Об этике информационной безопасности после 24 февраля

Об этике информационной безопасности после 24 февраля

В “Понедельник начинается в субботу” Стругацких есть один из второстепенных героев, Саваоф Баалович Один. Стругацкие про него пишут так: “Историю Саваофа Бааловича я узнал сравнительно недавно. В незапамятные времена С. Б. Один был ведущим магом земного шара. Кристобаль Хунта и Жиан Жиакомо были учениками его учеников. Его именем заклинали нечисть. Его именем опечатывали сосуды с джиннами. Царь Соломон писал ему восторженные письма и возводил в его честь храмы. Он казался всемогущим. И вот где-то в середине шестнадцатого века он воистину  с т а л  всемогущим. Проведя численное решение интегро-дифференциального уравнения Высшего Совершенства, выведенного каким-то титаном еще до ледникового периода, он обрел возможность творить  л ю б о е  чудо. Каждый из магов имеет свой предел. Некоторые неспособны вывести растительность на ушах. Другие владеют обобщенным законом Ломоносова – Лавуазье, но бессильны перед вторым принципом термодинамики. Третьи – их совсем немного – могут, скажем, останавливать время, но только в римановом пространстве и ненадолго. Саваоф Баалович стал всемогущ. Он мог все. И он ничего не мог. Потому что граничным условием уравнения Совершенства оказалось требование, чтобы чудо не причиняло никому вреда. Никакому разумному существу. Ни на Земле, ни в иной части Вселенной. А такого чуда никто, даже сам Саваоф Баалович, представить себе не мог. И С. Б. Один навсегда оставил магию и стал заведующим отделом Технического Обслуживания НИИЧАВО…

На днях активно обсуждалась история одного инициативного человека по сбору и публикации персональных данных работников компании NTechLab, которая известная своими технологиями распознавания по лицам, которые сегодня активно используются российскими властями для идентификации не только преступников, но и участвующих в митингах лицах, снимаемых камерами видеонаблюдения. Уж не знаю, чем руководствовался сборщик этих данных, но это сильно похоже на этакий самосуд или призыв к мини-санкциям, когда хочется вывести на свет лиц, которые, якобы, совершают преступление. И не важно, что ты при этом тоже совершаешь преступление. Схожая по сути история была на заре проявления Навального как политика, когда он публиковал не всегда законно полученные данные, обличая крупные корпорации.

Иван Бегтин у себя в канале поднимает тему этичности технологических компаний и задает ряд вопросов (например, можно ли с помощью технологии нарушать права граждан или какие меры разработчик предпринимает чтобы снизить последствия такого применения?), на которые должен уметь отвечать любой работник технологической компании, связанной с технологиями двойного назначения. Иван упоминает про биометрическую идентификацию, фильтрацию трафика (DPI) и т.п.

Я 6 лет назад писал про чеклист любого действия с точки зрения этики!

И вот тут мы подступаем к очень непростой теме, которая после 24-го февраля подняла голову во весь рост. Речь об этике информационной безопасности. Как мне кажется, универсального понятия “этики” не существует и у каждого свой барометр, определяющий, когда мы можем что-то делать, не опасаясь быть “замазанными”, когда мы по ходим по краю, а когда мы ”зашквариваемся” и нам уже не отмыться. Причем наше видение этической стороны той или иной проблемы может не совпадать с видением наших друзей и коллег. Я вот столкнулся с тем, что часть моих украинских друзей обвинило меня по сути в пособничестве произошедшего 24-го февраля, так как я не поднял на баррикады всех своих подписчиков и не бросил их под танки, идущие в Украину, а также не повлиял на президента страны через свои знакомства в коридорах власти (забавно, что тебя считают человеком, способным на такое влияние).

Кто-то считает для себя невозможным находиться в стране и своими налогами оплачивать продолжение военной операции и поэтому отдельные (не буду писать многие) специалисты по ИБ или разработчики ИБ-компаний выезжают за пределы России, релоцируясь самостоятельно или с помощью своего иностранного работодателя (кто-то, конечно, делает это из-за паники или банального страха за себя и своих родных). Кто-то считает для себя невозможным работать в госструктурах или выполнять заказы для них. Кто-то из российских компаний перевозит своих сотрудников зарубеж, а иностранные компании, теряя немалые деньги, уходят из России. Все это проявления этики, которая, иногда, превалирует над желанием заработать бабла. И в последнее время эти вопросы всплывают все чаще и чаще. Сотрудники Google написали коллективное письмо по поводу использования их технологий для слежки. Общественные организации поднимают шум по поводу компаний, разрабатывающих шпионское ПО для слежки за диссидентами, журналистами и другими интересантами для государств и спецслужб. Кейсы с Geofeedia, NetSweeper, Cambridge Analytica 

По мере развития технологий они все чаще начинают применяться там, где их авторы, возможно, и не планировали. Или так, как авторы не планировали. И это заставляет задумываться о том, что этика — это то, что отличает искусственный интеллект от человека. И что специалистам по ИБ также придется задумываться о последствиях своих действий и своих проектов.

Помню в “Сириусе”, выступая перед школьниками старших классов (или студентами младших курсов), один из них высказал мысль, что если он разработает вредоносную программу, но сам не будет ее использовать, только продавая ее желающим, он не участвует ни в чем опасном и преступном и его деятельность не может рассматриваться как вредоносная. Вот тут, как мне кажется, и проявляется как раз этика (или ее отсутствие). Да, с технической и, возможно, юридической точки зрения, вы можете быть правым сколь угодно раз и убеждать себя в том, что именно ваши действия не нанесли никому ущерба напрямую. Можно убеждать себя в том, что вы написали вредоносный код в рамках исследовательской работы, а уж кто и как будет использовать результаты НИОКР вас не волнуют. Можно убеждать себя, что вы защищаетесь от врагов, а offensive — это один из элементов современной ИБ.

Я сейчас не хочу никого учить этике и показывать, что правильно, а что нет (нет тут ”правильно” и “неправильно”). Также как я не буду ничего говорить тем, кто уезжает из страны или, наоборот, остается. У каждого своя ситуация, свои мысли и видение будущего. Мне кажется, этика тем и отличается, что в ней нельзя четко провести грань — это белое, а это черное (не зря июнь — месяц толерантности, символом которой является радуга). Есть множество оттенков между белым и черным и каждый сам для себя проведет грань между этичным и неэтичным поведением в ИБ.

Главное, чтобы эта грань все-таки проводилась и специалисты по ИБ для себя могли ответить, они уверены в том, что их действия этичны или нет?

Например, многие иностранные компании не желают работать с россиянами, отказываясь от продажи им своих продуктов и услуг. Это объяснимо и врядли наказуемо, так как решение, с кем работать, а с кем нет, каждый бизнес принимает самостоятельно. А вот когда компания не препятствует тому, что в ее стенах создаются “хакерские отряды”, которые атакуют российские предприятия, это уже за гранью. Это не только неэтично, но и подпадает под статьи уголовного кодекса многих стран (хотя сейчас вряд ли кто-то питает иллюзии в перспективу выигрыша таких дел). Когда специалист по ИБ рассказывает о методах хакеров с целью показать, как с ними бороться, — это нормально. Когда тот же специалист прямо призывает своих подписчиков ”атаковать Рашку” и показывает, где скачать и как пользоваться средствами организации DDoS-атак, — это уже неэтично. Когда организаторы конференций приглашают выступить бывших, исправившихся хакеров рассказать о том, как они вели себя в прошлом и за счет чего их деятельность была успешной (чтобы слушатели знали, как их ломают) — это приемлемо. Когда те же организаторы зовут КиберПартизан, открыто рассказывающих о том, как они атаковали железные дороги (КИИ) и государственные структуры Беларуси, то это уже за гранью добра и зла. Особенно когда те же организаторы еще год назад проводили мероприятия о том, как защищать КИИ и как надо усиливать ответственность за атаки на критическую инфраструктуру.

КиберПартизаны публично рассказывают об атаках на КИИ

Когда иностранное государство создает подразделения “хакеров в погонах”, которые ведут спецоперации в киберпространстве, — это нормально. В конце концов, Интернет — это еще один полигон для ведения боевых действий, пусть и виртуальных. Но эти действия обычно подчиняются определенным законам. Когда иностранное государство прямо призывает атаковать любой российский ресурс, государственный или частный, имеющий отношение к военной операции или нет, ведущий коммерческую или гуманитарную деятельность, — это, на мой взгляд, перебор. И проблема не в том, что “на войне все средства хороши”, а в том, что потом будет сложно откатиться назад и сказать “все, война закончилась, теперь давайте быть белыми и пушистыми и никого почем зря не будем атаковать”. Те, кто почувствовал ”вкус крови” и получил индульгенцию на атаки, обратно уже не повернет (или сделать это будет очень сложно). Своими действиями многие иностранные государства открывают ворота в киберад.

Я предполагаю, какую реакцию вызовет эта заметка, особенно у тех, кто пострадал от военных действий. И я понимаю, что сидя в Москве, где не рвутся снаряды, рассуждать об этике удобно. Я не разделяю целей военной операции за пределами границ России и я не понимаю ее. Но случилось то, что случилось. И нам теперь жить с этим и мир на долгие годы будет разделен на три части (те, кто за, кто против, и кому пох). Поэтому я не и жду какого-то кардинального изменения ситуации. Просто сейчас, когда многие мои друзья уезжают, поневоле задумываешься о том, что происходит вокруг и о том, что этика как-то быстро ворвалась в нашу, ранее сугубо или технологическую или “бумажнобезопасную” жизнь и заставляет по новому посмотреть на то, что и как мы делаем в ИБ. Опять же, никого не призываю ни на чью сторону; каждый, как писал еще в 1983-м году Юрий Левитанский, выбирает для себя:

Каждый выбирает для себя

женщину, религию, дорогу.

Дьяволу служить или пророку —

каждый выбирает для себя.

Каждый выбирает по себе

слово для любви и для молитвы.

Шпагу для дуэли, меч для битвы

каждый выбирает по себе.

Каждый выбирает по себе.

Щит и латы. Посох и заплаты.

Мера окончательной расплаты.

Каждый выбирает по себе.

Каждый выбирает для себя.

Выбираю тоже — как умею.

Ни к кому претензий не имею.

Каждый выбирает для себя. 

А еще мне кажется, что в программу обучения специалистов по ИБ, о необходимости обновления которой в последнее время говорят многие, надо включать такой предмет, как этика в информационной безопасности.


Заметка Об этике информационной безопасности после 24 февраля была впервые опубликована на Бизнес без опасности .

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!