在网络安全实践中(就像在生活的许多其他方面一样), 重点是保护自己(和自己的群体), 组织或国家), 通常不考虑这种方法对他人的影响, 这可能是有害的. 这种对生存的渴望根植于人类的大脑中. 通常, 只有付出相当大的努力,才能为了共同利益与竞争对手合作.
正如COVID大流行所表明的那样,仅靠保护并不能保证福祉. 尽管有一个基本的需要,以确保自己的群体生存, 甚至以牺牲他人为代价, 然而,我们应该考虑 合作竞争, 或者合作竞争, 哪一种定义是一种商业策略,它利用从博弈论中获得的见解来理解什么时候实体合作比竞争更好. 我看到了金融服务业竞争格局的两面, 在很多情况下,合作是更好的方法.
我的第一个主要合作经历是参与建立金融服务信息共享与分析中心(FS-ISAC)。. 上世纪90年代末,我是创建FS-ISAC的全行业委员会的成员,并在最初的管理委员会任职. 我的公司是14个创始成员之一. 财政部长拉里·萨默斯于1999年10月正式启动了FS-ISAC, 特意在2000年(千年虫)日期之前. isac是由工业部门和政府机构建立的,因此有关威胁和漏洞利用的信息可以共享,实际的攻击可以匿名报告. 直接督导下, FS-ISAC是第一个, 在全球范围内扩散,并提前提供宝贵的信息和支持, 在重大网络攻击期间和之后. 在这个例子中,竞争对手之间的共同防御确实产生了巨大的积极影响.
我的下一个合作项目是针对千年虫的应急计划. 我们许多从事IT工作的人都明白,千年虫问题会导致关键计算机系统崩溃的情况确实有数以百万计. 这是因为许多遗留程序中的数据字段仅由两位数字组成, 所以00会被错误地解释为1900而不是2000. 我积极参与了安全行业协会(现在的SIFMA)的几项倡议. 我们在1999年12月31日和2000年1月1日的周末期间,制定了应对大规模系统故障的指导方针,并成立了指挥中心. 我当时在华盛顿特区的国家指挥中心.C.美国. 我们看到了许多系统故障和黑客攻击,但从未公开. 整体, 这些准备工作得到了回报,大多数组织在周一恢复了业务, 一月二日. 有许多反对者声称,千年虫是IT咨询行业发布的一个无关紧要的事件. 这不是一件无关紧要的事. 这是一次真正成功的努力,避免了一场灾难,也是一个共同努力如何真正取得成功的例子. 同样是这些千年虫应急计划和准备工作,在金融服务业从2001年美国世贸中心(World Trade Center)双子塔遇袭后的恢复过程中发挥了很好的作用.
在我参与Livewire之后, 2003年10月进行的为期4天的美国国家网络防御演习, 我提出了面向业务的仿真模型的概念,该模型很快成为关键基础设施决策练习(decision)平台的分布式环境. DECIDE模拟针对组织及其合作伙伴的网络攻击,以对事件响应计划进行压力测试. 仿真模型, 可从诺里奇大学应用研究所(NUARI)获得, 是“量子黎明”(Quantum Dawn)每年两次的一系列金融服务成功演习的基础. 它也被用于其他私营和公共部门的演习.
2005年,禽流感大流行的可能性促使了若干应急计划项目. 我参与了SIFMA前身为美国金融服务业规划的工作. 当时, 根据对旅行的潜在影响的假设,我们制定了备份通信网络和远程工作的计划. 随着疫情得到控制,这些计划从未被启用, 但如果能及时更新,它们本可以在COVID大流行期间很好地为我们服务.
不幸的是,并非我所有的合作努力都取得了成功.
也许最令人失望的是失败的 公认资讯保安原则(GAISP) 项目. 信息系统安全协会从之前由国际信息安全基金会运行的失败的通用系统安全原则(GASSP)项目中接管了该项目的领导权. In 2004, 我主持了GAISP信息安全政策原则工作组, 是由十几个志愿者组成的吗. 我们完成了相当多的工作,但却目睹了由于项目高层领导人之间的争吵和内讧,整个努力都付之一炬, 摧毁任何成功的可能性. 我们正多次为全球信息安全原则和标准的缺乏付出代价. 是的, 网络安全从业者有许多标准和框架, 但它们通常缺乏范围和实质内容. 现在当然是时候重组和重启GAISP的新努力了. 这是可以做到的.
一个恰当的例子是普遍接受的隐私原则(GAPP)框架, 它是由加拿大特许会计师协会和美国注册会计师协会于2009年出版的, 在ISACA和内部审计师协会的支持下. 新闻出版总署的框架是成功地为会计师和审计师设计的,并且发挥了作用.
在其他情况下,个人利益超过了所有人的利益. 我是一名首席研究员,试图让银行和金融部门建立一个实验室,为常用的商业网络安全软件提供质量认证, 就像保险商实验室对物理设备的认证或消费者联盟对消费品的测试一样. 尽管该领域的许多领导人作出了相当大的努力,这个项目还是没有取得进展. 这主要是因为安全澳门赌场官方下载之间的竞争,以及一些大型金融公司将网络安全视为自己的竞争优势. 在我看来, 这样的认证计划将有助于避免许多网络攻击者最近的成功, 一些澳门赌场官方下载反对认证项目.
尽管偶尔会遇到挫折,但我仍然是合作的坚定倡导者. 我相信网络安全是一个受益于防御者合作的领域, 特别是因为攻击者在一起工作没有问题. 另一个潜在的合作领域是人工智能偏见、公平和道德. 有趣的是, 最近的文章 引用斯坦福大学研究员Percy Liang的话:
“我们的目标 ... 是创造一份相当于《澳门赌场官方软件》的东西, 人们可以去哪里了解基础人工智能模型的优缺点, 比如Meta的那些, 谷歌和OpenAI.”
让我们共同努力,在确保人工智能系统的安全性和安全性(并解决其偏见)方面取得更大成功, 公平和道德)比我们认证网络安全产品和服务更重要. 也许我们甚至可以创建一个普遍接受的AI原则(GAAIP)框架.
编者按: 有关此主题的进一步见解,请阅读C. 沃伦·阿克塞尔罗德最近在杂志上的一篇文章, “减少来自第三方和第三方的网络安全风险” ISACA期刊,第3卷,2022.
