霍华德•施密特今天是R&H安全咨询公司的首席执行官然而,他在世界各地更出名的是在白宫工作了31年。他是前白宫安全顾问,2001年9月11日恐怖袭击发生三个月后,被布什总统任命为网络空间安全特别顾问。
在安全问题上,施密特是老手。在公司方面,他曾担任eBay的副总裁,首席信息安全官和首席安全策略师,他也曾担任微软.在军队中,他曾任空军特别调查办公室计算机法医实验室主任和计算机犯罪和信息战司司长。
在接受《计算机世界》采访时,施密特谈到了对IT工作者进行背景调查,平衡隐私和安全,以及使用RFID芯片的护照。
你现在在安保部门看到的最可怕的事情是什么?我认为我们想要的是移动设备和功能……但是在确保这些东西的安全方面并没有得到足够的重视。我们现在有能力在移动设备上下载和安装各种应用程序。人们使用手机不仅仅是为了聊天。我用我的账户支付我的贝宝账户,检查我的欠款账户。我见过知道这些的罪犯。他们一直在攻击台式机,他们将开始攻击我们的移动设备,因为它们变得更像我们口袋里的个人电脑。我们不能再等五年了。我们现在必须做点什么。
公民社会组织告诉你他们最担心的是什么?工作环境中最重要的事情之一就是风险和合规问题。与我交谈过的大多数公民社会组织很少谈论什么是最好的技术,(更多地)谈论如何确保他们的公司对他们正在进行良好的治理、风险和合规感到自信。他们怎么知道他们已经将公司的风险降到了最低,他们的业务运作方式遵守了联邦法律、州法律和国际法?
企业如何在安全和隐私之间取得平衡?长期以来,有一种观点认为,如果你有安全保障,你就没有隐私。在我看来,如果你没有安全保障,你就无法保证隐私。隐私分为两类。一个与数据保护直接相关。我们如何保护我们的数据?你要使用良好的安全性。讨论的第二部分是谁对我的数据做了什么,我如何控制它,如何撤销它?这是困难的部分。现在,我们还不能控制这些数据。我给你们举个活生生的例子。 One of our boys is in medical school in Wisconsin. Rather than pay for board, we bought a house there. We weren't financing it, but they wanted our Social Security numbers. I said, "Why?" The lady said, "I don't know. It's just a company form." I told them, "You've got my ID, my passport, my license. You've got confirmation of who I am. Why do you need my Social Security number and what happens to it if someone breaks in here?" I didn't fill it out. I was very assertive and took control. The answer right now is to develop more rights over our private data. We basically need a bill of rights over privacy of information.
你怎么看植入射频识别的护照?在最近的一些案例中,这一直是个大问题。我不认为这是一个坏主意,但我不认为安全问题应该被高度考虑,我有一个。知道它的安全含义,我非常清楚我把它放在哪里,我把它存储在哪里,以确保没有人能用一种机制读取它的内容。你们见过这些读卡器你去加油站它有一个小的射频识别棒或者你在你的公司你有一个射频识别读卡器来打开门。你走到它面前,在读卡器前刷一下卡片。政府和海关并不是唯一能够接触到这些阅读器的人。只要有人离你够近就能读出你护照上的数据。一旦他们有了这些数据,他们就可以用它来伪造护照。
你如何看待公司对IT员工进行背景调查——无论是在招聘期间还是在他们任职期间定期进行?我认为这是个不错的主意,因为每个公司都有不同的文化。IT不再是一个帮助你分享ppt和做文字处理的功能。IT已经成为我们日常关键基础设施的一部分。这是我们的金融服务和运输系统运作的方式。如果人们从事IT行业,他们需要进行一些审查,以确保他们没有可能对公司甚至国家安全做出不好的事情。(公司应该)检查犯罪记录。如果有人因为无法解释的情况而有过财务问题的历史,他们是否更容易对你犯下财务犯罪?如果他们有赌博或吸毒问题,他们会更倾向于把你的数据卖给竞争对手吗?
记住背景调查…不是一种保证人们会做他们应该做的事情的方法,但它给了你一个提示,如果他们有欺诈行为,或者他们在你的系统中是否值得信任。
恐怖分子袭击美国计算机网络的可能性有多大?他们不想最终攻击他们所依赖的系统。恐怖分子现在可以将本拉登的视频传到手机上。他们在做播客和网络播客。攻击互联网不符合他们的最大利益,因为他们会像其他人一样遭受损失。攻击金融体系以造成经济伤害,这种可能性存在吗?绝对的。但你为防范普通黑客而采取的保护措施,与你对付任何人(包括恐怖分子)的最佳做法是一样的。
如果恐怖分子真的想发动网络攻击,你认为他们的目标是什么?多年来一直有迹象表明,他们想要追求的东西之一是我们的金融服务系统。它不仅会影响我们,还会影响全球的每一个人。我认为它是最有可能的目标,但也是最难渗透的,因为金融服务已经做了那么多工作。
政府能做什么来增加网络安全?政府可以在教育和研究方面提供更多帮助。利用采购的力量,他们可以推动供应商开发更安全的系统。如果政府说,‘给我设计一个更安全的系统,给你钱’,供应商就会去做,然后把它卖给私营部门。另一点是政府并没有把重点放在研究上。政府在做什么来确保大学和公司有资金做研究来提高安全性?需要进行的研发可能不会对国土安全有利,但可能会创造出更安全的下一代互联网。政府可以培育下一代精通技术的研究人员来研究我们的问题,并找出我们如何解决它们。
那些在计算机安全报告卡上得分很低的政府机构能做些什么来改善呢?国会有一些悬而未决的立法,将转移焦点,并赋予政府机构进行安全改革的权力,而不是把所有的时间和金钱都花在生成安全报告上。他们做的文书工作比修理任何东西都多。
我们听说很多中国人侵入了我们的政府网络。对于这类攻击,我们有多安全?回到20世纪90年代中期。参议员萨姆。纳恩在五角大楼一个会议上,问我:如果有一个技术战争和另一个国家是袭击我们,在1到10(10他们没有机会影响我们和1是他们会毁灭我们自己的一切),(我们会如何)?我说过我们会坐5或6分左右。如果我们处于进攻端,我觉得进攻他们的系统会得不成多。今天,情况发生了巨大变化。我觉得我们现在的情况好多了。我们更安全了,也减少了攻击载体。在抵御攻击方面,我们更接近8或9。我们有能力击退攻击。我们还可以关闭可能受到攻击的系统,把它们带到内部。
您曾说过,您担心网络安全将沦为“二级问题”——我们只是对攻击作出反应,而没有主动防范。这仍然是个问题吗?看看9/11之后的世界。其中一个困难是试图说服政府像保护我们的飞机和火车一样保护IT基础设施。每个人都花费了大量的金钱、时间和精力来研究身体攻击。是的,那就是人们被杀的地方。但我们不能让网络基础设施成为二线问题。看看电子医疗记录。人们根据电子记录获得药物。你可能会让对青霉素过敏的人服用青霉素。那将是致命的。我得到的论点是,你不能有多于一个优先级。 I argue that you have to be able to multi-task in your protection plan.
是的,我认为我们把它看作是二等的。政府已经认识到还有工作要做。我们离让他们平等地位越来越近了。
了解更多关于这个主题的信息
这篇题为《霍华德·施密特谈隐私,背景调查》的文章最初是由《计算机世界》 .