I begynnelsen av mai innrømmet militærens leder for nettverkssikkerhet, general general Jonathan Shaw Vergen at Forsvarsdepartementet var sårbart for onlineangrep og at det allerede hadde vært et lite antall alvorlige hendelser. Det som var mer sjokkerende var at Shaw sa det var en overraskelse for folk hvor sårbare de var.

Formentlig var disse ikke enkle benektninger av tjenesten. De må ha blitt organisert, koordinert og planlagt, med krakkene rettet mot bestemte systemer og sårbarheter. Den bekymringsfulle delen er den implisitte "hodet i sanden" tilnærming til noen av deres sikkerhetsprosedyrer.

Det høres ut som å la inngangsdøren åpne og stole på den moralske viljen til sine borgere for å gjøre det rette. Og det kommer aldri til å skje. Ikke på grunn av et globalt bortfall i moral eller et ønske om å misligholde eller være ondt, men fordi du ikke kan bekjempe nysgjerrigheten til smarte tenåringer med for mye tid på hendene.

Opaqueness er en utfordring

Den eneste måten å gjøre sikkerhet på er, etter min mening, med fullstendig og ublinkt gjennomsiktighet. Å forklare prosedyrene gir deg bare en falsk følelse av din ikke-sikkerhet. Det legger ikke til i hvilket system du måtte ha, og viser bare mangel på tillit til disse systemene og deres evne til å motvirke et angrep.

En bestemt cracker vil se forvirring som en invitasjon og en utfordring. Det vil lokke sin tenårings nysgjerrighet. Teknologien har endret seg, men jeg tviler på at det er en forskjell i motivasjonene til dagens kjeks og de som for 20 år siden, skriptet modemene sine for å stille stille lokale telefonnumre over hele natten i håp om å se den illusive "CONNECT" i en terminal økt.

Hvis du er en nerd, er det få ting så spennende. Noen kan bli kriminelle, politiske og farlige, men de har kanskje aldri kommet så langt hvis de ikke kunne starte med enkle mål og ved å plukke av lavhengende frukt. Derfor er ditt beste bruk alltid kaldt, edru sikkerhet.

For å gjøre dette, selvfølgelig, må du være helt klar over eventuelle sårbarheter. Du må holde systemene oppdatert og vite hvor du skal lete etter eventuelle innbrudd. Sikkerheten må ikke behandles som en statlig hemmelighet, og innehaverne av disse hemmelighetene kan ikke opptre som medlemmer av en hemmelig lodge.

Å holde ting hemmelig gjør ikke ting tryggere. Lese dokumenter om å bryte inn i et system gjør deg ikke til en kriminell på samme måte som å prøve å forestille seg hvordan en innbruddstyver kan skala din hage gjerdet og krysse garasjedaket gjør deg til en tyv.

Hvite hatter er avgjørende

Du må være bedre forberedt enn kjeksene. Og for å være bedre forberedt, må du vite hvordan de sannsynligvis vil angripe ved både å lære om deres teknikker og penetrasjonstesting med egen maskinvare. Du må ha en hvit lue.

Hvis du ser etter bevis på at denne tilnærmingen fungerer, er det ett åpenbart eksempel: åpen kildekode programvare. Det var ikke så lenge siden at operativsystemene og programvaren som kjørte på dem, ble stadig mer hemmelig og proprietære. Mange av oss kom inn i Linux fordi vi ikke ville betale for et enkelt utviklingsmiljø på Windows, for eksempel, og Red Hat - open source-giganten som nettopp annonserte $ 1,13 milliarder av omsetningen - har bygget sin virksomhet i vakuum igjen av lukket utvikling.

Open Source-modellen har imidlertid endret holdninger, ikke fordi det er billigere (fordi det sannsynligvis ikke er det), men fordi du får et bedre produkt. Ikke bare funksjonelt bedre, heller. Det er bedre fordi du vet, eller kan oppdage, dens opprinnelse.

I likhet med åpen sikkerhet har kontrollen av mange kodere som sjekker og bruker kode, bidratt til å gjøre åpen kildekode nyskapende og sikker, fra Googles enorme nettverk til Facebooks nye maskinvaredesign for sitt datakenter for åpen kildekode. Sikkerhet handler i det hele tatt om å finne feil i systemet ditt, og den beste måten å gjøre det på er å bruke så mange som mulig.

Red Hat har en intern postliste hvor den deler nesten alle strategidéer og planlegging, med bare noen få unntak som gjøres der det ikke kan lovlig gi en kunngjøring. Selvfølgelig vil noen hevde at dette gir sine konkurrenter for mye informasjon - akkurat som en sikkerhetsguru som taler for lukkede systemer og begrensning av forskning. Men Red Hat lider ikke av denne strategien, det er blomstrende fra det.

Det har umiddelbart et basseng på 4000 ansatte til disposisjon, pawing over disse nye ideene og diskutere deres fordeler og ulemper. Resultatet er at bedre ideer dukker opp i et miljø som allerede er grunnlagt for spiring, slik at selv om Red Hat konkurrenter tok noen, ville de ikke kunne produsere så gode resultater.

Dette er hva Red Hat alltid har gjort med sin programvare, med sin strategi og med sin sikkerhet, og det er merket av et system som kan bevises å fungere. Å gjøre det samme i det kalde og mørke, i håp om at ingen vil legge merke til, venter på problemer. Og som med de fleste ting er det mye bedre å møte oppdraget, i det åpne, å vite at du ikke har noe å frykte.