Ny varslingstjeneste for IT-trusler i USA

Samarbeidet mellom offentlig og privat sektor om IT-sikkerhet har utløst to interessante innstillinger.

Bush-regjeringen er blitt enig med IT-bransjen og andre aktører om at man vil søke å forbedre USAs IT-sikkerhet gjennom frivillige ordninger heller enn gjennom lover, regler og pålegg. Det har ført til opprettelsen av National Cyber Security Partnership (NCSP), en frivillig organisasjon med deltakere som Business Software Alliance, Information Technology Association of America, TechNet, USAs handelskammer og annen sikkerhetsekspertise fra offentlig og privat sektor.

NCSP nedsatte fem komiteer for å ta seg av de viktigste arbeidsområdene, definert slik:

  • sikkerhetsbevissthet
  • varsling av trusler mot IT-sikkerheten
  • tekniske sikkerhetsstandarder
  • styremedlemmers personlige ansvar for selskapenes IT-sikkerhet
  • bedre metoder for programvareutvikling

De to første av disse avga hver sin avhandling i går. Rapporten om tekniske sikkerhetsstandarder er ventet 31. mars, mens innstillingen om styremedlemmers ansvar skal komme 6. april.

Komiteen for sikkerhetsbevissthet – Awareness and Outreach Task Force – tar på seg å organisere en bredt anlagt holdningskampanje. Til sommeren vil den utgi en informasjons- og opplæringspakke rettet mot hjem og småbedrifter, og samarbeide med internettilbydere om ordninger som kan gjøre kundene deres mer sikkerhetsbevisste. Til høsten vil den organisere en nasjonal reklamekampanje. En første publikasjon med sikkerhetstips, "Common Sense Guide to Cyber Security for Small Businesses", er allerede lagt ut gratis på NCSPs nyopprettede nettsted.

Komiteen for trusselvarsling – Cyber Security Early Warning Task Force – sier den vil opprette et nasjonalt koordineringssenter med et eget varslingsnettverk ("early warning alert network") innen utgangen av året. Senteret og nettverket skal bestå av en utvalgt og lukket gruppe av klarerte ledere fra viktige aktører. Senteret skal samordne trusselanalyser, advarsler, forskning og trusselhåndtering. Det skal huses av departementet for innenrikssikkerhet, samarbeide med etablerte ordninger som CERT, og anbefales å opprette alternative kommunikasjonskanaler i tilfelle Internett skulle svikte.

De nye tiltakene mottas ikke udelt positivt. En talsperson for SANS Institute mener det må rettes konkrete krav til program- og maskinvareleverandørene, i stedet for allmenne anbefalinger til brukerne. Til Associated Press sammenliknes holdningskampanjen med å anbefale sjåfører å bruke hjelm, fordi produsentene nekter å levere biler med sikkerhetsseler, luftputer og sikkerhetskarosseri.

Til toppen