|
Cet éditorial est présenté pour faire face à la récente acquisition de produits de technologie de chiffrement par l'Administration des anciens combattants pour remédier au problème réalisée à travers le vol d'un ordinateur portable contenant 26 millions d'anciens combattants des renseignements personnels. Une tentative est faite ici à «verrouiller la porte de la grange» en quelque sorte de sorte qu'une seconde perte d'informations personnelles d'anciens combattants »ne se produit pas. Notre autorité pour parler à cette question nous vient de notre action de mécénat du Consortium d'assurance de l'information, un organisme qui a rassemblé des experts de l'industrie dans le produit Cyber Security et de services dans tous Arena Information Assurance / Cyber Security industrie spatiale. Bien que le Groupe Morningtown salue l'utilisation de logiciels de SMS, l'ancien combattant appartenant à la société que la VA a acheté leur produit à partir, voici une observation; «Le véritable objectif est de protéger les données '! L'ordinateur portable est juste un point de vol et d'un point d'exposition. L'approche proposée est une solution classique, le chiffrement des données sur ordinateur portable. Beau! La question est l'une des deux données au repos et les données en mouvement. Cette mission était de protéger l'ordinateur portable. Et la solution choisie a qui se concentrent uniquement ... fixant les données au repos. Le compromis a été les données au repos, c'est vrai. Toutefois, la mise sur le chiffrement des données au repos seulement que ... corrige les données au repos. Cela pose peu de mise en valeur du potentiel de la migration. Lorsque la personne sur l'ordinateur portable veut partager l'information avec une autre personne ... comme un rapport ou une présentation PPT, ou une liste de choses, ou même un e-mail .... cette solution ne servent pas la mission de la VA. Il existe d'autres problèmes avec la solution à portée de main. Comment l'utilisateur peut être identifiés à l'ordinateur portable? Est-ce par une épingle? Est-ce par un mot de passe? Quelle gestion de clés est utilisée par personne? Que les peintures modèle de chaque personne comme une île. Ou au mieux une clé de groupe que les parts de chacun. Donc ce que nous avons ici est une politique, le genou réaction réflexe à la publicité d'un incident embarrassant. Tout le monde, paraît-il, est d'accord qu'un délai ferme avec des résultats mesurables est nécessaire, que toute solution est mieux que rien. Mais pourquoi ne pas tenir compte de l'étude technique de cryptage produit effectué et interprété par le Trésor? Au vu de la situation dans son ensemble aurait présenté un paysage différent à la VA. Clairement la VA est de ne pas regarder la grande image. La question suivante est la gestion des clés. Pour crypter tout ce dont vous avez besoin d'un algorithme (gymnastique mathématique) et une clé. Est chaque ordinateur portable saisies pour un individu? Est la clé stockée sur l'ordinateur portable et protégées par un mot de passe ou code PIN? Si l'ordinateur portable un détrompeur pour l'individu, alors comment l'organisme obtient aux données? Les données appartiennent à l'organisation non l'individu. Quand une personne quitte son emploi, ou se fait frapper par le bus proverbiale, la prochaine personne a besoin d'obtenir les données pour poursuivre l'effort, bien pas si la clé est pour l'individu. C'est ce rôle de contrôle d'accès basé sert à ... et que dire de la capacité de l'individu à mettre ses propres clés sur le système? Puis les org est vraiment dans un truc. Ce sont toutes des questions qui ont trouvé dans une revue NIAP ... National Information Assurance Program. Le point ici est que le NIAP est axé sur la fonctionnalité du système pas sur des tests si l'algorithme fonctionne correctement ... Vous pouvez avoir un algorithme super performant et si vous le faites à l'air libre, et alors? Au lieu de cela, les gens de VA a décidé de prendre un produit qui a une revue FIPS uniquement sur des algorithmes, et bien que ce qui est bon ce n'est pas un examen de l'application de l'algorithme. C'est un processus d'examen NIAP, ce qui aurait été nécessaire pour la solution doit être suffisamment robuste et évolutive pour être utilisé n'importe où dans le DOD. Donc ce que nous avons est la VA en indiquant clairement qu'ils vont se contenter de moins, même quand le Trésor et d'autres études étaient disponibles pour l'orientation, et des produits qui ont les certifications requises existent. Une autre question se pose clairement. Qu'en est-il des plans futurs pour tester et mettre en œuvre HSPD-12 politiques FIPS/201, produits et services connexes? VA est la connaissance des instructions de la CAMO cette autre fonctionnalité par rapport à la technologie de chiffrement sera nécessaire? Leur solution actuellement acheté ne propose pas ces éléments et devra être jeté. Un autre 3 millions de dollars d'argent des contribuables par les fenêtres. Dans leur défense, ils ne précisaient qu'ils vont chercher une solution d'entreprise à l'avenir. Et ils ne précisaient qu'ils sont encore en test final. Ils ont donc un retrait. Mais qui s'en va sous peu, car ils ont également annoncé qu'ils souhaitent commencer à se déployer le 18. Gee, j'espère qu'ils prévoient des tests en quelque part ... et ne donne pas simplement des copies du logiciel à tout le monde et dire .... installer ce, vous êtes responsable et sur votre propre .... qui va mordre les durcir. La sécurité n'est pas sorcier, mais il est une discipline, et nécessite une réflexion, de planification et d'éducation. Je leur souhaite beaucoup de chance, car ils en auront besoin. Cela me rappelle un proverbe ... Penny fou sage et la livre. Ils vont jeter l'effort actuel et dépenser l'argent à nouveau. Mais à l'exception de la perte d'argent, ce sera une bonne chose. |