Information security for non-techni

Information security for non-technical managers 1 1. Information security in context In this chapter we consider: • A short history of information technologies, its side effects and unintended consequences • Why information security and information technology security have become important • The ubiquity and irreversible dependency of information technologies There are technical aspects that make cyberspace inherently insecure and are virtually impossible to completely “fix”. Alexander Klimburg, Editor and co-author: National Cybersecurity Framework Manual, NATO CCDCOE, 2013 1.1. A short history of information technologies and their side effects Those of us who worked in research laboratories close to the leading edge of technical innovation in the 1960s and 70s, look at today’s technologies with amazement, if not incredulity. Many industry leaders failed to anticipate how these technologies would change the world: • In 1943, Thomas Watson, then President of IBM, predicted that: “I think there is a world market for maybe five computers”. • In 1977, Ken Olsen, then President of Digital Equipment Corporation said that: “There is no reason for any individual to have a computer at home”. The company no longer exists… These transformational successes include digital integrated circuits (“chips”) and the DARPANet (precursor of the Internet) of the mid 1960s, the personal computers, mạng lưới sợi quang và các điện thoại di động của thập niên 1970. Sau đó, đến người dùng đồ họa giao diện (ví dụ như Apple Mac năm 1984 và Windows năm 1990), thế giới rộng Web (1991) và Google (1998). Các mô hình đầu tiên của iPhone (Apple) đã được đưa ra trong năm 2007 và các mô hình đầu tiên của iPad theo sau vào năm 2010. Cải tiến này đã không dừng lại và cho thấy không có dấu hiệu của làm như vậy. Nếu bất cứ điều gì, nó có thể tăng tốc. Bảo mật thông tin cho người quản lý kỹ thuật 2 Tất cả những người nhìn xa trông, đủ để tin rằng các công nghệ này sẽ biến đổi thế giới những người đã được chuẩn bị để đầu tư vào họ (một canh bạc thực) đã trở nên giàu có đáng ngạc nhiên. Những người trong chúng ta những người bảo thủ hơn các nhà tư tưởng và hơi nguy cơ-averse mong muốn chúng tôi có. Mặt khác đã có nhiều thất bại-ý tưởng, sản phẩm và dịch vụ mà cho thấy tiềm năng đáng kể nhưng không thành công. Bao nhiêu nhớ công ty thích Wang (một lãnh đạo trong xử lý và mini-máy tính trong cuối thập niên 1970 hoặc AltaVista, công cụ tìm kiếm tung ra vào năm 1995. Làn sóng này nhanh chóng của sự đổi mới, mà một số gọi là một Technami, mang lại với nó bên hiệu ứng và hậu quả không mong đợi. Mất an ninh thông tin là một trong số họ và có trở thành một vấn đề quan tâm. Technami tiếp tục: đổi mới tại bao gồm xe ô tô mà không cần một trình điều khiển của con người, robot phẫu thuật máy (vẫn còn điều khiển bởi một con người "nhưng điều này có thể thay đổi), linh hoạt và mặc thiết bị và phương pháp tiếp cận mới để quân đội thiết bị điện tử. Sản phẩm công nghệ thông tin được cung cấp trên cơ sở "như là", với giới hạn bảo hành và, trong trường hợp của phần mềm, giấy phép loại trừ các nhà cung cấp từ trách nhiệm pháp lý cho những hậu quả của sự cố hay thất bại. Hầu hết các giấy phép người dùng cuối Thỏa thuận (EULA) được lâu dài và khó hiểu bởi người ngoại đạo, người đã chấp nhận Các điều khoản và điều kiện để cài đặt phần mềm. Nhiều người trong số các ứng dụng"" được thiết kế cho điện thoại thông minh và máy tính bảng có thể không có bảo đảm chất lượng đầy đủ và một số có được hiển thị để chứa phần mềm độc hại (malware). Điều này là không giống như vị trí của ngành công nghiệp dược phẩm: một giấy phép để bán một sản phẩm yêu cầu mở rộng kiểm tra giao thức nghiêm ngặt sau đây. Khi bán, sản phẩm bao gồm một tập tài liệu mô tả có thể có tác dụng phụ và chống chỉ định. Quá trình này không phải luôn luôn đảm bảo rằng sản phẩm được an toàn đủ và một số đã được rút ra từ thị trường. Tuy nhiên, điều này là tốt hơn so với "bạn đã mua nó, bây giờ may mắn". 1.2. tại sao bảo mật thông tin là ngày càng quan trọng Chúng tôi bây giờ biết rằng những điều không mong muốn xảy ra trong không gian mạng. Danh sách sau không đầy đủ là ngây thơ của con người giữ phát triển các cách thức mới để khai thác mất an ninh: Bảo mật thông tin cho người quản lý kỹ thuật 3 • Mất mát tài chính: năm 1995 một ngân hàng Anh với một lịch sử lâu dài đã đi ra khỏi kinh doanh, sau đó, trong năm 2008 một ngân hàng Pháp mất trên 6 tỷ Euro. Năm 2011 một Swiss ngân hàng hoạt động tại London mất 2 tỷ đô la. Trong trường hợp ba thông qua nội bộ lạm dụng hoặc lạm dụng. Đây không phải là tình huống duy nhất. • Từ chối dịch vụ tấn công-tình trạng quá tải hệ thống, thường là một trang web hay một thư điện tử dịch vụ do đó nó không thể hoạt động. Các cuộc tấn công được dễ dàng đủ để thực hiện ra và thường thành công. • Phá hoại của mạng hoặc hệ thống máy tính ảnh hưởng đến hoạt động của họ. • Sử dụng các phần mềm độc hại để nắm quyền kiểm soát của một máy tính hoặc máy tính hệ thống nhất dự tất cả hay bất kỳ nhiều lý do có thể. • Hành vi trộm cắp tài sản trí tuệ-bao gồm cả gián điệp công nghiệp. • Hành vi trộm cắp thông tin nhận dạng cá nhân-một sự vi phạm quyền riêng tư dẫn đến mạo danh. • Tham nhũng hoặc hủy diệt của công ty dữ liệu hoặc phần mềm-thường xuyên sử dụng phần mềm độc hại. Có đang phát triển mối quan tâm về nguy cơ tấn công ngày quan trọng cơ sở hạ tầng như tiện ích (điện, nước, truyền thông, giao thông vận tải, bệnh viện, vv.) cũng như trên thực thi pháp luật và dịch vụ khẩn cấp. Chính trị gia trên khắp thế giới cũng đã chấp nhận rằng có là một mối đe dọa thực thể đó vai trò quan trọng trong an ninh quốc gia, như quân sự tiện nghi và hoạt động tại các lĩnh vực này, mục tiêu của một mạng có thể tấn công. Cá nhân đều mục tiêu, ví dụ bởi: • Lây nhiễm cho một thiết bị cá nhân với phần mềm độc hại (virus, sâu, Trojan Ngựa, Rootkit, vv). • Mất kiểm soát của một thiết bị cá nhân được sử dụng mà không có kiến thức về consent to disseminate spam or carrying out a Denial of Service (zombie, botnet). • Impersonation – senior executives in Interpol and NATO have had – without their knowledge or consent – Facebook pages about them created and exploited Information security for non-technical managers 4 to acquire “friends”. These were then requested to provide information. The individuals concerned were unaware of this. • Abuse of trust – an academic researcher created accounts in Facebook, Twitter, Linkedin and other social media for a bright young woman (Robyn Sage) with impressive credentials. So impressive that many not only wanted to be linked to her, but offered her employment (unseen) or shared sensitive documents to seek her opinion. In reality Robyn did not exist – her identity was part of research into how trust is used and abused in social networks. • Identity theft – including data on bank accounts, credit cards, etc., causing individuals financial losses that are complex to unravel. • Blackmail – for example by encrypting the data in a computer and demanding payment to provide the decryption key. • Attacks on mobile phones with the primary objective of financial theft. etc. 1.3. Ubiquity and irreversible dependencies Could one imagine an environment today without information technologies (I.T.), mobile devices or the Internet? There are few places left where only a few privileged individuals have the technical and financial means to avail themselves of such tools, and the number is steadily decreasing. Statistics published by the Internet World Stats estimated that by mid 2012 there were over 2.4 billion Internet users (have you noticed that only drug dealers and the I.T. industry refer to their clients as “users”?). Other sources give comparable numbers. The International Telecommunications Union, an organization of the United Nations reported that in October 2012 there were over 6 billion mobile telephone subscribers. At that time the world population was just over 7 billion, many of whom subsist on less than $2 a day. Clearly, information and the technologies that enable access to it have become “must have” items, not only for individuals but also for nations and businesses of all kinds. The enthusiasm for new gadgets and services defies belief. The launch of a new product can cause people to queue overnight in the street waiting for the store to open. Information security for non-technical managers 5 While this may not be obvious to the general public, technologies are not perfect. Besides, the ways in which users protect their systems and data are not perfect either and neither are the users themselves – errors are made by everyone (chapter 6 will return to this topic). Many are also unaware of their role in protecting their personal information and the corporate information of their employer. The rest of this book concentrates on the
need for good information security and what this involves.
2. Lessons identified in the last ten years
In this chapter we consider
• How ambiguity in the language of information security leads to
misunderstandings and confusion
• The major information insecurity target areas: crime, critical infrastructures,
government, the military and individuals
• Why many organisations are unprepared despite the standards, guidelines and
good practices available
• The asymmetric nature of what has become a war of attrition
• How maintaining security is everybody’s job
2.1. The semantics of information security
…confuse their language so they will not understand each other.
Genesis 11:7, the Bible, New International Version, © 2011