网络安全已经成为现代社会不可或缺的一部分,影响着世界各地的每一个人。然而,现实的问题是,企业通常将网络安全工作的重点放在满足合规要求和应用先进技术,但却忽视了在伦理道德层面的建设保障。仅仅是依靠法规条例和先进的安全防护技术,并不足以维护网络空间的安全性。
企业需要将伦理原则和符合道德的价值观纳入到网络安全建设中,才能在尊重个人隐私和权利的基础上,引导员工遵守组织所制定的网络安全原则和标准,维护信息的保密性、完整性和可用性。
网络安全中的伦理困境
网络安全领域充满了对抗和限制,当网络安全专业人员需要在相互冲突的道德标准和工作要求之间做出选择时,网络安全中的伦理困境就会出现。这些情况经常发生,因为网络安全涉及保护敏感信息和应用系统,同时还需要考虑如何平衡隐私性、合规性和公共利益。
1、隐私与安全
平衡隐私和安全是网络安全工作中的一个关键挑战。在现代社会中,隐私是一项基本人权,包括控制个人信息和限制无正当理由的监视。而安全防护则需要实施强有力的管控措施,如广泛的威胁行为监测和攻击情报信息获取等,这就可能会侵犯到个人的隐私权。如何在有效的安全防护和尊重隐私之间取得适当的平衡是网络安全领域的一个重大关切。
2、对违规信息的披露
组织在网络安全工作中经常因暴露安全隐患而面临严重后果,有时甚至还会因违规行为而受到监管部门的处罚。 例如 ,2013年,爱德华·斯诺登因为披露了美国国家安全局的全网信息监视活动,导致他被美国政府部门通缉。在另一个道德困境的案例中,一名审计师在米德尔伯里学院(Middlebury College)的IT系统审计项目实施中发现了儿童遭受性虐待的信息。尽管该审计工作签订了保密协议,但这位审计师还是选择将他所发现的违法信息报告给执法部门,将未成年人保护置于了客户隐私之上。这些案例都说明了,安全专业人员在很多时候必须作出复杂的道德决定,在安全保密职责与应对严重威胁的道德责任之间进行取舍和权衡。
3、对安全漏洞的披露
网络安全专家在工作中会经常发现网络或系统上的安全漏洞,此时就必须决定是否要公开披露发现的漏洞,这往往需要兼顾透明度需要,同时又避免造成不必要的恐慌。披露可以让漏洞得到快速修复,但在补丁发布之前,漏洞会有被恶意行为者利用的风险。或者,他们可以选择保密,这可能会使系统的安全缺陷长期存在。当然,漏洞发现者有时也会因为恶意的意图而不披露漏洞,这取决于他们的偏好与价值观。
4、道德黑客的工作边界
道德黑客是指受信任的个人或团体利用黑客攻击技术,发现和纠正网络或计算机系统内的安全缺陷。
与恶意黑客不同,道德黑客的目的是增强网络安全,而不会对系统或其用户造成损害。但是在实际工作中,尽管有道德动机,但道德黑客的一些攻击测试方法往往跨越法律界限,并在实践中由于失误等原因造成一定的损害。因此,道德黑客工作的合法边界往往很难划分清楚。
5、人工智能应用的偏见
AI系统可能会从训练数据及算法模型中无意中产生偏见,这可能会导致对特定人员或群体产生歧视性的看法。人工智能系统应用的公平性对于维护网络安全中的道德标准和有效性至关重要。
6、认知失调
网络安全认知失调主要指当个人利益与职业责任发生冲突的情况下,安全人员该如何进行操作。例如,网络安全顾问如果从一家公司得到一份利润丰厚的合同,但该公司的网络安全做法却与他的核心价值观背道而驰,他可能会面临两难境地。如果接受这样的工作合同可能会损害他的职业操守和道德标准。
将道德操守纳入网络安全
计算机机械协会( ACM )于1992年发布了《IT行业道德和职业行为守则》,并于2018年更新。守则强调了IT领域专业人员的行为会对社会产生的深远影响,敦促他们应该优先考虑公共利益,并考虑更广泛的安全性后果。
虽然这份守则不是专门针对网络安全的,但对于所有参与网络安全工作的人员来说,这都是一个宝贵的道德指引框架。因为守则从四个方面对包括网络安全在内的IT技术工作提出了道德要求:
一般道德准则:IT专业人员必须为社会福祉、尊重多样性和促进人权作出贡献。在工作中避免伤害,诚实守信,确保公平,尊重知识产权,维护隐私和保密。
工作职责:IT专业人员应努力提高工作质量,保持胜任能力,遵守专业标准和规则,并对计算机系统及其影响提供全面的评价。他们必须在其职权范围内工作,促进公众对计算机的理解,只有在获得授权或为公众利益时才能访问资源。
专业的领导力原则: 计算领导人必须优先考虑公共利益在所有专业工作,促进他们所在的组织更多承担社会责任,并提高工作生活的质量,支持系统运营政策与道德原则保持一致。他们还应该小心处理系统修改和淘汰等问题,并认识到计算机系统的社会性整合。
遵守守则:计算机专业人员有义务维护、促进和尊重道德准则的原则。他们应能够发现并处理违反守则的行为,并考虑报告违反行为,以确保整个职业的道德标准得到维护。
相比其他IT领域,网络安全工作由于其专业知识和广泛接触敏感信息和系统的机会,需要在维护道德标准方面发挥着关键作用。因此,企业的网络安全建设需要将伦理和道德原则融入日常实践,以保护资产、维护隐私和确保安全,在建立信任的基础上,促进形成更公平的数字环境。
企业在将道德规范纳入网络安全工作时,可以使用以下方法:
强调道德的网络安全是每个人的责任,培养一种所有员工都坚持道德实践以保护信息和系统安全的企业文化。
传达网络安全控制措施和政策要求背后的原理,以提高员工对安全风险的认识,并鼓励警惕异常的网络安全事件。
根据企业实际情况制定网络安全道德守则,为所有员工提供持续的道德培训,定期进行全组织的风险评估,保持全面的数据记录,明确界定违反道德原则的惩罚机制,并在必要时予以强制执行。
评估现有网络资产,进行彻底的风险评估,并确定当前的网络安全实践中是否缺乏道德考虑的领域。
制定一套全面的网络安全道德准则和政策,概述网络安全道德行为的标准,同时界定不同的角色和责任,以确保该准则能够被所有人遵守。
实施持续和多样化的网络安全培训,以跟上不断变化的威胁,培养一种组织文化,在这种文化中,错误是学习和改进安全实践的机会。
参考链接:
https://www.tripwire.com/state-of-security/importance-ethics-cybersecurity