July 2013 Download this article as a PDFAbstract

В этой статье рассматриваются девять социально технических тенденций, которые могут формировать среду кибербезопасности в течение следующего десятилетия. Эти девять тенденции достигли различных уровней зрелости, и некоторые из них – например квантовых вычислений – по-прежнему теоретически спорным. Эти тенденции являются: облачные вычисления; большие данные; Интернет вещей; Мобильный Интернет; мозг – компьютерные интерфейсы; вблизи полевой связи платежных систем; Мобильные роботы; квантовые вычисления; и милитаризации Интернета.

Эти девять тенденции имеют в общем является, что они будут играть важную роль в создании новых возможностей для нарушителей, которые в результате экспоненциальное увеличение количества данных, количество точек подключения к Интернету и скорость потоков данных, которые орошают цифровой экосистемы. В результате больше возможностей для вредоносных эксплуатации будут доступны для злоумышленников, «безопасность дизайн» будет труднее достичь в жидкости и динамичной среде и эффективности механизмов контроля может значительно подорвать.

Компьютерщики уже разрабатываются технические решения для решения этих проблем. Эта статья сфокусирована на другой и взаимодополняющего подхода, найти вдохновение в работе регулирующих ученых, которые подставил многообещающие теории как регулирующие плюрализм и отзывчивым регулирования для изучения вариантов необходимой институциональной адаптации этих будущих изменений.

Введение

Текущий пейзаж угрозы, характеризующий компьютерных сетей и критических инфраструктур уже настолько насыщенный, со сложными рисками, что кажется бесполезным экстраполировать, что будущее кибербезопасности будет выглядеть 10 лет от теперь. Действительно Наполеон Бонапарт однажды сказал, что «простаков говорить о прошлом, мудрецов настоящего и дураки будущего». Однако ряд информационных технологий нарушили существующие экономические, социальные, политические и правовые механизмы, и вполне вероятно, что подобные преобразования будут повторяться на регулярной основе. Термин «подрывной технологии» был впервые использован на Клейтон Кристенсен (1997) для анализа инноваций, которые не просто улучшить производительность существующих технологий (эти нововведения называются устойчивой технологии), но вместо этого определить совершенно новые продукты или услуги для удовлетворения неудовлетворенных потребностей и следовательно, сделать прочного изменения технологического ландшафта, в которую они подходят. Однако преступники также являются очень изобретательный новаторов, которые воспользоваться преимуществами передовых технологий, чтобы открыть «нарушения», которые могут быть определены как «внезапное новые возможности для нарушителей, открытых в результате изменений в технологической или социальной среды» (Киллиас, 2006). Эти нарушения часто являются результатом дефектной охвата юридических или нормативных и спровоцировать быстрый рост преступлений, до закрытия нарушения и правонарушителей перейти к следующей возможности. В такой стремительно меняющемся контексте поэтому становится важно предвидеть, какие нарушения могут открыть как результат технологических новшеств, таким образом, чтобы политика и правила могут быть разработаны заблаговременно для того, чтобы свести к минимуму их влияние на пользователей Интернета.

Кибербезопасности дискурсов внимания угроз национальной безопасности, таких, как разрушительные кибератаки против критических инфраструктур или кибершпионаже кампаний, нацеленных на ценную интеллектуальную собственность и чувствительной стратегической информации (Брито и Уоткинс, 2011; ОДНАЖДЫ 2011; Джендрон и Раднер, 2012). Однако более приземленные злоумышленника риски получают значительно меньше внимания и инвестиций от правительств, несмотря на то, что они уже затрагивают гораздо большую долю населения чем их национальной безопасности. Согласно последним статистическим данным канадской виктимизации cyberfrauds составляют примерно одну треть всех имущественных преступлений и значительно больше, чем автомобилей кражи, краж и вандализма инцидентов в 2009 году (Perreault и Бреннан, 2010; Перро, 2011), с учетом аналогичных моделей, наблюдается в Великобритании (Андерсон и др., 2012). Тем не менее большинство полицейских организаций по-прежнему ограниченными ресурсами для решения этой проблемы, политика, которую производители еще находятся в процессе разработки эффективных киберпреступность механизмов контроля, и многие частные субъекты держать на маркетинг оборудования, приложений и служб, безопасность которых остаются проблематичными.

Эта статья эскизы контуры проблем кибербезопасности, которые могут появиться в течение следующего десятилетия и проанализировать их безопасность и нормативные последствия, так что более эффективные системы могут быть спроектированы для мониторинга и закрытия нарушений. В первом разделе я познакомлю девять разрушительных технологических тенденций, которые синоптики прогнозируют будет наиболее радикально изменить экосистемы Интернета в течение следующих 10 лет. Во втором разделе я рассмотреть шесть кибербезопасности последствия этих тенденций и обсудить возможные нарушения, которые могут открыть, если сохранить статус-кво. И наконец в третьем разделе, я считаю, какие нормативные изменения могли бы более эффективно решать проблемы будущей кибербезопасности.

Девять разрушительные тенденции в социально технические

Девять социально технических тенденций, которые рассматриваются ниже и, скорее всего, оказывают воздействие на окружающую среду кибербезопасности в течение следующего десятилетия были выявлены и описаны автором в докладе, подготовленном Управлением общественной безопасности Канады кибербезопасности и доступны онлайн (Dupont, 2012). Поскольку этот список включает тенденции, которые достигли различных стадий зрелости, к сожалению есть сильный уклон в сторону технологии, которые уже имеющиеся или достигли «пик завышенных ожиданий» в Gartner в «Hype цикла» (Фенн, 2010).

1. облачные вычисления

Консалтинговая фирма IDC по оценкам, в 2020 году, треть компьютерных данных будет храниться в или будет транзита через системы, управляемые в облаке, и что взрыв этого рынка может генерировать доходы сверх одного триллиона долларов к 2014 году (Ганц и Reinsel, 2010; Нэш, 2011). Беспрецедентную гибкость облачных вычислений, что обещания сократить расходы для компаний, которые используют его сделать неотразимое предложение, особенно в эти неспокойные финансовые времена (IBM, 2011) и даже лица становятся заядлых потребителей облачных услуг, таких, как Dropbox или Netflix.

2. большие данные

Большие данные термин отражает появление в последние годы наборов данных, содержащих Гигантские объемы неструктурированных или разрозненных информации. Единицы измерения, используемые для описания этих томов данных уже не гигабайт или терабайт, но peta‑, exa- или даже zettabyte (1021 байт). По оценкам IDC, в 2011 г., во всем мире количество информации и обмен на цифровых носителях (цифровой вселенной) было приблизительно 1.8 секстибайт, и что он будет умножить на 20 к 2020 году до 38 секстибайт (Ганц и Reinsel, 2011). Объем и разнообразие данных, обработанных предотвращения традиционного анализа методов использования и специализированные решения, которые основаны на передовых компьютерных средств и статистики (например, Hadoop MapReduce программирования и языка R для статистического анализа и визуализации) развертываются на инфраструктур, специально предназначенных для таких видов применения.

3. Интернет вещей

Этот термин относится к растущее взаимодействие между физическим и Цифровые миры через датчики и устройства сбора данных интегрированы в объекты вокруг нас (от автомобилей до кардиостимуляторов холодильников smart метров). Эти объекты получают возможность общаться без проводов с компьютерными сетями через Интернет. Массовый поток данных, производимых этими объектами позволяет их операций и условий, в которых они действуют более эффективно контролировать и управляемые (Chui соавт, 2010). Есть уже больше объектов, чем компьютеры, подключенные к Интернету (Фенн и LeHong, 2011) и Cisco прогнозирует, что более 50 миллиардов объектов будут подключены к Интернету к 2020 году (Эванс, 2011).

4. Мобильный Интернет

Концепция мобильного Интернета или мобильных ПК обозначает все технологии, которые обеспечивают полный или частичный доступ к Интернету с помощью мобильных устройств, таких как смартфоны или планшеты. В 2012 году мировые продажи мобильных интернет-устройств достигло 850 миллионов единиц, в то время как настольных и портативных ПК едва переехал 350 миллионов единиц. Темп роста для планшетов и смартфонов оценивается на 174% и 110% соответственно в течение следующих четырех лет (IDC, 2013).

5. мозг компьютерные интерфейсы

Мозг – компьютерные интерфейсы являются технологии, используемые для прямого подключения внешних устройств к человеческий мозг. Эти устройства позволяют людям взаимодействовать с компьютерами, по мысли. Эти технологии в настоящее время используется в медицине для компенсации, помощь или увеличить когнитивных и двигательных функций лиц с физической или психологической инвалидностью. Эти ранее дорогостоящие технологии, которые были ограничены в мире исследований появляются в области потребительской электроники и будет постепенно заменить клавиатуру и мышь как людей предпочтительным способов взаимодействия с машинами (Юань и Баркер, 2011). Были достигнуты значительные успехи в этой области, и за последние несколько месяцев Emotiv маркетинга $300 беспроводной нейро гарнитуры для захвата и обработки сигналов мозга.

6. возле полевой связи (ЯТЦ)

Это форма оплаты, которая использует различные технологии беспроводной связи, связанных с чипов радиочастотной идентификации (RFID) для облегчения финансовых операций в точках продажи. Эта технология устанавливается в первую очередь платежных карт и мобильных телефонов, которые могут выполнять транзакцию, если несколько сантиметров от приемника должным образом оборудованных. Эта технология значительно ускоряет процесс продажи (Тата, 2011) и предназначен, чтобы конкурировать с традиционными оплаты, такие как наличные деньги или кредитные карты (Ондрус и Pigneur, 2009).

7. Мобильные роботы

Мульти составник механические системы, которые могут путешествовать автономно или полу-автономно и которые имеют возможность влиять на их непосредственного окружения, известны как мобильные роботы. Некоторые из этих роботов также имеют функции беспроводной связи, которые позволяют нам рассмотреть концепцию совместных роботов (MEFI, 2011). Мобильные роботы можно найти в растущем числе таких секторов, как производство, но и сферы услуг, сектор здравоохранения и любое занятие, где люди опасные задачи. Япония и Германия являются наиболее развитых стран в развитии гражданской мобильной робототехники, в то время как Соединенные Штаты и Израиль доминирующие позиции на рынке военной робототехники. Во Франции министерство экономики считает, что рынок робот может представлять $30 млрд к 2015 году (MEFI, 2011).

8. квантовые вычисления

Эта ветвь компьутерные науки находится на очень эмбриональной стадии развития, но тем не менее предлагает революционные приложения с точки зрения расчета мощности и, следовательно, безопасности. Квантовые вычисления использует законы квантовой механики для обработки больших объемов информации гораздо более эффективно, чем традиционные вычислений. Очень специализированные квантовой криптографии, решения, уже на рынке и некоторые крупные организации, такие как IBM, HP, Microsoft, Google, НАСА и Lockheed Martin, а также стартапы, таких, как системы D-Wave в Британской Колумбии, инвестируют крупные суммы в квантовых вычислений для ускорения разработки машин для практического применения.

9. Милитаризация Интернет

В последние несколько лет военная доктрина изменилось сделать управление Интернетом, не только внутренней безопасности вопрос но также вопрос национальной безопасности, с резким увеличением ресурсов, выделяемых на развитие наступательных и оборонительных потенциалов (Дайберта, 2010). По меньшей мере 33 государства (включая Канаду) недвусмысленно признают развитие наступательных и оборонительных оперативных возможностей в киберпространстве (Льюис и Тимлин, 2011). Пентагон потратил чуть более $3,2 миллиарда долларов США в 2012 году на его оборонительных и наступательных усилий в области кибербезопасности (Sternstein, 2011).

Шесть проблем кибербезопасности

Тенденции, изложенные в предыдущем разделе все будет создавать конкретные кибербезопасности вопросы, которые я подробно в моем полном докладе (Dupont, 2012). Тем не менее один из важных аспектов, чтобы рассмотреть является их высокий уровень интеграции. Эти девять тенденции технически и социально взаимозависимы, а некоторые даже имеют симбиотические отношения друг с другом (например, мобильный Интернет и NFC платежей). Другие тенденции будут сходиться для предоставления новых услуг для частных лиц и предприятий, таких, как Интернет вещей, которые выиграют от научных достижений в больших данных для повышения производительности бизнеса. Рисунок 1 сопоставляет субъективный образец взаимозависимости, выявленных в полном докладе и не делает никаких заявлений, чтобы быть исчерпывающим, в том, что новые ссылки наверняка появятся, как трудно предсказать подрывной инновации происходят.

Рисунок 1

Рисунок 1. Ключевые взаимозависимость между социально технических кибербезопасность тенденции

Эти взаимозависимости иллюстрируют растущее число связей ссылок технологий, которые следует рассматривать отдельно. В таких тесно связанные системы становится контрпродуктивным думать о кибербезопасности в узком смысле и на высоком уровне, целом системный подход имеет важное значение для того, чтобы способствовать формированию эффективной политики и механизмов регулирования. В этой перспективе можно ожидать шесть проблем безопасности.

1. данные

Огромное количество информации производится и хранится огромное количество машин, которые будут подключены к Интернету потребует разработки технологий безопасности, которые остаются эффективными в таких масштабах и которые могут обнаруживать потенциальные риски среди постоянно расширяющийся созвездие неструктурированным и весьма разнородных наборов данных. Учитывая, что даже маленькие организации будут накапливать большие объемы информации, организационный потенциал для держать безопасное хранение таких больших наборов данных будет в вопросе (Lane, 2011).

2. больше соединений

Каждый новый объект, подключенный к Интернету будет представлять точку дополнительного входа цифровой экосистемы, которые должны быть обеспечены. Это окажется особенно трудным для автономных машин, таких как роботы и смарт-счетчиков, которые работают в общественных местах и могут быть легко подделаны или устройств, которые производятся в таких больших количествах, что функции безопасности должны оставаться в зачаточном состоянии, чтобы держать цены вниз (Роман соавт., 2011). Распространение подключенных устройств и объектов будет также увеличить потенциал наблюдения до беспрецедентного уровня и позволит вредоносных участников тайно собирать контекстные личные данные, которые никогда не были доступны до таких географических координат, на лету биометрической информации, звуки, запахи, химические составы, и др.

3. больше движения и потоки

Океаны данных мобильных устройств, объектов и датчики будут циркулировать в цифровой экосистеме при высокой скорости для того чтобы хранить, совместно и проанализированы организации пытаются обнаружить скрытые возможности. Каждое движение будет оставить следы данных и остатков, которые могли бы быть использованы вредоносным актеров если беспечно. Эскалация и ускорение потоков данных может привести к размыванию обязанностей по обеспечению безопасности, если адекватные нормативные обязательства не разрабатываются и внедряются.

4. больше возможностей для вредоносных эксплуатации

Расширение и диверсификация цифровой экосистемы, маловероятно замедлить течение следующего десятилетия, пойдет на пользу уголовных преступников и различных категорий нападавших, чей диапазон подходящих целей будет увеличиваться в геометрической прогрессии; Это классическое применение Коэн и Фелсон 's (1979) теория обычной деятельности. Низкоквалифицированных хакеры будут статистически найти более незащищенные машины доступны онлайн, в то время как высокой квалификации хакеры будут использовать эти новые возможности для создания более крупных бот-сети и запуска более разрушительных и непредсказуемых атак.

5. меньше безопасности дизайн

Движение «безопасность дизайн», который первоначально был вдохновлен с. Рэй Джеффери (1971) работа по предупреждению преступности посредством экологического дизайна, в настоящее время вышла за пределы зданий и пространств, чтобы включать объекты, машины и приложения. Компаний и изобретателей предлагается рассмотреть, каким образом они могут уменьшить возможности правонарушителю достаточно рано в процессе проектирования путем проведения исследований, наблюдения пользователей и опроса заинтересованных сторон (альянс против преступности, 2011). Этот длинный и сложный метод, который может быть применен к разработке программного обеспечения (Gegick и Барнум, 2005), к сожалению несовместима с более быстрые циклы инноваций, где привлечены новые продукты на рынок как можно скорее для предотвращения конкурентов от достижения доминирующего положения. В отличие от других промышленных секторах, таких, как автомобиль, самолет или игрушек производства, весьма ограниченные стандарты исковую силу безопасности находятся в месте, чтобы компенсировать отсутствие экономических стимулов в маркетинге безопасной продукции.

6. меньше контроля

Растущая сложность, присущие цифровой экосистемы, опираясь на весьма диверсифицированной технологии, которые не были разработаны необязательно должны использоваться значительная часть населения или в комплексе создает технические и нормативные проблемы, которые задерживают осуществление эффективных механизмов контроля. Устаревшие технические протоколы и существующие государственные учреждения не являются хорошо подготовлены, чтобы справиться с этой новой реальности и применять индустриальной эры ответы на проблемы цифровой эпохи. Неприкосновенность частной жизни является хорошим примером. Механизмы традиционного контроля конфиденциальности что Организации, отдельных лиц и регулирующие органы в настоящее время есть особенно трудно, если не использовать устаревшие. Это потому, что сочетание больших данных, облачных вычислений, мобильный Интернет, платежи NFC, и Интернет технологий объектов будут автоматически и постоянно генерировать огромные личные данные потоки разделяют множество организаций. В такой среде, как может один выяснить, какие данные собираются и сохранены, с какой степенью точности и надежности, или какие хранения данных, Обмен, маркетинг, и политика уничтожения осуществляется? Кроме того каждая прорывной технологии вызывает появление новых субъектов в цифровой экосистеме. С точки зрения кибербезопасности эта нестабильность затрудняет усилия по координации, постоянно внедряются новые организационные субъекты, чьи способности и готовности содействовать безопасности экосистемы в целом трудно для своих партнеров и регулирующих органов для оценки и мобилизации.

Нормативные варианты для повышения устойчивости экосистем цифровой

Хотя компьютерные специалисты активно работают над технических исправлений для решения шесть задач, перечисленных выше, характер дебатов среди ученых, общественных наук был гораздо более осторожными и скептически. Усилия по разработке и реализации механизмов регулирования, которые могли бы повысить безопасность пользователей онлайн более или менее явно связано с правительственными нападениями, размывая Интернет основные ценности свободы и открытости (Зиттрейн, 2009; Дайберта и Рохожински, 2010; Мюллер, 2010; Палфри, 2010). Таким образом в то время как цифровая экосистема расширяется и интеграции, нормативная теория остается раздробленной и неохотно предлагают новые альтернативы для решения существующих и будущих проблем кибербезопасности. Если мы вернемся к схеме взаимосвязанных тенденций (рис. 1), в идеале мы должны сопоставить соответствующую схему, представляющую связь между режимы регулирования, которые следует проанализировать эти изменения. Эта вторая диаграмма будет представлять связи, которые должны быть установлены между различными областями регулирования (например, норм регулирования банковской деятельности, здравоохранения, права и медицинской этики – для мозга компьютерных интерфейсов, уголовное право, правила дорожного движения – для мобильных роботов, Закон войны, правила конфиденциальности, международных стандартов в промышленности и безопасности, регулирования телекоммуникаций, etc) для того, чтобы двигаться в сторону нормативной модели, которая могла бы использовать этот плюрализм, вместо того, чтобы быть ограничены его.

Концепция «регулирования плюрализма» признает, что регулирование становится рассеялись и что многие учреждения (включая частные субъекты) и средства за пределами государства из широкого круга областей, могут быть мобилизованы для достижения результатов в соответствие с общественным благом (Grabosky, 1995). Что характеризует нормативно-правовой плюрализм является убеждение, что, опираясь на спектр и самостоятельного укрепления нормативных актов, политики могут осуществляться таким образом, чтобы в большей мере учитывать конкретный контекст, ресурсов и ограничений конкретного сектора (Crawford, 2006). Другими словами регулирование будет сосредоточена на трудные задачи для решения и результатов для достижения вместо того, чтобы быть одержимым соблюдения узкого набора предписанного поведения. В своей влиятельной книге о киберпространстве регулировании Лессиг (2006) излагаются четыре вида нормативных ограничений, которые могут быть использованы отдельно или в сочетании для решения сложных проблем: закон, социальные нормы, рыночные силы и технологической архитектуры. Такие страны, как Япония, Южная Корея, Австралия и Германия уже экспериментировали с этим нормативно-правовой плюрализм подходом к борьбе с бот-сети путем создания союзов государственных регуляторов, Интернет-провайдеры и антивирусные компании убедить (или в некоторых случаях заставляют) пользователей компьютера для очистки зараженных машин (Dupont, 2013: «Международное сравнение анти ботнет партнерства», общественной безопасности Канады: Оттава). Без необходимости принимать законы и с ограниченными государственными деньгами эти инициативы достижение перспективных результатов за счет новаторских регламентационных подходов, которые используют четыре рычаги, описанные Лессиг.

Вопрос как обеспечить оптимальное и последовательное участие при регулировании доверено в значительной степени частных субъектов. Другими словами можно разнообразие субъектов, действующих в плюралистическом нормативно эффективно стимулы и хореографии без создания большой контрпродуктивной бюрократией (Grabosky, 2012)? Пытаясь ответить на этот вопрос, Эрс и Брейтуэйт (1992 год) предполагают, что концепция «отзывчивым регулирования» может предложить инновационные и экономически эффективным альтернативой дихотомии государственного регулирования и саморегулирования. Их теория опирается на основной принцип «доброкачественными большой пушки», где эскалация правоприменительной практики развертывания для того, чтобы индивидуализировать интенсивность регулирования деятельности регулируемых субъектов поведения. Стратегия по умолчанию в этом контексте неагрессивные и делегировало регулирования, что скорее всего, установления сотрудничества и инноваций среди частных лиц, позволяя им усмотрению решать, как наилучшим образом для достижения целей регулирования. Для частных лиц, которые не желают или не способны осуществлять эффективные стратегии (например, в случае сбоя рыночного механизма) государство сохраняет возможность эскалации ее уровень интервенционизма путем перехода к положениям командования и контроля, которые включают различные формы наказания. Принципы регулирования отзывчивым по своей природе совместимы с необходимостью сохранения инновационного потенциала канадских компаний в высококонкурентной бизнес-контексте, позволяя ключевым заинтересованным сторонам найти оптимальные решения, подходящие для их конкретных потребностей и возможностей до вмешательства государства стали переросла в более принуждения и дорогостоящих подходов.

Заключение

Разрыв между ожидаемым эволюций цифровой экосистемы и нормативные инструменты, которые в настоящее время складываются регулирующими органами, как представляется, комфорт Киллиас (2006) общей теории преступности и безопасности нарушений. Однако основное различие с Киллиас исторические примеры массового производства спиртных напитков, потребительских товаров или появление банковской системы является, что нынешняя волна техно социальных инноваций разворачивается на многих различных направлениях и что в результате взаимозависимости ввести непревзойденный уровень сложности. Мы, как правило, думают о новых тенденциях в изоляции; в этой статье спорю для более целостного подхода. Я набросал как девять техно социальные тенденции будут формировать цифровой экосистемы, и как новые вызовы кибербезопасности и требования будут возникать как результат. Без согласованной и комплексной стратегии регулирования для обеспечения безопасности и стабильности цифровой экосистемы технологический потенциал Канады может подорвать и отставать от своих глобальных конкурентов. Некоторые страны, такие, как Австралия, Япония и Германия, среди прочего, уже экспериментировали с многосторонней или узловым схем регулирования для управления сложными цифровых рисков, таких как бот-сети (Dupont, 2013: «Международное сравнение анти ботнет партнерства», общественной безопасности Канады: Оттава). Другие области регулирования также стали свидетелями появления хитроумные инициатив, которые также подлежат передаче к окружающей среде кибербезопасности (Braithwaite и Drahos, 2000). Но, ожидая, что статус-кво или невмешательства решения будут чудесным образом производить укрепление кибербезопасности в этой жидкости среде явно не является устойчивым вариантом.

 

Выражение признательности

Эта статья основана на двух докладах, подготовленных для национальной кибербезопасности директорат общественной безопасности Канады. Автор хотел бы поблагодарить общественной безопасности Канады за поддержку, предоставленную для завершения этого исследования.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: кибербезопасности, политика кибербезопасности, цифровой экосистемы, возникающие риски, прогнозирование, регулирование, технологические тенденции

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.