Sunday, March 16, 2014

Five Thoughts from VADM Rogers Testimony

I had a chance to read Advance Questions for Vice Admiral Michael S. Rogers, USN (pdf) this weekend.

I wanted to share five thoughts based on excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VADM Rogers' answers to written questions posed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Senate Armed Services Committee.

1. The Committee asked: Can deterrence be an effective strategy in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 absence of reliable attribution?

VADM Rogers responded: Yes, I believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re can be effective levels of deterrence despite cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 challenges of attribution. Attribution has improved, but is still not timely in many circumstances...

Cyber presence, being forward deployed in cyberspace, and garnering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 indications and warnings of our most likely adversaries can help (as we do with our forces dedicated to Defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Nation). (emphasis added)

I wonder if "cyber presence" and "being forward deployed in cyberspace" means having access to adversary systems? There's little doubt as to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of an attack if you are resident on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system launching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack.

2. The Committee asked: Is it advisable to develop cyberspace officers as we do ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r combat arms or line officers? Why or why not?

VADM Rogers responded: ...We must find a way to simultaneously ensure combat arms and line officers are better prepared to contribute, and cyberspace officers are able to enjoy a long, meaningful career with upward mobility. A meaningful career should allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to fully develop as specialized experts, mentor those around cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, and truly influence how we ought to train and fight in this mission space. 

I am especially interested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 merit of how a visible commitment to valuing cyberspace officers in our ranks will affect recruitment and retention. I believe that many of today’s youth who are uniquely prepared to contribute (e.g. formally educated or self-developed technical expertise) do not feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a place for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in our uniformed services

We must find a way to strengcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 message of opportunity and I believe part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer is to do our part to ensure cyberspace officers are viewed as equals in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eyes of line and combat arms officers; not enablers, but equals. Equals with capabilities no less valued than those delivered by professional aviators, special operators, infantry, or surface warfare. (emphasis added)

In my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to meet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals is to create a separate Cyber Force. Please read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article Time for a US Cyber Force by Admiral James Stavridis (ret) and David Weinstein.

3. The Committee asked: The Unified Command Plan (UCP) establishes U.S. Cyber Command as a subunified command reporting to U.S. Strategic Command. We understand that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Administration considered modifying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 UCP to establish U.S. Cyber Command as a full combatant command.
What are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best arguments for and against taking such action now?

VADM Rogers responded: ...The argument for full Unified Command status is probably best stated in terms of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat. Cyber attacks may occur with little warning, and more than likely will allow only minutes to seconds to mount a defensive action seeking to prevent or deflect potentially significant harm to U.S critical infrastructure. 

Existing department processes and procedures for seeking authorities to act in response to such emergency actions are limited to Unified Combatant Commanders. If confirmed, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commander of U.S. CYBERCOM, as a Sub-unified Combatant Commander I would be required to coordinate and communicate through Commander, U.S. Strategic Command to seek Secretary of Defense or even Presidential approval to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation in cyberspace. 

In a response cycle of seconds to minutes, this could come with a severe cost and could even obviate any meaningful action. As required in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 current Standing Rules of Engagement, as a Combatant Commander, I would have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requisite authorities to directly engage with SECDEF or POTUS as necessary to defend cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nation. (emphasis added)

I'm dismayed but not surprised by this argument. I'm dismayed because it sounds like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most important reason to establish a unified cyber command is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 perception that "cyber attacks...allow only minutes to seconds to mount a defensive action." This is just not true for any strategically significant attack.

If you only have "minutes to seconds" left for defense, you are way too far down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kill chain. You need to be intercepting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 adversary in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reconnaissance phase, or at least no earlier than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stage whereby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat explores cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target searching for critical elements. I fear cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "minutes to seconds" camp is a legacy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad old days of Internet worms from 10 years ago.

4. The Committee asked: How could cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet be redesigned to provide greater inherent security?

VADM Rogers responded: Advancements in technology continually change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 architecture of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. Cloud computing, for instance, is a significant change in how industry and individuals use Internet services... 

Several major providers of Internet services are already implementing increased security in email and purchasing services by using encryption for all transmissions from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 client to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server. It is possible that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service providers could be given more responsibility to protect end clients connected directly to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir infrastructures. 

They are in a position to stop attacks targeted at consumers and recognize when consumer devices on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir networks have been subverted. The inability of end users to verify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 originator of an email and for hackers to forge email addresses have resulted in serious compromises of end user systems... (emphasis added)

So, we see reference to cloud computing, encrypting client-to-server communications, ISPs protecting end users, and email verification. Think of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tactical and technology options that were not mentioned here. Also notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lack of discussion of better operations/campaigns and strategies. Finally, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Committee asked about redesigning cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, an engineering-focused approach.

5.  I am glad to live in a country where a candidate to lead important military and intelligence agencies can be questioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n open for public benefit. However, I am disappointed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unified Command Plan (UCP), referenced several times in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Q&A, remains a classified document.

The best we seem to have is The Unified Command Plan and Combatant Commands: Background and Issues for Congress, (pdf) a 2013 Congressional Research Service document hosted by FAS, and History of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Unified Command Plan (pdf), hosted by dtic.mil. The 2012 CRS report is posted on a state.gov Web site. It would be helpful to read an unclassified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next UCP, which is due anytime it seems.

PHOTO CREDIT: Gary Cameron, Reuters.

No comments: