Cyber segurança para a nação e a indústria de TIC do mundo

por
Scott Charney
-Vice-presidente corporativo de computação confiável

          

Hoje tenho o prazer de partilhar um novo documento sobre as normas de segurança cibernética para os Estados-Nação e a tecnologia da informação e comunicação (TIC) global da indústria, “Mista implementação: como habilitar o avanço de padrões de segurança cyber
” . Esta publicação é um reflexo de nossos esforços contínuos que promovem a confiança no ambiente global de TIC através do desenvolvimento das “regras”dos Estados-nações que participam nas operações Cyber, bem como para os agentes da indústria afetados por essas atividades. Nosso objetivo é contribuir para o desenvolvimento de estruturas e práticas que protegem os indivíduos e as empresas dos efeitos de operações cyber patrocinados por Estados.

Empresas Global TIC entendem muito bem dos produtos de tecnologia e serviços online, incluindo a infraestrutura de Internet, tendem a ser o campo de batalha de cyber conflitos e canalização para outros ataques levados a cabo pelos governos e seus representantes. (Veja
mais
( sobre nossos pontos de vista da atividade dos governos em linha como uma categoria de ameaça cyber.) Devido a este fenómeno, a Microsoft acredita que as normas de segurança cyber não são apenas para os governos e a indústria global de TIC. Esta perspectiva é reforçada pelo grupo de peritos governamentais da ONU, um desenvolver Intergovernamental grupo regras de trabalho de segurança cibernética, chamado sobre o setor privado e sociedade civil que contribuam no desenvolvimento de normas de segurança cibernética.

Em nosso novo documento, apresentámos uma estrutura em três partes para manter as regras atuais sobre o diálogo de segurança cibernética: padrões de indústria, ofensiva e defensiva. Regras ofensivas são da responsabilidade dos Estados-Nação, desde que essas regras referem-se à moderação em operações cyber. Padrões defensivos são relevantes para atores governamentais e não-governamentais, desde que essas normas lidam com medidas defensivas contra as actividades de um Estado-Nação no ciberespaço. Padrões da indústria também são importantes para os governos e o setor privado, mas estão focados em abordar o papel da indústria na redução dos riscos enfrentados pelos usuários de tecnologia em atividade no ciberespaço.

Acredita-se que as normas devem avançar objectivos comuns, sempre que possível, independentemente se as regras deva se concentrar na ofensiva, defensiva ou indústria. A tabela a seguir fornece uma visão completa das regras propostas pela Microsoft para os Estados-Nação, com nossas respectivas propostas de padrões para a indústria. Embora haja uma forte estrutura complementar às regras do Estados-Nação e a indústria, eles variam em dois casos importantes: Estados-Nação possuem a capacidade de criar enormes efeitos através de atividades de cyber ofensiva; e o mundo da indústria das TIC tem a possibilidade de aplicar soluções (patches) para todos os clientes, mesmo no caso de um conflito entre dois ou mais governos. (Saiba
mais
( em nossas propostas de política para os Estados-nações.)

  

Estados-Nação

Global indústria de TIC

Manter a confiança

Estados-Membros não deve ir para as empresas de TIC para inserir vulnerabilidades (por exemplo, backdoors) ou tomar ações que afetam outra forma pública confiança nos produtos e serviços

As empresas globais das TIC não devem permitir ou permitir que Estados-Nação ter um impacto adverso sobre a segurança de produtos comerciais e serviços de TIC para mercados de massa (por exemplo, backdoors).

Abordagem coordenada para gerenciar a vulnerabilidade

Estados-Membros deve ter uma política clara, baseada em princípios para o gerenciamento de vulnerabilidades para produtos e serviços que refletem um mandato sólido para relatá-los aos fornecedores, ao invés de colocá-los na pilha, comprar, vender ou explorá-los.

As empresas globais de TIC devem aderir às práticas de divulgação coordenada para gerenciar as vulnerabilidades de produtos e serviços TIC.

Impedindo a proliferação de vulnerabilidades

Estados-Membros deve comprometer-se a actividades de não-proliferação em matéria de armas cyber.

As empresas de TIC a global não devem vulnerabilidades de Cyber nenhum tráfego para fins ofensivos, nem devem seguir os modelos de negócios envolvendo a proliferação de vulnerabilidades de cyber para fins ofensivos.

Reduzir o impacto de ataques pelos Estados-Nação

Estados-Membros devem concentrar-se no desenvolvimento de armas cyber e garantir que países desenvolvidos são limitados, eles são precisos e não reutilizáveis.

As empresas de TIC a global devem trabalhar juntos para defender-se contra ataques por Estados-Nação proativamente e corrigir o impacto desses ataques.

Evitar eventos maciços

Estados-Membros deverão limitar sua participação em operações de cyber ofensiva para evitar a criação de um grande evento.

Há um padrão correspondente para a indústria global de TIC.

Resposta para apoiar os esforços

Estados-Membros deve apoiar os esforços do setor privado para detectar, conter, responder e recuperar de eventos no ciberespaço.

As empresas globais de TIC devem apoiar os esforços do setor público para identificar, prevenir, detectar, responder e recuperar de eventos no ciberespaço.

Criar soluções (patches) para clientes globalmente

Há um padrão correspondente aos Estados-Nação.

As empresas globais de TIC devem emitir patches para proteger os usuários de TIC, independentemente do atacante e seus motivos.

Reconhecemos que é improvável que as normas de segurança cibernética sejam eficazes como instrumento de política sem maior desenvolvimento dos processos de atribuição de ciber-ataques. Como resultado, nosso documento descreve os desafios atuais em torno da atribuição de ciber-ataques, e propomos um fórum público e privado para lidar com a atribuição dos ataques cyber sérios que implicaria globalmente diversos grupos de peritos técnicos, sujeito a revisão por pares. Na verdade, o desenvolvimento de normas de segurança cibernética vai exigir novas formas de cooperação e novos mecanismos para superar os desafios que são únicos no ciberespaço. Eles serão essenciais novos modelos de parceria público-privada, em todo o mundo.

Como governos comprometem recursos cada vez mais na capacidade ofensiva do Cyber, global indústria das TIC deveria reforçar sua determinação e tomar medidas activas para evitar a exploração dos usuários através de adesão aos padrões da indústria. Deve subir o padrão em nossas capacidades de defesa para dissuadir os Estados-Nação de direcionamento de usuários da tecnologia. Esperamos que estas propuseram normas colocar ao governo e a indústria em um caminho para uma discussão mais ampla, melhorando assim a confiança entre governos, empresas e usuários de tecnologia.

Original: https://Blogs.Microsoft.com/on-the-issues/2016/06/23/cybersecurity-norms-Nation-States-global-ICT-Industry/#SM.0000ke1ten13fpfmcxdakdlaq5g59