Этический кодекс безопасника или ethicsfIRST
Этика очень сложный вопрос, особенно в вопросе уязвимостей. ИБ очень большая и разносортная на специалистов область и так как этика в данном вопросе всегда будет граничить с совестью, ответить за всех невозможно. Зайду со стороны безопасного программирования и разработки в целом.
Затрагивая тему стандартов и фреймворков безопасной разработки ПО, можно наткнуться на ethicsfIRST — этический кодекс для специалистов по информационной безопасности, созданный форумом группы реагирования на инциденты и обеспечения безопасности (FIRST). Сама группа пишет о своем кодексе следующее:
EthicsfIRST призван вдохновлять и направлять этическое поведение всех членов команды, включая нынешних и потенциальных практиков, преподавателей, студентов, влиятельных лиц и всех, кто эффективно использует компьютерные технологии. Эта основа включает принципы, сформулированные в виде заявлений об ответственности, основанных на понимании того, что общественное благо всегда является главным приоритетом.
Принципы или обязанности, как их именуют FIRST в дальнейшем, можно классифицировать по группам и рассмотреть некоторые более подробно.
Личностные принципы:
Обязанность поддерживать доверие
Обязанность подтверждать получение информации
Обязанность строить логические рассуждения на основе фактических данных
Обязанность соблюдать права человека
Обязанность признавать границы юрисдикции
Принципы процесса:
Обязанность ответственного сбора данных
Обязанность скоординированного раскрытия уязвимостей
Обязанность получать разрешение
Обязанность информировать
Обязанность конфиденциальности
Обязанность укреплять потенциал группы
Специалисты должны поддерживать доверие, подтверждать получение информации, строить логические рассуждения на основе фактических данных, соблюдать права человека и признавать границы юрисдикции во время расследования инцидента. В последнем принципе упоминается так называемая «этика закона». Закон — это правила, а правила всегда можно было нарушать, совершая при этом сделку с совестью. Так же как и корпоративная этика, закон не дает гарантий на выполнение правил всеми сотрудниками или пользователями. Каждый день миллионы пользователей ПО нарушают ст. 146 УК РФ «Нарушение авторских и смежных прав» без последствий. Совершают ли они сделку с совестью в этот момент?
Соблюдение этического кодекса дело добровольное и такие моменты как доверие внутри группы или использование только фактических данных являются спорными. Например, можно реализовать атаку на компанию посредством «своего человека» внутри группы реагирования, который в зависимости от поставленных целей будет нарушать принципы или следовать им и сливать информацию.
Классифицировав принципы на группы, я назвал их личностными и принципами процесса. Не соблюдение первых не разрушает процесс расследования, но может влиять на качество результата. Так же они являются фоновыми и следить за ними и их порядком не обязательно, с моей точки зрения. Принципы процесса же я расставил в соответствии с порядком расследования и несоблюдение одного из них может привести к незавершенности.
Далее более подробно рассмотрены принципы процесса:
Обязанность скоординированного раскрытия уязвимостей
В данном случае остановлюсь на описании от разработчиков кодекса:
Члены команды, узнавшие об уязвимости, должны следовать скоординированному раскрытию уязвимости, сотрудничая с заинтересованными сторонами, чтобы устранить уязвимость безопасности и минимизировать вред, связанный с раскрытием информации. Заинтересованные стороны включают, помимо прочего, отправителя отчета об уязвимостях, затронутых поставщиков, координаторов, защитников и последующих клиентов, партнеров и пользователей.
Члены команды должны координировать свои действия с соответствующими заинтересованными сторонами, чтобы согласовать четкие сроки и ожидания для выпуска информации, предоставляя достаточно деталей, чтобы позволить пользователям оценить свой риск и принять действенные защитные меры.
Обязанность получать разрешение
В данном принципе возникает очередное соглашение с совестью, простыми словами он не разрешает выходить за область действия разрешенного уровня доступа в организации. Т.е. расследуя инцидент или соблюдая один из принципов, можно нарушить другой.
По идее специалист должен не собственноручно следовать по пути возникновения уязвимости, а привлекать других специалистов, либо получать от них разрешение на доступ. Но на практике все может пойти совершенно другим путем.
Обязанность информировать
Информирование — стоящее в основе всего кодекса этики слово. После обнаружения уязвимости, любой человек должен сообщить о ней компании, в чьем софте она была обнаружена. Говоря «любой человек», я закладываю мысль о том, что этот кодекс относится не ко внутренним специалистам фирмы, а ко всем пользователям. А если это фирма конкурент, должен ли я сообщить им об этом? Обязанность соблюдать права человека как раз про это.
Обязанность конфиденциальности
Соответственно, получив разрешение, группа берет на себя ответственность за информацию, владельцам которой не является, при этом ей нужно как-то взаимодействовать между собой. Прибавляем к этому важность информации расследования и сам факт хранения последовательности действий о реализации взлома, возникает потребность в метках конфиденциальности на транспортном уровне. Этот принцип всегда в приоритете, т.к. его нарушение может присвоить уязвимости статус общедоступности.
Обязанность укреплять потенциал группы
Тут все банально. Эффективность прямо пропорционально зависит от знаний и навыков участников группы. Повышая потенциал группы, повышается эффективность. Следовательно, каждый участник должен не только выполнять свою роль, но и развиваться в своей области ответственности самостоятельно. Третья по счету сделка с совестью.
Обязанность ответственного сбора данных
Некоторые моменты из описания от разработчиков кодекса:
Сбор данных необходим для реагирования на инциденты, но следует соблюдать баланс между целью реагирования на инциденты и уважением к заинтересованным сторонам, заинтересованным в данных.
Данные, которые могут помочь другим группам реагирования в их усилиях, связанных с другими инцидентами, должны быть доступны им, возможно, в отредактированном виде. Информация, являющаяся конфиденциальной и являющейся собственностью, должна быть доступна только при наличии соответствующих средств защиты.
Прежде чем делиться данными с третьими сторонами для смягчения последствий, следует сопоставить риски и выгоды. Данными следует делиться только в том случае, если польза явно перевешивает риски. Конфиденциальные данные следует хранить таким образом, чтобы их можно было легко уничтожить после закрытия инцидента. Собранные данные должны быть безопасно уничтожены в соответствии с политикой хранения данных.
Вывод
При обнаружении уязвимости всегда появляется выбор сообщить ли о ней и кому. Являясь сотрудником компании затрагивается корпоративная этика, но какой смысл ее соблюдать, если нет никакой выгоды? Этика закона работает, но приходится полагаться в большинстве своем на совесть, этика которой в свое время зависит только от человека, его целей и желаний. Принцип ответственного сбора данных подтверждает слова выше и говорит, что в конечном итоге даже группа реагирования сопоставляя риск и выгоду сама решает выкладывать информацию об уязвимости или нет.
Дополнение
Обязанность заботиться о здоровье членов группы мною проигнорирована в связи ее бесполезности в данной области.
Так же приведу этические размышления FIRST ниже:
Члены команды часто могут оказаться в положении, когда кажется, что никакие действия не удовлетворяют всем этическим принципам. В такой ситуации необходимо сделать выбор, каким принципам отдать приоритет. В этой ситуации специалистам по обработке инцидентов рекомендуется задуматься о том, на каких заинтересованных сторон могут повлиять их действия и каким образом, желательно в обсуждении с коллегой. Как правило, следует выбирать решение, которое сводит к минимуму нарушение этих этических рамок. Иногда это может оказаться невозможным, например, из-за внешнего давления. В такой ситуации рекомендуется действовать, принимая во внимание этическую дилемму, возможно, вызывающую протест.
