Följande förklaring låter ju åtminstone inte orimlig och lär oavsett vad i övrigt har gällt i konkret indikerat faktiskt vara det förekommande:
Ingen information givet i filmklippet - och heller är verkligen att betvivla - gavs som konkret eller abstrakt indikerande en stabil förklaring till hur nätverkstekniken kunde ha en nätverksaccess utan säkerhetsmekanismer - och för större görande brytande mot verkande säkerhetspolicy i vad medarbetarna kan och inte göra avspeglande ytterst den politiska styrningar (ett område som ju bl.a. för att ta en mer välkänd informationsspecalist Denning anställd vid Department of Defence tidigt redan om jag minns rätt 1970- och 1980-talet samt ytterligare en del 1990-talet publicerade inom inkl. ett litet referensverk just förklarande hur accesskontroll i datasystem kan hantera avspeglande av policy inkl. hanterande vandring av rättigheter, säkrare propagering av statistiska uppgifter för att hindra att man från flera uppgifter om ex. frekvenser för interaktion mellan personer ej kan utläsa information som byggs genom slutsatser man drar från flera förändringar i aktivitet hos olika personer. Den några exempel knappast irrelevanta utgångspunkter för långsiktigt förvaltande system för att reducera avstånd mellan nätverk och övergripande idéer och koncept för korrekt agerande:
Cyber Security as an Emergent Infrastructure | DTIC.MIL
Dorothy E. Denning
Naval Postgraduate School, Center of Terrorism and Irregular Warfare, Monterey, CA.
2003
An Intrusion-Detection Model | DTIC.MIL
Dorothy E. Denning
Naval Postgraduate School,Center of Terrorism and Irregular Warfare, Monterey, CA
1987
Assessing the Computer Network Operations Threat of Foreign Countries | DTIC.MIL
Dorothy E. Denning
Naval Postgraduate School,Center of Terrorism and Irregular Warfare, Monterey, CA
2007
En konceptuell väldigt enkel möjlig att betrakta är att data av denna sort ses som en datasamling motsvarande en databas, katalogserver eller filsystem med ett rättighetssystem. Fodrar emergence att man frånträda rättigheterna vanliga är det heller ingen svårighet att hantera kontrollerat med spårbarhet (och spårbarhet innebär att brott d.v.s. läckage innan mer problematiskt än nödvändigt kan detekteras). Denna artikel kanske kan vara en start för en del koncept för vem som helst intresserad - och som introduktion finns ju boken Denning skrev säkert möjlighet att hitta begagna vilken oavsett hur föråldrad kring nästan allt diskuterat praktiskt kring säkerhet just ger en vettig samlad introduktion till accesskontroll vid implementation och det är viktigare än vi kanske alltid inser: var och varannat datasystem som utvecklas mer anpassat annat än få användare behöver ju synkronisera access-kontroll i diverse andra system såväl som det agerar agentativt för användaren fordrande att kontroller görs för att inte problem ska uppstå:
Discretionary Access Controls for Object-Oriented Database Systems
Även om jag inte tittade noga och det är inte en fullständig genom gång ger det några av koncepten att söka information vidare från liksom också Lattice-based access control i Wikipedia. Det väsentliga jag menar är värdet är dock just konceptet i sig: ingenting hindrar att vi applicerar samma access-kontroll-tänk oavsett IT-system. Varken OS, databas, nätverksprimitiver eller annat är idag i sådan begränsad att det är begränsat bara till data eller logik eller saknar möjlighet att prata med betrodda system oberoende av enskilda andra aktörer i nätet: människa eller inte.
Vidare har ju faktiskt NSA mer aktivt senaste åren varit medverkande i ett större projekt där man byggt en nationell infrastruktur för Intrusion Detection d.v.s. just tappande nätverkstrafiken (men behöver man en lösning där och ser att den kan finnas ungefär i att följa nätverkstrafiken eller annan trafik mer än endast mer lokala koncept som routrar m.m. är det i sig väldigt svårt att komma ifrån och ska inte heller behöva vara ett problem rörande privacy - vi tar med det mer som ett exempel på att de rimligt ska ha kompetens i att hantera nätverkssäkerheten utan att ge medarbetarna möjlighet att göra precis vad dom vill i nätverket).
Management kan ju här både ha fått en förklaring de tycker rimliga samtidigt som självklart en public relation incident kan upplevas ha realiserats för USA. Jag betvivlar att det senare kommer ge någon negativ effekt hur USA betraktas i sådana här frågor. I mörkret är alla katter-grå och enormt stora. Viss återkoppling och mer samarbetande huvudsakligen i information och diskussion minskar det samtidigt som det kommer uppmuntra leverantörer (där finns ju också en gigantisk risk med sådant här), medarbetare i DoD och DHS liksom politiker att inte nöja sig med en kanske imaginär och upplevt gigantisk mur runt kontoren där man sitter man kontrollen innanför kanske känns trygg och trevlig mindre därför att man föregriper problem och mer därför att man är hemma-blind.
Jag föreställer mig ju verkligen att mer seriöst under längre tid agerande aktörer rimligt söker komma nära dessa aktörer. Kanske planerat och inlett många år innan det är dags för studenter eller liknande att börja söka arbete.
Från vad jag är det rätt att tolka mig som att jag inte heller primärt tror att felet fanns i FBI's kontroller under förutsättning att de faktiskt skett. Förstår jag det hela riktigt är de gällande under tid och ett beställningsförfarande när man inte prospekterande söker finns. En gissning är att personen ifråga hade verifierats för arbetet på CIA väsentligt mer begränsat och i en organisation tämligen öppen och naturligt pratsam genom att de nu agerar runt om i världen. Så där kan jag tänka mig att det inte är lika naturligt att man lugnt kan sitta och tappa av hela nätverket utan att det detekteras. Jag kan kanske föreställa mig att den naturligt mer agerande kulturen där gör att man praktiskt etablerar kontroll-mekanismer resulterande av det inte endast för större problem utan kanske hindrande att medarbetare belastar sig själva eller andra med ofog.
Inte heller ser jag att det i rimlig mening går att sätta tilltro till vad jag tror dessa säkerhetskontroller innebär. Antalet personer och vad vi praktiskt kan upptäcka gör att man behöver ha normalt fungerande accesskontroll där behörighet att göra saker både kontrolleras och loggas.
Hur fungerande relationen leverantör och kund?
Givetvis kan så klart en kultur oavsett om nu vad indikerat rörande brister i säkerhetsarkitektur och accesskontroll för nätverk och analys-system m.m. funnits där enskilda lite varstans eller allmänt agerar mycket längre än man vill bekräfta. Det är på alla sätt praktiskt framöver mindre intressant eftersom det är ett systematiskt problem nu är eller blir känt vilket kommer är jag övertygad om resultera i att ett bättre fungerande balanstillstånd till väljare, politiker, andra myndigheter o.s.v. kan nås (om detta problem nu finns vilket jag inte kan bedöma).
Ett mycket intressantare problem är om det nu visar sig att personen som åtminstone upplever sig eller säger sig ansvar för det hela som medarbetare hos tjänsteleverantör i mötet mellan inköpande och säljande organisation praktiskt realiserade ett verktyg för någon annan. Rollerna blir där lättare otydligare genom att kunden skriver på dom nya kontrakten är väldigt motiverat samtidigt som långsiktigt i detaljer försiktigare byggande av karriär respekterande riktlinjer, regler m.m. inte i den kortare tiden är viktigt på samma sätt som de stamanställda.
Faktiskt är det ju inte ens säkert att kontrakten alltid heller är riktigt i sin ordning kring aggreements of silence kompletterande de juridiska koncepten i tveksamma områden när aktörer levererande här är inarbetad sedan länge och uppenbart vara av behov av lite mer snabbare anställningar som klarar själva nätverks-delen och har lite erfarenhet vettigt relevant innan från CIA balanserande en kortare utbildning. I så fall oavsett om sådana kontrakt juridiskt är faktiskt nödvändigt för att en kostnads-komponent för att bryta mot motsvarande regler allvarligt. Det är i sig en inte oviktig rutin för att förklara och understryka. Ännu mer om det indikerat att kontrollsystem för att följa upp regler och system finns.
Nära relaterat givetvis vilken utbildning, information och klargörande av samma policy- och regel-system man ej implementerade i sin säkerhetsarkitektur som skett. Och om ej skett på den höga nivå nödvändigt för varje positiv sådant här kan ske om det är en brist i verksamhetssystemen mer allmänt. Eller om personen realiserande angreppet hamnade lite utanför systemen som vanligt hanterar ex. mer långsiktiga medarbetare del av den varaktiga flocken.
Det är ganska lätt man resurser som köps in och det är också lätt att utnyttja på sätt ej möjligt eller fungerande med anställda. Angriparen i sig är ju mer eller mindre ointressant förutom vad han kan berätta om sådant. Nu borta från organisationen är han i sig själv inte ett systematiskt problem. Han är endast en incident-realisering där problemet är att det inte med rimlighet ska existera möjligheter som bedömt av både The Guardian och amerikanska tidningar gjorts verkligt.
Här måste man ju fråga sig om någon verkat i meningsfullt syfte att använda denna kanal med all dess information för att via påverkan resultera i felaktigt förstådd rätt att göra händelser hos angriparen som därefter har tagit ut information som nått denna person inte nödvändigtvis självklart alls direkt i kontakt med personen utan kanske uppåt i organisationen eller uppåt och lite åt sedan - eller på vilken som helst annan variant funktionell med den aktuella organisationen (som är svårt att spekulera bra om).
Också om det nu visar sig att ingenting av de värre möjligheter faktiskt är fallet är det mycket sunt att av och till ventilera runt lite i sådana här slutna organisationer. Det kan vara väldigt sunt långsiktigt för FBI att riktigt gå igenom allt och alla. Och inte fastna i organisationen så man endast rör vid vad som formellt skrivit kontrakt, och haft den direkta kontakten. Vem vet. Kanske hittar man andra problem viktiga att lösa också.
