TMACUL

White House sets out suggestion box for cybersecurity

Blog Post created by TMACUL Champion on Aug 22, 2016

White House sets out suggestion box for cybersecurity | TheHill

 

On August 10, the National Institute of Standards and Technology, on behalf of the brand new White House Commission on Enhancing National Cybersecurity, placed a request for information (RFI) in the Federal Register.

The list of topics was extensive, effectively asking for feedback on any issue related to cybersecurity that might come up over the next decade. 

Security pros, trade associations and businesses can’t wait to reply.

“We’re excited that it’s a little more open than RFIs normally are. We can respond in a little more open manner about issues we don’t normally get to touch on, ” said Brendan Peter, vice president of global government relations at CA Technologies.

Organizations are putting their focus on different things in their responses.

Companies that sell security products, for example, are focusing on greater adherence to best practices for cybersecurity. Those practices, experts say, could prevent many of the disastrous hacks that now befall businesses and individuals.

Peter said much of CA’s focus would on the importance of identity management, including tried and true solutions like making keeping credentials in check, learning to avoid phishing attacks and appropriately making sure users cannot access more than is necessary.

Intel Security’s priorities are similarly rooted in network administrators following good practices, including increasing adoption of the National Institute of Standards and Technology’s Cybersecurity Framework — a series of guidelines that emphasize good planning over flashy technology. 

Both CA and Intel plan to look at “internet of things” issues, where everyday items are connected to networks. Intel’s top advice will be integrating security into the design process, while CA will look to improve industry norms. 

Government’s role, said Kent Landfield, Intel Security’s director of standards and technology policy, does not have to be much more than encouraging industries to develop best practices.

“A lot of the problem is getting everyone in the same place,” he said.

The U.S. Chamber of Commerce, too, will look to promote the NIST framework.

“We firmly believe in the framework and want to sustain all the momentum behind it, said Matt Eggers, executive director for cybersecurity policy.

But the business group also will push for the government to improve domestic cybersecurity by developing a more deliberate system of responding to international attacks.

“We need to ensure higher costs for illicit actors,” he said

Eggers pointed to international norms proposed by Secretary of State John Kerry during a 2015 visit to South Korea. Most relevantly, they included a ban on state hacking to steal intellectual property and state secrets and international cooperation on cybersecurity investigations. 

Eggers also planned to push for recent information sharing legislation “to stay on track.”

Information sharing, however, is still a controversial issue. Though few argue that governments and businesses should not share threat intelligence, civil libertarians still worry about privacy.

“It would be dangerous to except that the [Cybersecurity Information Sharing Act] solved real problems with privacy or civil liberties infirmities,” said Gabe Rottman, deputy director of the Freedom, Security and Technology Project at the Center for Democracy and Technology.

Rottman said the CDT would use its submission to the RFI to highlight what it sees as privacy shortcomings in cybersecurity legislation. For example, the CDT believes the information rules put in place under the Cybersecurity Information Sharing Act lack adequate protections for individual’s private information.

He also pointed to various proposed methods of fighting botnets, which are networks of hijacked computers used by criminals. Many of the proposed methods, including controversial changes to the rules of evidence gathering that are supported by the Department of Justice, permit law enforcement to hack a computer attached to a botnet without contacting an owner first.

Comments on the RFI will be accepted until September 9. 

Em 10 de agosto, o Instituto Nacional de Padrões e Tecnologia, em nome da nova marca da Casa Branca Comissão sobre o reforço National Cybersecurity, colocou um pedido de informações (RFI) no Federal Register.

 

 

A lista de tópicos foi extensa, efetivamente pedir feedback sobre qualquer assunto relacionado com a segurança cibernética que possa surgir durante a próxima década.

 

 

profissionais de segurança, associações comerciais e as empresas não podem esperar para responder.

"Estamos animado que é um pouco mais aberto do que RFIs normalmente são. Podemos responder em um pouco de forma mais aberta sobre questões que normalmente não começa a tocar ", disse Brendan Peter, vice-presidente de relações governamentais globais da CA Technologies.

 

 

Organizações estão colocando seu foco em coisas diferentes em suas respostas.

 

 

Empresas que vendem produtos de segurança, por exemplo, estão se concentrando em maior aderência às melhores práticas para segurança cibernética. Essas práticas, dizem os especialistas, poderia evitar muitos dos hacks desastrosos que agora recaem sobre empresas e indivíduos.

 

 

Peter disse que muito do foco da CA seria sobre a importância do gerenciamento de identidade, incluindo testadas e verdadeiras soluções como fazer manter credenciais em cheque, aprendendo a evitar ataques de phishing e de forma adequada garantindo que os usuários não podem acessar mais do que o necessário.

 

 

As prioridades da Intel de segurança são igualmente enraizada na administradores de rede a seguir boas práticas, incluindo aumento da adoção do Instituto Nacional de Padrões e Segurança Cibernética Framework da Tecnologia - um conjunto de orientações que enfatizam bom planejamento sobre a tecnologia chamativo.

 

 

Ambos CA e um plano Intel para olhar "internet das coisas" questões, onde os itens comuns estão ligados a redes. o conselho superior da Intel será integrar a segurança no processo de design, enquanto o CA vai procurar melhorar as normas da indústria.

 

 

O papel do governo, disse Kent Landfield, diretor de padrões e políticas de tecnologia da Intel de segurança, não tem de ser muito mais do que incentivar as indústrias a desenvolver as melhores práticas.

 

 

"Uma grande parte do problema é fazer com que todos no mesmo lugar", disse ele.

 

 

A Câmara de Comércio dos EUA, também, vai olhar para promover o enquadramento NIST.

 

 

"Acreditamos firmemente no quadro e quer sustentar todo o impulso por trás dele, disse Matt Eggers, diretor-executivo para a política de segurança cibernética.

 

 

Mas o grupo de negócios também vai empurrar para o governo para melhorar a segurança cibernética nacional através do desenvolvimento de um sistema mais deliberada de responder aos ataques internacionais.

 

 

"Precisamos garantir custos mais elevados para atores ilícitos", disse ele

 

 

Eggers apontou para as normas internacionais propostos pelo secretário de Estado John Kerry durante uma visita de 2015 a Coreia do Sul. Mais relevante, que incluiu a proibição de estado de hackers para roubar propriedade intelectual e segredos de Estado e de cooperação internacional em investigações de segurança cibernética.

 

 

Eggers também planejado para empurrar para a partilha de informações recentes da legislação "para permanecer na pista."

 

 

compartilhamento de informações, no entanto, ainda é uma questão controversa. Embora alguns argumentam que os governos e as empresas não devem compartilhar inteligência sobre ameaças, defensores das liberdades civis ainda se preocupar com a privacidade.

 

 

"Seria perigoso, exceto que o [Lei de Segurança Cibernética Compartilhamento de informações] resolveu os problemas reais com privacidade ou liberdades civis enfermidades", disse Gabe Rottman, vice-diretor do Projeto de Liberdade, Segurança e Tecnologia no Centro para Democracia e Tecnologia.

 

 

Rottman disse que o CDT usaria sua apresentação à RFI para destacar o que vê como falhas de privacidade na legislação de segurança cibernética. Por exemplo, o CDT acredita que as regras de informação criados ao abrigo da Lei de Partilha de Informação de Segurança Cibernética falta proteções adequadas para a informação privada do indivíduo.

 

 

Ele referiu também vários métodos propostos de combater botnets, que são redes de computadores seqüestrados usados por criminosos. Muitos dos métodos propostos, incluindo mudanças controversas para as regras de recolha de provas que são suportados pelo Departamento de Justiça, permitir a aplicação da lei para cortar um computador ligado a uma botnet, sem contato com um proprietário em primeiro lugar.

日本語

 

 

8月10日に、米国国立標準技術研究所は、強化国家サイバーセキュリティ上のブランドの新しいホワイトハウス委員会を代表して、官報に記載されている情報(RFI)の要求を置きました。

 

 

トピックのリストは、効果的に今後10年間で出てくるかもしれないサイバーセキュリティに関連するすべての問題に関するフィードバックを求めて、広範囲でした。

 

 

セキュリティのプロ、業界団体や企業が返事を待つことはできません。

「我々は、それがもう少しRFISは、通常よりも開いていることを嬉しく思います。私たちは通常、上触れて取得しない問題について、もう少しオープンな方法で応答することができ、「ブレンダンピーター、CA Technologies社のグローバル政府との関係の副社長は語りました。

 

 

組織は、その応答に別のものに彼らの焦点を置いています。

 

 

セキュリティ製品を販売する企業は、例えば、サイバーセキュリティのベストプラクティスに大きな遵守に注力しています。これらのプラクティスは、専門家によると、今企業や個人に降りかかる悲惨なハッキングの多くを防ぐことができます。

 

 

ピーターは、CAの焦点の多くはアイデンティティ管理の重要性を試してみました含むと、チェックを保つの資格情報を作成するフィッシング攻撃を回避するために学習し、適切に確認し、ユーザーが必要以上にアクセスすることはできません作るような真の溶液と述べました。

 

 

派手な技術より良い計画を強調する一連のガイドライン - インテルセキュリティの優先事項は、同様に国立標準技術研究所のサイバーセキュリティフレームワークの増加採用など、グッドプラクティスを、次のネットワーク管理者に根ざしています。

 

 

どちらもCAとIntelの計画は、日常のアイテムがネットワークに接続されている問題、「モノのインターネット」を見て。 CAは、業界の規範を向上させるためになりますしながら、インテルのトップアドバイスは、設計プロセスにセキュリティを統合されます。

 

 

政府の役割は、ケントLandfield、規格や技術政策のインテルSecurityのディレクターは、ベストプラクティスを開発するために産業を奨励するよりもはるかにである必要はありませんと述べました。

 

 

「問題の多くは、同じ場所で皆を取得している、 "と彼は言いました。

 

 

コマースの米国商工会議所は、あまりにも、NISTのフレームワークを促進することになります。

 

 

「私たちはしっかりとフレームワークを信じ、その背後にすべての勢いを維持したい、マット・エッガース、サイバーセキュリティポリシーのエグゼクティブディレクターは述べています。

 

 

しかし、ビジネス・グループはまた、国際的な攻撃への対応をより計画的なシステムを開発することによって、国内のサイバーセキュリティを向上させるために、政府のためにプッシュします。

 

 

"我々は、違法行為者のためのより高いコストを確保する必要がある"と彼は言いました

 

 

エッガースは韓国に2015訪問中国務長官ジョン・ケリーによって提案された国際的な規範を指摘しました。ほとんどの意義が、彼らはサイバーセキュリティの調査に知的財産および国家機密と国際協力を盗むためにハッキング状態の禁止が含まれています。

 

 

エッガースはまた、最近の情報共有立法を推進する計画」トラックに滞在します。」

 

 

情報の共有は、しかし、まだ論争の問題です。いくつかは、政府や企業は脅威情報を共有するべきではないと主張しているが、市民自由の擁護はまだプライバシーを心配します。

 

 

「それは[サイバーセキュリティ情報の共有法]はプライバシーや市民的自由弱さと現実の問題を解決したことを除いては危険であろう、「ゲイブRottman、民主主義と技術のためのセンターでの自由、セキュリティ技術プロジェクトの副ディレクターは述べています。

 

 

Rottmanは、CDTは、それがサイバーセキュリティ法案におけるプライバシーの欠点として見ているもの強調するためにRFIへの提出を使用すると述べました。例えば、CDTはサイバーセキュリティ情報の共有法に基づく場所に置か情報ルールは、個人のプライベートな情報のための適切な保護を欠いていると考えています。

 

 

彼はまた、犯罪者によって使用されるハイジャックコンピュータのネットワークで戦ってボットネットの様々な提案された方法、を指摘しました。司法省によってサポートされている証拠収集のルールに論争の変更を含む提案されている方法の多くは、最初の所有者に接触することなく、ボットネットに接続されたコンピュータをハックする法執行を可能にします。

Le 10 Août, l'Institut national des normes et de la technologie, au nom de la marque nouvelle Commission de la Maison Blanche sur le renforcement de la cybersécurité nationale, placé une demande d'information (RFI) dans le Federal Register.

 

 

La liste des sujets est vaste, demandant effectivement des commentaires sur toute question relative à la cybersécurité qui pourraient se présenter au cours de la prochaine décennie.

 

 

pros de sécurité, les associations professionnelles et les entreprises ne peuvent pas attendre pour répondre.

«Nous sommes ravis que c'est un peu plus ouvert que normalement IFR sommes. Nous pouvons répondre de manière peu plus ouvert sur les questions que nous ne recevons normalement de ne pas toucher sur ", a déclaré Brendan Peter, vice-président des relations gouvernementales mondiales à CA Technologies.

 

 

Les organisations mettent leur accent sur des choses différentes dans leurs réponses.

 

 

Les entreprises qui vendent des produits de sécurité, par exemple, se concentrent sur une plus grande adhésion aux meilleures pratiques en matière de cybersécurité. Ces pratiques, disent les experts, pourraient empêcher la plupart des hacks désastreuses qui frappent désormais les entreprises et les particuliers.

 

 

Peter a dit une grande partie de l'accent CA aurait sur l'importance de la gestion des identités, y compris essayé et vraies solutions comme faire des informations d'identification de maintien en échec, apprendre à éviter les attaques de phishing et de façon appropriée fait que les utilisateurs ne peuvent pas accéder à plus que nécessaire.

 

 

Les priorités d'Intel de sécurité sont de la même racine dans les administrateurs réseau suivant les bonnes pratiques, y compris l'adoption croissante de l'Institut national des normes et cadre cybersécurité de la technologie - une série de lignes directrices qui mettent l'accent sur une bonne planification sur la technologie flashy.

 

 

Les deux CA et un plan Intel à regarder "internet des objets" questions, où des objets du quotidien sont connectés à des réseaux. top des conseils d'Intel va intégrer la sécurité dans le processus de conception, tandis que le CA va chercher à améliorer les normes de l'industrie.

 

 

Le rôle du gouvernement, a déclaré Kent Landfield, directeur d'Intel Sécurité des normes et la politique technologique, n'a pas à être beaucoup plus que d'encourager les industries à développer les meilleures pratiques.

 

 

"Une grande partie du problème est d'obtenir tout le monde dans le même endroit," dit-il.

 

 

La Chambre de commerce des Etats-Unis, aussi, cherchera à promouvoir le cadre de NIST.

 

 

«Nous croyons fermement dans le cadre et nous voulons soutenir tout l'élan derrière elle, a déclaré Matt Eggers, directeur exécutif de la politique de cybersécurité.

 

 

Mais le groupe d'affaires sera également pousser le gouvernement à améliorer la cybersécurité nationale en développant un système plus délibéré de répondre aux attaques internationales.

 

 

"Nous devons nous assurer des coûts plus élevés pour les acteurs illicites," at-il dit

 

 

Eggers a souligné les normes internationales proposées par le secrétaire d'État John Kerry lors d'une visite de 2015 pour la Corée du Sud. La plupart pertinente, ils ont inclus une interdiction sur l'état de piratage de voler la propriété intellectuelle et des secrets d'Etat et la coopération internationale sur les enquêtes en matière de cybersécurité.

 

 

Eggers également prévu de pousser pour le partage de l'information récente législation "pour rester sur la bonne voie."

 

 

Le partage d'informations, cependant, est encore une question controversée. Bien que quelques-uns soutiennent que les gouvernements et les entreprises ne doivent pas partager la menace intelligence, défenseurs des libertés civiles craignent toujours de la vie privée.

 

 

"Il serait dangereux de sauf que la [Loi sur le partage de l'information sur la cybersécurité] résolu des problèmes réels avec la vie privée ou des libertés civiles infirmités», a déclaré Gabe Rottman, directeur adjoint du Projet liberté, de sécurité et de la technologie au Center for Democracy and Technology.

 

 

Rottman dit le CDT utiliserait sa soumission à la DDR pour mettre en évidence ce qu'il considère comme des lacunes de la vie privée dans la législation sur la cybersécurité. Par exemple, la CDT estime que les règles d'information mis en place en vertu de la Loi sur le partage de l'information cybersécurité manquent des protections adéquates pour l'information privée de l'individu.

 

 

Il a également souligné à diverses méthodes proposées de botnets de défense, qui sont des réseaux d'ordinateurs détournés utilisés par les criminels. La plupart des méthodes proposées, y compris les modifications controversées aux règles de collecte de preuves qui sont prises en charge par le ministère de la Justice, permettent l'application des lois de pirater un ordinateur connecté à un réseau de zombies sans contact avec un premier propriétaire

El 10 de agosto, el Instituto Nacional de Estándares y Tecnología, en nombre de la marca nueva Comisión de la Casa Blanca sobre la mejora de Ciberseguridad Nacional, colocaron una solicitud de información (RFI) en el Registro Federal.

 

 

La lista de temas es extensa, pidiendo con eficacia para la retroalimentación sobre cualquier tema relacionado con la seguridad cibernética que pueda surgir durante la próxima década.

 

 

los profesionales de seguridad, las asociaciones comerciales y las empresas no pueden esperar para responder.

"Estamos encantados de que es un poco más abierta que las IFR normalmente. Podemos responder de una manera más abierta poco acerca de los problemas que normalmente no llegar a tocar ", dijo Brendan Peter, vicepresidente de relaciones gubernamentales globales en CA Technologies.

 

 

Las organizaciones están poniendo su atención en cosas diferentes en sus respuestas.

 

 

Las compañías que venden productos de seguridad, por ejemplo, se centran en una mayor adhesión a las mejores prácticas para la seguridad cibernética. Estas prácticas, según los expertos, podrían prevenir muchos de los cortes desastrosos que ahora acontecen a empresas y particulares.

 

 

Pedro dijo que gran parte del enfoque de CA sería sobre la importancia de la gestión de identidades, incluyendo intentado y soluciones verdaderas como la fabricación de credenciales manteniendo bajo control, aprender a evitar los ataques de phishing y apropiadamente garantizar que los usuarios no pueden acceder a más de lo necesario.

 

 

prioridades de Intel de seguridad se basan de manera similar en los administradores de red siguiendo las buenas prácticas, entre ellos el aumento de la adopción del Instituto Nacional de Estándares y Tecnología de Marco Ciberseguridad - una serie de directrices que hacen hincapié en una buena planificación sobre la tecnología llamativo.

 

 

Tanto CA y el plan de Intel para mirar "Internet de las cosas" temas, en los que los artículos diarios están conectados a las redes. el consejo superior de Intel será la integración de la seguridad en el proceso de diseño, mientras que CA buscará mejorar las normas de la industria.

 

 

El papel del gobierno, dijo Kent Landfield, director de estándares y políticas de tecnología de Intel de Seguridad, no tiene que ser mucho más que impulsar a las empresas a desarrollar mejores prácticas.

 

 

"Una gran parte del problema es conseguir que todos en el mismo lugar", dijo.

 

 

La Cámara de Comercio de EE.UU., también, buscará promover el marco del NIST.

 

 

"Creemos firmemente en el marco y queremos mantener todo el impulso detrás de él, dijo Matt Eggers, director ejecutivo de la política de seguridad cibernética.

 

 

Sin embargo, el grupo empresarial también presionará al gobierno para mejorar la seguridad cibernética nacional mediante el desarrollo de un sistema más deliberada de responder a los ataques internacionales.

 

 

"Tenemos que garantizar mayores costos para los actores ilícitos", dijo

 

 

Eggers señaló a las normas internacionales propuestos por el Secretario de Estado John Kerry durante una visita de 2015 para Corea del Sur. Lo más relevante, que incluyen la prohibición de la piratería estado de robar la propiedad intelectual y secretos de Estado y la cooperación internacional en las investigaciones de seguridad cibernética.

 

 

Eggers también planeó para impulsar el intercambio de información reciente legislación "para mantener el rumbo."

 

 

El intercambio de información, sin embargo, sigue siendo un tema controvertido. Aunque pocos argumentan que los gobiernos y las empresas no deben compartir la información sobre amenazas, las libertades civiles todavía se preocupan por la privacidad.

 

 

"Sería peligroso a excepción de que la [Ley de Intercambio de Información de Seguridad Cibernética] resuelve problemas reales en la vida privada o de las libertades civiles enfermedades", dijo Gabe Rottman, director adjunto del Proyecto de Libertad, Seguridad y Tecnología en el Centro para la Democracia y la Tecnología.

 

 

Rottman dijo que el CDT utilizaría su presentación a la RFI para destacar lo que ve como deficiencias en la legislación de privacidad de seguridad cibernética. Por ejemplo, la CDT cree que las normas de información establecidos en virtud de la Ley de Intercambio de Información de Seguridad Cibernética carecen de protecciones adecuadas para la información privada del individuo.

 

 

También se refirió a diversos métodos propuestos de redes de bots que luchan, que son redes de ordenadores secuestrados utilizados por los delincuentes. Muchos de los métodos propuestos, incluyendo los cambios polémicos a las reglas de recopilación de pruebas que son apoyados por el Departamento de Justicia, el permiso de la policía para hackear un ordenador conectado a una red de bots sin hacer contacto con un propietario primero.

Outcomes