Этические вопросы для специалистов по ИТ-безопасности

Врачи, адвокаты и другие специалисты, чьи должностные обязанности влияют на жизнь других людей, обычно проходят в рамках своей формальной подготовки курсы, посвященные этическим вопросам, характерным для их профессии. Сотрудники службы ИТ-безопасности часто имеют доступ к большому количеству конфиденциальных данных и знаний о сетях и системах отдельных лиц и компаний, что дает им большую власть. Этой властью можно злоупотреблять намеренно или непреднамеренно. Но не существует стандартизированных требований к обучению для работы консультантом по ИТ-безопасности или штатным специалистом по безопасности. Ассоциации и организации ИТ-специалистов начинают обращать внимание на этическую сторону работы, но, опять же, нет требований, чтобы сотрудники ИТ-безопасности принадлежали к этим организациям.

Зачем нужны этические принципы?

Обучение и подготовка ИТ-специалистов, в том числе специалистов по безопасности, обычно сосредоточены на технических знаниях и навыках. Вы учитесь выполнять задачи, но мало задумываетесь о том, как эти способности могут быть использованы не по назначению. На самом деле, многие ИТ-специалисты подходят к своей работе с точки зрения хакера: все, что вы можете сделать, вы имеете право делать.

Примечание:
Обратите внимание, что в этой статье мы используем слово «хакер» в текущем общепринятом значении, относящемся к «черным хакерам», которые используют свои навыки для взлома систем и доступа к данным и программам без разрешения владельцев. Мы прекрасно понимаем, что первоначально этот термин относился к любому человеку с продвинутыми навыками программирования и что существуют «белые хакеры», которые используют свои навыки, чтобы помочь компаниям и частным лицам защититься от черных шляп.

На самом деле, многие ИТ-специалисты даже не осознают, что их работа связана с этическими проблемами. Тем не менее, мы ежедневно принимаем решения, которые вызывают этические вопросы.

Каковы этические проблемы?

Многие этические проблемы, с которыми сталкиваются ИТ-специалисты, связаны с конфиденциальностью. Например:

• Стоит ли вам читать частную электронную почту пользователей вашей сети только потому, что вы можете? Можно ли читать электронную почту сотрудников в качестве меры безопасности, чтобы гарантировать, что конфиденциальная информация компании не будет раскрыта? Можно ли читать электронную почту сотрудников, чтобы убедиться, что правила компании (например, запрет на использование системы электронной почты в личных целях) не нарушаются? Если вы читаете электронную почту сотрудников, должны ли вы раскрывать им эту политику? До или после факта?
  
• Можно ли отслеживать веб-сайты, посещаемые пользователями вашей сети? Следует ли вам регулярно вести журналы посещенных сайтов? Является ли пренебрежительным не следить за таким использованием Интернета, чтобы предотвратить возможность появления порнографии на рабочем месте, которая может создать враждебную рабочую среду?
  
• Можно ли размещать кейлоггеры на компьютерах в сети, чтобы фиксировать все, что набирает пользователь? Программы захвата экрана, чтобы вы могли видеть все, что отображается? Должны ли пользователи быть проинформированы о том, что за ними наблюдают таким образом?
  
• Можно ли читать документы и просматривать графические файлы, хранящиеся на компьютерах пользователей или в их каталогах на файловом сервере?

Помните, что мы не говорим здесь о юридических вопросах. Компания вполне может иметь законное право контролировать все, что сотрудник делает с ее компьютерным оборудованием. Мы говорим об этических аспектах возможности сделать это.

Как сетевой администратор или специалист по безопасности, у вас есть права и привилегии, которые позволяют вам получать доступ к большинству данных в системах вашей сети. Вы даже можете получить доступ к зашифрованным данным, если у вас есть доступ к учетной записи агента восстановления. То, что вы делаете с этими способностями, зависит частично от ваших конкретных должностных обязанностей (например, если отслеживание почты сотрудников является частью вашей официальной должностной инструкции) и частично от ваших личных этических убеждений в отношении этих вопросов.

Скользкий склон

Распространенной концепцией в любом обсуждении этики является «скользкая дорожка». Это относится к легкости, с которой человек может перейти от действий, которые на самом деле не кажутся неэтичными (например, сканирование электронной почты сотрудников «просто для развлечения»), к действиям, которые становятся все более неэтичными (например, внесение небольших изменений в свои почтовые сообщения или перенаправление сообщений не тому получателю).

Глядя на приведенный выше список проблем конфиденциальности, легко обосновать каждое из описанных действий. Но также легко увидеть, как каждое из этих действий может «превратиться» в гораздо менее оправданные действия. Например, информация, которую вы получили, прочитав чью-то электронную почту, может быть использована для того, чтобы поставить этого человека в неловкое положение, получить политическое преимущество в компании, привлечь его/ее к дисциплинарной ответственности или уволить, или даже для шантажа.

Концепция скользкой дорожки также может выходить за рамки использования ваших навыков в области ИТ. Если можно читать электронную почту других сотрудников, то можно ли рыться в ящиках их стола, когда их там нет? Чтобы открыть их портфели или кошельки?

Этические дилеммы реального мира

Что, если ваше прочтение случайных документов раскроет коммерческую тайну компании? Что, если вы позже покинете компанию и пойдете работать к конкуренту? Можно ли использовать эти знания на новой работе? Было бы «более неправильно», если бы вы распечатали эти документы и взяли их с собой, чем если бы вы просто полагались на свою память?

Что, если документы, которые вы прочитали, показали, что компания нарушала правительственные постановления или законы? Есть ли у вас моральное обязательство сдать их, или вы этически обязаны уважать частную жизнь вашего работодателя? Будет ли иметь значение, если вы подпишете соглашение о неразглашении при приеме на работу?

Консультанты по информационным технологиям и безопасности, работающие в нескольких компаниях, сталкиваются с еще большим количеством этических проблем. Если вы узнаете об одном из ваших клиентов что-то, что может повлиять на других ваших клиентов, в чем заключается ваша лояльность?

Потом проблемы с деньгами. Распространение сетевых атак, хакерских атак, вирусов и других угроз для их ИТ-инфраструктур заставило многие компании «бояться, очень бояться». Консультанту по безопасности может быть очень легко сыграть на этом страхе, чтобы убедить компании тратить гораздо больше денег, чем им действительно нужно. Правильно ли, что вы берете сотни или даже тысячи долларов в час за свои услуги, или это случай «все, что выдержит рынок»? Правильно ли вы делаете наценку на оборудование и программное обеспечение, которые вы получаете для заказчика, когда вы передаете стоимость? А откаты от производителей оборудования? Разве неправильно принимать от них «комиссионные» за то, что они убеждают ваших клиентов покупать их продукты? Или что, если связь более тонкая? Разве неправильно ориентировать своих клиентов на продукцию компаний, акциями которых вы владеете?

Еще одна этическая проблема связана с обещанием большего, чем вы можете предоставить, или с манипулированием данными для получения более высоких комиссионных. Вы можете установить технологии и настроить параметры, чтобы сделать сеть клиента более безопасной, но вы никогда не сможете сделать ее полностью безопасной. Неправильно ли уговорить клиента заменить свои текущие брандмауэры на брандмауэры другого производителя или перейти на операционную систему с открытым исходным кодом, которая по совпадению приведет к увеличению оплачиваемых часов для вас, исходя из того, что это ответ на их проблемы с безопасностью?

Вот еще один сценарий: что, если клиент просит вас сэкономить деньги, отказавшись от некоторых мер безопасности, которые вы рекомендовали, но ваш анализ потребностей клиента в безопасности показывает, что конфиденциальная информация окажется под угрозой, если вы это сделаете? Вы пытаетесь объяснить это клиенту, но он непреклонен. Должны ли вы пойти дальше и настроить сеть менее безопасным образом? Должны ли вы «съесть» стоимость и установить дополнительные меры безопасности бесплатно для клиента? Стоит ли отказываться от работы? Будет ли иметь значение, если бизнес клиента относится к регулируемой отрасли, а внедрение более низких стандартов безопасности будет представлять собой нарушение HIPAA, GLB, SOX или других законов?

Резюме

Эта статья подняла много вопросов, но не пыталась дать готовые ответы. Это потому, что, в конечном счете, ответ на вопрос «Этично ли это?» должен отвечать каждый отдельный ИТ-специалист. В отличие от более старых, более устоявшихся профессий, таких как медицина и юриспруденция, большинство этических вопросов, с которыми сталкиваются ИТ-специалисты и специалисты по безопасности, не закреплены в законе, а также не существует стандартного обязательного надзорного органа (например, национальной или государственной медицинской ассоциации или коллегии адвокатов), который бы установил подробный этический кодекс.

Тем не менее, вопрос этического поведения в ИТ-профессиях начинает решаться. Добровольные профессиональные ассоциации, такие как Ассоциация вычислительной техники (ACM), разработали свои собственные кодексы этики и профессионального поведения, которые могут служить руководством для отдельных лиц и других организаций.

Ресурсы

Отличный подробный документ о том, как использовать этический кодекс ACM при принятии решений и обсуждении многих распространенных сценариев, см. на http://www-cs.etsu.edu/gotterbarn/p98-anderson.pdf.

Очень подробное обсуждение как технологических, так и нетехнологических этических проблем, с которыми сталкиваются ИТ-специалисты, от системных администраторов до программистов и интернет-провайдеров, см. в книге Стивена Норткатта «Справочник по этике ИТ», опубликованной Syngress: http://www.syngress.com/catalog/? код = 2900