网络安全是否需要一个NTSB型板?

与国家运输安全委员会在事故审查中的作用一样,一个网络安全审查机构可以为Cyber​​Incidents提供新的见解。

由erin mundahl,insides.com / May 15, 2018
Shutterstock

(TNS)—在过去的几年里,Cybsereecurity已成为联邦政府和私营公司的越来越关注。到目前为止,它一直在很大程度上是一个追赶的游戏,因为安全公司争夺试图修补黑客发现的漏洞探测系统中的弱点。

随着越来越多的美国生命开始移动到云服务器并存储在外部数据库上的数据,对数据安全性的需求变得越来越明显。上周,R街道研究所高级研究员Paul Rosenzweig举行了基于国家运输安全委员会(NTSB)的网络安全疏忽新模式。

一个独立的政府机构,NTSB负责分析所有民用航空事故的原因和其他形式交通的重要事故,包括铁路。 NTSB是独一无二的,因为它侧重于调查而不是严格的监督。缺乏执法权力,董事会将注意力集中在“事故的原因和影响,”Rosenzweig解释道。董事会落后于其他机构的任何建议。

“[The NTSB model] isn’关于分配责任和责任。从根本上讲,找出发生的事情或者,因为我把它放在这件作品中,‘what went wrong,'”他告诉神经研究所。“特别是在一个像素质等待着的地区,其中法医学的初期性,我们没有真正的安全指标,只需收集数据并评估它是一个很好的第一步。如果需要,监督可能会下降。”

ntsb.’唯一的责任是关注事故的原因,并推荐解决方案,以防止将来再次发生。成本遗漏了等式。这种安全第一心态在网络安全领域具有优势,RosenzWeig解释说,特别是鉴于黑客和相对较新的网络安全领域的常见含糊不清的原因。

“特别是在一个像网络安全的复杂区域,这是含糊不清的,它很难识别通过经济效益过滤器过滤这些结论的原因,”他在纸上写道。

“出于这个原因,虽然成本/效益问题仔细考虑,但我们应该倾向于复制NTSB的当前结构的模型;也就是说,一个人侧重于事业和效应,没有任何执法权威,没有任何授权来解决成本/福利问题,” he continued.

这样一个“计算机网络安全板,”正如RosenzWeig所描述的那样,将被带入调查和提供风险减少建议。这是对物理和计算机安全之间差异的重要理解。网络阵列调查的取证往往比过境崩溃背后的决定性较少,并且在许多情况下,网络系统失败的前景是不可避免的。

因此,网络安全委员会应关注风险降低,而不是风险消除的不可能的目标。

Rosenzweig也承认,任何一个机构都无法完成所有黑客或网络安全违规行为。需要开发一些切断,以确定哪种违规行为足够大,以便调查,类似于NTSB如何调查火车或高速公路的主要事故,但必然每一次崩溃。出于网络安全的目的,这可能是一个违约,影响超过一百万人或成本超过规则变化的潜在实施成本的漏洞。

麻烦将是确定这条线落的落在何处。如果没有国会在某种计划上迈进,细节将保持在很大程度上假设。即便如此,有一些网络安全监督的想法已经提出。代表。如果是时候考虑创建网络安全委员会,那么Denny Heck(D-Wash。)在今年早些时候询问。在去年全球发生的一些53,000个网络安全事件,他对许多选民的问题的答案可能是“yes.”

©2018 insides.com,华盛顿州,D.c.分发由Tribune Content Agency,LLC分发。


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs