Företag behöver Cybersecurity Support, Congress Told

Åttio procent till 90 procent av cybersäkerhetsproblemen kan lösas om verksamheten följer etablerade bästa praxis, och regeringen kan hjälpa till genom att erbjuda incitament som småföretagslån, försäkrings- och utmärkelseprogram, säger Larry Clinton, VD och koncernchef för Internet Security Alliance, en säkerhetsföresatsgrupp.

Under de senaste veckorna har vissa lagstiftare och cybersäkerhetsexperter har krävt nya regler för cybersäkerhet, men förordningar skulle vara statiska i ett snabbt föränderligt fält och kunde sätta U. S. industrin i en konkurrensnackdel, sade Clinton. Dessutom kommer amerikanska bestämmelser bara att nå landets gränser, tillade han.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Detta är ett internationellt problem", sade Clinton under en utfrågning före House Energy and Commerce Committees underkommitté för kommunikation, teknik och internet. "Vi behöver ett bättre system - ett system från det 21: a århundradet."

Public-Private Partnerships Urged

Under administrationen av den tidigare amerikanska presidenten George W. Bush tog regeringen en i stort sett hands-off-strategi och väntade på privata marknadsincitament som aldrig realiserades, sade Clinton. I stället måste regeringen arbeta med den privata industrin för att ge incitament för cybersäkerhet, inklusive ansvarsskyddet och upphandlingsutmärkelser, säger han.

"Vad vi försöker göra här är att förändra cybersäkerhetsekonomin genom att bygga en marknad som gör privata organisationer vill kontinuerligt satsa på cybersäkerhet i eget eget intresse, säger Clinton. "Först då kan vi skapa den typ av hållbart och utvecklande system för cybersäkerhet vi behöver."

Clinton och Greg Nojeim, seniorrådgivare vid Centrum för demokrati och teknik, nämnde det inte med namn men båda verkade ta syfta till lagstiftning om cybersäkerhet som infördes den 1 april av senatörerna Jay Rockefeller, en West Virginia-demokrat och Olympia Snowe, en republikan i Maine.

Cybersecurity Act skulle bland annat upprätta genomförbara standarder för cybersäkerhet för privata företag och tillåta USA: s president att förklara en nödsituation för cybersäkerhet och stänga av både offentliga och vissa privata nätverk som äventyras.

USA står inför stora konsekvenser för sin brist på fokus på cybersäkerhet, sa Rockefeller under en utfrågning i mars. "Jag anser [cybersecurity] som ett djupt och djupt besvärligt problem som vi inte lägger mycket uppmärksamhet på," sa han då. "Problemet är att Amerika är oacceptabelt utsatt för massiv cyberbrottslighet."

Maktbalans

Men att regeringen tillåter att stänga privata nätverk och potentiellt övervaka trafiken på privata nätverk ger den för mycket makt, sa Nojeim. En sådan kraft skulle ge upphov till frågor om yttrandefrihet i USA, sade han.

"Åtgärder som kan vara lämpliga för att säkra styrsystemen för en rörledning kanske inte är rätt för att säkra Internet," tillade Nojeim. "[Regeringen] borde inte vara verksam i att övervaka privata nätverk själva, och inte heller skulle regeringen vara i verksamhet att stänga Internet-trafiken till kompromiss … informationssystem inom den privata sektorn."

Om en president kunde stänga av privata system, kunde han använda den kraften för tvång, sa Nojeim. "Vi vet att det ännu inte har uppstått några omständigheter som skulle motivera en presidentval för att avbryta Internet-trafik till ett privat kritiskt infrastruktursystem", sade han.

En roll för regeringen skulle vara att fortsätta att uppmuntra utvecklingen av DNS-säkerhet Extensions, eller DNSSec, ett paket med säkerhetsfixar för Internet Domain Name System, säger Dan Kaminsky, direktör för penetrationstest hos cybersecurity-leverantören IOActive.

DNSSec skulle göra det möjligt för organisationer att bättre lita på Internettrafik från utsidan, sa han. "Det kommer att ta lite arbete, det kommer att ta mycket arbete," tillade Kaminsky.