Un groupe chargé de concevoir des stratégies pour dissuader les cyberattaques demande la divulgation publique obligatoire des incidents de fraude et de piratage par les gouvernements et les organisations de toutes tailles, y compris les banques.
Les recommandations étaient l’un des principaux axes d’un rapport publié plus tôt ce mois-ci par le Conseil National de Recherchequi a été chargé d’examiner la question par le Bureau du directeur du renseignement national. Le document de 400 pages vaut bien le temps d’être lu, ou du moins parcouru. La majeure partie du document explique comment la résolution des problèmes associés à la cybercriminalité nécessite d’aligner les incitations et les responsabilités afin que ceux qui sont les mieux placés pour résoudre les problèmes soient incités à le faire.
Mais pour moi, les éléments les plus intéressants et les plus utiles du rapport se trouvent à la fin, où le groupe formule plusieurs recommandations politiques générales, notamment :
- Atténuation des infections de logiciels malveillants via les FAI grâce à un nettoyage subventionné
- Divulgation obligatoire des pertes dues à la fraude et des incidents de sécurité
- Divulgation obligatoire des incidents et des intrusions dans le système de contrôle industriel
- Regroupement des signalements de cyberespionnage et signalement à l’Organisation mondiale du commerce
Je ne sais pas à quel point les deux dernières recommandations seraient efficaces ou réalistes, mais en tant que journaliste, je suis naturellement enclin à divulguer des données chaque fois que possible. Les lecteurs fidèles savent sans doute où je me situe sur les deux premiers points. J’ai longtemps réclamé une sorte de système dans lequel les FAI sont encouragés ou incités à nettoyer régulièrement leurs réseaux pour les clients infestés de robots et les sites Web compromis.
Et il se passe à peine un mois sans que quelqu’un me demande où trouver des statistiques agrégées sur les coûts de la cybercriminalité et de la fraude bancaire sur Internet aux États-Unis. Les banques ne sont pas tenues de publier des rapports sur leurs pertes, et bien qu’elles sont censés publier des indicateurs de fraude (par le biais de rapports d’activités suspectes), les institutions financières semblent être inégales et à contrecœur à propos de ce niveau de signalement également. Écrivant pour SC Magazine plus tôt cet été, Charles Jeter du fabricant de logiciels de sécurité ESET écrit un utile Trois partie séries sur l’absence de rapports par les banques sur les coûts des chevaux de Troie bancaires en ligne.
Le rapport gratuit est disponible sur ce lien.
Parlant des tendances mondiales de la cybercriminalité, Microsoft a publié son semestriel Rapport sur les renseignements de sécurité couvrant l’activité de cybercriminalité observée au premier semestre 2010. Quiconque recherche des données granulaires sur les menaces les plus répandues (du moins du point de vue de Microsoft dans le nettoyage de millions de PC) devrait consulter ce rapport informatif. Sans surprise, les États-Unis (ou plus précisément les FAI basés aux États-Unis) continuent de dominer le monde en matière d’infections par les botnets.
Alors que nous parlons de violation de données et de divulgation d’attaques, le moment semble maintenant idéal pour mentionner que Réseaux Arbor cherche une perspective supplémentaire pour son rapport annuel Rapport mondial sur les menaces à la sécurité des infrastructures. Arbor est à la recherche de quelques administrateurs réseau avertis pour partager anonymement des expériences et des points de vue sur les risques opérationnels et les défis liés à la construction, à l’exploitation et à la défense de grands réseaux. Si cela vous décrit, consultez leur enquête.