با توجه به ارتباط تنگاتنگی که بین امنیت سایبری و حریم خصوصی وجود دارد، تصمیمگیریهای اخلاقی در حوزه امنیت سایبری از اهمیت ویژهای برخوردار است. اشخاصی که در تیم واکنش به حوادث رایانهای (CSIRT[1]) یا مرکز عملیات امنیت (SOC[2]) کار میکنند، گاهی وقت ها باید تصمیمات مهمی بگیرند.
برای افزایش رشد و بلوغ تیم خودتان به کارهایی فراتر از ارایه فناوریها و ابزارهای جدید و پیشرفته نیاز دارید. یکی از مهمترین موارد برای تشکیل تیم CSIRT یا SOC موفق، وجود افرادی است که در کنار استفاده از این فناوریها به فرهنگی که باید در آن فعالیت کنند، توجه داشته باشند. فراهم کردن امکان آموزش، افزایش مجموعه مهارتها و ایجاد یک طرح شغلی شفاف و مشخص اهمیت زیادی دارد. در کنار این موارد، چنین فرهنگی باید تمرکز بر اصول اخلاقی هم داشته باشد. شما میتوانید با ایجاد یک کد رفتاری امنیت سایبری یا یک کد اخلاقی برای امنیت فناوری اطلاعات به این هدف دست یابید.
چارچوب راهنمایی اخلاق امنیت سایبری
به دلیل اهمیت اصول اخلاقی، بعضی از چارچوب های رشد و ارتقای کارمندان، تمرکز ویژهای بر جنبههای انسانی دارند. مدل بلوغ مدیریت حوادث امنیتی (SIM3[3]) که توسط آژانس امنیت سایبری اتحادیه اروپا (ENISA[4]) طراحی شده و چارچوب رشد انجمن جهانی تخصص سایبری (GDCE[5]) شامل مجموعهای کامل از مباحث انسانی هستند.
این مباحث، موضوعات مختلفی از جمله نقاط قوت شخصی، توصیف مجموعه مهارتها، موقعیتهای آموزشی مختلف و کدهای رفتاری را شامل می شوند. موضوع آخر یعنی کدهای رفتاری، مجموعه قوانین یا دستورالعملهای مربوط به شیوه رفتار کارمندان چه در فضای اداره و چه در محیط بیرون را مشخص میکند.
دلیل اهمیت تصمیم گیریهای اخلاقی در حوزه امنیت سایبری چیست؟
تیمهای امنیت سایبری ممکن است در فعالیت های روزانه شان با دوراهیهای اخلاقی زیادی روبرو شوند. تعریف وظیفه این اشخاص به بیان ساده، دور نگهداشتن مهاجمان سایبری است اما در عمل، وظایف سنگینتری را بر عهده دارند. برای مثال در محیط کاری که به کارمندان امکان اتصال وسایل شخصی شان به شبکه داده میشود، چگونه باید با مسأله حریم خصوصی برخورد کرد؟ وقتی کارمندان بخش امنیت سایبری در جستجوی منابع یک رخنه اطلاعاتی هستند، آیا باید این وسایل شخصی و محتوای آنها را هم در نظر داشته باشند؟ اگر با دادههایی روبرو شوند که در تناقض با خط مشی های امنیتی شرکت هستند یا اگر محتوای بحث برانگیزی پیدا کردند، چه اقدامی باید انجام دهند؟
اگر با درخواست نظارت بر روی ترافیک اینترنت شخصی که به رفتارهای مخرب مشکوک است، روبرو شدید چه کاری باید انجام دهید؟ چگونه این مسأله را میتوان با مسایل مربوط به حقوق بشر تطبیق داد؟ اگر در یک بخش امنیتی مهم با یک مخاطره بالقوه مواجه شدید، وظیفه شما چیست؟ یا اگر شرکتی با درخواست شما برای رفع چنین مشکلی موافقت نکرد، چگونه باید با آن برخورد کنید؟
رسیدگی به پرسشهای اخلاقی
روشهای مختلفی برای پاسخ به این پرسشها وجود دارد. میتوانید از اصولی مثل اخلاق سودگرایانه که متکی بر دانستن درست و غلط است، استفاده کنید. اخلاق سودگرایانه کاملاً متمرکز بر پیامدها است. بر اساس این روش، انتخابهایی که بیشترین میزان منفعت را ایجاد میکنند، انتخابهای اخلاقی محسوب میشوند. مشکل اینجا است که پیشبینی پیامدهای آتی یک رفتار خاص در حوزه امنیت سایبری که باید عوامل زیادی را در نظر داشت، معمولاً کار سختی است.
روش بعدی، متکی بر کرامت و جایگاه انسان است. این روش، آزادی انسانها برای تصمیم گیری و انتخاب شیوه زندگی را در نظر میگیرد. قضاوت درباره کارهای مختلف، بر اساس تأثیر و پیامد این کارها بر اطرافیان ما صورت میگیرد. در نهایت، رویکرد دنبال کردن خیر مشترک، به سیاستها و کارهایی گفته میشود که در راستای منافع گروهی از انسانها و کل جامعه هستند. در واقع تصمیم گیری ما بر مبنای پیامد انتخابهای مان بر منفعت مشترک جامعه یا گروه اطرافیانمان انجام میشود.
ارتباط این مفاهیم با تیمهای امنیت سایبری
توجه داشته باشید که ما درباره ویژگیهای خاص هک اخلاقی صحبت نمی کنیم. هک اخلاقی به نفوذ قانونی به رایانهها و دستگاههای مختلف برای ارزیابی قابلیتهای دفاعی آنها گفته میشود. در مجموع، اصول گفته شده برای هک اخلاقی هم صدق میکند.
چطور میتوان ایدههای گفته شده را برای اخلاق امنیت سایبری در دنیای واقعی به کار بست؟ برای پاسخ به این سؤال از یک مثال استفاده میکنیم. اگر شرکتی از قبول یک مشکل خودداری کرد و برآورد کلی شما این بود که مخاطرات احتمالی این مشکل امنیتی کم است، چه اقدامی انجام میدهید؟ احتمالاً حس میکنید باید چنین مشکلی را به صورت عمومی اعلام کنید اما اگر هشدار به قربانیان، عملی طولانی و زمانبر باشد آیا فرصت اطلاع دادن به همه قربانیان احتمالی درباره خطری که برای اطلاعات آنها ایجاد شده است را دارید؟ از طرف دیگر مخفی کردن آسیبپذیری هم منجر به حل مسأله نخواهد شد.
بهترین کار
متأسفانه هیچ انتخاب کاملاً سیاه یا سفیدی در این خصوص وجود ندارد. اغلب وقت ها با دوراهی روبرو میشوید که هیچ پاسخ قاطعی هم نمی توان به آن داد. در چنین شرایطی باید از عقل سلیم خودتان و دیگران استفاده کنید. البته استانداردها و روشهای توصیه شدهای هم هستند که به شما برای تصمیم گیری بهتر در این شرایط کمک میکنند.
چند نمونه
انجمن تیمهای امنیتی و واکنش به حادثه (FIRST[6]) یک کارگروه اختصاصی برای اخلاق امنیت سایبری دارد. این گروه، بیانیههای مسئولیت پذیری را بر اساس اولویت به منفعت جمعی طراحی کرده است. برای هر یک از این اصول یک راهنمای کامل تهیه شده که به درک و اجرای آنها کمک میکند.
استاندارد قابل استفاده بعدی، کد اقدام CSIRT (CCoP[7]) است که توسط مؤسسه “Trusted Introducer” منتشر شده است. این کد حاوی فهرستی از روشهای توصیه شده برای تیمها یا اعضای آنها است. بیشتر وقت ها این موضوع که مقررات حفاظت از دادههای عمومی اتحادیه اروپا هم حاوی مسایل مرتبط با حقوق شهروندی است و میتوان آنها را به کد اقدام تبدیل کرد، نادیده گرفته میشود.
روش عملی برای اخلاق امنیت سایبری
استاندارد CCoP که پیش از این به آن اشاره شد، یک سند آماده برای تعریف اخلاق امنیت سایبری است ولی گاهی اوقات این اسناد بیش از حد پیچیده به نظر میرسند و شاید نیاز به رویکردی شفافتر داشته باشید. برای انجام این کار میتوانید مجموعه فرامین کلی را مشخص کرده و آنها را در سیاستهای کلی گروه یا تیم خودتان لحاظ کنید. از این فهرست میتوانید به عنوان یک نقطه شروع استفاده نموده و سپس به سمت یک رویکرد جامعتر حرکت کنید. از جمله این فرامین می توان به موارد زیر اشاره کرد:
- هرگز از رایانه برای آسیب رساندن به دیگران استفاده نکنید.
- از جامعه و منفعت جمعی محافظت کنید.
- قابل اعتماد باشید؛ یعنی طوری تعهد بدهید که قادر به برآورده کردن آن بوده و بتوانید روابطی مبتنی بر اعتماد با دیگران برقرار کنید.
- طرحی برای افشای هماهنگ شده آسیبپذیریها داشته باشید.
- به حقوق دیگران احترام بگذارید.
- فقط دادههایی که لازم است دیگران در جریان آنها قرار بگیرند را منتشر کرده و حریم خصوصی افراد را رعایت کنید.
- از استانداردهای قانونی پیروی کنید.
کسبوکارها و دولتهای جهان نسبت به اهمیت حفاظت از اطلاعات دیجیتال و پیامدهای منفی حملات سایبری آگاهی بیشتری پیدا کردهاند. آنها وابستگی زیادی به گروههایی مثل CSIRT و SOC برای محافظت از سیستمهای شان دارند. به همین دلیل لازم است برای اخلاق امنیت سایبری در هر سازمانی یک کد استاندارد تعریف شود.
[1] Computer Security Incident Response Team
[2] Security Operations Center
[3] Security Incident Management Maturity Model
[4] European Union Agency for Cybersecurity
[5] Global Forum on Cyber Expertise
[6] Forum of Incident Response and Security Teams
[7] CSIRT Code of Practice
منبع: securityintelligence