Infreemation

Computer Security and The Human Factor Computer-Sicherheit und der menschliche Faktor

I recently read Vor kurzem las ich, The Human Factor Der menschliche Faktor by engineering professor von Engineering-Professor Kim Vincente Kim Vincente . Werden. This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. Dies ist eine Auge-Öffnung Buch über die Bedeutung von "Anpassung der Technologie für Menschen" statt "zwingt die Menschen zur Anpassung an die Technologie." Der Bereich der Human Factor Engineering hat anscheinend schon eine Weile, aber nie hat die Gesellschaft in größeren Bedarf an : Dank an Personal-Computer und das Internet die meisten Leute, die ich kenne täglichen Umgang mit der Technologie der nicht anerkennen, die menschliche Natur.

Technology for Technology’s Sake Technology for Technology's Sake

Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. Kim sagt Technologie hat sich zu komplex, weil "Technik" Meister "tendenziell Design für Menschen wie für sich selbst oder im Interesse der Technologie selbst, und weil es eine Kultur des Reduktionismus in der Wissenschaft eher Design von unten nach oben, ohne das Verständnis der emergente Eigenschaften des Systems, wenn alle Komponenten miteinander verbunden sind. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider Beides schlug ein Akkorde mit mir: Als Wissenschaftler habe ich versucht zu schwimmen gegen die reduktionistische Flut, und als Netzwerk-und Software-Ingenieur ich mich bemühe, täglich zu prüfen “layer 8″ "Layer 8" of the der network Netzwerk : the user. : Der Benutzer.

Systems Analysis Systemanalyse

Prioritizing systems analysis Systemanalyse in a world of cheap (and quite effective) reductionism is not an easy sell. in einer Welt der preiswerten (und sehr effektiv) Reduktionismus ist nicht einfach verkaufen. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. Es ist kompliziert und kostenintensiv und erfordert eine sorgfältige Untersuchung, Prüfung und Überwachung der Interaktion und Interdependenzen. Where then are you likely to find such approaches? Wo bist du dann wahrscheinlich zu finden solche Ansätze? Typically when the loss of human life is the consequence of failure. Normalerweise, wenn der Verlust von Menschenleben ist die Konsequenz des Scheiterns. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. Von besonderem Interesse in Kim's Buch waren seine kontrastierenden Fallstudien in der Luftfahrt und Medizintechnik Sicherheit Aufzeichnungen.

When Death is on the Line Wenn der Tod auf der Linie

There was apparently a time when taking the plane was not safer than driving. Es gab offenbar eine Zeit, die das Flugzeug war nicht sicherer als Autofahren. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. Laut Kim, der bis Mitte der 70er Jahre "die FAA war gleichzeitig verantwortlich für den Empfang von Informationen über Beinaheunfälle und reprimanding Menschen und Organisationen, wenn sie verschraubt werden." Offensichtlich eine Menge wirklich ernste Dinge werden nicht berichtet aufgrund der potenziellen Haftung einbezogen , Und oft Probleme würden nicht angegangen werden, bis es war ein Unfall. Loss of life in aviation is high profile and can lose you customers quickly. Verlust von Menschenleben in der Luftfahrt ist hoch und Profil können Sie verlieren Kunden schnell. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing Natürlich war diese Situation unhaltbar für die Industrie und schließlich der FAA in Zusammenarbeit mit der NASA in die sich daraus ergebenden Aviation Safety Reporting System (ASRS) Ermöglichung private reporting of incidents private Meldung von Vorfällen . Werden. The details are all in the book which I encourage you to read but here is what seems to make the system work: Die Details sind alle in dem Buch, das ich empfehlen Ihnen zu lesen, aber hier ist das, was erscheint, um das System funktioniert:
1) voluntary 1) freiwillige
2) confidential 2) vertraulich
3) non-punitive 3) Non-Strafzöllen
4) independent 4) unabhängig
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! Es kostet $ 2 Millionen pro Jahr, beschäftigt sich mit 40000 @ Zwischenfälle, und es hat offenbar nie eine Verletzung der Vertraulichkeit der Berichte! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. Und dank ASRS großen Teil der Luftfahrt ist viel sicherer als in den 70er Jahren.

…Culture Matters … Kultur Matters

Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. Kim auch US-Studien, wo Krankenhäuser 44000-98000 Menschen sterben jährlich an vermeidbaren Ursachen. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. Diese schreckliche Situation scheint nicht zu bekommen Aufmerksamkeit proportional zu dieser Statistik und scheint nicht zu schnell zu verbessern. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. Die Verantwortung für seine Handlungen ist von zentraler Bedeutung für die Kultur der Medizin und würden Sie denken, dies wäre ein Rezept für Spitzenleistungen. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. Doch Angst vor der Rüge, Verlust von Arbeitsplätzen, Verlust des Ansehens und der sehr strittigen US medizinischen Umfeld als Anreiz gegen die Berichterstattung Zwischenfälle und Unfälle. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. Verschwörungen der unvollkommenen Technik, lächerlich langen Schichten, und diese komplexe soziale Fragen als "unsichtbare Hand", leitet das System zu erzeugen, mehr Fehler. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. Kim tapfer argumentiert, dass die medizinische System zu gewinnen steht eine Menge von den menschlichen Faktor Engineering und bietet einige ausgezeichnete Beispiele.

Have a Safe Compute! Einen sicheren Compute!

It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. Es scheint wie alle profitieren können von Kim Lesung, was zu sagen hat und ihre Anwendung auf ihre Felder. I certainly want to try. Ich möchte es versuchen. I want to follow up on a conversation I had with Ich möchte, dass im Nachgang zu einem Gespräch hatte ich mit Adam . Werden.

Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. Embracing Internet-Nutzung ist eine Kosten für die Einreise, wenn auch recht gering auf den ersten Blick, dass die Führung eines Unternehmens in der heutigen Welt. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! Die wahren Kosten der Geschwindigkeit auf das Internet ist wahrscheinlich recht hoch, wenn man die Risiken richtig entfielen Dies ist jedoch eine schwierige Aufgabe, würden Sie wissen, ob Sie jemals versucht, ein Wertpapier-Haushalt genehmigt! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. Adam versichert mich ist dies ein ungelöstes Problem, weil viele oder die meisten Computer-Sicherheitsexperten gehen nicht gemeldeten Vorfälle (wenn jemand hat jede Schätzungen lassen Sie es mich wissen, und ich werde Link zu ihnen hier) führt zu einem Mangel an Daten, mit dem Risiko zu bewerten.

This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: Dies erinnert mich an die Probleme diskutiert Kim in der Luftfahrt und Medizin, da die wichtigsten Grund, warum wir nicht mehr wissen über Sicherheitsverletzungen ist, dass es Sanktionen für die Offenlegung:
-security staff may face reprimand or loss of job and reputation - Sicherheits-Personal kann sich Verweis oder der Verlust des Arbeitsplatzes und des Ansehens
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - eine Organisation nicht mit der Gefahr Publishing forensische Analyse der Einfälle und die Ergebnisse der Sicherheits-Audits aus nahe liegenden Gründen
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - Unternehmen wollen nicht zugeben, die finanziellen Schäden, die durch Sicherheitsverletzungen an ihre Aktionäre und zeigen Schwäche auf den Markt

Can a CSRS help us design more secure products? Kann ein CSRS uns helfen Gestaltung sicherer Produkte?

Would it be possible to have an effective “Computer Security Reporting System”? Wäre es möglich, ein effektives "Computer Security Reporting System"? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? Würde eine Non-Profit-Organisation, angemessen finanziert werden können, genaue Daten sammeln und aussagekräftige Berichte und Empfehlungen für die Industrie Architekten und CIOs gleichermaßen? Could they protect the identities of participants and the information that belongs to them? Könnten sie schützen die Identität der Teilnehmer und die Informationen, die zu ihnen gehört? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? Würden wir in der Lage, Schlüssel erzeugen, Informationen über die Kosten aus diesen Daten, die zur Aufklärung dienen gleichzeitig dazu bei, bessere Produkte und Sicherheitspolitik Budgets? Has this already been done and does it meet the aforementioned key criteria? Hat sich dies bereits getan und tut es den oben genannten wichtigsten Kriterien? I found something Ich etwas gefunden here hier , but government related agencies don’t seem to meet the “independent” criterion. , Aber Regierung im Zusammenhang Agenturen nicht zu erfüllen scheinen die "unabhängigen" Kriterium.

Perhaps it is not feasible to have a CSRS: Vielleicht ist es nicht möglich, eine CSRS:
1) too many players and technologies involved 1) zu viele Akteure beteiligt und Technologien
2) security, while expensive, is not usually “life and death” 2) Sicherheit, während teuer, wird in der Regel nicht "Leben und Tod"
3) too big a problem - too expensive to be cost effective 3) zu groß, ein Problem - zu teuer zu werden kostengünstige

I’m not a security insider so I will “ask the audience” on this one. Ich bin kein Insider Sicherheit also werde ich "fragt das Publikum" in this one. I know you’re out there! Ich weiß, Sie sind da draußen!