Sikkerhetsteknikk: Et nødvendig yrke

Kjenner du igjen navnet Eric Arthur Blair? Tenk på dette, han solgte flere bøker enn noen annen forfatter fra det 20. århundre, og på grunn av ham ble begrepet Orwellian myntet. Jeg husker at jeg leste begge de ofte siterte bøkene hans på videregående skole, og den følelsen av en ubehagelig følelse da læreren påpekte at 1984 bare var 18 år borte.

Jeg er heldig som kjenner (intervju) Cory Doctorow, en moderne science-fiction forfatter og talsmann for personvern. Spådommene hans om vår digitale fremtid har fått den samme foruroligende følelsen som George Orwell gjorde tilbake for så lenge siden.

Cory's fremtid

Cory ser en krig komme, men det er ikke det du tror. Torven som kjempes over er vår digitale frihet og hvordan den forholder seg til generell databehandling. Han sa det slik:

Datamaskiner er overalt. De er nå noe vi legger hele kroppene våre i - fly, biler - og noe vi legger i kroppene våre - pacemakere, cochleaimplantater. De være pålitelige.

Cory refererer gjerne til filmen 2001: A Space Odyssey. Husk da Hal, datamaskinen som kontrollerte omtrent alt i romskipet, sa: "Jeg beklager Dave, jeg er redd for at jeg ikke kan gjøre det." Ikke bra når du er inne i et dypt rom og datamaskinen ikke lar deg komme om bord på skipet.

Den "som overstyrer hvem" tankegangen er utbredt i Cory's science-fiction-skriving, og enda mer når han er i talsmannsmodus. I sin presentasjon for Forfattere på Google, refererer Cory til noen få eksempler som ikke involverer Hal.

Et interessant eksempel er en GPS-enhet med noen få tilleggsfunksjoner. Si at du ville finne en sjømatrestaurant ved hjelp av GPS-en. Hva om en steakhouse-kjede betalte GPS-selskapet for å sikre ruten du gikk forbi flere av deres etablissementer.

Et mer orwellsk eksempel dreier seg om cochleaimplantater (høflighet av Wikipedia):

En kirurgisk implantert elektronisk enhet som gir en følelse av lyd til en person som er dypt døv eller hardhørende. Kokleære implantater blir ofte referert til som et bionisk øre.

Er det for langsiktig å se regjeringer som krever evnen til å overvåke alle samtaler som blir snappet opp av implantatet? I sin samtale beskrev Cory (rapport fra Yahoo News) hvordan den kanadiske regjeringen forsøkte - uten hell - å koble kanadiske flyplasser med lytteenheter spesielt for å registrere passasjersamtaler. Det er ikke mye strekk å komme til personlig lyttende enheter.

Ekte eksempler

I sin artikkel, "Lockdown", går Cory i detaljer som beskriver eksempler fra det virkelige liv. Jeg satser på at alle husker Sony-fiaskoen der selskapet skjult installerte rootkits på seks millioner lyd-CD-er? En annen, i utdanningssystemet vårt: husker du Lower Merion School District og deres webcam spion-skandale?

Ikke deres skyld

Mange legger skylden på den aktuelle situasjonen på politikere og myndighetspersoner. Jeg trodde Cory var på vei i den retningen. Men han overrasket meg:

Det er fristende å stoppe historien her og konkludere med at problemet er at lovgivere enten er clueless eller onde, eller muligens onde clueless. Dette er ikke et veldig tilfredsstillende sted å dra, for det er i grunn et råd om fortvilelse; det antyder at problemene våre ikke kan løses så lenge dumhet og ondskap er til stede i maktens saler, det vil si at de aldri vil bli løst. Men jeg har en annen teori om hva som har skjedd.

Annet enn politikerne selv, kan Cory være den eneste personen som føler det. Han sa han ville forklare:

Det er ikke slik at regulatorer ikke forstår informasjonsteknologi, fordi det skal være mulig å være ikke-ekspert og fremdeles lage en god lov. Parlamentsmedlemmer, Kongressen og så videre blir valgt til å representere distrikter og mennesker, ikke disipliner og spørsmål.

Cory fortsetter:

Vi har ikke et parlamentsmedlem for biokjemi, og vi har ikke en senator fra den store byplanleggingen. Og likevel klarer de menneskene som er eksperter på politikk og politikk - ikke tekniske fagdisipliner - å vedta regler som er fornuftige. Det er fordi regjeringen er avhengig av heuristikk: tommelfingerregler for hvordan de skal balansere ekspertinnspill fra forskjellige sider av et spørsmål.

Men:

Informasjonsteknologi forvirrer disse heuristikkene - det sparker dritt ut av dem - på en viktig måte.
De viktige testene for hvorvidt en forskrift er egnet til et formål eller ikke, er først om den vil fungere, og for det andre om den i løpet av utførelsen av arbeidet vil påvirke alt annet.

Cory fortsetter med å bygge saken sin i resten av foredraget. Hvis du ikke er overbevist, kan du se videoen. Akkurat nå ønsker jeg å introdusere noen som har en mulig løsning.

En utvei

Bruce Schneier, som ikke trenger noen introduksjon, er godt klar over hva Cory viser til. I sitt siste Crypto-Gram-nyhetsbrev hadde Bruce dette å si:

Dette problemet er ikke unikt for datasikkerhet, eller til og med sikkerhet generelt. Men denne misoppfatningen om sikkerhet betyr nå mer enn den noensinne har gjort. Vi ber ikke lenger folk om å ta sikkerhetsvalg bare for seg selv og sine virksomheter; vi trenger at de skal ta sikkerhetsvalg som et spørsmål om offentlig politikk. Og å få det galt har stadig dårligere konsekvenser.

Bruce gir disse eksemplene:

  • Underholdningsindustrien ønsker å håndheve copyright.
  • Internett-selskaper ønsker å fortsette å spionere på brukere fritt.
  • Rettshåndhevelse ønsker egne lover pålagt på Internett.
  • Militarier ønsker lover angående nettvåpen, muliggjør overvåkning i engros og en drepsbryter på internett.

Bruce påpeker deretter det han føler er frakoblingen:

Valgte tjenestemenn vil forventes å forstå sikkerhetsmessige implikasjoner, både gode og dårlige, og vil lage lover basert på denne forståelsen. Og hvis de ikke er i stand til å forstå sikkerhetsteknikk, eller til og med akseptere at det er noe slikt, vil resultatet være ineffektiv og skadelig policy.

Høres kjent ut? Det jeg synes var oppmuntrende, er at Bruce tilbyr en mulig løsning. Bruce mener vi må etablere "sikkerhetsteknikk" som et gyldig yrke i hodet til publikum og beslutningstakere:

  • Denne stillingen handler mindre om sertifiseringer og (himmelt forbudt) lisensiering, og mer om oppfatning - og å kultivere et trygghetssyn.
  • Vi må også engasjere oss i sikkerhetsproblemer i den virkelige verden, og anvende vår ekspertise på de mangfoldige tekniske og sosio-tekniske systemer som påvirker et bredere samfunn.
  • Det viktigste er kanskje at vi må lære oss å snakke om sikkerhetsteknikk til et ikke-teknisk publikum.

Hvorfor prosjektering?

Som en med bakgrunn i prosjektering forsto jeg umiddelbart Bruces resonnement. Prosjektering er per definisjon:

Vitenskapen, ferdigheten og yrket med å tilegne seg og anvende vitenskapelig, økonomisk, sosial og praktisk kunnskap; for å designe og bygge strukturer, maskiner, enheter, systemer, materialer og prosesser.

Sikkerhet per definisjon er:

Graden av beskyttelse for å beskytte en nasjon, forening av nasjoner eller mennesker mot fare, skade, tap og kriminalitet.

Høres ikke det ut som en disiplin som er i stand til å bygge broer mellom brukere og beslutningstakere? Bruce er også fast på at praktiserende sikkerhetsingeniører må si:

Vi må overbevise beslutningstakere om å følge en logisk tilnærming i stedet for en emosjonell tilnærming - en tilnærming som inkluderer trusselmodellering, feilanalyse, søke etter utilsiktede konsekvenser og alt annet i en ingeniørs tilnærming til design.

Et siste ord

Jeg ønsket å gi både Cory og Bruce et siste ord om dette ekstremt viktige emnet. Først, Cory:

Frihet i fremtiden vil kreve at vi har kapasitet til å overvåke enhetene våre og fastsette meningsfylte retningslinjer for dem; å undersøke og avslutte programvareprosessene som kjører på dem; og å opprettholde dem som ærlige tjenere etter vår vilje, ikke som forrædere og spioner som jobber for kriminelle, kjeltringer og kontrollfreak.

Nå Bruce:

Alt involverer datamaskiner, og nesten alt involverer Internett. Mer og mer er datasikkerhet sikkerhet. Kraftige lobbystyrker forsøker å tvinge sikkerhetspolitikk mot samfunnet, i stor grad av ikke-sikkerhetsmessige årsaker, og noen ganger i det skjulte. Vi må stå opp for sikkerhet.

Siste tanker

“Datasikkerhet er sikkerhet” sier alt. Vi er endelig på det punktet, selv om du ikke eier en eneste digital enhet, kontrollerer datamaskiner livet ditt. Science fiction eller science, det er vårt valg.

© Copyright 2020 | mobilegn.com