Monday, August 21, 2006

National Digital Security Board

While reading Hacker's Challenge 3, I was reminded of some of my earlier thoughts on digital security disasters. I wrote:

My concept is simple: when a bridge fails in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "analog" world, everyone knows about it. The disaster is visible, and engineers can analyze and learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event. The lessons cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y take away make future bridges stronger and safer. I do not see this happening in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world.

When I wrote that post I requested hearing stories from blog readers on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own security disasters. I received zero stories. I was naive to think anyone would want to talk about this issues, unless in a forum like Hacker's Challenge. At least cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authors receive royalities and fame, however meager.

While watching a recent Nova episode on Concorde, it mentioned a terrible crash which occurred in 2000. It occurred to me that if this crash affected an American airline, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Transportation Safety Board would be involved.

The NTSB Web site says:

The National Transportation Safety Board is an independent Federal agency charged by Congress with investigating every civil aviation accident in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 United States and significant accidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r modes of transportation -- railroad, highway, marine and pipeline -- and issuing safety recommendations aimed at preventing future accidents...

Since its inception in 1967, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB has investigated more than 124,000 aviation accidents and over 10,000 surface transportation accidents. In so doing, it has become one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world's premier accident investigation agencies. On call 24 hours a day, 365 days a year, NTSB investigators travel throughout cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 country and to every corner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world to investigate significant accidents and develop factual records and safety recommendations.


This is exactly what we need in digital security. Not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDSB -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Digital Security Board. The NDSB should investigate intrusions disclosed by companies as a result of existing legislation. Like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDSB would probably need legislation to authorize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se investigations.

An Amazon.com search found Safety in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Skies: Personnel and Parties in NTSB Aviation Accident Investigations, which I happened to find online as well. Early on it states:

The NTSB bears a significant share of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responsibility for ensuring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safety of domestic and international air travel. Although it is not a regulatory agency, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB's influence weighs heavily when matters of transportation safety are at issue.

The NTSB is independent from every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Executive Branch department or agency, and its mission is simple and straightforward: to investigate and establish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts, circumstances, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cause or probable cause of various kinds of major transportation accidents. The safety board is also charged with making safety recommendations to federal, state, and local agencies to prevent similar accidents from happening in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

This responsibility is fundamental to ensuring that unsafe conditions are identified and that appropriate corrective action is taken as soon as possible. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safety board has no enforcement authority ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 persuasive power of its investigations and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 immediacy of its recommendations.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scheme of government, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency's clout is unique but is contingent on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 independence, timeliness, and accuracy of its factual findings and analytical conclusions.


I intend to research this issue furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r and perhaps write more formally about this idea. Any NTSB people reading this blog?

I also think we should have a United States Cyber Corps, but that's anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r story...

10 comments:

Anonymous said...

Back when I was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lead security person for a web hosting company. I actually modeled responses to incidents roughly on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB model. I was more concerned to know what had happened, if a security measure had failed and where we could improve to prevent a reoccurrence.

Richard Bejtlich said...

Anonymous,

How did you learn cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 model? Anything else you can share?

Anonymous said...

You need to research more in to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB before recommending it.

Unfortunately, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB can only make recommendations. This has lead it to be an organization that can be "ignored" by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aviation industry. This has happened several times, to disasterous consequences. I'd have to research it, but I can remember two or three incidents where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB has made recommendations, but both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airlines, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft manufacturer have ignored cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, or made it "optional" for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir customers.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations after TWA flight 800 was to put inert gas in unused fuel tanks (similar to what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Military has done since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 1970s due to fires and explosions). To date, over 10 years later cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been no action on this issue.

They may have great "procedures" but when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 recommendations can be "ignored" it's tantamount to being useless.

Also, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 agency that supervises cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB (e.g. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enforcement end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB) is suppose to (it's in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 charter so look it up) 'help support cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 industry', and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore has a dual interest of both safety, and promoting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 airline industry.

Sorry, but this isn't a good model IMHO.

Richard Bejtlich said...

Anonymous, we'll see. I think a NDSB is far more than most companies would want, even without power to enforce changes.

Anonymous said...

... when a bridge fails in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "analog" world, everyone knows about it. The disaster is visible, and engineers can analyze and learn from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 event.

As a responder, I would suggest that this is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analogy falls apart. Often, security incidents go undetected or unrecognized. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, engineers can analyze cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster, b/c cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y understand what it takes to design, build and maintain a bridge. The reason I have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job I do is b/c at least some system admins/engineers do not have comparable skillsets.

Hey, I'm not complaining...I love what I do. It's just that sometimes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way things should be don't match up very well with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way things are.

Richard Bejtlich said...

Note to self: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NTSB Academy is nearby in Ashburn, VA.

Richard Bejtlich said...

Second anonymous,

Try reading Lessons Learned and Lives Saved, 1975 - 2005 for examples of recommendations that have been implemented. NTSB claims an 80% implementation rate.

Richard Bejtlich said...

Their unimplemented recommendations are posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir Most Wanted list.

Anonymous said...

I wrote this email to Richard a few months ago and as per his request - I'm posting a modified version of that email here.

I'm an recent alum of an United States Cyber Corps program, but I don't think it's exactly what Richard had in mind here when proposing his version of "United States Cyber Corps" along with his proposed version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Digital Security Board (NDSB). The existing program is sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US government (started by Richard Clarke and Victor Maconachy) for students to attend a graduate school program
(see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 participating institutions link at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 url linked above). While this blog is focused on NSM, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program itself has a wide variety of focuses (depending on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 professors teaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 program). At my program, it was strong enough that you could pretty much choose any particular project whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r it be NSM (or simply Network Security), Software Security, Forensics, or any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r area of IA. For those of you who are American citizens and would like to get a degree in this field (without having to pay tuition and getting to serve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 government for a period of time), you may want to contact some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 institutions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aforementioned url.

(No, this is not a PSA...Just an attempt at providing some clarification)

DrInfoSec said...

Infosec today feels very much like Software engineering 20-30 years ago. Unless and until we have mechanisms and incentives to share cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 causes of (and lessons learned from) major security disasters, we are bound to have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m repeat.

And much like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Geographic show called "Seconds from Disaster," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 analysis can be made to be appealing to and understood by various audiences (techies, non-techies, managers, executives).