Atitiktis, etiniai ir profesiniai kibernetinio saugumo klausimai
Technologijos nėra etiškai neutralios, nes atspindi vertybes, kurias jiems „iškepame“ pasirinkdami dizainą, taip pat vertybes, kuriomis vadovaujamės platindami ir naudodami jas. Technologijos ir atskleidžia, ir formuoja tai, ką žmonės vertina, kas, mūsų manymu, yra gera gyvenime ir ko verta ieškoti. Kibernetinio saugumo praktikos tikslas – apsaugoti, t.y. saugoti duomenis, kompiuterines sistemas ir tinklus (programinę ir techninę įrangą). Nors šie duomenys, sistemos ir tinklai patys savaime gali turėti tam tikrą ekonominę ar kitokią vertę, kibernetinio saugumo praktika pirmiausia apsaugo žmogaus institucijų / praktikos, besiremiančios tokiais duomenimis, sistemomis ir tinklais, vientisumą, funkcionalumą ir patikimumą.
Negalima pritaikyti vieno išsamaus kibernetinio saugumo etikos kodekso visoms aplinkybėms ir praktikams; todėl organizacijos ir profesijos turėtų būti skatinamos kurti aiškią vidaus politiką, procedūras, gaires ir geriausią praktiką kibernetinio saugumo etikos srityje, kurios būtų specialiai pritaikytos jų pačių veiklai ir iššūkiams.
Kibernetinio saugumo reglamentas apima direktyvas, saugančias informacines technologijas ir kompiuterines sistemas, kad įmonės ir organizacijos būtų priverstos apsaugoti savo sistemas ir informaciją nuo kibernetinių atakų, pvz., virusų, kirminų, Trojos arklių, sukčiavimo, paslaugų atsisakymo (DOS) atakų, neteisėtos prieigos (intelektinės nuosavybės ar konfidencialios informacijos vagystės) ir kontrolės sistemos atakos. Yra daugybė priemonių užkirsti kelią kibernetinėms atakoms.
Kibernetinį saugumą buvo bandoma pagerinti reguliuojant ir bendradarbiaujant vyriausybei bei privačiam sektoriui siekiant skatinti savanorišką kibernetinio saugumo gerinimą. Pramonės reguliavimo institucijos, įskaitant bankų reguliavimo institucijas, atkreipė dėmesį į kibernetinio saugumo riziką ir pradėjo arba ketino pradėti įtraukti kibernetinį saugumą kaip reguliavimo ekspertizės aspektą.
Iki šio modulio pabaigos sužinosite:
- Kibernetinio saugumo taisyklių ir atitikties, reikalingos visame pasaulyje ir ES, apžvalgą;
- Kibernetinio saugumo etinių klausimų apžvalga;
- Kai kurie siūlomi geriausios praktikos pavyzdžiai.
Kibernetinio saugumo reglamentų ir atitikties, kurių reikia visame pasaulyje ir ES, apžvalga
Apskritai atitiktis apibrėžiama kaip šios taisyklės ir reikalavimų laikymasis. Kibernetinio saugumo srityje atitiktis reiškia programos, kuri nustato rizika grindžiamą kontrolę, kad būtų apsaugotas saugomos, apdorojamos ar perduodamos informacijos vientisumas, konfidencialumas ir prieinamumas, sukūrimą. Tačiau kibernetinio saugumo atitiktis nėra pagrįsta atskiru standartu ar reglamentu. Priklausomai nuo pramonės šakos, skirtingi standartai gali persidengti, o tai gali sukelti painiavą ir perteklinį darbą organizacijoms, naudojančioms kontroliniu sąrašu pagrįstą metodą. Pavyzdžiui, sveikatos priežiūros pramonė turi atitikti Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymo (HIPAA) atitikties reikalavimus, tačiau jei teikėjas taip pat priima mokėjimus per paslaugų teikimo vietos (EKA) įrenginį, jis taip pat turi atitikti mokėjimo kortelių pramonės duomenų saugumo standarto (PCI DSS) reikalavimus. Ir tai nėra neįprasta, kad įmonės turi laikytis kelių taisyklių vienu metu, todėl dar labiau sunku laikytis reikalavimų. Tai apima, bet neapsiriboja,:
- NIST(Nacionalinis standartų ir technologijų institutas)
- CIS Controls (Interneto saugos valdiklių centras)
- ISO (Tarptautinė standartizacijos organizacija)
- HIPAA(Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas) / HITECH Omnibus taisyklė)
- PCI-DSS (Mokėjimo kortelių pramonės duomenų saugos standartas)
- GDPR(Bendrasis duomenų apsaugos reglamentas)
- CCPA(Kalifornijos vartotojų privatumo įstatymas)
- AICPA (Amerikos atestuotų valstybės apskaitininkų institutas)
- SOX (Sarbanes-Oxley aktas)
- COBIT(Informacijos ir susijusių technologijų kontrolės tikslai)
- GLBA(Gramm-Leach-Bliley aktas)
- FISMA (Federalinis informacijos saugumo modernizavimo įstatymas 2014)
- FedRAMP (Federalinė rizikos ir leidimų valdymo programa)
- FERPA(Šeimos švietimo teisių ir privatumo įstatymas 1974)
- ITAR (Tarptautinės ginklų judėjimo taisyklės)
- COPPA (Vaikų privatumo internete apsaugos taisyklė)
- NERC CIP Standards (NERC ypatingos svarbos infrastruktūros objektų apsaugos standartai)
Žinoma, labai svarbu laikytis reguliavimo reikalavimų. Verslas turi laikytis valstybės, federalinių ir tarptautinių įstatymų ir kitų teisės aktų, susijusių su jų veikla. Nesilaikymas atvers galimus ieškinius ir finansinę atsakomybę, jau nekalbant apie nutrūkusį pasitikėjimą klientais, partneriais ir kitais. Tačiau tai brangu, sudėtinga ir reikalauja tinkamos patirties, kad tik atitiktų esamus standartus, o ką jau kalbėti apie naujų standartų laikymąsi. Rezultatas yra tas, kad įmonės dažnai sutelkia dėmesį į minimalių reikalavimų laikymąsi, užuot įgyvendinę tinkamą kibernetinio saugumo politiką, o tai šiandieninėje aplinkoje, kur mūsų užpuolikai visada yra vienu žingsniu priekyje mūsų gynybos, nėra geras dalykas.
Siekdamos laikytis geriausios praktikos ir atitikti techninius bei kitus reikalavimus, organizacijos dažnai naudoja kibernetinio saugumo ir norminių aktų laikymosi sistemas. Šiose sistemose pateikiama geriausia praktika ir gairės, padedančios pagerinti saugumą, optimizuoti verslo procesus, atitikti norminius reikalavimus ir atlikti kitas užduotis, reikalingas konkretiems verslo tikslams pasiekti, pavyzdžiui, įsilaužti į rinkos nišą ar parduoti vyriausybinėms agentūroms.
Reguliavimo reikalavimų laikymosi režimai paprastai nustato labai specifinius ir dažnai griežtus reikalavimus, kurių turi laikytis organizacijos, pramonės sektoriai, laikytis nustatytų standartų ir laikytis galiojančių įstatymų. Šių reikalavimų gali būti daug ir tai gali būti sudėtinga, todėl sistemos, sukurtos padėti patenkinti atitikties reikalavimus, yra sveikintinas daugumos įmonių išteklių ir žinių papildymas. Keletas tipiškų pavyzdžių yra šie:
| Įstatymas | Ką jis reguliuoja | Paveikta įmonė |
| NIST
|
Ši sistema buvo sukurta siekiant pateikti pritaikomą vadovą, kaip valdyti ir sumažinti su kibernetiniu saugumu susijusią riziką derinant esamus standartus, gaires ir geriausią praktiką. Tai taip pat padeda skatinti vidinių ir išorinių suinteresuotųjų šalių bendravimą, sukuriant bendrą rizikos kalbą tarp skirtingų pramonės šakų. | Tai yra savanoriška sistema, kurią gali įgyvendinti bet kuri organizacija, norinti sumažinti bendrą riziką. |
| CIS kontrolė
|
Apsaugokite savo organizacijos išteklius ir duomenis nuo žinomų kibernetinių atakų pernešėjų. | Įmonės, siekiančios sustiprinti daiktų interneto saugumą. |
| ISO 27000 Family | Ši standartų grupė nustato saugumo reikalavimus, susijusius su informacijos saugumo valdymo sistemų (ISMS) priežiūra įgyvendinant saugumo kontrolę. | Šie reglamentai yra platūs ir gali tilpti į įvairias įmones. Visos įmonės gali naudoti šią reglamentų grupę vertindamos savo kibernetinio saugumo praktiką. |
| ISO 31000 Family | Šis reglamentų rinkinys reglamentuoja įgyvendinimo ir rizikos valdymo principus. | Šie reglamentai yra platūs ir gali tilpti į įvairias įmones. Visos įmonės gali naudoti šią reglamentų grupę vertindamos savo kibernetinio saugumo praktiką. |
| HIPAA/ HITECH | Šis aktas yra dviejų dalių įstatymo projektas. I antraštinė dalis saugo žmonių, kurie pereina iš darbo arba yra atleisti, sveikatos priežiūrą. II antraštine dalimi siekiama supaprastinti sveikatos priežiūros procesą pereinant prie elektroninių duomenų. Tai taip pat apsaugo atskirų pacientų privatumą. Tai buvo dar labiau išplėsta taikant HITECH / „Omnibus“ taisyklę. | Bet kuri organizacija, tvarkanti sveikatos priežiūros duomenis. Tai apima, bet neapsiriboja, gydytojų kabinetus, ligonines, draudimo kompanijas, verslo partnerius ir darbdavius. |
| PCI-DSS
|
12 taisyklių rinkinys, skirtas sumažinti sukčiavimą ir apsaugoti klientų kreditinių kortelių informaciją. | Įmonės, tvarkančios kreditinės kortelės informaciją. |
| GDPR
|
Tai reglamentuoja Europos Sąjungos piliečių duomenų apsaugą ir privatumą. | Bet kuri įmonė, vykdanti verslą Europos Sąjungoje arba tvarkanti Europos Sąjungos piliečio duomenis. |
| CCPA | Kalifornijos gyventojų privatumo teisės ir vartotojų apsauga. | Bet koks verslas, taip pat ir pelno siekiantis subjektas, kuris užsiima verslu Kalifornijoje ir renka vartotojų asmens duomenis. |
| AICPA
SOC2 |
Vartotojų duomenis tvarkančių sistemų saugumas, prieinamumas, tvarkymo vientisumas ir privatumas bei šių sistemų konfidencialumas. | Aptarnavimo organizacijos, kurios apdoroja vartotojo duomenis. |
| SOX
|
Šis aktas reikalauja, kad įmonės finansinius dokumentus saugotų iki septynerių metų. Jis buvo įgyvendintas siekiant užkirsti kelią dar vienam „Enron“ skandalui. | JAV valstybinių įmonių valdybos, vadovybė ir valstybinės apskaitos firmos. |
| Įstatymas | Ką jis reguliuoja | Paveikta įmonė |
| COBIT
|
Ši sistema buvo sukurta siekiant padėti organizacijoms valdyti informacijos ir technologijų valdymą susiejant verslo ir IT tikslus. | Organizacijos, atsakingos už verslo procesus, susijusius su technologijomis ir informacijos kokybės kontrole. Tai apima, bet neapsiriboja, tokias sritis kaip auditas ir užtikrinimas, atitiktis, IT operacijos, valdymas ir saugumas bei rizikos valdymas. |
| GLBA
|
Šis aktas leido draudimo bendrovėms, komerciniams bankams ir investiciniams bankams būti toje pačioje įmonėje. Kalbant apie saugumą, jis įpareigoja įmones saugoti privačią klientų ir klientų informaciją. | Šiame akte finansų įstaigos apibrėžiamos kaip: „… įmonės, kurios fiziniams asmenims siūlo finansinius produktus ar paslaugas, pavyzdžiui, paskolas, finansines ar investicines konsultacijas ar draudimą“. |
| FISMA
|
Šiame akte informacijos saugumas pripažįstamas nacionalinio saugumo klausimu. Taigi jis įpareigoja visas federalines agentūras sukurti savo informacinių sistemų apsaugos metodą. | Visos federalinės agentūros patenka į šios sąskaitos sritį. |
| FedRAMP
|
Debesų paslaugos visoje federalinėje vyriausybėje. | Vykdomieji departamentai ir agentūros. |
| FERPA
|
Akto 3.1 skirsnyje kalbama apie studentų išsilavinimo įrašų apsaugą. | Bet kuri vidurinio ugdymo įstaiga, įskaitant, bet neapsiribojant, akademijas, kolegijas, seminarijas, technikos mokyklas ir profesines mokyklas. |
| ITAR
|
Kontroliuoja gynybos reikmenų ir gynybos paslaugų (užtikrinančių kritinius karinius ar žvalgybos pajėgumus) pardavimą. | Visi, kurie gamina ar parduoda gynybos reikmenis ir gynybos paslaugas. |
| COPPA
|
Internetinis asmeninės informacijos apie vaikus iki 13 metų rinkimas. | Bet kuris JAV jurisdikcijai priklausantis asmuo ar subjektas. |
| NERC CIP Standards
|
Pagerinti Šiaurės Amerikos energetikos sistemos saugumą. | Visi birių energijos sistemų savininkai ir operatoriai. |
| NIST
|
Ši sistema buvo sukurta siekiant pateikti pritaikomą vadovą, kaip valdyti ir sumažinti su kibernetiniu saugumu susijusią riziką derinant esamus standartus, gaires ir geriausią praktiką. Tai taip pat padeda skatinti vidinių ir išorinių suinteresuotųjų šalių bendravimą, sukuriant bendrą rizikos kalbą tarp skirtingų pramonės šakų. | Tai yra savanoriška sistema, kurią gali įgyvendinti bet kuri organizacija, norinti sumažinti bendrą riziką. |
| CIS Controls
|
Apsaugokite savo organizacijos išteklius ir duomenis nuo žinomų kibernetinių atakų pernešėjų. | Įmonės, siekiančios sustiprinti daiktų interneto saugumą. |
Kibernetinio saugumo etinių klausimų apžvalga
Visų saugumo sistemų pagrindą sudaro dalyvaujančių žmonių moraliniai principai ir praktika bei profesijos standartai. Tai yra, nors žmonės yra sprendimo dalis, jie taip pat yra didžiausia problema. Saugumo problemos, su kuriomis organizacijai gali tekti spręsti, apima atsakingą sprendimų priėmimą, konfidencialumą, privatumą, piratavimą, sukčiavimą ir netinkamą naudojimą, atsakomybę, autorių teises, komercines paslaptis ir sabotažą. Šios metaforinės ginklavimosi varžybos nerodo jokių sustojimo požymių, nes tarpusavyje susijusios technologijos vis labiau įsitvirtina profesinio gyvenimo struktūroje.
IT saugos darbuotojai dažnai turi prieigą prie konfidencialių duomenų ir žinių apie asmenų ir įmonių tinklus bei sistemas, suteikiančias jiems daug galios. Ta galia galima piktnaudžiauti tyčia arba netyčia. Tačiau nėra privalomų kibernetikos klausimų standartų, kurių kibernetinio saugumo specialistai privalo laikytis. Tiesą sakant, daugelis IT profesionalų net nesuvokia, kad jų darbas susijęs su etikos problemomis. Vis dėlto jie kasdien priima sprendimus, keliančius etinius klausimus. Daugelis etinių klausimų yra susiję su privatumu. Pavyzdžiui:
- Ar turėtumėte skaityti privatų tinklo vartotojų el. paštą vien dėl to, kad galite? Ar gerai skaityti darbuotojų el. paštą kaip saugumo priemonę, siekiant užtikrinti, kad nebūtų atskleista neskelbtina įmonės informacija? Ar gerai skaityti darbuotojų el. paštą, siekiant užtikrinti, kad nebūtų pažeidžiamos įmonės taisyklės (pvz., prieš asmeninį el. pašto sistemos naudojimą)? Jei skaitote darbuotojų el. paštą, ar turėtumėte jiems atskleisti šią politiką? Prieš ar po fakto?
- Ar gerai stebėti interneto svetaines, kuriose lankosi jūsų tinklo vartotojai? Ar turėtumėte reguliariai vesti aplankytų svetainių žurnalus? Ar aplaidu nestebėti tokio interneto naudojimo, užkirsti kelią pornografijos galimybei darbo vietoje, kuri galėtų sukurti priešišką darbo aplinką?
- Ar tinkama raktinius kaupiklius dėti į mašinas tinkle, kad būtų užfiksuoti visi naudotojo tipai? O ekrano fiksavimo programas, kad galėtumėte pamatyti viską, kas rodoma? Ar vartotojai turėtų būti informuoti, kad jie taip stebimi?
- Ar gerai skaityti dokumentus ir žiūrėti į grafikos failus, kurie yra saugomi vartotojų kompiuteriuose arba jų kataloguose failų serveryje?
Atminkite, kad čia kalbama ne apie teisinius klausimus. Bendrovė gali turėti teisėtą teisę stebėti viską, ką darbuotojas daro su savo kompiuterine įranga. Kalbama apie etinius sugebėjimo tai padaryti aspektus.
Bet kurioje etikos diskusijoje įprasta sąvoka yra „slidus šlaitas“. Tai susiję su lengvumu, su kuriuo žmogus gali pereiti nuo to, kas iš tikrųjų neatrodo neetiška, pvz., Darbuotojų el. pašto nuskaitymas „tik dėl malonumo”, iki vis neetiškesnių dalykų, tokių kaip mažai keisti savo laiškus ar nukreipti pranešimus netinkamam gavėjui. Slidaus šlaito koncepcija taip pat gali viršyti jūsų IT įgūdžių naudojimą. Jei gerai skaityti kitų darbuotojų el. paštą, ar taip pat gerai eiti ir tikrinti jų darbo stalo stalčiaus stalčius, kai jų nėra? Atidaryti jų portfelius ar pinigines?
Tada kyla pinigų klausimų. Daugybė tinklo atakų, įsilaužimų, virusų ir kitų grėsmių jų IT infrastruktūrai sukėlė daugelio įmonių baimę. Kaip saugumo konsultantą, gali būti labai lengva pažaisti baime, įtikinti įmones išleisti kur kas daugiau pinigų nei iš tikrųjų reikia. Ar neteisinga, jei už savo paslaugas imate šimtus ar net tūkstančius dolerių per valandą, ar tai yra rinkos atvejis?
Kita etinė problema – žadėti daugiau, nei galite pateikti, ar manipuliuoti duomenimis, kad gautumėte didesnius mokesčius. Galite įdiegti technologijas ir konfigūruoti nustatymus, kad kliento tinklas būtų saugesnis, tačiau niekada negalėsite jo padaryti visiškai saugiu.
Kai kurie siūlomi geriausios praktikos pavyzdžiai
Negalima pritaikyti vieno išsamaus kibernetinio saugumo etikos kodekso visoms aplinkybėms ir praktikams, todėl organizacijos ir profesijos turėtų būti skatinamos kurti aiškią vidaus politiką, procedūras, gaires ir geriausią praktiką kibernetinio saugumo etikos srityje, kurios būtų specialiai pritaikytos jų pačių veiklai ir iššūkiams. Kai kurie populiarūs patarimai yra tokie, kokie siūlomi toliau:
- Laikyti kibernetinio saugumo etiką dėmesio centre: Ethics yra paplitęs kibernetinio saugumo praktikos aspektas. Dėl didžiulės socialinės informacinių technologijų galios etiniai klausimai iš esmės visada sprendžiami, kai siekiame, kad ši technologija ir jos veikimas būtų saugūs.
- Apsvarstykite žmogaus gyvenimą ir interesus už sistemų: Kalbant apie techninius kontekstus, nesunku pamiršti, kokios yra dauguma sistemų, su kuriomis dirbame: būtent žmonių gyvenimo gerinimo ir žmonių interesų apsaugos būdai.
- Sukurti etiškos atsakomybės ir atskaitomybės grandines: Organizacijoje „daugelio rankų problema“ yra nuolatinis iššūkis atsakingai praktikai ir atskaitomybei.
- Praktikuokite kibernetinio saugumo nelaimių planavimą ir reagavimą į krizes: Dauguma žmonių nenori numatyti nesėkmės ar krizės; jie nori sutelkti dėmesį į teigiamą projekto ar sistemos potencialą.
- Skatinti skaidrumo, autonomijos ir patikimumo vertybes: Svarbu išsaugoti sveikus saugumo specialistų ir visuomenės santykius, kad būtų galima suprasti skaidrumo, autonomijos ir patikimumo svarbą
- Padarykite etišką apmąstymą ir praktiką standartine, persmelkiančia, kartojančia ir atlyginančia: Etiniai apmąstymai ir praktika, kaip jau minėjome, yra esminė ir pagrindinė kibernetinio saugumo profesinės kompetencijos dalis.
Kai kurios populiarios geriausios etikos praktikos kibernetinio saugumo srityje.
Praktikuokite savirefleksiją / egzaminą: Tai reiškia, kad reikia reguliariai galvoti apie asmenį, kuriuo norite tapti, atsižvelgiant į asmenį, kuriuo esate šiandien.
- Ieškokite moralinių pavyzdžių: Daugelis iš mūsų praleidžia daug laiko, dažnai daugiau, nei suprantame, vertindami kitų trūkumus.
- Mankštinkitės moralinę vaizduotę: Gali būti sunku pastebėti mūsų etinius įsipareigojimus arba jų svarbą, nes mums sunku įsivaizduoti, kaip tai, ką darome, gali paveikti kitus.
- Pripažinkite savo moralinę jėgą: Daugeliu atvejų gerai gyvenant etine prasme, gyvenimas tampa lengvesnis, o ne sunkesnis.
- Ieškokite kitų moralių asmenų kompanijos: Daugelis atkreipė dėmesį į draugystės svarbą moraliniam vystymuisi; IV amžiuje prieš Kristų graikų filosofas Aristotelis teigė, kad doras draugas gali būti „antrasis aš“, atstovaujantis pačioms charakterio savybėms, kurias mes vertiname ir siekiame išsaugoti savyje.