黑观点II

被黑的见解:被黑的合法性– Joseph Pizzo

来自挪威的约瑟夫·皮佐(Joseph Pizzo)谈论黑客法规和立法

美国政府最高法院
Thinkstock

黑观点II

展示更多

约瑟夫·皮佐(Joseph Pizzo)在与行业领导者和专家进行的一系列专题讨论中,与CSO讨论了黑客法规和法律。

Hacked Opinions是一系列正在进行的Q&与行业领导者和专家一起探讨影响安全社区的许多主题。 第一组讨论 侧重于披露以及即将发生的监管如何对其产生影响。本周,CSO将发布第二组讨论的最终意见,以讨论安全研究,安全立法以及将研究人员告上法庭的艰难决定。

小意见 智库

公民社会组织鼓励每个人都参加“黑意见”系列。如果您对第三系列的“ hacked Opinions”主题有任何想法或建议,或者想成为参与者,请随时直接向Steve Ragan发送电子邮件。

对于网络安全,您认为立法者最大的误解是什么?

北欧(JP)现场工程师Joseph Pizzo: 似乎最大的误解是他们实际上了解了什么是网络安全,并将其通常与黑客相关联,例如在电影和电视节目中,在几秒钟之内就显示了漏洞。缺乏对各种违规途径的理解,导致了一个假设,即如果我们采用一种方法论来解决问题,那么问题将得到解决。

您对考虑影响安全研究或开发的立法的立法者有何建议?

J.P: 立法者应该与专家进行对话,这些专家本身就是测试系统和安全软件的漏洞,编写最佳实践并开发系统来防止违规行为,而不仅仅是企业高管。

如果您可以在现有法规或待定法规中增加一行内容,并且侧重于研究,黑客攻击或其他相关的安全主题,那将是什么?

J.P: 如果我们看一下CISA,有几个领域需要解决。例如,某些NIST提议没有涉及基本的安全主体。立法者应寻求与安全社区的对话-从顶级公司高管一直到从事漏洞赏金计划的安全研究人员-并在制定法律时保持透明。

现在,按照您所说的,这行为什么对您如此重要?

J.P: 如果我们看一下最新的网络安全法规CISA,就会发现有漏洞会破坏隐私,并且无法满足对更安全环境的需求。透明度应该是任何立法机关的基础。

您认为公司应诉诸法律威胁或恐吓来阻止研究人员发表演讲或发表其作品吗?为什么或者为什么不?

J.P: 恶霸战术行不通。如果您查看大公司提供给安全社区的一些漏洞赏金计划,那么这些程序显然为公司组织,员工和消费者提供了更安全的环境。

这些发现导致在本地软件和系统,第三方购买的系统以及存在于无数组织中无数个访问点之间安装的通用访问点的其他发现。共享此信息可带来更好的安全性实践。当这些缺陷和发现被发表和讨论时,它们就属于安全的三个主要因素之一:好的技术,人员和专业知识。

有关缺陷的出版物和讨论会增加专业知识。与科学界测试新的定理,计算,变量和因数类似,当安全专业人员被告知时,他们将测试并建立附加的保护层。

组织应与政府共享哪些类型的数据(攻击数据,威胁情报等)?政府应该与我们其他人分享什么?

J.P: 组织应披露违规行为,包括泄露的数据。此信息需要传递给受此违规影响的个人,而不是政府。如果发生违规或试图隐藏违规,但政府不需要数据,则政府应使组织负责并承担责任。

此外,组织需要访问实时攻击情报和“即服务即早预警”功能,以快速识别受感染的系统,发现恶意活动并跟踪仍在进行中的攻击。

版权© 2015 IDG通讯,Inc.