اهمیت ایجاد کد اخلاقی برای مرکز عملیات امنیت

با توجه به ارتباط تنگاتنگی که بین امنیت سایبری و حریم خصوصی وجود دارد، تصمیم‌گیری‌های اخلاقی در حوزه امنیت سایبری از اهمیت ویژه‌ای برخوردار است. اشخاصی که در تیم واکنش به حوادث رایانه‌ای (CSIRT[1]) یا مرکز عملیات امنیت (SOC[2]) کار می‌کنند، گاهی وقت ها باید تصمیمات مهمی بگیرند.

برای افزایش رشد و بلوغ تیم خودتان به کارهایی فراتر از ارایه فناوری‌ها و ابزارهای جدید و پیشرفته نیاز دارید. یکی از مهمترین موارد برای تشکیل تیم CSIRT یا SOC موفق، وجود افرادی است که در کنار استفاده از این فناوری‌ها به فرهنگی که باید در آن فعالیت کنند، توجه داشته باشند. فراهم کردن امکان آموزش، افزایش مجموعه مهارت‌ها و ایجاد یک طرح شغلی شفاف و مشخص اهمیت زیادی دارد. در کنار این موارد، چنین فرهنگی باید تمرکز بر اصول اخلاقی هم داشته باشد. شما می‌توانید با ایجاد یک کد رفتاری امنیت سایبری یا یک کد اخلاقی برای امنیت فناوری اطلاعات به این هدف دست یابید.

چارچوب راهنمایی اخلاق امنیت سایبری

به دلیل اهمیت اصول اخلاقی، بعضی از چارچوب های رشد و ارتقای کارمندان، تمرکز ویژه‌ای بر جنبه‌های انسانی دارند. مدل بلوغ مدیریت حوادث امنیتی (SIM3[3]) که توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA[4]) طراحی شده و چارچوب رشد انجمن جهانی تخصص سایبری (GDCE[5]) شامل مجموعه‌ای کامل از مباحث انسانی هستند.

این مباحث، موضوعات مختلفی از جمله نقاط قوت شخصی، توصیف مجموعه مهارت‌ها، موقعیت‌های آموزشی مختلف و کدهای رفتاری را شامل می شوند. موضوع آخر یعنی کدهای رفتاری، مجموعه قوانین یا دستورالعمل‌های مربوط به شیوه رفتار کارمندان چه در فضای اداره و چه در محیط بیرون را مشخص می‌کند.

دلیل اهمیت تصمیم گیری‌های اخلاقی در حوزه امنیت سایبری چیست؟

تیم‌های امنیت سایبری ممکن است در فعالیت های روزانه شان با دوراهی‌های اخلاقی زیادی روبرو شوند. تعریف وظیفه این اشخاص به بیان ساده، دور نگهداشتن مهاجمان سایبری است اما در عمل، وظایف سنگین‌تری را بر عهده دارند. برای مثال در محیط کاری که به کارمندان امکان اتصال وسایل شخصی شان به شبکه داده می‌شود، چگونه باید با مسأله حریم خصوصی برخورد کرد؟ وقتی کارمندان بخش امنیت سایبری در جستجوی منابع یک رخنه اطلاعاتی هستند، آیا باید این وسایل شخصی و محتوای آنها را هم در نظر داشته باشند؟ اگر با داده‌هایی روبرو شوند که در تناقض با خط مشی های امنیتی شرکت هستند یا اگر محتوای بحث برانگیزی پیدا کردند، چه اقدامی باید انجام دهند؟

اگر با درخواست نظارت بر روی ترافیک اینترنت شخصی که به رفتارهای مخرب مشکوک است، روبرو شدید چه کاری باید انجام دهید؟ چگونه این مسأله را می‌توان با مسایل مربوط به حقوق بشر تطبیق داد؟ اگر در یک بخش امنیتی مهم با یک مخاطره بالقوه مواجه شدید، وظیفه شما چیست؟ یا اگر شرکتی با درخواست شما برای رفع چنین مشکلی موافقت نکرد، چگونه باید با آن برخورد کنید؟

رسیدگی به پرسش‌های اخلاقی

روش‌های مختلفی برای پاسخ به این پرسش‌ها وجود دارد. می‌توانید از اصولی مثل اخلاق سودگرایانه که متکی بر دانستن درست و غلط است، استفاده کنید. اخلاق سودگرایانه کاملاً متمرکز بر پیامدها است. بر اساس این روش، انتخاب‌هایی که بیشترین میزان منفعت را ایجاد می‌کنند، انتخاب‌های اخلاقی محسوب می‌شوند. مشکل اینجا است که پیش‌بینی پیامدهای آتی یک رفتار خاص در حوزه امنیت سایبری که باید عوامل زیادی را در نظر داشت، معمولاً کار سختی است.

روش بعدی، متکی بر کرامت و جایگاه انسان است. این روش، آزادی انسان‌ها برای تصمیم گیری و انتخاب شیوه زندگی را در نظر می‌گیرد. قضاوت درباره کارهای مختلف، بر اساس تأثیر و پیامد این کارها بر اطرافیان ما صورت می‌گیرد. در نهایت، رویکرد دنبال کردن خیر مشترک، به سیاست‌ها و کارهایی گفته می‌شود که در راستای منافع گروهی از انسان‌ها و کل جامعه هستند. در واقع تصمیم گیری ما بر مبنای پیامد انتخاب‌های مان بر منفعت مشترک جامعه یا گروه اطرافیانمان انجام می‌شود.

ارتباط این مفاهیم با تیم‌های امنیت سایبری

توجه داشته باشید که ما درباره ویژگی‌های خاص هک اخلاقی صحبت نمی کنیم. هک اخلاقی به نفوذ قانونی به رایانه‌ها و دستگاه‌های مختلف برای ارزیابی قابلیت‌های دفاعی آنها گفته می‌شود. در مجموع، اصول گفته شده برای هک اخلاقی هم صدق می‌کند.

چطور می‌توان ایده‌های گفته شده را برای اخلاق امنیت سایبری در دنیای واقعی به کار بست؟ برای پاسخ به این سؤال از یک مثال استفاده می‌کنیم. اگر شرکتی از قبول یک مشکل خودداری کرد و برآورد کلی شما این بود که مخاطرات احتمالی این مشکل امنیتی کم است، چه اقدامی انجام می‌دهید؟ احتمالاً حس می‌کنید باید چنین مشکلی را به صورت عمومی اعلام کنید اما اگر هشدار به قربانیان، عملی طولانی و زمان‌بر باشد آیا فرصت اطلاع دادن به همه قربانیان احتمالی درباره خطری که برای اطلاعات آنها ایجاد شده است را دارید؟ از طرف دیگر مخفی کردن آسیب‌پذیری هم منجر به حل مسأله نخواهد شد.

بهترین کار

متأسفانه هیچ انتخاب کاملاً سیاه یا سفیدی در این خصوص وجود ندارد. اغلب وقت ها با دوراهی روبرو می‌شوید که هیچ پاسخ قاطعی هم نمی توان به آن داد. در چنین شرایطی باید از عقل سلیم خودتان و دیگران استفاده کنید. البته استانداردها و روش‌های توصیه شده‌ای هم هستند که به شما برای تصمیم گیری بهتر در این شرایط کمک می‌کنند.

چند نمونه

انجمن تیم‌های امنیتی و واکنش به حادثه (FIRST[6]) یک کارگروه اختصاصی برای اخلاق امنیت سایبری دارد. این گروه، بیانیه‌های مسئولیت پذیری را بر اساس اولویت به منفعت جمعی طراحی کرده است. برای هر یک از این اصول یک راهنمای کامل تهیه شده که به درک و اجرای آنها کمک می‌کند.

استاندارد قابل استفاده بعدی، کد اقدام CSIRT (CCoP[7]) است که توسط مؤسسه “Trusted Introducer” منتشر شده است. این کد حاوی فهرستی از روش‌های توصیه شده برای تیم‌ها یا اعضای آنها است. بیشتر وقت ها این موضوع که مقررات حفاظت از داده‌های عمومی اتحادیه اروپا هم حاوی مسایل مرتبط با حقوق شهروندی است و می‌توان آنها را به کد اقدام تبدیل کرد، نادیده گرفته می‌شود.

روش عملی برای اخلاق امنیت سایبری

استاندارد CCoP که پیش از این به آن اشاره شد، یک سند آماده برای تعریف اخلاق امنیت سایبری است ولی گاهی اوقات این اسناد بیش از حد پیچیده به نظر می‌رسند و شاید نیاز به رویکردی شفاف‌تر داشته باشید. برای انجام این کار می‌توانید مجموعه فرامین کلی را مشخص کرده و آنها را در سیاست‌های کلی گروه یا تیم خودتان لحاظ کنید. از این فهرست می‌توانید به عنوان یک نقطه شروع استفاده نموده و سپس به سمت یک رویکرد جامع‌تر حرکت کنید. از جمله این فرامین می توان به موارد زیر اشاره کرد:

• هرگز از رایانه برای آسیب رساندن به دیگران استفاده نکنید.
• از جامعه و منفعت جمعی محافظت کنید.
• قابل اعتماد باشید؛ یعنی طوری تعهد بدهید که قادر به برآورده کردن آن بوده و بتوانید روابطی مبتنی بر اعتماد با دیگران برقرار کنید.
• طرحی برای افشای هماهنگ شده آسیب‌پذیری‌ها داشته باشید.
• به حقوق دیگران احترام بگذارید.
• فقط داده‌هایی که لازم است دیگران در جریان آنها قرار بگیرند را منتشر کرده و حریم خصوصی افراد را رعایت کنید.
• از استانداردهای قانونی پیروی کنید.

کسب‌وکارها و دولت‌های جهان نسبت به اهمیت حفاظت از اطلاعات دیجیتال و پیامدهای منفی حملات سایبری آگاهی بیشتری پیدا کرده‌اند. آنها وابستگی زیادی به گروه‌هایی مثل CSIRT و SOC برای محافظت از سیستم‌های شان دارند. به همین دلیل لازم است برای اخلاق امنیت سایبری در هر سازمانی یک کد استاندارد تعریف شود.

 

[1] Computer Security Incident Response Team

[2] Security Operations Center

[3] Security Incident Management Maturity Model

[4] European Union Agency for Cybersecurity

[5] Global Forum on Cyber Expertise

[6] Forum of Incident Response and Security Teams

[7] CSIRT Code of Practice

 

منبع: securityintelligence