a corner of mine: Obama’s Sensible Steps on Cybersecurity Các bước đi khôn khéo của Obama về An ninh mạng

Friday, February 22, 2013

Obama’s Sensible Steps on Cybersecurity Các bước đi khôn khéo của Obama về An ninh mạng



Obama’s Sensible Steps on Cybersecurity	Các bước đi khôn khéo của Obama về An ninh mạng
*By the Editors* *Bloomberg* *Feb 15, 2013*	*Ban biên tập* *Bloomberg* *15.2/2013*

In his State of the Union address, President Barack Obama explained why he was issuing an executive order to protect critical U.S. networks from cyberthreats: “We cannot look back years from now and wonder why we did nothing in the face of real threats to our security and our economy.”	Trong Thông điệp Liên Bang của mình, Tổng thống Barack Obama giải thích lý do tại sao ông đã ban hành một sắc lệnh để bảo vệ các mạng lưới quan trọng của Mỹ khỏi sự đe dọa của tấn công trên mạng: "Kể từ bây giờ chúng ta không thể nhìn lại những năm qua và tự hỏi lý do tại sao chúng ta đã không làm gì trong khi có sự hiện diện các mối đe dọa thực sự với an ninh của và nền kinh tế chúng ta. "
What he meant, but was perhaps too polite to say, was that in light of the ineptitude and cowardice Congress has shown on this matter, year after year, an executive order is probably the best we can hope for right now. As recent cyberattacks on the Federal Reserve, the Department of Energy, half a dozen major banks and a slew of media companies make clear, however, it won’t be adequate for very long.	Điều ông muốn nói, nhưng có lẽ là quá lịch sự để nói, là dưới ánh sáng của sự thiếu khả năng và hèn nhát Quốc hội đã lần lữa về vấn đề này, hết năm này sang năm nọ, cho nên một sắc lệnh có lẽ là cách tốt nhất mà chúng ta có thể hy vọng ngay lúc này. Khi cuộc những cuộc tấn công mạng gần đây vào Cục Dự trữ Liên bang, Bộ Năng lượng, một nửa tá các ngân hàng lớn và một loạt các công ty truyền thông được phơi bày, tuy nhiên, xét về lâu về dài, sắc lệnh đó vẫn chưa đủ.

Good news first. Although imperfect, Obama’s executive order takes some small steps toward better security. It instructs federal agencies to share more unclassified cybersecurity information with private companies, expands a program for sharing classified threat data, and includes some privacy measures -- such as applying Fair Information Practice Principles -- that have put civil-liberties groups at ease. It also orders the Department of Homeland Security to expedite security clearances for employees at companies that are part of critical infrastructure, such as the power grid, transportation networks and the financial system.	Tin tốt nói đầu tiên. Mặc dù không hoàn hảo, sắc lệnh của Obama tiến hành một số bước nhỏ nhằm hướng tới an ninh mạng tốt hơn. Nó hướng dẫn các cơ quan liên bang chia sẻ thông tin an ninh mạng đã được giải mật với các công ty tư nhân, mở rộng một chương trình để chia sẻ dữ liệu mật về các mối đe dọa, và bao gồm một số biện pháp bảo mật, chẳng hạn như áp dụng các Nguyên tắc thực hành Thông tin trung thực – mà đã khiến nhóm quyền tự do dân sự cảm thấy thoải mái. Nó cũng ra lệnh cho Bộ An ninh Nội địa đẩy nhanh chóng các thông tin an ninh cho nhân viên tại các công ty mà là một phần của cơ sở hạ tầng trọng yếu, chẳng hạn như lưới điện, mạng lưới giao thông và hệ thống tài chính.
Finally, the order instructs the National Institute of Standards and Technology to create a cybersecurity framework for addressing risks, which companies could voluntarily comply with.	Cuối cùng, sắc lệnh chỉ thị Viện Tiêu chuẩn và Công nghệ quốc gia đưa ra một khuôn khổ an ninh mạng để giải quyết các rủi ro, mà các công ty có thể tự nguyện tuân thủ.

Model Program That last measure sounds weak, but it could turn out to be very important, for two reasons.	Chương trình mẫu Đó là biện pháp cuối cùng nghe có vẻ yếu, nhưng hóa ra nó lại rất quan trọng, vì hai lý do.
First, voluntary standards may do some good on their own: Companies that don’t comply could open themselves to civil lawsuits if their defenses are breached, and those that do comply might have some liability protection under tort law.	Thứ nhất, tiêu chuẩn tự nguyện tự nó có thể có tác dụng tốt: công ty không tuân thủ có thể tiến hành các vụ kiện dân sự nếu sự bảo mật của họ bị vi phạm, và những công ty thuân thủ thực hiện theo quy định có thể có một số bảo vệ trách nhiệm theo luật sai lầm cá nhân/dân sự.

'Tort Law' The area of law that covers the majority of all civil lawsuits. Essentially, every claim that arises in civil court with the exception of contractual disputes falls under tort law. The concept of tort law is to redress a wrong done to a person, usually by awarding them monetary damages as compensation.	'Luật Tort ' Lãnh vực pháp luật bao gồm phần lớn các vụ kiện dân sự. Về cơ bản, tất cả các tuyên bố mà phát sinh tại tòa án dân sự trừ tranh chấp hợp đồng đều thuộc luật sai lầm cá nhân (tort). Khái niệm pháp luật sai lầm cá nhân là để khắc phục một điều sai trái đã được thực hiện đối một người, thường là cho hưởng bồi thường thiệt hại bằng tiền.
Second, the framework that the institute develops could become a model for the flexible mandatory standards that we really need, and that Congress must put in place.	Thứ hai, các khuôn khổ mà Viện này phát triển có thể trở thành một mô hình cho các tiêu chuẩn bắt buộc linh hoạt mà chúng ta thực sự cần, và Quốc hội cần phải đưa ra.

Without the force of law, companies in critical areas will simply never spend enough money protecting themselves -- lawsuits or no. A Bloomberg Government study of 172 organizations found that they would collectively need to spend $46.6 billion, a 774 percent increase from current spending, to repel 95 percent of potential attacks. In the absence of federal standards, companies that increase their security spending sufficiently are at a competitive disadvantage. And every company that slacks off can put a lot of people at risk.	Nếu không có hiệu lực pháp luật, các công ty trong lĩnh vực quan trọng sẽ chỉ đơn giản là không bao giờ dành đủ tiền tự bảo vệ mình – theo các vụ kiện hoặc không. Một nghiên cứu của Bloomberg về quản trị của 172 tổ chức đã phát hiện rằng các tổ chức này cần phải chi 46,6 tỷ đo la, tăng 774% so với chi tiêu hiện hành, để đẩy lùi 95% các cuộc tấn công tiềm năng. Trong trường hợp không có các tiêu chuẩn liên bang, các công ty tăng đầy đủ chi tiêu bảo mật sẽ bị bất lợi trong cạnh tranh. Và mỗi công ty mất lợi thế có thể đặt rất nhiều người vào vòng nguy hiểm.
A smarter federal approach would be to mandate cybersecurity standards while allowing companies to decide how best to meet them. This would harness the power of the market by letting businesses compete to secure themselves at the lowest cost. Congress has had the chance to pass legislation along these lines before, and, unfortunately, repeatedly buckled to pressure from business groups.	Một cách tiếp cận liên bang thông minh hơn sẽ là áp dụng các tiêu chuẩn an ninh mạng trong khi cho phép các công ty quyết định cách tốt nhất phù hợp với họ. Điều này sẽ khai thác sức mạnh của thị trường bằng cách cho phép các doanh nghiệp cạnh tranh để đảm bảo chi phí thấp nhất. Quốc hội đã có cơ hội để thông qua pháp luật về những đường lối như thế này trước đay, và, thật không may, liên tục tạo thêm sức ép với các nhóm doanh nghiệp.

With this in mind, the institute’s framework should remain “technology neutral,” meaning that companies could buy or build whatever security technology they want, so long as they can show that it repels attacks adequately. And it should focus on making the standards flexible. For instance, it could require that critical companies install security patches and updates on their equipment, and that they “whitelist” approved applications, but not mandate step-by-step procedures or specific hardware and software.	Chú ý đến điều này, khuôn khổ của Viện đưa ra vẫn nên "trung lập về công nghệ," điều đó có nghĩa là các công ty có thể mua hoặc xây dựng bất cứ công nghệ bảo mật mà họ muốn, miễn là họ có thể cho thấy rằng nó đẩy lùi được các cuộc tấn công một cách đầy đủ. Và nó phải tập trung vào việc thực hiện các tiêu chuẩn linh hoạt. Ví dụ, nó có thể yêu cầu rằng các công ty trọng yếu phải cài đặt các bản vá lỗi và cập nhật bảo mật trên thiết bị của họ, và rằng họ "bạch hóa" các ứng dụng đã được phê duyệt, nhưng không phải tuân thủ các bước thủ tục hoặc phần cứng và phần mềm cụ thể.

Working Together Such a framework could go a long way toward assuaging companies’ fears that a heavy-handed government agency that knows nothing about their business will one day force them to take measures that don’t make sense. Instead, they would be working with industry regulators to meet the security standards however they want, with the knowledge that their competitors must do the same.	Cùng nhau làm việc Một khuôn khổ như vậy có thể tiến một chặng đường dài hướng tới làm dịu bớt lo ngại của các công ty rằng một cơ quan chính phủ mạnh tay mà không biết gì về việc kinh doanh của họ một ngày nào đó sẽ buộc họ phải thực hiện các biện pháp không có ý nghĩa. Thay vào đó, họ sẽ được làm việc với các nhà quản lý ngành công nghiệp để đáp ứng các tiêu chuẩn an ninh bằng bất cứ cách nào họ muốn, biết rằng các đối thủ cạnh tranh của họ cũng phải làm như vậy.
The rest is up to Congress. In addition to imposing mandatory security standards, new legislation should clarify liability issues for companies that suffer security breaches, and provide more legal certainty to businesses that share threat information with the government. It should also build on the privacy safeguards the president outlined.	Phần còn thì tùy thuộc Quốc hội. Ngoài việc áp đặt các tiêu chuẩn an ninh bắt buộc, luật mới nên làm rõ vấn đề trách nhiệm pháp lý đối với các công ty bị lỗ hổng bảo mật, và cung cấp sự chắc chắn hơn về mặt pháp lý để các doanh nghiệp chia sẻ thông tin về đe dọa an ninh mạng với chính phủ. Luật cũng nên xây dựng các biện pháp bảo vệ quyền riêng tư mà Tổng Thống đã nêu.

In the meantime, we’re left to hope the executive order can provide adequate defense for a while. From the White House to the Defense Department to private-sector experts around the world, the people who know the most about cybersecurity have in recent years issued ever more lurid warnings about the threats we face. New evidence of alarming intrusions into our digital grid surfaces every day. And the intruders are only growing more sophisticated. Someday soon, when a truly destructive attack occurs, none of us will be able to say we weren’t warned.	Trong khi chờ đợi, chúng ta đành phải hy vọng sắc lệnh có thể cung cấp sự bảo vệ đầy đủ trong một thời gian. Từ Nhà Trắng tới Bộ Quốc phòng tới các chuyên gia thuộc khu vực tư nhân trên khắp thế giới, những người hiểu rõ nhất về an ninh mạng trong những năm gần đây đã đưa ra những cảnh báo khủng khiếp hơn bao giờ hết về những mối đe dọa mà chúng ta phải đối mặt. Bằng chứng mới về xâm nhập đáng báo động vào mạng lưới kỹ thuật số của chứng ta xuất hiện mỗi ngày. Và những kẻ xâm nhập ngày càng trở nên tinh vi hơn. Một ngày nào đó sớm thôi, khi xảy ra một cuộc tấn công phá hoại thực sự, không ai trong chúng ta sẽ có thể nói rằng chúng tôi đã không được cảnh báo.
	Translated by nguyenquang


http://www.bloomberg.com/news/2013-02-14/obama-s-sensible-steps-on-cybersecurity.html