Il existe plusieurs problèmes de politique de cybersécurité à Capitol Hill qui méritent d’être surveillés. Les législateurs du Sénat ont introduit une mesure qui appellerait à des restrictions commerciales contre les pays identifiés comme paradis des pirates. Une autre proposition rencontre la résistance des universitaires qui s’inquiètent de l’effet des programmes de certification obligatoires du projet de loi pour les professionnels de la cybersécurité.
Tel que rapporté par La colline un journal, Sénateurs Orrin Hatch (R-Utah) et Kirsten Gillibrand (D-NY) ont introduit La loi sur la dénonciation et la coopération en matière de cybercriminalité internationaleun projet de loi qui pénaliserait les pays étrangers qui ne parviennent pas à sévir contre les cybercriminels opérant à l’intérieur de leurs frontières.
Selon The Hill, la mesure :
« … charger la Maison Blanche de la responsabilité d’identifier les pays qui posent des cybermenaces, que le président devrait présenter au Congrès dans un rapport annuel. Ces États devraient alors élaborer des plans d’action pour lutter contre la cybercriminalité ou réduire les risques de leurs dollars d’exportation américains, de leurs fonds d’investissement étrangers directs et de leurs subventions d’aide au commerce, ont expliqué les législateurs.
Suite ici.
C’est une bonne idée, bien que difficile à mesurer et à appliquer. j’ai souvent disputé qu’il est remarquable que les États-Unis incluent des mesures visant à réduire le piratage de logiciels dans leurs politiques commerciales avec d’autres pays, et pourtant ils ne font rien pour exiger plus d’action contre la cybercriminalité. J’applaudis cet effort, mais si les législateurs veulent vraiment sévir contre les endroits qui semblent trop tolérants à l’activité de cybercriminalité, ils devraient peut-être commencer par regarder un peu plus près de chez eux.
Par ailleurs, l’un des plus grands et des plus anciens groupes informatiques éducatifs et scientifiques au monde se dit « profondément troublé » par les dispositions relatives à la formation obligatoire incluses dans La loi sur la cybersécuritéun projet de loi proposé par Sénateurs Jay Rockefeller (DW.Va.) et Olympie Snowe (R-Maine). Le projet de loi vise à protéger l’infrastructure réseau américaine critique contre les menaces de cybersécurité, mais il comprend un langage interdisant à quiconque d’offrir des services de cybersécurité à une agence ou à un système fédéral sans être certifié et autorisé en tant que tel dans le cadre d’un programme à déterminer par le Département du commerce. .
Dans une lettre envoyé aux législateurs cette semaine, le Association américaine pour les machines informatiques et le Association de recherche en informatique Selon le projet de loi, la mesure met l’accent sur la formation à des techniques étroites plutôt qu’à une éducation à la conception de systèmes holistiques. Le groupe a affirmé que, tel qu’il était écrit, le projet de loi serait…
« … exiger un régime de certification complexe, non testé et obligatoire pour les employeurs publics et privés presque immédiatement après la réalisation d’une étude des académies nationales pour déterminer – et cela n’a pas encore été déterminé – si un tel programme serait même réalisable. Il est prématuré d’imposer la création d’un nouveau programme de certification massif sans le bénéfice d’une étude minutieuse et délibérée des Académies qui examine à la fois la faisabilité et les effets secondaires d’un tel programme.
Gène Spaffordprofesseur d’informatique à Université Purdue et l’un des signataires de la lettre, a déclaré que les exigences de certification telles qu’énoncées dans le projet de loi auraient des implications profondes sur la façon dont les collèges et les universités enseignent la sécurité à travers le pays.
« Microsoft a investi plus d’un milliard de dollars dans la production d’une sécurité bien meilleure, regardez à quelle fréquence ils trouvent des failles dans leurs produits. Google est connu pour embaucher les personnes les plus brillantes et être très préoccupé par la sécurité, et regardez ce qui s’est passé en Chine », a déclaré Spafford à breachtrace sur la sécurité. « Donc, établir un régime pour exiger que tout le monde soit certifié dans quelque chose que nous ne savons pas faire et qui change presque tous les mois est une approche dangereuse. Ce n’est pas seulement coûteux, mais c’est dangereux dans le sens où des groupes établiront des normes de certification basées sur ce qu’ils enseignent, et non sur ce qui est probablement une bonne pratique.
Spafford a déclaré que les exigences seraient sans aucun doute une aubaine pour les entreprises qui proposent des cours de formation, mais que son organisation n’a vu aucune preuve qu’un groupe de personnes possédant une certification particulière produise un meilleur code informatique.
« Étant donné qu’une grande partie du code actuellement utilisé est produit à l’étranger, c’est là que certains des aspects internationaux entrent en jeu », a-t-il déclaré. « Donc, essayer d’exiger des certifications semble être une bonne idée à première vue, mais nous avons discuté [this] de plusieurs manières pendant de nombreuses années, et notre conclusion est que nous ne sommes tout simplement pas encore prêts.
Alain Pallerdirecteur de recherche pour le Institut SANSune organisation qui propose une formation et une certification en matière de sécurité, a comparé le marché actuel des ingénieurs logiciels et réseau au début des années 1900, avant que les médecins ne soient obligés d’obtenir une licence.
« Le pays n’aimait pas le fait que les médecins pouvaient enseigner tout ce qu’ils voulaient et que les gens n’avaient aucune idée de ce qu’ils obtenaient chez un médecin », a déclaré Paller. « En 1915, ils ont créé un conseil national des médecins légistes qui a déclaré que les écoles peuvent enseigner tout ce qu’elles veulent, mais que les diplômés doivent montrer qu’ils peuvent pratiquer ces méthodes en médecine, et les États ont déclaré que si vous n’avez pas de diplôme en médecine, vous ne pouvez pas pratiquer. Médicament. C’est un peu la même situation avec les ordinateurs aujourd’hui : la plupart des gens qui disent connaître la sécurité n’en ont aucune idée. Ils ne connaissent pas les meilleures pratiques, diable, ils ne savent même pas quoi TCP est. Les experts en sécurité doivent avoir les compétences nécessaires pour renforcer les systèmes et les rendre plus difficiles à pénétrer, et pour protéger les systèmes grâce à la surveillance et à l’investigation du système, [Technicians need to] il faut avoir les bases communes, puis quelques spécialisations. C’est idiot pour les universitaires de prétendre qu’il n’y a pas de norme, parce que c’est exactement ce qu’ils disaient en médecine il y a 100 ans, et ils ont tué beaucoup de gens.
Vous avez des opinions bien arrêtées sur ces procédures et/ou sur d’autres procédures de politique de cybersécurité ? Sonnez dans les commentaires ci-dessous.