本文來自安全牛。
網(wǎng)絡(luò)安全已經(jīng)成為現(xiàn)代社會(huì)不可或缺的一部分,影響著世界各地的每一個(gè)人。然而,現(xiàn)實(shí)的問題是,企業(yè)通常將網(wǎng)絡(luò)安全工作的重點(diǎn)放在滿足合規(guī)要求和應(yīng)用先進(jìn)技術(shù),但卻忽視了在倫理道德層面的建設(shè)保障。僅僅是依靠法規(guī)條例和先進(jìn)的安全防護(hù)技術(shù),并不足以維護(hù)網(wǎng)絡(luò)空間的安全性。
企業(yè)需要將倫理原則和符合道德的價(jià)值觀納入到網(wǎng)絡(luò)安全建設(shè)中,才能在尊重個(gè)人隱私和權(quán)利的基礎(chǔ)上,引導(dǎo)員工遵守組織所制定的網(wǎng)絡(luò)安全原則和標(biāo)準(zhǔn),維護(hù)信息的保密性、完整性和可用性。
網(wǎng)絡(luò)安全中的倫理困境
網(wǎng)絡(luò)安全領(lǐng)域充滿了對(duì)抗和限制,當(dāng)網(wǎng)絡(luò)安全專業(yè)人員需要在相互沖突的道德標(biāo)準(zhǔn)和工作要求之間做出選擇時(shí),網(wǎng)絡(luò)安全中的倫理困境就會(huì)出現(xiàn)。這些情況經(jīng)常發(fā)生,因?yàn)榫W(wǎng)絡(luò)安全涉及保護(hù)敏感信息和應(yīng)用系統(tǒng),同時(shí)還需要考慮如何平衡隱私性、合規(guī)性和公共利益。
1、隱私與安全
平衡隱私和安全是網(wǎng)絡(luò)安全工作中的一個(gè)關(guān)鍵挑戰(zhàn)。在現(xiàn)代社會(huì)中,隱私是一項(xiàng)基本人權(quán),包括控制個(gè)人信息和限制無正當(dāng)理由的監(jiān)視。而安全防護(hù)則需要實(shí)施強(qiáng)有力的管控措施,如廣泛的威脅行為監(jiān)測(cè)和攻擊情報(bào)信息獲取等,這就可能會(huì)侵犯到個(gè)人的隱私權(quán)。如何在有效的安全防護(hù)和尊重隱私之間取得適當(dāng)?shù)钠胶馐蔷W(wǎng)絡(luò)安全領(lǐng)域的一個(gè)重大關(guān)切。
2、對(duì)違規(guī)信息的披露
組織在網(wǎng)絡(luò)安全工作中經(jīng)常因暴露安全隱患而面臨嚴(yán)重后果,有時(shí)甚至還會(huì)因違規(guī)行為而受到監(jiān)管部門的處罰。例如,2013年,愛德華·斯諾登因?yàn)榕读嗣绹?guó)國(guó)家安全局的全網(wǎng)信息監(jiān)視活動(dòng),導(dǎo)致他被美國(guó)政府部門通緝。在另一個(gè)道德困境的案例中,一名審計(jì)師在米德爾伯里學(xué)院(Middlebury College)的IT系統(tǒng)審計(jì)項(xiàng)目實(shí)施中發(fā)現(xiàn)了兒童遭受性虐待的信息。盡管該審計(jì)工作簽訂了保密協(xié)議,但這位審計(jì)師還是選擇將他所發(fā)現(xiàn)的違法信息報(bào)告給執(zhí)法部門,將未成年人保護(hù)置于了客戶隱私之上。這些案例都說明了,安全專業(yè)人員在很多時(shí)候必須作出復(fù)雜的道德決定,在安全保密職責(zé)與應(yīng)對(duì)嚴(yán)重威脅的道德責(zé)任之間進(jìn)行取舍和權(quán)衡。
3、對(duì)安全漏洞的披露
網(wǎng)絡(luò)安全專家在工作中會(huì)經(jīng)常發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)上的安全漏洞,此時(shí)就必須決定是否要公開披露發(fā)現(xiàn)的漏洞,這往往需要兼顧透明度需要,同時(shí)又避免造成不必要的恐慌。披露可以讓漏洞得到快速修復(fù),但在補(bǔ)丁發(fā)布之前,漏洞會(huì)有被惡意行為者利用的風(fēng)險(xiǎn)。或者,他們可以選擇保密,這可能會(huì)使系統(tǒng)的安全缺陷長(zhǎng)期存在。當(dāng)然,漏洞發(fā)現(xiàn)者有時(shí)也會(huì)因?yàn)閻阂獾囊鈭D而不披露漏洞,這取決于他們的偏好與價(jià)值觀。
4、道德黑客的工作邊界
道德黑客是指受信任的個(gè)人或團(tuán)體利用黑客攻擊技術(shù),發(fā)現(xiàn)和糾正網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)內(nèi)的安全缺陷。
與惡意黑客不同,道德黑客的目的是增強(qiáng)網(wǎng)絡(luò)安全,而不會(huì)對(duì)系統(tǒng)或其用戶造成損害。但是在實(shí)際工作中,盡管有道德動(dòng)機(jī),但道德黑客的一些攻擊測(cè)試方法往往跨越法律界限,并在實(shí)踐中由于失誤等原因造成一定的損害。因此,道德黑客工作的合法邊界往往很難劃分清楚。
5、人工智能應(yīng)用的偏見
AI系統(tǒng)可能會(huì)從訓(xùn)練數(shù)據(jù)及算法模型中無意中產(chǎn)生偏見,這可能會(huì)導(dǎo)致對(duì)特定人員或群體產(chǎn)生歧視性的看法。人工智能系統(tǒng)應(yīng)用的公平性對(duì)于維護(hù)網(wǎng)絡(luò)安全中的道德標(biāo)準(zhǔn)和有效性至關(guān)重要。
6、認(rèn)知失調(diào)
網(wǎng)絡(luò)安全認(rèn)知失調(diào)主要指當(dāng)個(gè)人利益與職業(yè)責(zé)任發(fā)生沖突的情況下,安全人員該如何進(jìn)行操作。例如,網(wǎng)絡(luò)安全顧問如果從一家公司得到一份利潤(rùn)豐厚的合同,但該公司的網(wǎng)絡(luò)安全做法卻與他的核心價(jià)值觀背道而馳,他可能會(huì)面臨兩難境地。如果接受這樣的工作合同可能會(huì)損害他的職業(yè)操守和道德標(biāo)準(zhǔn)。
將道德操守納入網(wǎng)絡(luò)安全
計(jì)算機(jī)機(jī)械協(xié)會(huì)(ACM)于1992年發(fā)布了《IT行業(yè)道德和職業(yè)行為守則》,并于2018年更新。守則強(qiáng)調(diào)了IT領(lǐng)域?qū)I(yè)人員的行為會(huì)對(duì)社會(huì)產(chǎn)生的深遠(yuǎn)影響,敦促他們應(yīng)該優(yōu)先考慮公共利益,并考慮更廣泛的安全性后果。
雖然這份守則不是專門針對(duì)網(wǎng)絡(luò)安全的,但對(duì)于所有參與網(wǎng)絡(luò)安全工作的人員來說,這都是一個(gè)寶貴的道德指引框架。因?yàn)槭貏t從四個(gè)方面對(duì)包括網(wǎng)絡(luò)安全在內(nèi)的IT技術(shù)工作提出了道德要求:
一般道德準(zhǔn)則:IT專業(yè)人員必須為社會(huì)福祉、尊重多樣性和促進(jìn)人權(quán)作出貢獻(xiàn)。在工作中避免傷害,誠(chéng)實(shí)守信,確保公平,尊重知識(shí)產(chǎn)權(quán),維護(hù)隱私和保密。
工作職責(zé):IT專業(yè)人員應(yīng)努力提高工作質(zhì)量,保持勝任能力,遵守專業(yè)標(biāo)準(zhǔn)和規(guī)則,并對(duì)計(jì)算機(jī)系統(tǒng)及其影響提供全面的評(píng)價(jià)。他們必須在其職權(quán)范圍內(nèi)工作,促進(jìn)公眾對(duì)計(jì)算機(jī)的理解,只有在獲得授權(quán)或?yàn)楣娎鏁r(shí)才能訪問資源。
專業(yè)的領(lǐng)導(dǎo)力原則:計(jì)算領(lǐng)導(dǎo)人必須優(yōu)先考慮公共利益在所有專業(yè)工作,促進(jìn)他們所在的組織更多承擔(dān)社會(huì)責(zé)任,并提高工作生活的質(zhì)量,支持系統(tǒng)運(yùn)營(yíng)政策與道德原則保持一致。他們還應(yīng)該小心處理系統(tǒng)修改和淘汰等問題,并認(rèn)識(shí)到計(jì)算機(jī)系統(tǒng)的社會(huì)性整合。
遵守守則:計(jì)算機(jī)專業(yè)人員有義務(wù)維護(hù)、促進(jìn)和尊重道德準(zhǔn)則的原則。他們應(yīng)能夠發(fā)現(xiàn)并處理違反守則的行為,并考慮報(bào)告違反行為,以確保整個(gè)職業(yè)的道德標(biāo)準(zhǔn)得到維護(hù)。
相比其他IT領(lǐng)域,網(wǎng)絡(luò)安全工作由于其專業(yè)知識(shí)和廣泛接觸敏感信息和系統(tǒng)的機(jī)會(huì),需要在維護(hù)道德標(biāo)準(zhǔn)方面發(fā)揮著關(guān)鍵作用。因此,企業(yè)的網(wǎng)絡(luò)安全建設(shè)需要將倫理和道德原則融入日常實(shí)踐,以保護(hù)資產(chǎn)、維護(hù)隱私和確保安全,在建立信任的基礎(chǔ)上,促進(jìn)形成更公平的數(shù)字環(huán)境。
企業(yè)在將道德規(guī)范納入網(wǎng)絡(luò)安全工作時(shí),可以使用以下方法:
強(qiáng)調(diào)道德的網(wǎng)絡(luò)安全是每個(gè)人的責(zé)任,培養(yǎng)一種所有員工都堅(jiān)持道德實(shí)踐以保護(hù)信息和系統(tǒng)安全的企業(yè)文化。
傳達(dá)網(wǎng)絡(luò)安全控制措施和政策要求背后的原理,以提高員工對(duì)安全風(fēng)險(xiǎn)的認(rèn)識(shí),并鼓勵(lì)警惕異常的網(wǎng)絡(luò)安全事件。
根據(jù)企業(yè)實(shí)際情況制定網(wǎng)絡(luò)安全道德守則,為所有員工提供持續(xù)的道德培訓(xùn),定期進(jìn)行全組織的風(fēng)險(xiǎn)評(píng)估,保持全面的數(shù)據(jù)記錄,明確界定違反道德原則的懲罰機(jī)制,并在必要時(shí)予以強(qiáng)制執(zhí)行。
評(píng)估現(xiàn)有網(wǎng)絡(luò)資產(chǎn),進(jìn)行徹底的風(fēng)險(xiǎn)評(píng)估,并確定當(dāng)前的網(wǎng)絡(luò)安全實(shí)踐中是否缺乏道德考慮的領(lǐng)域。
制定一套全面的網(wǎng)絡(luò)安全道德準(zhǔn)則和政策,概述網(wǎng)絡(luò)安全道德行為的標(biāo)準(zhǔn),同時(shí)界定不同的角色和責(zé)任,以確保該準(zhǔn)則能夠被所有人遵守。
實(shí)施持續(xù)和多樣化的網(wǎng)絡(luò)安全培訓(xùn),以跟上不斷變化的威脅,培養(yǎng)一種組織文化,在這種文化中,錯(cuò)誤是學(xué)習(xí)和改進(jìn)安全實(shí)踐的機(jī)會(huì)。
參考鏈接:
https://www.tripwire.com/state-of-security/importance-ethics-cybersecurity