Computer Security and The Human Factor 컴퓨터 보안과 인간 요인
November 7th, 2004 | by ian | 2004년 11월 7일 | 교통 이안 |I recently read 최근에 읽고 The Human Factor 인간의 요인 by engineering professor 하여 시스템 공학과 Kim Vincente 김 비센테 . 합니다. This is an eye-opening book about the importance of “adapting technology to people” instead of “forcing people to adapt to technology.” The field of Human Factor Engineering has apparently been around for awhile, but never has society been in greater need of it: thanks to personal computers and the internet most people I know deal daily with technology which fails to acknowledge human nature. 이것은 눈 - 오프닝 도서의 중요성에 대해 "적응 기술을 사용하여 사람"대신에 "강제로 사람을 적응하는 기술을합니다."인간 요인 공학 분야에 잠시 주위를 분명하게되었습니다지만 결코 사회가 필요로하는가보다 그것 : 감사합니다 개인용 컴퓨터와 인터넷이 대부분의 사람들은 일상과 기술을 알고있는 거래가 실패 인간의 본성을 인정합니다.
Technology for Technology’s Sake 기술에 대한 기술의 술
Kim says technology has grown too complex because “technology wizards” tend to design for people like themselves or for the sake of the technology itself, and because there is a culture of reductionism in science which tends to favour design from the bottom up without understanding the emergent properties of the system when all components are connected. 김 말한다 기술은 너무 복잡합니다 때문에 성장 "기술 마법사"경향이 같은 사람을위한 디자인을 자신의 이익을 위해 또는 그 자체의 기술, 그리고 문화의 환원 과학 시간에가 있기 때문에 어떤 경향이 이해도없이 바닥에서 유리하게 설계 긴급시의 등록 정보를 시스템의 모든 구성 요소를 연결합니다. Both of these struck a chords with me: as a scientist I tried to swim against the reductionist tide, and as a network and software engineer I strive daily to consider 이러한 삼진 a 화음 나와 함께 : 수영을 보았습니다 반대하는 과학자로서 reductionist 조류, 그리고 네트워크와 소프트웨어 엔지니어로서 나는 매일 노력을 고려해야 “layer 8″ "레이어 8" of the 의 network 네트워크 : the user. : 사용자합니다.
Systems Analysis 시스템 분석
Prioritizing 우선순위 systems analysis 시스템 분석 in a world of cheap (and quite effective) reductionism is not an easy sell. 세계의 저렴한 (그리고 매우 효과적인) 환원은 쉬운 판매합니다. It is complicated and costly, requiring careful study, testing and monitoring of interaction and interdependencies. 복잡하고 비용이 많이 드는 것은,주의가 필요한 연구, 테스트 및 모니터링과 상호 작용하는 상호 작용을합니다. Where then are you likely to find such approaches? 다음은 이러한 접근 방법을 찾을 가능성이 어디에? Typically when the loss of human life is the consequence of failure. 일반적으로 손실을 때 인간의 삶이란과 같은 결과가 실패합니다. Of particular interest in Kim’s book were his contrasting case studies on aviation and medical industry safety records. 특히 김의 도서에 관심을 대조,이 사람의 사례 연구를 항공과 의료 산업 안전 기록을합니다.
When Death is on the Line 죽음은이 때 선
There was apparently a time when taking the plane was not safer than driving. 비행기를 타고있다는 분명히 아니었 때보다 안전한 운전합니다. According to Kim, up until the mid 70s “the FAA was simultaneously responsible for receiving information about near misses, and reprimanding people and organizations when they screwed up.” Obviously a lot of really serious matters did not get reported due to the potential liability involved, and often problems would not be addressed until there was an accident. 김에 따르면, 1970 년대 중반까지 "연방 항공국이 부근에 대한 정보를 동시에 수신에 대한 책임을 그리워, 그리고 그들이 망가지고 reprimanding 사람과 단체합니다."분명히 많은 정말 심각한 문제로 인해 잠재적인 배상 책임 못받 관련 보도 , 그리고 종종 문제가 해결되지 않습니다하기 전까지는 사고가났다. Loss of life in aviation is high profile and can lose you customers quickly. 생활에 항공의 손실이 높은 고객의 프로필과 신속하게 당신을 잃을 수있습니다. Obviously this situation was unsustainable for the industry and eventually the FAA collaborated with NASA resulting in the Aviation Safety Reporting System (ASRS) allowing 물론 이런 상황이 지속 가능하지 버리라는 명령을 업계와 공동으로 결국 결과에 미항공 우주국 항공 안전보고 시스템 (asrs) 허용 private reporting of incidents 사립보고하는 것입니다 사건 . 합니다. The details are all in the book which I encourage you to read but here is what seems to make the system work: 자세한 내용은 모두이 책에하지만 여기는 무엇을 읽을 것을 권해드립니다의 시스템 작동하게 해주는 것 같아요 :
1) voluntary 1) 자발적인
2) confidential 2) 기밀 정보
3) non-punitive 3) 아닌 - 징벌적
4) independent 4) 독립적인
It costs $2 million annually, deals with @40,000 incidents, and there has apparently NEVER been a breach of confidentiality of the reports! 비용은 연간 2 백만 달러, 다루는 @ 40000 사건, 그리고 분명히 본 적이있다는 보고서를 기밀을 위반! And thanks to ASRS in large part, aviation is much safer than it was in the 70s. 덕분에 많은 부분 asrs, 항공은 70 년대에 비해 훨씬 안전합니다.
…Culture Matters 문화 문제…
Kim also studies US hospitals where 44,000-98,000 people die yearly from preventable causes. 김 대통령은 또 미국 병원에 연구를 예방할 수 어디로 인해 연간 4만4천-9만8천명 죽는합니다. This horrific situation doesn’t seem to get attention proportional to this statistic and does not seem to be improving fast. 이 무서운 상황에주의를 끌려고하지 않습니다에 비례하는 것이 통계를 개선하지 않습니다 빠른 것 같습니다. Taking responsibility for one’s actions is central to the culture of medecine and you would think this would be a recipe for excellence. 하나의 행위에 대한 책임을 의학 문화의 중심을위한 레시피가 될 거라고 생각하고 있는데 우수합니다. Yet fear of reprimand, job loss, loss of reputation, and the highly litigious US medical environment are incentives against reporting incidents and accidents. 아직 두려움을 징계, 작업 손실, 평판의 손실, 그리고 미국 의료 환경에서 높은 인센티브를 상대로 소송 사건과 사고를보고합니다. Conspiracies of imperfect technology, ridiculously long shifts, and these more complex social issues act as an “invisible hand” that guides the system to generate more mistakes. 음모론의 불완전한 기술, 엉뚱하게 오랫동안 근무하며, 이러한 더 복잡한 사회 문제의 역할을 "보이지 않는 손"더 이상의 실수는 안내하는 시스템을 생성합니다. Kim argues valiantly that the medical system stands to gain a lot from human factor engineering and provides some excellent examples. 김 의료 체계를 과감하게 주장한다 스탠드에서 많은 인간의 요소를 얻는 공학 및 좋은 사례를 제공합니다.
Have a Safe Compute! 이 안전하게 계산!
It seems like everyone can benefit from reading what Kim has to say and applying it to their fields. 모든 혜택을 누릴 수있습니다 읽는 것 같아 김 위원장은 무엇을 말하는 그것을 그들의 분야에 적용합니다. I certainly want to try. 확실히 싶어요. I want to follow up on a conversation I had with 하나의 대화에 후속 싶다과 나는 Adam 아담 . 합니다.
Embracing internet use is a cost of entry, albeit quite low at first glance, to doing business in today’s world. 인터넷 사용은 비용의 항목을 수용 나마 매우 낮은 언뜻보기에 오늘날의 세계에서 사업을합니다. The true cost of computing on the internet is probably quite high if the risks are properly accounted for however this is a difficult task, you would know if you ever tried to get a security budget approved! 인터넷에서 컴퓨터의 진정한 비용이 상당히 높은 경우에는 위험 요소는 아마도이 제대로 설명할 수 그러나 이것은 어려운 작업을하려고한다면 당신들도 알고있는 보안 예산을 승인! Adam assures me this is an unsolved problem because many or most computer security incidents go unreported (if anyone has any estimates please let me know and I will link to them here) leading to a lack of data with which to assess risk. 나 이것은 미해결 문제가 아담 보증이나 대부분의 컴퓨터 보안 사고가 많이되지 않는 (만약 사람이 모든 견적은 링크를 알려주시기 바랍니다 그리고 그들은 여기) 선두에있는 데이터를 파악하기 위해 위험이 부족합니다.
This reminded me of the problems Kim discussed in aviation and medecine, since the major reason we don’t know more about security breaches is that there are penalties for disclosure: 김에 설명되어있는 문제를 연상시키는이 항공과 의학, 이후의 주요 이유가 우리가 모르는 보안 위반에 대한 자세한 내용은 공개가에 대한 처벌 :
-security staff may face reprimand or loss of job and reputation - 보안 직원이 얼굴을 징계하거나 업무와 명성의 손실
-an organization won’t risk publishing forensic analysis of incursions and results of security audits for obvious reasons - 조직되지 않습니다 법의학 게시 위험의 보안 감사 및 결과 분석을 분명한 이유 때문에 침략
-companies don’t want to admit the financial damages caused by security breaches to their shareholders and show weakness to the market - 기업 금융 손해 배상을 인정하지 않으 보안 위반으로 인해 발생 주주 및 그들의 약점을 시장보기
Can a CSRS help us design more secure products? CSR 고객 수 있었을 더 안전한 제품 설계 도와주세요?
Would it be possible to have an effective “Computer Security Reporting System”? 그것이 가능할 수있는 효과적인 "컴퓨터 보안보고 시스템"? Would a non-profit organization, properly funded, be able to collect accurate data and produce meaningful reports and recommendations for industry architects and CIOs alike? - 이익 단체가 아닌이 적절하게 자금 지원, 정확한 데이터를 수집할 수있습니다 의미있는 리포트를 생성 및 권장 사항에 대한 업계 및 건축가와, CIO 보이냐? Could they protect the identities of participants and the information that belongs to them? 얻을 수있을 것 참여자의 신원을 보호하고 그들의 정보에 속하는가? Would we be able to generate key cost information from this data that would serve to educate while helping build better products and security budgets? 열쇠를 생성할 수있습니다 비용을 우리가이 데이터에서 정보가 제공보다 나은 제품을 교육 및 보안을 구축하는 동안 예산을 돕는가? Has this already been done and does it meet the aforementioned key criteria? 에이 이미 완료하고 앞서 언급한 주요 기준을 충족입니까? I found something 찾았어요 here 여기에 , but government related agencies don’t seem to meet the “independent” criterion. 하지만 정부의 관련 부처를 만나는이없는 것 같군요은 "독립적인"기준합니다.
Perhaps it is not feasible to have a CSRS: 아마도 그것이 불가능가 CSR 고객 :
1) too many players and technologies involved 1)이 너무 많습니다 플레이어 및 관련 기술의
2) security, while expensive, is not usually “life and death” 2) 보안, 동안 비싸고,은 일반적으로 "삶과 죽음"
3) too big a problem - too expensive to be cost effective 3) 너무 큰 문제가 -이 비용 대비 효과가 너무 비싸
I’m not a security insider so I will “ask the audience” on this one. 난 안의 보안 내부자 그래서 난은 "질문 청중"이 하나있습니다. I know you’re out there! 나는을 알릴 수있습니다!
