也已成为重要因素。
16.是先前的草稿的读者:安德鲁·埃伦伯格(Andrew Ehrenberg)(伦敦经济学院)在他的双重危险理论中适用于大公司与小公司的双重危险理论:小型公司是其规模的两次“受害者”:尽管他们投资了投资,大家投资更多=他们必须按比例地投资X更多以获得较小的结果……
17.?
18.?e与读者交流;作者记录中的电子邮件。
19.?查看Finn Frandsen,Timothy Coombs,Robert Heath,Winni Johansen的文章,例如:“为什么要担心道歉和危机交流?”弗兰森(Frandsen)和约翰森(Johansen)刚刚在:“组织危机交流:一种多人方法”中发表了他们最新的理论发展。
20.?e与读者交流;作者记录中的电子邮件。
21.?以下警告是由较早草稿的读者提供的:“除了意识之外 - 这也需要很多时间……我们只有在生产才华的山麓小路,而Le的人很少能够融入另一种技能。放”;在我的记录中发送电子邮件。
22.?是先前草稿的读者:这是一个很好的声明,但我没有看到Le很精明,无法表达列表中的项目。这是行业监管机构介入提供这些项目而不是LE的知识的地方。他们在列表中设置相同的标准时,为DHS提供建议。
23.是先前草案的读者指出,这是我们在美国金融部门所说的那样。企业在补救过程的“何时”中坦率,而代表监管机构/le的所有人都在等待被告知。同样,对于公司而言,已经发生了黑客攻击,而不仅仅是陈词滥调的系统可能需要几天的时间来确定,尤其是在威胁行为者修改了系统日志并删除其代码/操作/步骤时。使事情看起来像正常的系统问题是一个复杂的威胁参与者。希望对于“日常乔”威胁演员而言,这种能力并不容易。
24.??这些业务将开始受国家审核,以确保已解决网络安全。同样,不要忘记当公司仅朝着合规努力时会发生什么:如果合规标准不保持最新状态,那么公司就能满足监管机构/合规性,但仍然不能满足网络安全。今天被黑客入侵的大多数公司都是符合监管的,监管机构并没有保持最新状态。这是一个不断发展的门场景。公司将符合最低限度,以至于进一步赚钱。