RSAC16:英国政府改变网络安全钉
英国政府在其最后五年计划未能提供更好的结果之后,在其使命提高网络中提出网络安全标准的特派团。
据英国国家技术管理局有关信息保证CESG的说法,尽管有很多工作和花费了“相当大的钱”,但英国没有赢得网络安全战斗。
虽然英国可以指出围绕理解和减轻威胁并解决技能差距的成就,但“底线是[过去五年计划]尚未奏效,”CESG的网络安全总监Alex Dewdney告诉RSA 2016年会议在旧金山。
他说,这表明了90%的英国组织在2015年报告违约,引用英国政府的2015年信息安全漏洞调查。
然而,德沃尼很快补充说,P将是更高的 - 而且公司将失去更多的数据 - 这不是政府的投资和行为。
“所有这一切都是值得的,但英国有一些口头禅,解决我们的问题的解决方案是信息共享和公私伙伴关系,”他说。
然而,他说,英国政府正在远离信仰,如果它一直在做同样的事情,它就会显着导致改善。
“这种方法本身就是不够的。我们开始思考政府需要更加干预的程度,并积极参与其中一些挑战 - 仍然存在于行业,而是做出不仅仅是提供威胁信息和期望公司来处理它,“他说。
德沃德在小组上发表讲话,与白宫网络安全协调员迈克尔·丹尼尔和以色列国家网络局的首席技术官。
对于以色列来说,Steinherz表示,未来一年的挑战包括实施新制定的网络安全战略,以及建立网络安全机构来监督该过程。
丹尼尔表示,美国认为,除非涉及潜在的网络安全挑战,否则互联网的风险成为西方的责任。
“总统向我们收取了搬运针头的方法,并在未来10到11个月内对我们的网络安全有所作为。但[我们必须]还将该国放在一个更好的轨道上,以便在未来三到五年内领先于那些威胁趋势,“丹尼尔说。
关于政府网络安全的改进,Dewdney表示,这是英国的“巨大的”重点,因为开车在网上向英国公民提供服务。这是使政府更高效和有效的关键部分。
参考关于人事管理办公室(OPM)办公室的网络攻击,德沃德表示损害了2000多万现任及前政府雇员的个人数据,对英国政府网络安全负责人非常可怕。
“这害怕那些没有想到关于网络安全的人,这真的很有帮助,”他说。
德沃德的OPM漏斗导致英国政府承认需要改革其高级信息风险办公室(Siro)的作用。
违规行为启发了对英国政府持有的批量数据持有的快节奏调查,以及政府部门的衡量,遵守控制措施的“相当基本的集合”,反过来导致采取补救行动。
询问托管安全服务是否是需要相对较小的机构的问题的潜在答案 - 例如OPM - 照顾自己的网络安全,丹尼尔表示,美国政府了解到“每个机构独自”的模型是可能不会上班。
“期待代理商的大小可以在网络安全功能中部署最新的网络安全功能 - 鉴于我们面临的威胁 - 可能是不是现实的。但这并不意味着他们不应该有责任保护他们的信息。
“我们真正谈论的是拯救他们必须提供自己的网络安全。应该有集中的网络安全 - 以及他们的许多其他工作也应该是普通服务。
我们不能削弱运营亚历克斯·德沃迪(CESG)的人所拥有的风险感“这是我们需要为联邦政府提供的方向。丹尼尔说,它将获得我们可以集中在一些主要代理商的几个主要代理商中专注于一些主要的机构,以便获得所需的规模经济,“丹尼尔说。
德沃尼表示,从英国的角度来看,有一些关于托管服务的东西,这是“吨意义”。然而,他说“我们不能削弱运营部门的人所拥有的风险感。
“当您使用诸如托管服务或外包等术语时,您可能并不意味着转移风险,但它可能影响组织高级管理层的态度。一旦你失去了,你就会陷入困境,“德沃德说。
在以色列中,斯坦赫斯表示,政府为政府安全运营中心提供了“创新招标”,其中包括一些托管服务。
“这是外包的组合 - 所以我们得到最好的技术 - 但政府和外包员工都有混合。我们在我们的政府中建立了一个单位,指示政府军官关于网络安全。他说,责任是他们的,但有人为他们提供最好的做法和标准,“他说。
丹尼尔说,政府的另一个关键挑战是“折磨很多公司”的遗留体系问题。他说,维持遗留系统相对容易,但难以赚钱来取代它们。
“你保持比你应该更长的旧东西。结果是它变得非常难以捍卫。这意味着我们已经挖了一个非常深的洞,这将需要一段时间来离开,“他说。
然而,德沃尼表示,他羡慕丹尼尔将“网络资金”花在修复遗产问题上,这是英国政府的巨大挑战。
“我试图使这个论点是需要在解决更复杂的东西之前修复遗留问题。但是,尽管令人思考,但在英国政府中有一个不情愿的人[在英国政府]将网络节目金钱[关于所考虑的东西]。“他说。
关于资源的询问,丹尼尔表示,19亿美元的公益于本财政年度的总统预算,借助大量资源的政府的网络安全计划。
在英国,Dewdney表示,这不是一个资金问题,因为它是一个人力资源问题。“缺乏国家有相关技能的人们的可用性,但也有一个组织,如CESG,它试图提供网络安全服务并进行运营,可以招募和保留公共服务技能。
“这也是政府技术领导,因为 - 整体 - 英国政府领导层与科技公司领导人没有相同的技术技能。”
德沃尼表示,当谈到资源时,英国政府总是在耗尽资金之前耗尽人。
在以色列说,斯坦赫斯说,这一问题有点抵消了政府通过其强制性军事征兵计划通过培训计算机科学,网络安全和道德培训。
询问其全国计算机应急响应团队(CERT)专注于,丹尼尔表示,美国证书正在获得工业控制系统(ICS)所有者和运营商来加强他们的比赛。这使他们意识到他们必须在过去十年中,金融服务业一直在制定的网络安全投资。
Steinherz表示,ICS系统的漏洞是每个国家都面临的大威胁。“以色列的重点是提出最佳实践,因为必要的技术可用。他说,还要发布对这些问题的认识,因为ICS超越关键基础设施并触及每个生产线,并在数据中心和许多“智能”建筑中的每一个控制,“他说。
Dewdney表示Cert-UK,在英国的国家事件响应流程上非常密切地教,将它们全部带入一个更加连贯的响应框架。它还研究将CERT-UK整合到英国计划的新国家网络中心,以使政府的不同武器。