Infreemation

Computer Security and The Human Factor أمن الحواسيب والعامل البشري

I recently read وانني قرأت مؤخرا The Human Factor العامل البشري by engineering professor من قبل استاذ الهندسه Kim Vincente كيم فيسنته . This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. وهذا هو عين فتح الكتاب عن اهمية "التكيف مع التكنولوجيا الى الشعب" بدلا من "ارغام الناس على التكيف مع التكنولوجيا." ميدان حقوق العامل والهندسه على ما يبدو حول لawhile ، لكن لم يحدث أبدا فقد كان المجتمع في حاجة أكبر لل وهي : شكرا على الحواسيب الشخصيه وشبكة الانترنت وانا اعرف معظم الناس التعامل اليومي مع التكنولوجيا التي لا يعترف الطبيعة البشريه.

Technology for Technology’s Sake التكنولوجيا لمجرد التكنولوجيا

Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. ويقول كيم نمت تكنولوجيا معقدة للغاية "لان التكنولوجيا ويزاردز" تميل الى اشخاص مثل تصميم لأنفسهم او لصالح التكنولوجيا في حد ذاتها ، ولأن هناك ثقافة للالتبسيط في مجال العلم الذي يميل الى صالح التصميم من الاسفل الى الاعلى دون فهم الناشءه خصائص النظام عندما ترتبط جميع المكونات. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider كل هذه الحبال مع ضرب لي : عالم كما حاولت ان السباحه ضد تيار reductionist ، وبوصفها شبكة انا مهندس برمجيات والسعي اليومي للنظر “layer 8″ "8 طبقة" of the من network الشبكه : the user. : المستخدم.

Systems Analysis تحليل النظم

Prioritizing تحديد الأولويات systems analysis تحليل النظم in a world of cheap (and quite effective) reductionism is not an easy sell. في عالم الرخيصه (وفعال جدا) التبسيط ليست سهلة البيع. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. ومن معقدة ومكلفه ، وتحتاج الى دراسة متانيه ، والاختبار والرصد والتفاعل والترابط. Where then are you likely to find such approaches? فأين انت من المحتمل العثور على مثل ذلك النهج؟ Typically when the loss of human life is the consequence of failure. عادة عندما الخسائر في الارواح البشريه هو نتيجة للفشل. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. من مصلحة خاصة في كتاب كيم المتناقضه كانت له دراسات حالة عن الطيران والصناعات الطبية سجلات السلامة.

When Death is on the Line عندما يكون الموت على الخط

There was apparently a time when taking the plane was not safer than driving. وكان هناك ما يبدو آخذة في وقت كانت فيه الطائرة ليست أكثر أمانا من القيادة. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. ووفقا لكيم ، حتى منتصف السبعينات "القوات المسلحه الانغوليه في وقت واحد كان مسؤولا عن تلقي معلومات عن قرب يخطئ ، والشعوب والمنظمات التوبيخ عندما screwed." من الواضح ان الكثير من الامور الخطيره فعلا لم احصل على المبلغ عنها نظرا لاحتمال وقوع مسؤولية المشاركة ، وكثيرا ما تكون المشاكل لن تكون موجهة إلى حين كان هناك حادث. Loss of life in aviation is high profile and can lose you customers quickly. الخسائر في الأرواح في الطيران هو بارزة ويمكن ان يفقد بسرعة لك الزبائن. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing ومن الواضح ان هذا الوضع غير قابل للصناعة والقوات المسلحه الانغوليه في نهاية المطاف تعاونت مع وكالة ناسا مما اسفر عن سلامة الطيران فى نظام الابلاغ (asrs (السماح لل private reporting of incidents الابلاغ عن الحوادث الخاصة . The details are all in the book which I encourage you to read but here is what seems to make the system work: جميع التفاصيل في الكتاب الذي اشجعكم على قراءة ولكن هنا هو ما يبدو لجعل نظام العمل :
1) voluntary 1) التبرعات
2) confidential 2) السرية
3) non-punitive 3) غير عقابيه
4) independent 4) المستقلة
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! ومن التكاليف 2 مليون دولار سنويا ، ويتناول 40000 @ الحوادث ، وهناك على ما يبدو لم يكن خرقا لسرية التقارير! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. وبفضل asrs في جزء كبير منه ، والطيران ، هو أكثر أمنا مما كانت عليه في السبعينات.

…Culture Matters ثقافة المسائل…

Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. كيم ايضا دراسات مستشفيات الولايات المتحدة حيث 44000-98000 شخص يموتون سنويا من أسباب يمكن الوقايه منها. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. هذه الحاله المروعه التي لا يبدو للحصول على اهتمام يتناسب وهذه الاحصاءات لا يبدو ان تحسين سريع. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. تحمل المسؤولية عن واحدة من اجراءات اساسية لثقافة medecine وكنت أعتقد ان هذا من شأنه ان يفضي الى التفوق. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. ومع ذلك خوفا من التوبيخ ، فقدان الوظيفة ، وفقدان السمعه ، وبدرجه عالية محب للتقاضي الطبية الامريكية ضد البيئة والحوافز تقديم التقارير وقوع احداث وحوادث. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. تامر الكمال التكنولوجيا ، ونوبات طويلة للغاية ، وهذه أكثر تعقيدا القضايا الاجتماعية بمثابة "اليد الخفيه" التي توجه نظام لتوليد المزيد من الاخطاء. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. كيم ببساله ويقول ان النظام الطبي ستستفيد كثيرا من العامل البشري والهندسه ويقدم بعض الامثله الممتازة.

Have a Safe Compute! وقد يحسب أمنه!

It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. ويبدو ان كل شخص يمكن ان تستفيد من قراءة ما قد يقول كيم وتطبيقه على حقولهم. I certainly want to try. انني بالتأكيد نريد ان نحاول. I want to follow up on a conversation I had with اريد لمتابعة محادثة اجريتها مع Adam آدم .

Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. وتشمل استخدام الانترنت هي تكلفة الدخول ، وان كان منخفضا للغاية لأول وهلة ، لانجاز الاعمال التجارية فى عالم اليوم. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! التكلفه الحقيقية للحساب الالكتروني على شبكة الانترنت هي على الارجح مرتفعة جدا اذا ما هي المخاطر التي استأثرت على الوجه الصحيح ولكن هذه مهمة صعبة ، كنت اعرف ما اذا كان لكم في اي وقت تحاول الحصول على الامن الميزانيه التي وافقت! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. آدم يؤكد لي هذه هي المشكلة التي لم تحل بعد لان العديد من الحواسيب أو معظم الحوادث الامنية التي لا يتم الابلاغ عنها (اذا كان هناك اي تقديرات واسمحوا لي ان اعرف وانا منهم وصلة الى هنا) مما يؤدي الى نقص في البيانات التي لتقييم المخاطر.

This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: ذكرتني هذه من المشاكل التي نوقشت في كيم medecine والطيران ، حيث أن السبب الرئيسي اننا لا نعرف المزيد عن خروق الامنية هو ان هناك عقوبات للكشف عن :
-security staff may face reprimand or loss of job and reputation - قد تواجه موظفى الامن التوبيخ او فقدان العمل وسمعتها
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - منظمة لن نشر تحليل الطب الشرعى للخطر من عمليات التوغل ونتائج عمليات مراجعة الحسابات الامنية لاسباب واضحة
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - الشركات لا نريد ان نعترف المالية الاضرار التي تسببها للخروق الامنية لحملة اسهمها وإظهار الضعف الى السوق

Can a CSRS help us design more secure products? أ csrs يمكن ان تساعدنا على تصميم المنتجات أكثر أمنا؟

Would it be possible to have an effective “Computer Security Reporting System”? هل يمكن ان يكون لها فعالية "نظام الابلاغ الحاسوب الامن"؟ Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? من شأنه ان منظمة لا تبغي الربح ، وتوفير التمويل المناسب ، وتكون قادرة على جمع بيانات دقيقة وذات مغزى انتاج التقارير والتوصيات اللازمة للصناعة والمهندسين المعماريين ، وcios على حد سواء؟ Could they protect the identities of participants and the information that belongs to them? تستطيع حمايه هويات المشاركين والمعلومات التي ينتمي اليها؟ Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? ونحن من شانه ان يكون قادرا على توليد المعلومات الاساسية من حيث التكلفه من هذه البيانات التي من شأنها ان تعمل على تثقيف في حين أن المساعدة على بناء افضل المنتجات وميزانيات الامن؟ Has this already been done and does it meet the aforementioned key criteria? هذا وقد تم بالفعل وانها لا تلبي المعايير الاساسية المشار اليها اعلاه؟ I found something لقد وجدت شيئا here هنا , but government related agencies don’t seem to meet the “independent” criterion. ، ولكن الحكومة الوكالات ذات الصلة لا يبدو ان لتلبية "المستقلة" المعيار.

Perhaps it is not feasible to have a CSRS: ولعله ليس من الممكن ان يكون لها csrs :
1) too many players and technologies involved 1) عدد كبير جدا من اللاعبين الضالعه والتكنولوجيات المستخدمة
2) security, while expensive, is not usually “life and death” 2) الامن ، في حين ان تكلفة ، لا يعتبر عادة "الحياة والموت"
3) too big a problem - too expensive to be cost effective 3) مشكلة كبيرة جدا -- باهظه الثمن ليكون فعالا من حيث التكلفه

I’m not a security insider so I will “ask the audience” on this one. انا لست من الداخل الامن ساقوم بذلك "اطلب من الجمهور" واحد على هذا. I know you’re out there! وأنا أعلم أنك هناك!