Jag tycker det här är lovande. Obama har en förmåga att se problem och rikta en lösning mot dom. Lösningar går att diskutera men rädsla att agera så saker drar ut i tiden är mycket sämre.
Ska man ge något önskemål kan jag säkert bättre än att citera mig själv men nöjer mig med det:
[J]ag hoppas verkligen att han klarar att välja rätt person. Tidigare ledare inte minst Richard A. Clarke var inte bra. Richard A. Clarke hörde jag förövrigt tala precis efter han fick den nya positionen i samband med Microsofts samling kring TCB. Kritiken mot Clarke tog jag tidigare upp i Whitehouse.gov robots.txt: Ännu fler myter & missuppfattningar. Rulla ner tills du kommer till "Richard Clarke: IT-säkerhet, mer IT-säkerhet och så personlig brandvägg för nationens bästa".
Det som gör det där svårt är att internetsäkerhet inte är vad det har varit. Angrepp och försvar handlar inte om ett urval av metoder utan allt som kan leverera resultat. D.v.s. man måste på nationell nivå inte bara ta hänsyn till klassiska hacker angrepp, frågor kring övergripande infrastruktur för IT- och informationssäkerhet, avlyssning m.fl. välkända begrepp utan också exempelvis (i mindre urval):
- Hur påverkar sökmotorerna nationella säkerhetsfrågor.
- Finns det typer av angrepp som aktivt används men som säkerhetssamhället huvudsakligen inte känner till? Hur är det t.ex. med tidsanalys på annat än kretsar?
- Vad det innebär om enskilda aktörer köps upp för att möjliggöra manipulation, avlyssning o.s.v.
- Vilka metoder för desinformation används?
- Vad säger forskningen om neurovetenskap? Finns det några "nya" enkla vägar till att manipulera folk på nätet?
- Finns säkerhet som vilar på att brute-force från väldigt många enskilda personers hjärnor (eller motsvarande faktor) inte antas gå att samla i tillräckligt antal? Och har någon förutsättning på internet nyligen förändrats som gör dessa säkerhetslösningar void?
Svåra frågor. Typiskt för sådant här är risken dock stor att det blir en ny Clark som kör en av sina första presentationer med en gammal power-point från konsultdagarna med lite sälj kring några triviala begrepp.
Hur ska man beskriva försvarslösning och angrepp?
Ska man lägga på något behöver vi egentligen en helt ny modell för den här typen av säkerhet där kan stoppa in även traditionell IT- och informationssäkerhet som enskilda entiteter men även fånga upp sådant som inte hanteras där. Klassiskt har ju BAN och CSP använts men det fungerar knappast övergripande.
Själv funderar jag om det kanske inte i den övergripande bilden är bäst att lägga en anpassning av Memetics lite lagom kombinerat med koncepten i The Tipping Point eller dyligt. Här skulle man se själva angreppet liksom resultatet som en evolutionär entitet. Teknisk infrastruktur, människor m.m. blir sådant som antingen ökar eller minskar dess hastighet.
Fördelarna här att man både kan få klassiska angrepp t.ex. denial of service men också desinformation. Vidare om man accepterar att antalet människor kan ha betydelse för vissa angrepp kan det hanteras.
Jag önskar Obama all lycka med att välja rätt person. Obama har ju trots allt tycker jag varit väldigt duktig med att välja ut medborgare innan. Det är nästan som man skulle ha valt dom själv. Så det här kanske också blir bra. Risken är dock ganska stor att Obama-satsningen får ett väldigt tekniskt fokus på välkända angrepp som egentligen inte kommer bli det stora problemen de närmaste åren. IT-säkerhetsleverantörerna har blivit så vana ett sälja in sina koncept och jag har varit med tidigare när satsningar gjorts och sett resultatet av dom.
Kommentera