CAPITOLUL 5: Conformitate, Probleme Etice și Profesionale în domeniul Securității Cibernetice
Introducere
Tehnologiile nu sunt ‘neutre’ din punct de vedere etic, deoarece reflectă valorile pe care le includem în ele cu alegerile noastre de design, precum și valorile care ne ghidează în distribuția și utilizarea acestora. Tehnologiile dezvăluie și modelează ceea ce prețuiesc oamenii, ceea ce credem că este ’bun’ în viață și merită căutat. Practicile de securitate cibernetică au ca scop securizarea — adică păstrarea în siguranță — a datelor, a sistemelor informatice și a rețelelor (software și hardware). În timp ce aceste date, sisteme și rețele ar putea avea o anumită valoare economică sau de altă natură în sine, ceea ce protejează practicile de Securitate cibernetică sunt integritatea, funcționalitatea și fiabilitatea instituțiilor/practicilor umane care se bazează pe astfel de date, sisteme și rețele.
Nu există un cod unic și detaliat de etică în materie de Securitate cibernetică care se potrivește la toate contextele și practicile; prin urmare, companiile și profesioniștii ar trebui să fie încurajați să dezvolte politici interne explicite, proceduri, ghiduri și bune practici pentru etica securității cibernetice, care să fie adaptate în mod specific propriilor activități și provocări.
Un regulament de Securitate cibernetică cuprinde directive care protejează tehnologia informației și sistemele informatice pentru a forța companiile și organizațiile să-și protejeze sistemele și informațiile împotriva atacurilor cibernetice, cum ar fi viruși, viermi informatici, cai troieni, phishing, atacuri de tip DOS, acces neautorizat (pentru furt de proprietate intelectuală sau informații confidențiale) și atacuri asupra sistemului de control. Există numeroase măsuri disponibile pentru prevenirea atacurilor cibernetice.
Au existat încercări de îmbunătățire a securității cibernetice prin reglementare și colaborare între guvern și sectorul privat pentru a încuraja îmbunătățirea voluntară a securității cibernetice. Autoritățile de reglementare din industrie, inclusiv autoritățile de reglementare din sectorul bancar, au luat în considerare riscul legat securitatea cibernetică și fie au început, fie au planificat să înceapă includerea securității cibernetice ca un aspect al verificărilor periodice.
Până la sfârșitul acestui modul veți învăța despre:
- Prezentarea generală a Reglementărilor și Conformităților privind Securitatea cibernetică necesare la nivel global și în UE.
- O privire de ansamblu asupra problemelor etice în Securitatea cibernetică
- Bune practici sugerate
Prezentare generală a Reglementărilor și conformităților privind securitatea cibernetică necesare la nivel global și în UE
În general, conformitatea este definită ca respectarea regulilor și îndeplinirea cerințelor. În securitatea cibernetică, conformitatea înseamnă crearea unui program care stabilește controale bazate pe risc pentru a proteja integritatea, confidențialitatea și accesibilitatea informațiilor stocate, procesate sau transferate. Cu toate acestea, respectarea securității cibernetice nu se bazează pe un standard sau pe un regulament independent. În funcție de industrie, se pot suprapune diferite standarde, ceea ce poate crea confuzie și eforturi mari pentru organizații care utilizează o abordare bazată pe liste de verificare. De exemplu, în SUA, domeniul asistenței medicale trebuie să îndeplinească cerințele în conformitate cu Legea Health Insurance Portability and Accountability Act (HIPAA) – Legea privind Portabilitatea și Responsabilitatea Asigurărilor de Sănătate -, dar dacă un furnizor acceptă și plăți printr-un dispozitiv POS, atunci trebuie să îndeplinească și cerințele standardului PCI DSS – Payment Card Industry Data Security Standard. Și nu este neobișnuit ca firmele să trebuiască să respecte mai multe reglementări simultan, ceea ce face mai greoi procesul de a rămâne conforme. Acestea includ, dar nu se limitează la:
- NIST(National Institute of Standards and Technology) – Institutul Național de Standarde și Tehnologie
- CIS Controls (Center for Internet Security Controls) – Centrul pentru Controale de Securitate pe Internet
- ISO (International Organization for Standardization) – Organizația Internațională de Standardizare
- HIPAA(Health Insurance Portability and Accountability Act) / HITECH Omnibus Rule – Legea privind Portabilitatea și Responsabilitatea Asigurărilor de Sănătate / Regula Omnibus HITECH
- PCI-DSS (The Payment Card Industry Data Security Standard) – Standardul de Securitate a Datelor din Industria Cardurilor de Plată
- GDPR(General Data Protection Regulation) – Regulamentul General privind Protecția Datelor
- CCPA(California Consumer Privacy Act)
- AICPA (American Institute of Certified Public Accountants) – Institutul American al Contabililor Publici Autorizați
- SOX (Sarbanes-Oxley Act)
- COBIT(Control Objectives for Information and Related Technologies) – Obiective de Control pentru Informații și Tehnologii Conexe
- GLBA(Gramm-Leach-Bliley Act) – Legea Gramm-Leach-Bliley
- FISMA (Federal Information Security Modernization Act of 2014) – Legea Federală de Modernizare a Securității Informațiilor din 2014
- FedRAMP (The Federal Risk and Authorization Management Program) – Programul Federal de Gestionare a Riscurilor și Autorizațiilor
- FERPA(The Family Educational Rights and Privacy Act of 1974) – Legea privind drepturile educaționale și confidențialitatea familiei din 1974
- ITAR (International Traffic in Arms Regulations) – Regulamentul Internațional privind Traficul de Arme
- COPPA (Children’s Online Privacy Protection Rule) – Regula de Protecție a Confidențialității online a copiilor
- NERC CIP Standards (NERC Critical Infrastructure Protection Standards) – Standarde NERC pentru Protecția Infrastructurilor Critice
Desigur, este extrem de important să fie respectate cerințele de reglementare. Companiile trebuie să respecte legile și reglementările de stat, federale și internaționale relevante pentru operațiunile lor. Nerespectarea poate duce la potențiale procese și răspundere financiară, fără a mai menționa pierderea încrederii clienților, partenerilor etc. Cu toate acestea, este costisitor, complex și necesită expertiza potrivită doar pentru a ajunge la înălțimea standardelor existente, nemaivorbind de cele noi. Rezultatul este că adesea companiile se concentrează pe îndeplinirea cerințelor minime în loc să pună în aplicare politici adecvate de Securitate cibernetică, asta însemnând că în momentul actual atacatorii sunt cu un pas înaintea apărării împotriva atacurilor, ceea ce nu este un lucru bun.
Pentru a respecta cele mai bune practici și pentru a îndeplini cerințele tehnice și de altă natură, organizațiile folosesc adesea cadrele pentru conformitatea cu securitatea cibernetică și conformitatea cu reglementările. Aceste cadre oferă cele mai bune practici și îndrumări ce ajută la îmbunătățirea securității, la optimizarea proceselor de afaceri, la îndeplinirea cerințelor de reglementare și a altor sarcini necesare pentru atingerea obiectivelor specifice de afaceri, ca de exemplu intrarea într-o nișă de piață sau vânzarea către agenții guvernamentale.
Regulile de conformitate cu reglementările stabilesc, de obicei, cerințe foarte specifice și deseori stricte pe care companiile și sectoarele industriale trebuie să le respecte, să respecte standardele stabilite și legislația existentă. Aceste cerințe pot fi numeroase și complexe – așadar cadrele concepute pentru a ajuta la îndeplinirea lor sunt o completare a bazei de resurse și cunoștințe a majorității întreprinderilor. Câteva exemple sunt ilustrate mai jos:
| Documentul | Ce reglementează | Companii interesate | |
| NIST
|
Cadru creat pentru a oferi un ghid personalizabil privind modul de gestionare și reducere a riscurilor legate de securitatea cibernetică prin combinarea standardelor, ghidurilor și a celor mai bune practici existente. Ajută și la încurajarea comunicării între părțile interesate, interne și externe, prin crearea unui limbaj comun al riscurilor între diferite industrii. | Este un cadru voluntar care poate fi implementat de orice organizație care dorește să-și reducă riscul general. | |
| CIS Control
|
Vă protejați activele și datele organizației dvs. împotriva vectorilor de atac cibernetic cunoscuți. | Companiile care doresc să consolideze securitatea în IoT. | |
| Familia ISO 27000 | Familie de standarde care prezintă cerințele de securitate legate de menținerea sistemelor de gestionare a securității informațiilor prin implementarea controalelor de securitate. | Aceste reglementări sunt mai largi și se pot potrivi unei game extinse de companii. Toate companiile pot utiliza această familie de reglementări pentru evaluarea practicilor lor de securitate cibernetică. | |
| Familia ISO 31000 | Acest set de reglementări guvernează principiile de implementare și de gestionare a riscurilor. | Aceste reglementări sunt largi și sunt indicate unei game mari de companii. Toate companiile pot utiliza această familie de reglementări pentru evaluarea practicilor lor de securitate cibernetică. | |
| HIPAA/ HITECH | Acest act e o lege în două părți. Titlul I protejează asistența medicală a persoanelor care trec de la un loc de muncă la altul sau sunt concediate. Titlul II e menit să simplifice procesul de asistență medicală prin trecerea la date electronice. Protejează și confidențialitatea pacienților individuali. Acest lucru a fost extins și mai mult prin regula HITECH / Omnibus. | Orice organizație care gestionează date privind asistența medicală. Aceasta include, dar nu se limitează la, cabinete medicale, spitale, companii de asigurări, asociați afaceri și angajatori. | |
| PCI-DSS
|
Un set de 12 reglementări menite să reducă frauda și să protejeze informațiile despre cardul de credit al clienților. | Companii care manipulează informații despre carduri de credit. | |
| GDPR
|
Acesta reglementează protecția datelor și confidențialitatea cetățenilor Uniunii Europene. | Orice companie care desfășoară afaceri în Uniunea Europeană sau care manipulează datele unui cetățean al Uniunii Europene. | |
| CCPA | Drepturile de confidențialitate și protecția consumatorilor pentru rezidenții din California. | Orice companie, inclusiv orice entitate cu scop lucrativ, care face afaceri în California și colectează datele personale ale consumatorilor. | |
| AICPA
SOC2 |
Securitatea, disponibilitatea, integritatea procesării și confidențialitatea sistemelor care prelucrează datele utilizatorilor și confidențialitatea acestor sisteme. | Organizații de servicii care procesează datele utilizatorilor. | |
| SOX
|
Acest document impune companiilor să păstreze evidențe financiare pentru o perioadă de până la 7 ani. A fost implementat pentru a preveni un alt scandal Enron. | Consiliile de administrație ale companiilor publice din SUA, societățile de administrare și societățile publice de contabilitate. | |
| COBIT
|
Acest cadru a fost dezvoltat pentru a ajuta organizațiile să gestioneze informațiile și tehnologia prin interconectarea obiectivelor de afaceri și IT. | Organizațiile care sunt responsabile cu procesele de afaceri legate de tehnologie și controlul calității informațiilor. Aceasta include, dar nu se limitează la, domenii precum audit și asigurare, conformitate, operațiuni IT, guvernare și gestionarea securității riscurilor. | |
| GLBA
|
Acest act a permis firmelor de asigurări, băncilor comerciale și băncilor de investiții să se afle în aceeași companie. În ceea ce privește securitatea, acesta impune companiilor să securizeze informațiile private ale clienților. | Prezentul act definește “instituțiile financiare” astfel: “…companiile care oferă produse sau servicii financiare persoanelor fizice, cum ar fi împrumuturi, consultanță financiară sau de investiții, sau asigurări.” | |
| FISMA
|
Acest act recunoaște securitatea informațiilor ca o chestiune de securitate națională. Astfel, se impune ca toate agențiile federale să dezvolte o metodă de protejare a sistemelor lor de informații. | Toate agențiile federale intră sub incidența acestui proiect de lege. | |
| FedRAMP
|
Servicii Cloud în cadrul guvernului federal. | Departamentele și agențiile executive. | |
| FERPA
|
Secțiunea 3.1 a actului se referă la protejarea dosarelor educaționale ale elevilor. | Orice instituție post-secundară, care include, dar nu se limitează la, academii, colegii, seminarii, școli tehnice, școli profesionale. | |
| ITAR
|
Controlează vânzarea articolelor de apărare și a serviciilor de apărare (oferind capacități militare sau de informații critice). | Oricine produce sau vinde echipamente pentru apărare sau servicii de apărare. | |
| COPPA
|
Colectarea online a informațiilor personale despre copiii cu vârsta sub 13 ani. | Orice persoană sau entitate aflată sub jurisdicția USA. | |
| Standarde NERC CIP
|
Îmbunătățirea securității sistemului energetic din America de Nord. | Toți proprietarii și operatorii de sisteme energetice. | |
Prezentare generală a problemelor etice în securitatea cibernetică
Baza tuturor sistemelor de securitate este formată din principiile morale, din practici ale persoanelor implicate și din standardele profesiei. Adică, în timp ce oamenii fac parte din soluție, ei sunt, de asemenea, cea mai mare problemă. Problemele de securitate cu care o organizație ar avea de-a face includ luarea de decizii responsabile, confidențialitate, prioritizare, piraterie, fraudă și abuz, răspundere, drepturi de autor, secrete comerciale, sabotaj. Această metaforică cursă a înarmării nu dă semne de încetinire având în vedere că tehnologii interconectate sunt integrate și mai mult în viața profesională.
Personalul de securitate IT are adesea acces la date confidențiale și cunoștințe despre rețelele și sistemele persoanelor fizice și ale companiilor, fapt ce le oferă o mare putere. De această putere se poate abuza, în mod deliberat sau involuntar. Nu există standarde obligatorii pentru problemele cibernetice pe care profesioniștii în securitate cibernetică să fie obligați să le respecte. De fapt, mulți profesioniști IT nici măcar nu realizează că locurile lor de muncă implică probleme etice. Cu toate acestea, ei iau zilnic decizii care ridică întrebări de natură etică. Multe din problemele etice implică protecția vieții private. De exemplu:
- Ar trebui să citiți e-mail-ul privat al utilizatorilor de rețea doar pentru că puteți? Este corect să citiți e-mail-ul angajaților ca măsură de securitate pentru a vă asigura că informațiile sensibile ale companiei nu sunt dezvăluite? Este bine să citiți e-mail-ul angajaților pentru a vă asigura că regulile companiei (de exemplu, împotriva utilizării personale a sistemului de e-mail) nu sunt încălcate? Dacă citiți e-mail-ul angajaților, ar trebui să le divulgați acest lucru? Înainte sau după fapt?
- Este bine să monitorizați site-urile web vizitate de utilizatorii dvs. de rețea? Ar trebui să păstrați în mod obișnuit jurnalele site-urilor vizitate? Este neglijent să nu se monitorizeze o astfel de utilizare a internetului pentru a preveni posibilitatea pornografiei la locul de muncă care ar putea crea un mediu de lucru ostil?
- Este normal să plasați programe Key Logger pe dispozitivele din rețea pentru a captura tot ceea ce scrie utilizatorul? Dar despre programele de captură ecran, astfel încât să puteți vedea tot ce este afișat pe display? Ar trebui să fie informați utilizatorii că sunt urmăriți în acest fel?
- Este corect să citiți documentele și să priviți fișierele grafice care sunt stocate pe computerele utilizatorilor sau în directoarele lor de pe serverul de fișiere?
Amintiți-vă că nu este vorba de întrebări legale aici. O companie poate avea foarte bine dreptul legal de a monitoriza tot ceea ce face un angajat cu echipamentele sale informatice. E vorba despre aspectele etice ale capacității de a face acest lucru.
Un concept comun în orice discuție etică este „panta alunecoasă”. Acest lucru se referă la ușurința cu care o persoană poate trece de la a face ceva care nu pare cu adevărat lipsit de etică, cum ar fi scanarea email-urilor angajaților „doar pentru distracție,” la a face lucruri din ce în ce mai lipsite de etică, cum ar fi efectuarea de mici modificări în mesajele de email ale angajaților, sau redirecționarea lor către destinatari greșiți. Conceptul de pantă alunecoasă poate merge dincolo de utilizarea abilităților de IT ale persoanei respective. Dacă este bine să citească email-ul altor angajați, este atunci în regulă să le umble prin sertarele biroului atunci când ei lipsesc? Sau să le deschidă servietele sau poșetele?
Apoi există probleme legate de bani. Proliferarea atacurilor de rețea, pirateriei, a virușilor și a altor amenințări la adresa infrastructurilor IT au determinat multe companii „să se teamă, să se teamă foarte mult”. În calitate de consultant de Securitate, poate fi foarte ușor să joci pe această temere și să convingi companiile să cheltuie mult mai mulți bani decât au nevoie. Este greșit să percepeți sute sau chiar mii de dolari pe oră pentru serviciile dvs., sau este vorba despre „orice poate să suporte piața”.
O altă problemă etică presupune să promiți mai mult decât poți livra sau să manipulezi date pentru a obține taxe mai mari. Puteți instala tehnologii sau configura setări pentru a face rețeaua unui client mai sigură, dar niciodată nu o puteți face complet sigură.
Sugestii de bune practici
Niciun cod unic, detaliat de etică a securității cibernetice nu poate fi adaptat tuturor contextelor și practicienilor; prin urmare, companiile și profesioniștii ar trebui încurajați să dezvolte politici interne explicite, proceduri, ghiduri și bune practici pentru etica securității cibernetice, care sunt adaptate în mod specific propriilor activități și provocări. Unele dintre ele sunt sugerate mai jos:
- Mențineți etica în materie de securitate cibernetică în centrul atenției: Etica este un aspect general al practicii de securitate cibernetică. Datorită imensei puteri sociale a tehnologiei informației, problemele etice sunt practic totdeauna în joc atunci când ne străduim să menținem această tehnologie și funcționarea sa în condiții de siguranță.
- Luați în considerare viețile și interesele umane din spatele sistemelor: În contexte tehnice, se pot pierde ușor din vedere modalitățile de îmbunătățire a vieții și protejarea intereselor umane.
- Stabiliți lanțuri de responsabilitate etică: În cadrul organizației, ‘problema mai multor mâini’ este o provocare constantă pentru o practică responsabilă și responsabilitate.
- Practicați Securitatea cibernetică în caz de dezastru și răspuns la criză: Majoritatea oamenilor nu doresc să anticipeze eșecul sau criza; vor să se concentreze asupra potențialului pozitiv al unui proiect sau sistem.
- Promovarea transparenței, autonomiei și credibilității: Este important să se mențină o relație sănătoasă între practicienii din domeniul securității cibernetice și public, este indicat să se înțeleagă importanța transparenței, a autonomiei și a credibilității.
- Faceți ca reflecțiile și practica etice să fie standard, generalizate, iterative și satisfăcătoare: reflecțiile și practica etice, așa cum am spus deja, sunt o parte esențială și centrală a excelenței profesionale în securitatea cibernetică.
Unele din cele mai bune practici în materie de etică în domeniul securității cibernetice
Practicați Auto-Reflecția/Examinarea
aceasta implică petrecerea timpului în mod regulat gândindu-vă la persoana care doriți să deveniți, în raport cu persoana care sunteți astăzi.
- Căutați exemple morale: Mulți dintre noi petrecem o mare parte din timp, adesea mai mult decât ne dăm seama, judecând deficiențele altora.
- Recunoașteți propria forță morală: În cea mai mare parte, trăind bine în sens etic face viața mai ușoară, nu mai grea.
- Căutați compania altor persoane morale: Mulți au remarcat importanța prieteniei în dezvoltarea morală; în secolul al IV-lea î.e.n., filozoful grec Aristotel a susținut că un prieten virtuos poate fi un ‘al doilea eu,’ care reprezintă însăși calitățile caracterului pe care-l prețuim și aspirăm să-l păstrăm în noi înșine.