Computer Security and The Human Factorコンピュータのセキュリティと、人間の因子
November 7th, 2004 | by ian | 2004年11月7日|イアン|I recently read私は最近読む The Human Factor人間の因子 by engineering professorをシステム工学科教授 Kim Vincente金vincente .です。 This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature.これは、目を見張るような予約の重要性については、 "人々の技術を適応"ではなく"人々を強制的に適応する技術です。 "ヒューマンファクター工学の分野の周りをしばらくの間はどうやら、決しては、社会が今まで以上に必要なそれ:パーソナルコンピュータやインターネットのおかげでほとんどの人々に知っ毎日の取引を認める技術を人間の本性に失敗しています。
Technology for Technology’s Sake 技術のための技術
Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected.キムは言う栽培技術はあまりにも複雑なため、 "技術魔術師"傾向があるような人々のデザインをしたりするために、テクノロジーそのものでは、との文化があるため、科学に還元される傾向を偏重する傾向が設計を理解してからのボトムアップ緊急時にすべてのコンポーネントのプロパティを、システムに接続します。 Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to considerこれらの両方の和音を襲ったのメイン:科学者としてみましたが潮の流れに逆らって泳ぐ還元主義者、およびネットワークとソフトウェアエンジニアとして毎日私の努力を検討する “layer 8″ "レイヤー8 " of theは、 networkネットワーク : the user. :ユーザです。
Systems Analysis システム分析
Prioritizing優先順位 systems analysisシステム分析 in a world of cheap (and quite effective) reductionism is not an easy sell.で、世界の格安の(そして非常に効果的な)還元を売る、簡単ではない。 It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies.これは複雑でコストのかかる、入念な調査が必要な、テストとの相互作用と相互の監視をします。 Where then are you likely to find such approaches?ここで入力し、このようなアプローチを見つけるが高いですか? Typically when the loss of human life is the consequence of failure.通常時の数の人命の損失の結果は、エラーが発生します。 Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records.特に金総書記の予約が彼に関心を対照的ケーススタディを航空業界の安全性や医療記録します。
When Death is on the Line 死亡時は、ライン
There was apparently a time when taking the plane was not safer than driving.どうやら、時間があったときに車を運転するより安全に飛行機はない。 According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident.キムによると、 70年代半ばまでの"連邦航空局は、同時に責任を受け取るための情報については近くに外れ、 reprimandingの人々や組織と失敗するときにします。 "明らかに、多くの本当に深刻な問題のために報告しなかった賠償責任関係の可能性、およびしばしば問題が発生するまではないが取り組むべき事故があった。 Loss of life in aviation is high profile and can lose you customers quickly.航空が高いの人命を犠牲にするプロファイルと顧客を失うことです。 Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowingこのような状況で明らかに持続不可能なため、業界は、米連邦航空局とコラボレートして、最終結果は、 NASAの航空安全報告システム( asrs )できるように private reporting of incidentsプライベート報告事件 .です。 The details are all in the book which I encourage you to read but here is what seems to make the system work:の詳細はすべてホテルの予約を読んで私を奨励するようしかし、ここではどのようなシステムを作る作業:
1) voluntary 1 )自主
2) confidential 2 )機密情報
3) non-punitive 3 )以外の罰則
4) independent 4 )独立
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! ITコスト二〇 〇 〇 〇 〇 〇ドル毎年、扱って@ 40000事件、と明らかに一度もあるが、守秘義務に違反する報告書! And thanks to ASRS in large part, aviation is much safer than it was in the 70s.と感謝をasrs大部分は、航空よりもはるかに安全では、 70年代です。
…Culture Matters …文化の問題
Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes.金大統領はまた研究米国の病院で予防可能な原因で毎年人が死亡四四〇 〇 〇から九八〇 〇 〇です。 This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast.この恐ろしい状況にされないように、この統計に比例して注目を浴びるように見えるものではありません改善される高速です。 Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence.撮影は、自分の行動の責任を中心に医学の文化を考える場合は、これはのための秘策は、優秀です。 Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents.恐怖はまだありません叱責、雇用の喪失、評判の損失、および米国の高い医療環境は、優遇措置に対する訴訟事件や事故を報告します。 Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes.陰謀の不完全な技術は、途方もなく長いシフト、およびこれらのより複雑な社会問題の役割を果たす"見えざる手"というガイドの他の過ちを生成するシステムです。 Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples.果敢に主張して金を得る医療制度のスタンドからたくさんのことを人間の因子エンジニアリングとは、いくつかの優れた例を紹介します。
Have a Safe Compute! は、安全な計算!
It seems like everyone can benefit from reading what Kim has to say and applying it to their fields.誰もが恩恵を受けるように思える金さんはどのような読書に適用されることを言うとして欄に入力します。 I certainly want to try.確かにすることを試したいです。 I want to follow up on a conversation I had withフォローアップをしたいの会話で Adamアダム .です。
Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world.受け入れのインターネット利用は、コストのエントリを、たとえ極めて低い一見すると、今日の世界でビジネスを行う。 The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved!コンピューティングの真のコストを、インターネット上のリスクは、おそらくかなり高い場合は、会計処理が適切に困難な作業ですが、これは、次のように知ってみた場合に安全保障予算の承認を取得するに! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk.アダム保証これは、メインまたは未解決の問題が多く、ほとんどのコンピュータセキュリティインシデント報告されずに終わる(もし誰の見積もりがあればご連絡くださいと私はリンクを追加してください)の欠如でデータをリードしてリスクを評価する。
This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure:この金の問題を思い出した航空で議論さや医学、以来、主な理由の詳細については知ることはありませんセキュリティ侵害の罰則は、開示には:
-security staff may face reprimand or loss of job and reputation 5月のセキュリティスタッフの仕事の損失などの顔と評判を叱責
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons発行する組織の危険性はない-法医学的分析の侵略とセキュリティ監査の結果を明白な理由で
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market -企業の財務を認めざるをしない場合は損害賠償によって引き起こされるセキュリティ侵害して、株主や市場を詳細脱力
Can a CSRS help us design more secure products? csrs役立てることを、より安全な製品のデザインですか?
Would it be possible to have an effective “Computer Security Reporting System”?それが可能には、効果的な"コンピュータのセキュリティレポートシステム"ですか? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike?非営利団体は、適切な資金は、正確なデータを収集できるよう、有意義な報告書や提言を業界に向かうの建築事務所と同じですか? Could they protect the identities of participants and the information that belongs to them?参加者の身元を確認するが、彼らを守ることに属してそれらの情報ですか? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets?キーを生成することが私たちの費用がこのデータからの情報提供を教育するビルドを支援しながら、より良い製品と安全保障の予算ですか? Has this already been done and does it meet the aforementioned key criteria?この機能はすでに行われていないと、前述の重要な基準を満たすことですか? I found something何か私が見つかりました hereここで , but government related agencies don’t seem to meet the “independent” criterion. 、しかし、政府関連機関を満たしていないと思われる"独立"の基準です。
Perhaps it is not feasible to have a CSRS:たぶんそれではない可能性を持つcsrs :
1) too many players and technologies involved 1 )あまりにも多くの選手や技術関係
2) security, while expensive, is not usually “life and death” 2 )安全保障、高価ではない通常、 "生と死"
3) too big a problem - too expensive to be cost effective 3 )あまりにも大きな問題-あまりにも高価で費用対効果
I’m not a security insider so I will “ask the audience” on this one.私は特定のあるセキュリティのインサイダーいるので、私は"まず聞いて、観客の"この1つです。 I know you’re out there!アウトには分かってるわ!
