Saturday, May 30, 2009

President Obama's Real Speech on Cyber Security

I was very surprised to read REMARKS BY THE PRESIDENT ON SECURING OUR NATION'S CYBER INFRASTRUCTURE, delivered yesterday. TaoSecurity Blog had received a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's prepared remarks, but about 2/3 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 live version cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President went off-copy. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of my readers I've published cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President omitted.

...And last year we had a glimpse of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future face of war. As Russian tanks rolled into Georgia, cyber attacks crippled Georgian government websites. The terrorists that sowed so much death and destruction in Mumbai relied not only on guns and grenades but also on GPS and phones using voice-over-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-Internet.

[Here is where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Presidential train left cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tracks.]

When considering cyber security, we must recognize that our problems are multi-dimensional.

The first dimension involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information assets we are trying to protect. Cyber security requires protecting information inputs, information outputs, and information platforms. Inputs include data that has value before processing, such as personally identifiable information. Outputs include data that has value after proecessing, such as intellectual property. Information platforms are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing devices that process data, such as computers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 networks that connect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

The second dimension involves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 custodians of information assets, which we collect into three broad groups. The first group includes Federal, state, and local governments, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir various departments and agencies. The second group includes corporate, nonprofit, university, and related elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 private sector. The third group includes individual citizens.

The third dimension involves threats to our information assets, which we collect into three broad groups. The first group includes criminals who attack information assets primarily for financial gain. When cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 term criminal applies to terrorists we must also consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir desire to achieve political ends as well. The second group includes economic competitors, taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 form of companies acting independently or in concert with national governments. The third group includes nation-state actors and countries, who threaten information assets through espionage or direct attack.

These three dimensions -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of information assets, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 varied custodians of information assets, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many threats to information assets -- prevent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 centralization of cyber security in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portfolio of any single "cyber czar" or ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r government figurehead.

In addition to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three dimensions of cyber security, we must recognize certain environmental factors that weigh upon possible approaches.

First, traditional cyber security thinking has focused on vulnerabilities in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world. Many believe that addressing vulnerabilities through better coding or asset management would solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber security problem. However, outside cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 digital world, vulnerabilities are all around us. Every human is vulnerable to being shot, yet none of us in this room is wearing a bullet-proof vest. Well, almost no one. [laughter] If you leave this building, you still won't wear a bullet-proof vest in public. Why is that? You're exposed, you're vulnerable, but what keeps you safe from threats to your well-being? The answer is that our government and its protective agencies -- police, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military, and so on -- focus more on threats than on vulnerabilities. We deter criminals and prosecute those who do harm us. Cybersecurity is no different. Behind every cyber attack is a human agent acting for personal, organizational, or national gain. However, too much effort is applied to addressing vulnerabilities, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real problem has always been cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats who seek to exploit vulnerabilities.

Second, cyber security incidents are extremely opaque compared to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir non-digital counterparts. If criminals shoot down an airliner, no one can ignore cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 disaster. Following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 previous point, few people turn to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 construction of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aircraft when such a heinous act occurs; racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perpetrators are hunted and brought to justice. However, when personally identifiable information is stolen from a company, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 true victims -- cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 American citizens now at risk for identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft -- may never know what happened. Many states have breach disclosure laws, but those laws do not require an explanation of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. As a result, no ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations can learn how security controls failed at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victimized company.

Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs of cyber security incidents are often not borne by those who should be protecting information assets from attack. This results in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 misalignment of incentives. If a company processing personally identifiable information is breached, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost is borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizens whose identities are stolen. The company may pay for credit monitoring services, but that cost is insignificant compared to that borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizen. If a software company ships a product riddled with bugs, it generally bears no cost whatsoever if intruders exploit that software once deployed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer. The marketplace tends to not punish vendors who sell vulnerable software because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefits of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 software are perceived to outweigh cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs. This makes sense when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 customer is a company, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach results in stolen PII -- with costs again borne by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 citizen, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company.

These three environmental factors point to a need to change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mindset around cyber security, as well as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for greater transparency and better alignment of incentives and costs with those who receive benefits from information assets.

Given this understanding of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem, my administration will take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following actions regarding cyber security.

  1. We will make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government an example for ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs to follow. We cannot expect any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r party to take cyber security seriously if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government doesn't lead by example. We will work to make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Federal government a defensible network architecture. We will finally recognize that, while important, controls are not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to our problems. Racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than being control-compliant, we will identify field-assessed metrics to measure our success.

  2. We will work with Congress to establish a national breach disclosure law, and we will require publicly traded companies to outline digital risks in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir annual 10-K filings. Then, we will create a National Digital Security Board modeled on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Transportation Safety Board. The NDSB will have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 authority to investigate information security breaches reported by victim organizations. The NDSB will publish reports on its findings for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 benefit of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby increasing transparency in two respects. First, intrusions will have real costs beyond those directly associated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident, by bringing potentially poor security practices and software to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attention of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public. Second, ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r organizations will learn how to avoid cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mistakes made by those who fall victim to intruders. In some circumstances national security interests may limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 audience for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se findings. Those who consider this approach draconian should consider how NTSB reporting improves cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 safety of transportation over time.

  3. We will consult with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement community to determine what additional resources cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need to deter and prosecute cyber criminals, and fund those requirements. We will be satisfied when a victim of cyber crime has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to call cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 police for assistance, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than rely on hiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own forensic investigators. If cyber crime is a real crime, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n victims should not be forced to outline digital dead bodies without official, expert assistance.

  4. We will vigorously encourage our law enforcement and intelligence services to work with private industry to combat cyber espionage and cyber attack. As with cyber crime, victims should not be expected to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365mselves against professional corporate cyber thieves or foreign cyber warfare experts. This will include funding and fast-tracking deployments of secure communications channels like SIPRNET, and granting security clearances to appropriate parties without specific government contracts, so that victimized organizations can securely communicate with our defense and intelligence communities.

  5. We will instruct cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary of Defense to examine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 creation of a Cyber Force as an independent military branch. Just as we fight wars on land, at sea, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 aerospace domains, we should promote warfighters throroughly steeped in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intricacies of defense and attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyberspace domain. We will also make it clear to our national adversaries that a cyber attack upon our national interests is equivalent to an attack in any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r domain, and we will respond with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full range of diplomatic, information, military, and economic power at our disposal.

  6. We will drastically expand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Scholarship for Service or Cyber Corps program to include providing assistance to private sector actors and individual citizens who ask for help. Just as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Peace Corps provides physical assistance to developing countries, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cyber Corps will provide digital assistance to those who apply for it.

  7. We will work with Congress to dramatically increase cyber funding applied research. It is clear that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 defensive models we have applied for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last thirty years need, at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very least, a serious review. Funding researchers who can thoughtfully consider different approaches is well worth cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effort. This funding will include support for open source software projects that benefit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cyber community at large. We will also aggressively work to deploy more secure protocols to replace those whose threat model has collapsed as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 computing environment has changed.


These seven steps are concrete actions that will have more impact than appointing a single person to try to "coordinate" cyber security across cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 multiple dimensions and environmental factors I described earlier. Thank you for you time. [applause]


Note: If you read this far I am sure you know this was not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 President's "real speech." This is what I would have liked to have heard.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

4 comments:

Spaf said...

Excellent!

My own comments are at http://cblog.spaf.us

Anonymous said...

You suckered me!

I got to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NDSB stuff and thought "Wow. someone on Obama's staff must be a Taosecurity reader, this could actually make a difference."

Ironically and in case your ego isn't big enough, My wife asked me yesterday what I thought cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 chances were you'd be appointed...

gnarlysec said...

Haha, I read all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 post but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last "Note" at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end where you said it wasn't his real speech. I started writing up my thoughts on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new "Cyber Force" here http://gnarlysec.blogspot.com/2009/06/cyber-force.html and found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 note when I was about half way through finishing up my thoughts. I finished my post, pretending it was real though :) Great ideas!

Amanda said...

Clearly, attribution will be difficult to prove. but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are significant possible implications, beyond furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r proof that cyber warfare is becoming a part of mainstream international conflict.