Infreemation

Computer Security and The Human Factor La sécurité informatique et du facteur humain

I recently read J'ai lu récemment The Human Factor Le facteur humain by engineering professor par professeur de génie Kim Vincente Kim Vincente . This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. Il s'agit d'un oeil-ouverture livre sur l'importance de "l'adaptation de la technologie aux personnes" au lieu de "forcer les gens à s'adapter à la technologie." Le domaine de l'ingénierie facteur humain a apparemment été autour pendant un certain temps, mais la société n'a jamais été plus besoin de : merci aux ordinateurs personnels et Internet, la plupart des gens que je connais traiter quotidiennement avec une technologie qui ne reconnaît pas la nature humaine.

Technology for Technology’s Sake La technologie pour la technologie's Sake

Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. Kim dit la technologie est devenu trop complexe, parce que "la technologie des assistants" ont tendance à concevoir pour des gens comme eux-mêmes ou pour des raisons de la technologie elle-même, et parce qu'il existe une culture du réductionnisme dans les sciences qui tend à favoriser la conception de bas en haut sans en comprendre les propriétés émergentes du système lorsque tous les composants sont connectés. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider Ces deux accords ont frappé un avec moi: comme un scientifique, j'ai essayé de nager à contre-courant réductionniste, et comme un réseau et un logiciel ingénieur je m'efforce tous les jours pour examiner “layer 8″ "Couche 8" of the de la network réseau : the user. : L'utilisateur.

Systems Analysis L'analyse des systèmes

Prioritizing Ordre de priorité systems analysis l'analyse des systèmes in a world of cheap (and quite effective) reductionism is not an easy sell. dans un monde de bon marché (et très efficace) réductionnisme n'est pas un facile à vendre. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. Il est compliqué et coûteux, nécessitant une étude attentive, le contrôle et le suivi de l'interaction et l'interdépendance. Where then are you likely to find such approaches? Où êtes-vous susceptible de trouver de telles approches? Typically when the loss of human life is the consequence of failure. En général, lorsque la perte de la vie humaine est la conséquence de l'échec. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. Un intérêt particulier à Kim son livre ont été contrastés des études de cas sur l'aviation et l'industrie médicale en matière de sécurité.

When Death is on the Line Quand la mort est sur la ligne

There was apparently a time when taking the plane was not safer than driving. Il était apparemment un moment de prendre l'avion n'était pas sûr que la conduite. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. Selon Kim, jusqu'au milieu des années 70 "la FAA a été simultanément responsable de recevoir des informations sur près de justesse, et réprimander les personnes et les organisations quand ils vissés." De toute évidence, un grand nombre de questions vraiment graves ne sont pas signalés en raison de la responsabilité potentielle en cause , Et souvent des problèmes ne serait pas abordée jusqu'à ce que il ya eu un accident. Loss of life in aviation is high profile and can lose you customers quickly. Perte de la vie dans l'aviation est de haut niveau et vous pouvez perdre les clients rapidement. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing De toute évidence, cette situation n'était pas viable pour l'industrie et, en fin de la FAA a collaboré avec la NASA dans résultant du Aviation Safety Reporting System (ASRS) permettant private reporting of incidents privé de rapports d'incidents . The details are all in the book which I encourage you to read but here is what seems to make the system work: Les détails sont tous dans le livre que je vous encourage à lire, mais voici ce que semble faire fonctionner le système:
1) voluntary 1) volontaire
2) confidential 2) confidentiels
3) non-punitive 3) non-punitives
4) independent 4) indépendant
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! Il en coûte $ 2 millions par an, traite avec @ 40000 incidents, et il a apparemment jamais été une violation de la confidentialité des rapports! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. Et merci à ASRS en grande partie, l'aviation est beaucoup plus sûre qu'elle ne l'était dans les années 70.

…Culture Matters Culture Matters…

Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. Kim étudie également les hôpitaux où les États-Unis 44000-98000 personnes meurent chaque année de causes évitables. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. Cette terrible situation ne semble pas attirer l'attention proportionnelle à cette statistique et ne semble pas s'améliorer rapidement. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. Prenant la responsabilité de ses actions est au cœur de la culture de la médecine et vous pensez que cela pourrait être une recette pour l'excellence. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. Pourtant, la peur de réprimande, perte d'emploi, perte de réputation et le très litigieux médicale américaine environnement sont une incitation contre les rapports d'incidents et d'accidents. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. Conspiracies imparfaite de la technologie, ridiculement long équipes, et plus complexe de ces problèmes sociaux agissent comme une "main invisible" qui guide le système à générer plus d'erreurs. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. Kim vaillamment fait valoir que le système médical à gagner beaucoup de facteur humain d'ingénierie et fournit d'excellents exemples.

Have a Safe Compute! Avez-Calcul de la sécurité!

It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. Il semble que tout le monde peut bénéficier à la lecture de ce que Kim a à dire et en l'appliquant à leurs champs. I certainly want to try. Je veux essayer. I want to follow up on a conversation I had with Je veux donner suite à une conversation que j'ai eue avec Adam .

Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. Les enjeux de l'utilisation d'Internet est un coût d'entrée, quoique assez faible à première vue, à faire des affaires dans le monde d'aujourd'hui. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! Le coût réel de l'informatique sur l'Internet est probablement très élevé si les risques sont correctement comptabilisées mais c'est une tâche difficile, vous saurez si vous avez déjà tenté d'obtenir un budget approuvé de sécurité! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. Adam assure moi, c'est un problème non résolu parce que beaucoup ou la plupart des incidents de sécurité ne sont pas signalés (si quelqu'un a des estimations s’il vous plaît faites le moi savoir et je leur lien ici) menant à un manque de données permettant d'évaluer les risques.

This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: Cela m'a rappelé les problèmes de Kim discuté dans l'aviation et la médecine, depuis la principale raison nous ne savons pas plus sur les infractions de sécurité est qu'il existe des sanctions pour la divulgation:
-security staff may face reprimand or loss of job and reputation - personnel de sécurité face à mai blâme ou la perte d'emploi et de la réputation
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - une organisation qu'elle ne risque pas de publier des analyses d'incursions et les résultats des audits de sécurité pour des raisons évidentes
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - les entreprises ne veulent pas admettre les dommages causés par les infractions de sécurité à leurs actionnaires et faire preuve de faiblesse sur le marché

Can a CSRS help us design more secure products? Puis une SCRS nous aider à concevoir des produits plus sûrs?

Would it be possible to have an effective “Computer Security Reporting System”? Serait-il possible d'avoir un véritable «Computer Système de rapports sur la sécurité"? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? Une organisation à but non lucratif, financement adéquat, être en mesure de recueillir des données précises et de produire des rapports et des recommandations pour l'industrie et la DSI architectes tant? Could they protect the identities of participants and the information that belongs to them? Pourraient-ils protéger l'identité des participants et les informations qui leur appartient? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? Serions-nous en mesure de générer des clés à des informations de coûts à partir de ces données qui serviraient à éduquer tout en aidant à créer de meilleurs produits et les budgets de sécurité? Has this already been done and does it meet the aforementioned key criteria? Cela at-il déjà été fait et il ne répondent aux critères clés mentionnés ci-dessus? I found something J'ai trouvé quelque chose here ici , but government related agencies don’t seem to meet the “independent” criterion. , Mais le gouvernement les organismes ne semblent pas répondre aux "indépendants" critère.

Perhaps it is not feasible to have a CSRS: Il est peut-être pas possible d'avoir une SCRS:
1) too many players and technologies involved 1) trop de joueurs et les techniques utilisées
2) security, while expensive, is not usually “life and death” 2) la sécurité, tandis que coûteux, n'est généralement pas "la vie et la mort"
3) too big a problem - too expensive to be cost effective 3) un trop gros problème - trop coûteux pour être rentable

I’m not a security insider so I will “ask the audience” on this one. Je ne suis pas un initié de sécurité je vais donc "demander au public" sur celui-ci. I know you’re out there! Je sais que vous êtes là!