Rozdział 5 – Zgodność z przepisami, kwestie etyczne i zawodowe
Technologie nie są etycznie „neutralne”, ponieważ odzwierciedlają wartości, które w nie „wpoiliśmy” poprzez nasze wybory projektowe, jak również wartości, które kierują naszą dystrybucją i użytkowaniem ich. Technologie zarówno ujawniają, jak i kształtują to, co ludzie cenią, co uważamy za „dobre” w życiu i warte poszukiwania. Praktyki bezpieczeństwa cybernetycznego mają na celu zabezpieczenie – czyli utrzymanie bezpieczeństwa – danych, systemów i sieci komputerowych (oprogramowania i sprzętu). Chociaż te dane, systemy i sieci mogą mieć pewną wartość ekonomiczną lub inną same w sobie, to praktyki bezpieczeństwa cybernetycznego chronią przede wszystkim integralność, funkcjonalność i niezawodność ludzkich instytucji/praktyk, które opierają się na tych danych, systemach i sieciach.
Żaden pojedynczy, szczegółowy kodeks etyki cyberbezpieczeństwa nie może być dopasowany do wszystkich kontekstów i praktyk; organizacje i zawody powinny być zatem zachęcane do opracowania wyraźnych wewnętrznych polityk, procedur, wytycznych i najlepszych praktyk w zakresie etyki cyberbezpieczeństwa, które są specjalnie dostosowane do ich własnych działań i wyzwań.
Regulacje dotyczące cyberbezpieczeństwa obejmują dyrektywy, które zabezpieczają technologie informatyczne i systemy komputerowe, aby zmusić firmy i organizacje do ochrony swoich systemów i informacji przed atakami cybernetycznymi, takimi jak wirusy, robaki, konie trojańskie, phishing, ataki typu denial of service (DOS), nieautoryzowany dostęp (kradzież własności intelektualnej lub informacji poufnych) oraz ataki na systemy kontroli. Istnieje wiele dostępnych środków zapobiegających cyberatakom.
Podejmowane są próby poprawy bezpieczeństwa cybernetycznego poprzez regulacje prawne oraz współpracę między rządem a sektorem prywatnym w celu zachęcenia do dobrowolnej poprawy bezpieczeństwa cybernetycznego. Branżowe organy regulacyjne, w tym organy nadzoru bankowego, zwróciły uwagę na ryzyko związane z bezpieczeństwem cybernetycznym i rozpoczęły lub planują rozpoczęcie uwzględniania bezpieczeństwa cybernetycznego jako aspektu badań regulacyjnych.
Do końca tego modułu nauczysz się na temat:
- Przeglądu przepisów dotyczących cyberbezpieczeństwa i zgodności wymaganych globalnie i w UE.
- Przeglądu zagadnień etycznych w cyberbezpieczeństwie
- Kilku sugerowanych najlepszych praktyk
PRZEGLĄD REGULACJI I ZGODNOŚCI W ZAKRESIE BEZPIECZEŃSTWA CYBERNETYCZNEGO WYMAGANYCH NA ŚWIECIE I W UE
Ogólnie rzecz biorąc, zgodność definiuje się jako przestrzeganie zasad i spełnianie wymagań. W cyberbezpieczeństwie, zgodność oznacza stworzenie programu, który ustanawia oparte na ryzyku kontrole w celu ochrony integralności, poufności dostępności informacji przechowywanych, przetwarzanych lub przekazywanych. Zgodność w zakresie bezpieczeństwa cybernetycznego nie jest jednak oparta na odrębnych standardach lub regulacjach. W zależności od branży, różne standardy mogą się na siebie nakładać, co może powodować zamieszanie i nadmiar pracy dla organizacji stosujących podejście oparte na listach kontrolnych. Na przykład, branża opieki zdrowotnej musi spełniać wymogi zgodności z Health Insurance Portability and Accountability Act (HIPAA), ale jeśli usługodawca przyjmuje również płatności za pośrednictwem urządzeń w punktach sprzedaży (POS), musi również spełniać wymogi Payment Card Industry Data Security Standard (PCI DSS). Nie jest niczym niezwykłym, że firmy muszą przestrzegać wielu przepisów jednocześnie, co sprawia, że utrzymanie zgodności z przepisami staje się jeszcze większym wyzwaniem. Należą do nich m.in.:
- NIST(National Institute of Standards and Technology)
- CIS Controls (Center for Internet Security Controls)
- ISO (International Organization for Standardization)
- HIPAA(Health Insurance Portability and Accountability Act) / HITECH Omnibus Rule
- PCI-DSS (The Payment Card Industry Data Security Standard)
- GDPR(General Data Protection Regulation)
- CCPA(California Consumer Privacy Act)
- AICPA (American Institute of Certified Public Accountants)
- SOX (Sarbanes-Oxley Act)
- COBIT(Control Objectives for Information and Related Technologies)
- GLBA(Gramm-Leach-Bliley Act)
- FISMA (Federal Information Security Modernization Act of 2014)
- FedRAMP (The Federal Risk and Authorization Management Program)
- FERPA(The Family Educational Rights and Privacy Act of 1974)
- ITAR (International Traffic in Arms Regulations)
- COPPA (Children’s Online Privacy Protection Rule)
- NERC CIP Standards (NERC Critical Infrastructure Protection Standards)
Oczywiście, niezwykle ważne jest przestrzeganie wymogów prawnych. Firmy muszą przestrzegać stanowych, federalnych i międzynarodowych praw i przepisów, które są istotne dla ich działalności. Nieprzestrzeganie przepisów naraża na potencjalne pozwy sądowe i odpowiedzialność finansową, nie wspominając o nadszarpniętym zaufaniu klientów, partnerów i innych osób. Jest to jednak kosztowne, skomplikowane i wymaga odpowiedniej wiedzy specjalistycznej, aby utrzymać się na szczycie istniejących standardów, nie mówiąc już o przyjmowaniu nowych. W rezultacie, firmy często skupiają się na spełnieniu minimalnych wymagań, zamiast wdrażać odpowiednie polityki bezpieczeństwa cybernetycznego, co w dzisiejszym środowisku, gdzie napastnicy są zawsze o krok przed naszą obroną, nie jest dobrym rozwiązaniem.
Aby przestrzegać najlepszych praktyk oraz spełnić wymagania techniczne i inne, organizacje często korzystają z ram dla zgodności cyberbezpieczeństwa i zgodności regulacyjnej. Ramy te dostarczają najlepszych praktyk i wytycznych, które pomagają w poprawie bezpieczeństwa, optymalizacji procesów biznesowych, spełnianiu wymagań regulacyjnych i wykonywaniu innych zadań niezbędnych do osiągnięcia określonych celów biznesowych, takich jak wejście w niszę rynkową lub sprzedaż agencjom rządowym.
Systemy zgodności regulacyjnej zazwyczaj określają wysoce specyficzne i często rygorystyczne wymagania dla organizacji i sektorów przemysłu, które muszą być przestrzegane, aby spełnić ustalone standardy i być w zgodzie z obowiązującym prawem. Wymagania te mogą być liczne i złożone – dlatego też ramy zaprojektowane w celu pomocy w spełnieniu wymagań zgodności są mile widzianym dodatkiem do zasobów i bazy wiedzy większości przedsiębiorstw. Niektóre typowe przykłady obejmują następujące zagadnienia:
| Ustawa | Co reguluje | Przedsiębiorstwo, którego to dotyczy |
| NIST
|
Ramy te zostały stworzone, aby zapewnić konfigurowalny przewodnik, jak zarządzać i redukować ryzyko związane z bezpieczeństwem cybernetycznym poprzez połączenie istniejących standardów, wytycznych i najlepszych praktyk. Pomagają one również w komunikacji pomiędzy wewnętrznymi i zewnętrznymi interesariuszami poprzez stworzenie wspólnego języka ryzyka dla różnych branż. | Jest to dobrowolny system, który może być wdrożony przez każdą organizację, która chce zmniejszyć swoje ogólne ryzyko. |
| Kontrole CIS | Chroń zasoby i dane swojej organizacji przed znanymi wektorami cyberataków. | Firmy, które chcą wzmocnić bezpieczeństwo w Internecie rzeczy (IoT). |
| Rodzina ISO 27000 | Ta rodzina norm zapewnia wymogi bezpieczeństwa dotyczące utrzymania systemów zarządzania bezpieczeństwem informacji (ISMS) poprzez wdrożenie środków kontroli bezpieczeństwa. | Regulacje te są szerokie i mogą być stosowane przez wiele różnych firm. Wszystkie przedsiębiorstwa mogą wykorzystać tę rodzinę przepisów do oceny swoich praktyk w zakresie bezpieczeństwa cybernetycznego. |
| Rodzina ISO 31000 | Ten zbiór przepisów reguluje zasady wdrażania i zarządzania ryzykiem. | Regulacje te są szerokie i mogą być stosowane przez wiele różnych firm. Wszystkie przedsiębiorstwa mogą wykorzystać tę rodzinę przepisów do oceny swoich praktyk w zakresie bezpieczeństwa cybernetycznego. |
| HIPAA/ HITECH | Ten akt prawny składa się z dwóch części. Tytuł I chroni opiekę zdrowotną osób, które zmieniają pracę lub zostały zwolnione. Tytuł II ma na celu uproszczenie procesu opieki zdrowotnej poprzez przejście na dane elektroniczne. Chroni on również prywatność poszczególnych pacjentów. Zostało to dalej rozszerzone poprzez HITECH / Omnibus Rule. | Każda organizacja, która obsługuje dane dotyczące opieki zdrowotnej. Obejmuje to, ale nie ogranicza się do gabinetów lekarskich, szpitali, firm ubezpieczeniowych, partnerów biznesowych i pracodawców. |
| PCI-DSS
|
Zestaw 12 przepisów mających na celu ograniczenie oszustw i ochronę informacji dotyczących kart kredytowych klientów. | Firmy przetwarzające informacje o kartach kredytowych. |
| GDPR
|
Reguluje ona ochronę danych i prywatności obywateli Unii Europejskiej. | Każda firma prowadząca działalność gospodarczą w Unii Europejskiej lub przetwarzająca dane obywatela Unii Europejskiej. |
| CCPA | Prawa prywatności i ochrona konsumentów dla mieszkańców Kalifornii. | Każda firma, w tym każdy podmiot nastawiony na zysk, który prowadzi działalność gospodarczą w Kalifornii i gromadzi dane osobowe konsumentów. |
| AICPA
SOC2 |
Bezpieczeństwo, dostępność, integralność przetwarzania i prywatność systemów przetwarzających dane użytkownika oraz poufność tych systemów. | Organizacje usługowe, które przetwarzają dane użytkowników. |
| SOX
|
Ustawa ta nakłada na firmy obowiązek przechowywania dokumentacji finansowej przez okres do siedmiu lat. Została ona wprowadzona, aby zapobiec kolejnemu skandalowi Enronu. | Zarządy amerykańskich spółek publicznych, kadra zarządzająca i publiczne firmy księgowe. |
| Ustawa | Co reguluje | Przedsiębiorstwo, którego to dotyczy |
| COBIT
|
Ramy te zostały opracowane, aby pomóc organizacjom w zarządzaniu informacją i technologią poprzez łączenie celów biznesowych i informatycznych. | Organizacje, które są odpowiedzialne za procesy biznesowe związane z technologią i kontrolą jakości informacji. Obejmuje to między innymi takie obszary jak audyt i zapewnienie, zgodność z przepisami, operacje IT, zarządzanie oraz bezpieczeństwo i zarządzanie ryzykiem. |
| GLBA
|
Ustawa ta pozwoliła, aby firmy ubezpieczeniowe, banki komercyjne i banki inwestycyjne były w ramach jednej firmy. Jeśli chodzi o bezpieczeństwo, nakazuje ona firmom zabezpieczenie prywatnych informacji klientów i kontrahentów. | Ustawa ta definiuje „instytucje finansowe” jako: „…firmy, które oferują produkty lub usługi finansowe dla osób fizycznych, takie jak pożyczki, doradztwo finansowe lub inwestycyjne, czy też ubezpieczenia”. |
| FISMA
|
Ustawa ta uznaje bezpieczeństwo informacji za kwestię bezpieczeństwa narodowego. Dlatego też nakazuje wszystkim agencjom federalnym opracowanie metody ochrony swoich systemów informacyjnych. | Wszystkie agencje federalne są objęte zakresem tej ustawy. |
| FedRAMP
|
Usługi w chmurze dla całego rządu federalnego. | Departamenty i agencje wykonawcze. |
| FERPA
|
Sekcja 3.1 ustawy dotyczy ochrony dokumentacji edukacyjnej ucznia. | Każda instytucja policealna, w tym, ale nie tylko, akademie, kolegia, seminaria, szkoły techniczne i szkoły zawodowe. |
| ITAR
|
Kontroluje sprzedaż artykułów obronnych i usług obronnych (zapewniających krytyczny potencjał wojskowy lub wywiadowczy). | Każdy, kto produkuje lub sprzedaje produkty obronne i usługi obronne. |
| COPPA
|
Zbieranie online danych osobowych dzieci w wieku poniżej 13 lat. | Każda Osoba lub podmiot podlegający jurysdykcji Stanów Zjednoczonych. |
| Normy NERC CIP | Zwiększenie bezpieczeństwa systemu energetycznego Ameryki Północnej. | Wszyscy właściciele i operatorzy systemów energii masowej. |
| NIST
|
Ramy te zostały stworzone, aby zapewnić konfigurowalny przewodnik, jak zarządzać i redukować ryzyko związane z bezpieczeństwem cybernetycznym poprzez połączenie istniejących standardów, wytycznych i najlepszych praktyk. Pomagają one również w komunikacji pomiędzy wewnętrznymi i zewnętrznymi interesariuszami poprzez stworzenie wspólnego języka ryzyka dla różnych branż. | Jest to dobrowolny system, który może być wdrożony przez każdą organizację, która chce zmniejszyć swoje ogólne ryzyko. |
| Kontrole CIS | Ochrona aktywów i danych organizacji przed znanymi wektorami cyberataków. | Firmy, które chcą wzmocnić bezpieczeństwo w Internecie rzeczy (IoT). |
PRZEGLĄD KWESTII ETYCZNYCH ZWIĄZANYCH Z BEZPIECZEŃSTWEM CYBERNETYCZNYM
Podstawą wszystkich systemów bezpieczeństwa są zasady moralne i praktyki zaangażowanych w nie osób oraz standardy zawodu. Oznacza to, że choć ludzie są częścią rozwiązania, są też w większości problemem. Problemy bezpieczeństwa, z którymi organizacja może mieć do czynienia, obejmują odpowiedzialne podejmowanie decyzji, poufność, prywatność, piractwo, oszustwa i nadużycia, odpowiedzialność, prawa autorskie, tajemnice handlowe i sabotaż. Ten metaforyczny wyścig zbrojeń nie wykazuje żadnych oznak zatrzymania w miarę jak połączone technologie stają się coraz bardziej zakorzenione w tkance życia zawodowego.
Pracownicy działu bezpieczeństwa IT często mają dostęp do poufnych danych i wiedzy na temat sieci i systemów poszczególnych osób i firm, co daje im dużą władzę. Ta władza może być nadużywana, zarówno celowo, jak i nieumyślnie. Nie istnieją jednak żadne obowiązkowe standardy dotyczące kwestii cybernetycznych, do których przestrzegania zobowiązani są specjaliści ds. bezpieczeństwa cybernetycznego. W rzeczywistości, wielu profesjonalistów IT nawet nie zdaje sobie sprawy, że ich praca wiąże się z kwestiami etycznymi. Mimo to codziennie podejmują decyzje, które rodzą pytania natury etycznej. Wiele z tych kwestii etycznych dotyczy prywatności. Na przykład:
- Czy powinieneś czytać prywatną pocztę elektroniczną użytkowników sieci tylko dlatego, że możesz? Czy czytanie poczty elektronicznej pracowników jest w porządku jako środek bezpieczeństwa zapewniający, że wrażliwe informacje firmowe nie są ujawniane? Czy można czytać pocztę elektroniczną pracowników, aby upewnić się, że nie są naruszane zasady firmowe (np. zakaz osobistego korzystania z systemu poczty elektronicznej)? Jeśli czytasz pocztę elektroniczną pracowników, czy powinieneś ujawnić im tę politykę? Przed czy po fakcie?
- Czy monitorowanie stron WWW odwiedzanych przez użytkowników sieci jest w porządku? Czy powinieneś rutynowo prowadzić dzienniki odwiedzanych witryn? Czy zaniedbaniem jest brak monitorowania takiego korzystania z Internetu, aby zapobiec możliwości pojawienia się pornografii w miejscu pracy, która mogłaby stworzyć wrogie środowisko pracy?
- Czy jest w porządku umieszczanie rejestratorów klawiszy na maszynach w sieci, aby przechwycić wszystko, co użytkownik wpisuje? A co z programami do przechwytywania ekranu, dzięki którym można zobaczyć wszystko, co jest wyświetlane? Czy użytkownicy powinni być informowani, że są w ten sposób obserwowani?
- Czy można czytać dokumenty i przeglądać pliki graficzne, które są przechowywane na komputerach użytkowników lub w ich katalogach na serwerze plików?
Pamiętaj, że nie chodzi tu o kwestie prawne. Firma może mieć prawo do monitorowania wszystkiego, co pracownik robi z jej sprzętem komputerowym. Chodzi o etyczne aspekty posiadania takiej możliwości.
Częstym pojęciem w każdej dyskusji na temat etyki jest „śliski stok”. Odnosi się to do łatwości, z jaką dana osoba może przejść od robienia czegoś, co nie wydaje się nieetyczne, np. skanowania poczty elektronicznej pracowników „dla zabawy”, do robienia coraz bardziej nieetycznych rzeczy, np. wprowadzania niewielkich zmian w wiadomościach pocztowych lub przekierowywania wiadomości do niewłaściwego odbiorcy. Koncepcja śliskiego zbocza może również wykraczać poza wykorzystanie umiejętności informatycznych. Jeżeli czytanie poczty elektronicznej innych pracowników jest w porządku, to czy w porządku jest również przeszukiwanie szuflad ich biurek, kiedy ich nie ma? Otwieranie ich teczek lub torebek?
Do tego dochodzą kwestie finansowe. Rozprzestrzenianie się ataków sieciowych, włamań, wirusów i innych zagrożeń dla infrastruktur IT spowodowało, że wiele firm „boi się, bardzo się boi”. Jako konsultantowi ds. bezpieczeństwa, może być bardzo łatwo grać na tym strachu, aby przekonać firmy do wydania znacznie większej ilości pieniędzy niż jest to naprawdę konieczne. Czy pobieranie opłat w wysokości setek, a nawet tysięcy dolarów za godzinę za swoje usługi jest złym rozwiązaniem, czy też jest to przypadek „cokolwiek poniesie rynek”?
Innym problemem etycznym jest obiecywanie więcej, niż jest się w stanie dostarczyć, lub manipulowanie danymi w celu uzyskania wyższych opłat. Możesz zainstalować technologie i skonfigurować ustawienia, aby uczynić sieć klienta bardziej bezpieczną, ale nigdy nie uda Ci się jej całkowicie zabezpieczyć.
SUGEROWANE POPULARNE NAJLEPSZE PRAKTYKI
Żaden pojedynczy, szczegółowy kodeks etyki cyberbezpieczeństwa nie może być dopasowany do wszystkich kontekstów i praktyków; organizacje i zawody powinny być zatem zachęcane do opracowania wyraźnych wewnętrznych polityk, procedur, wytycznych i najlepszych praktyk w zakresie etyki cyberbezpieczeństwa, które są specjalnie dostosowane do ich własnych działań i wyzwań. Niektóre z popularnych wytycznych zostały zasugerowane poniżej:
- Utrzymuj etykę bezpieczeństwa cybernetycznego w centrum uwagi: Etyka jest wszechobecnym aspektem praktyki w zakresie bezpieczeństwa cybernetycznego. Ze względu na ogromną siłę społeczną technologii informacyjnej, kwestie etyczne są praktycznie zawsze w grze, gdy staramy się zapewnić bezpieczeństwo tej technologii i jej funkcjonowania.
- Weź pod uwagę ludzkie życie i interesy kryjące się za systemami: W kontekstach technicznych łatwo jest stracić z oczu to, czym jest większość systemów, z którymi pracujemy: mianowicie, sposobami na poprawę ludzkiego życia i ochronę ludzkich interesów.
- Ustanowienie łańcuchów etycznej odpowiedzialności i rozliczalności: W środowisku organizacyjnym, „problem wielu rąk” jest ciągłym wyzwaniem dla odpowiedzialnej praktyki i odpowiedzialności.
- Praktyka planowania katastrof i reagowania kryzysowego w zakresie bezpieczeństwa cybernetycznego: Większość ludzi nie chce przewidywać porażki lub kryzysu; chcą się skupić na pozytywnym potencjale projektu lub systemu.
- Promowanie wartości przejrzystości, autonomii i wiarygodności: Istotne dla zachowania zdrowych relacji pomiędzy praktykami bezpieczeństwa a społeczeństwem jest zrozumienie znaczenia przejrzystości, autonomii i wiarygodności w tych relacjach.
- Spraw, aby refleksja i praktyka etyczna stały się standardem, były powszechne, powtarzalne i nagradzane: Refleksja i praktyka etyczna, jak już powiedzieliśmy, jest istotną i centralną częścią doskonałości zawodowej w zakresie bezpieczeństwa cybernetycznego.
Niektóre z popularnych najlepszych praktyk w zakresie etyki w cyberbezpieczeństwie.
Praktykuj Autorefleksję/Ekspertyzę: Wiąże się to z regularnym spędzaniem czasu na myśleniu o osobie, którą chcesz się stać, w odniesieniu do osoby, którą jesteś dzisiaj
- Szukaj przykładów moralności: Wielu z nas spędza dużo czasu, często więcej niż zdajemy sobie z tego sprawę, oceniając niedociągnięcia innych.
- Ćwiczenie wyobraźni moralnej: Może być nam trudno dostrzec nasze etyczne zobowiązania lub ich znaczenie, ponieważ trudno nam wyobrazić sobie, jak to, co robimy, może wpłynąć na innych.
- Uznajmy naszą własną siłę moralną: W większości przypadków dobre życie w sensie etycznym czyni życie łatwiejszym, a nie trudniejszym.
- Szukaj towarzystwa innych moralnych osób: Wielu zauważyło znaczenie przyjaźni w rozwoju moralnym; w IV w. p.n.e. grecki filozof Arystoteles twierdził, że cnotliwy przyjaciel może być „drugim ja”, reprezentującym te same cechy charakteru, które cenimy i do których zachowania.