Kritiska globala utmaningar inom internetsäkerhet

7/30/2009

Eftersom vi diskuterat säkerhetsfilosofi ett tag nu på SEOTaktik samtidigt som flera nationella strategier inom området förändras är det nu bra att göra ett sammanfattande inlägg. Här går jag därför igenom några åsikter jag tidigare framfört och länkar relevanta inlägg. Dessa samlades i åtta övergripande områden och är där begränsat till vad som berörts och är därför givetvis väldigt ofullständigt.

1. Nationell strategi: Exempel med USA

Jag har aldrig gjort någon hemlighet av att jag tycker att USA nationellt resp. på myndighetsnivå inte hanterat fel säkerhetsfrågor optimalt under Richard A. Clarke. Det berörs bl.a. i:

WHITEHOUSE.GOV ROBOTS.TXT: ÄNNU FLER MYTER & MISSUPPFATTNINGAR

Tidiga inlägg om händelser som pekar på att USA ändrat sin strategi inkluderar inläggen nedan. Det första kommenterar utredningen där några intressanta rapporterar pekas ut. Tredje inlägget ger några ytliga åsikter om egenskaper den som leder detta arbete borde ha.

OBAMAS RAPPORT OM INTERNETSÄKERHET KÄNNS LOVANDE

OBAMAS SATSNING PÅ INTERNETSÄKERHET & EN NY METODIK

SCOTT CHARNEY LEDER MICROSOFTS TRUSTWORTHY COMPUTING

Kritiskt tror jag är att se till att rätt infrastruktur finns. Det handlar om att grundläggande tjänster direkt mot användare och nät-funktionalitet är säker. Vidare behöver infrastruktur och lösningar tas fram som gör säkerhet lättare. Att lösa problemen med DDoS kan t.ex. delvis inkludera att få fler hemdatorer med personlig brandvägg men det löser man effektivt med en lösning som inte kräver något av enskilda användare. Försöker man åt andra hållet står man efter en massa år kvar inte längre fram än man gjorde innan.

2. Enklare säkerhetsproblem i sociala media

Ett område jag tycker både USA, europeiska länder och stora företag behöver se över är sociala media. En sak som förvånant mig på senaste tid är att ändå väldigt grundläggande säkerhetsproblem ej svåra att korrigera verkar orsaka fortsatt stora problem trots prioriteringar lite över allt. Ett sådant område är sociala media och enklare säkerhetsproblem har berörts i flera artiklar. Länkar och kort information om respektive finns i:

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA I SAMMANFATTNING

Bra artiklar att börja med för den som vill se över säkerhetsfrågor för sociala media är:

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA SOM HANTERAS OFULLSTÄNDIGT

ENKEL IDS FÖR GODTYCKLIGA SOCIALA MEDIA

TIDSANALYS I SOCIALA MEDIA

WHITENING FÖR ÖKAD SÄKERHET I SOCIALA MEDIA

3. SÄKERHETSPROBLEM I ETT STORT VARIERAT INTERNET

Utanför vad som ändå är säkerhetsproblem tämligen triviala att korrigera finns flera andra frågor. En av dessa och som berör lösenord i stora populationer och berör nästan allt annat på nätet:

För sociala media, cloud-lösningar och egentligen allt annat på internet är också följande fråga intressant att titta på:

SÄKERHETSARKITEKTUR: ANGREPP MOT LÖSENORD I CLOUD COMPUTING

Inom detta område finns även en del rörande RSS, ATOM och dyliga protokoll avseende denial of service (tror jag men är inte säker). Även liknande säkerhetsproblem som ej utnyttjas finns och behöver dokumenteras för att gå att lösa.

Vidare har vi finansiella säkerhetsproblem. Vad händer om fel aktör köper en liten sajt där känsliga användare finns? Det kan lätt sluta tråkigt om information där går att använda för access till andra sajter.

Många fler områden finns men har inte berörts här.

4. Direkt påverkan på personer

Jag menar även att en grupp av säkerhetsproblem som idag inte i princip aldrig adresseras vilka jag brukar kalla kognitiva säkerhetsproblem. Detta har berörts ytterst ytligt och egentligen endast med ett fåtal ej för problematiska konkreta exempel.

En diskussion bra att starta med finns under rubriken "Att mäta känslor" respektive "Vem litar du på?" i där även fler relevanta inlägg går att nå:

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA SOM HANTERAS OFULLSTÄNDIGT

Ett inledande inlägg finns nedan och är en aning övertydligt kring en hotbild jag menar finns:

DEFENSE SECRETARY ROBERT M. GATES OM SOCIALA MEDIA

Även följande material kan vara värt att läsa även om det ligger på en avancerad nivå där relevansen inte är självklar utan ganska omfattande inläsning innan:

OUTLIERS: NEGATIVA STEREOTYPER OCH ARBETSMINNE

STUDIER, FORSKNING OCH ARTIKLAR

TAO OCH FLOW

ZEN ÖKAR DIN MOTSTÅNDSKRAFT MOT TRENDER

FÖR ALLT VIKTIGT SKA IDENTITET KONTROLLERAS

5. Beskydda åsiktsfrihet

En viktig säkerhetsfråga för hela världen är att enskilda aktörer inte kan bedriva censur, manipulera fria diskussioner i den demokratiska världen o.s.v. Här kan vi se att detta börjar prioriteras:

$30 MILJONER US TILL ANTI-CENSUR LÖSNINGAR

Vilket sannolikt delvis används för att säkerhetsställa Internet freedom:

"IRAN" GÖR INTERNET FREEDOM LÄTT ÖVERLASTADE

Några idéer jag hade om andra möjliga projekt finns i:

PROJEKT FÖR NY INFRASTRUKTUR

EPOCH TIMES KRITISERAR GOOGLE MEN HAR FEL

6. Att ha timmar tillgängliga

Vid större problematik måste man våga erkänna att hur saker avgörs kan komma ner till antal timmar man kan lägga. Det här initiativet USA tagit tror jag är utmärkt och verkar syfta till att få fler möjliga timmar att vid behov nå:

10 000 KRIGARE REKRYTERAS MED US CYBER CHALLENGE

Att vara begränsad i timmar är fruktansvärt så det där är säkert bra. Den enda fördelen få timmar och begränsade resurser har är att det stimulerar lateralt tänkande vilket skapar nya enklare och inte sällan bättre lösningar. Men ändå...

7. Samarbete med medborgarna är bra

Min åsikt är att seriösa "samarbeten" där medborgare bidrar kan lösa huvuddelen av de utmaningar som kan komma. Jag uttryckte detta så här:

"Även är det att rekommendera att söka samarbeten och inte minst med aktuella internetföretag och nära med de största. Också kan ett ärligt samarbete med sajternas användare krävas eftersom det är dessa som det i flera frågor kommer ner till och ökad kunskap kan göra all skillnad i världen."
DEFENSE SECRETARY ROBERT M. GATES OM SOCIALA MEDIA

Ett bra exempel på något som för mig verkar vara ett exempel på hur stora organisationer och nationer kan göra detta bra ges i USA:

Napolitano urges citizens to fight terror, fear

En fördel detta ger är beredskap istället för rädsla. Fördelen med det förklarade jag tidigare enligt:

Det är vanligt att tro att säkerhetsproblem blir lösta genom att sprida rädsla. Att detta är effektivt kring vissa frågor på en stor population är möjligt (jag kan inte bedöma om så är fallet) men för nyckelpersoner vet jag säkert att rädsla inte är effektivt. Istället vad man vill uppnå är lugn beredskap. Lugn beredskap innebär:
  • Att man agerar rationellt och tänker medvetet.
  • Man reagerar inte instinktivt utan att tänka.
  • Klarar man att uppnå det har direkt flera angrepp blivit mycket svårare.

Det utvecklas mer under rubriken "Beredskap istället för rädsla" i följande inlägg:

SÄKERHETSPROBLEM FÖR SOCIALA MEDIA SOM HANTERAS OFULLSTÄNDIGT

Även detta som jag skrev om att be om hjälp illustrerar vad jag menar:

"Poängen Gretchen Rubin gör är att be om hjälp gör alla glada. Både den som ber om hjälp och den som blir tillfrågan. Det kan säkert gälla även denna tävling. Medborgarna känner att de kan bidra med något viktigt. Samtidigt för staten ut just något viktigt. Båda blir nöjdare därför att en part bett om hjälp. Ingen ska därför vara rädd för att be om hjälp."
Citerat: 10 000 KRIGARE REKRYTERAS MED US CYBER CHALLENGE

8. Försvarsfilosofi är viktigt

I vissa sammanhang är en viss kultur lämplig. På många positioner kring säkerhet menar jag att man här tänkt fel. Några idéer att se som saker att fundera över snarare än konkreta råd kan vara bra att avsluta inlägget med.

Detta inlägg berättar lite om det jag kallar försvarsfilosofi vilket egentligen handlar om att säkerhetsproblem och säkerhetslösningar är generella:

IT- OCH INFORMATIONSSÄKERHET -> FÖRSVARSFILOSOFI

Försvarsfilosofi utvecklas mycket djupare i artikeln "Tao och Flow" där Krigskonsten av Sun Tzu används som exempel:

TAO OCH FLOW

Ett besläktat globalt problem för större säkerhetsorganisationer är att de överskattar sin egen förmåga och inte adresserar de problem en stor organisation kan innebära. En stor organisation kan t.ex. bli mer ljudlig. Istället ska man röra sig tyst ungefär som ett flygplan med stealth eller en ninja. Detta är något att fundera på kanske redan ganska tidigt i tillväxten. Möjliga roblem kan t.ex. vara om man ramlar in och sätter igång säkerhetslösningar avsedda som skydd mot andra aktörer kanske i form whitening eller dyligt. Det kan mycket väl visa sig vara vänner (eller i extrema situationer annan del av samma organisation) som i onödan får larm.

Begreppet whitening ovan används av mig på ett eget sätt med bredare bertydelse vilket förklaras i:

WHITENING FÖR ÖKAD SÄKERHET I SOCIALA MEDIA

WHITENING DÖLJER VAD SOM HÄNDER

Vidare är risken att överskattad förmåga leder till att det mesta övertolkas. Om det var UK eller USA som trodde sig för några år sedan se hemliga budskap i ett nyhetsprogram på TV kommer jag inte ihåg men det är ett bra exempel på problemet. Några inlägg som tar upp frågor inom närliggande områden är:

VI HAR LÄTT FÖR ATT SE "SAMBAND" SOM INTE FINNS

HOROSKOP OCH OTREVLIGA AFFÄRSMODELLER

SMARTA OCH VETTIGA MÄNNISKOR TYCKER SOM JAG

Vidare så bör givetvis positioner där en krigare bäst passar också tillsättas med en krigare.

0 kommentarer

Kommentera