Об этике CISO да и вообще любого специалиста по ИБ

17 Ноября, 2016 11:13
Алексей Лукацкий
В опубликованном в октябре материале Reuters говорится, что, согласно неназванным источникам, запрос спецслужб вызвал отторжение у ряда высокопоставленных сотрудников Yahoo, некоторые из которых покинули компанию. Одним из них был Алекс Стамос, руководившей службой ИБ Yahoo. После Yahoo Стамос перешел на аналогичную должность в Facebook.

Я не раз слушал Стамоса (и у нас в Cisco на внутренних мероприятиях, и на публичных конференциях) и могу сказать, что он очень грамотный и адекватный мужик, прекрасно понимающий реалии рынка ИБ. И вот ему становится известно о решении Yahoo передавать информацию спецслужбам в рамках действующего американского законодательства (интересно, раньше спецслужбы не обращались  что ли в Yahoo?). Он молча уходит из компании в Facebook, который, теоретически, ничем не отличается от Yahoo по части интереса для спецслужб. И только спустя год после его ухода, когда стало известно о соглашении между Yahoo и спецслужбами, упоминается, что Стамос ушел именно из-за этого. В соцсетях я видел уже немало хвалебных сообщений в сторону Стамоса. Мол, чувак поступил честно, как подсказывала совесть... И вот тут и возникает дилемма, которая и заставила меня написать эту заметку (если исходить из версии, что Yahoo действительно сливает данные в АНБ, а Стамос действительно ушел по этой причине, а не из-за того, что в растущей FB ему предложили больше денег, чем в угасающей Yahoo).

Насколько этично было со стороны Стамоса промолчать, уходя в Facebook, оставив миллионы пользователей своего бывшего работодателя в неведении относительно "нарушения" их прав на тайну переписки? Или надо было поступить как Сноуден и рубануть с плеча, выдав правду-матку в СМИ? Или надо было молча продолжать работать в Yahoo? Где та грань, после которой действия Стамоса могут считаться неэтичными? И могут ли они вообще таковыми считаться?

Сидеть и наблюдать со стороны за этой историей достаточно интересно и можно даже дистанцироваться от нее, пытаясь рассуждать об этике CISO. Должен он был или не должен раскрыть всем "заговор спецслужб против демократии"? Особенно легко рассуждать, когда у твоей компании нет вообще клиентов-физлиц и тебя эта ситуация может коснуться только в теории. Но каково должно было быть Стамосу, когда он узнал о решении Yahoo? Лично я не знаю, как бы поступил на его месте. Остаться, значит быть сопричастным и активно помогать (пусть и своим бездействием) ненавистным многим спецслужбам. Уйти в сторону, уволившись и выйдя на новую работу? Это принцип страуса, зарывающего голову в песок и живущего по принципе "моя хата с краю". Возможно. А возможно и нет. Громко кричать об этом на каждом углу и стать персоной нон-грата в США, как это произошло со Сноуденом или Ассанжем? Или персоной нон-грата у спецслужб, что означает будущие сложности в работе на такой роли, как у Стамоса (что в Yahoo, что в Facebook), где приходится контактировать со спецслужбами. Тихо  и анонимно слить весь компромат в WikiLeaks или СМИ и хоть так попробовать повлиять на ситуацию? Вопросов много, ответов нет. Точнее у каждого он будет свой.

Кстати, не стоит думать, что такая проблема есть только у CISO Интернет-компаний или операторов связи. Она есть у всех. Даже у тех, кто не работает с физлицами, а только с юрлицами. Ведь задача CISO защищать информацию своих клиентов от несанкционированного доступа. И клиенты, скорее всего, не дадут санкции на доступ к своим данным со стороны правоохранительных и специальных служб. Соответственно, CISO, под чьим контролем данные будут предоставлены в АНБ, МИ-6, Моссад, ФСБ, СБУ и т.п., тем самым нарушит то, ради чего его нанимали. А спецслужбы могут заинтересовать не только данные переписки, но и любая другая информация. Например, движение по счету юрлица или детали какого-либо контракта. И понятно, что государство печется (вроде как) об интересах всех граждан и в этом случае можно поступиться интересами отдельных граждан или их групп, но от этого не легче. Дилемма "интересы клиента или интереса государства" будет дамокловым мечом висеть над CISO и в каждом конкретном случае каждый CISO будет решать ее по своему.

1.


Занимательный факт - 3 года назад, на 21-м DEFCONе, Стамос уже говорил об этой дилемме. Его доклад "An Open Letter - The White Hat's Dilemma: Professional Ethics in the Age of Swartz, PRISM and Stuxnet" был посвящен этой этической дилемме, кстати, применимой не только к CISO. Стамос на DEFCON говорил про White и Black Hat, про то, что мир поменялся и только в  фантастических романах он выглядит черно-белым, а в реальной жизни полно оттенков, которые и ставят многих специалистов перед дилеммой


2_03

Выступление Стамоса было эмоциональном (выступал он как независимый эксперт) и изобиловало различными интересными примерами и философскими вопросами. Я взял их, расширил, и получил вот такой список (неполный, конечно):

  • Можно ли продавать собранные данные клиентов рекламным компаниям за деньги?
  • Можно ли читать личную переписку сотрудников и следить за их поведением в Интернет?
  • Можно ли продавать собранные в рамках исследования ПО одного вендора уязвимости его конкурентам?

3_02

  • Можно ли не сообщать клиенту о дырах в его системе защиты, если это не входит в scope работ?
4_01
  • Можно ли сотрудничать со спецслужбами и иными регуляторами, если считаешь политику Президента неверной?
5
  • Можно ли манипулировать вендором, ссылаясь на "лучшие условия" от конкурента?
  • Можно ли провоцировать сотрудников на нарушения для улучшения показателей своей работы?
  • Можно ли неофициально заказать взлом своей организации, чтобы вынудить руководство задуматься о своей безопасности?
  • Можно ли покупать уязвимости у Black Hat, провоцируя их и дальше заниматься своим черным делом?
  • Можно ли держать на работе "хакера", который днем считает себя White Hat, а ночью подрабатывает Black Hat?
  • Можно ли подсиживать своего руководителя, если ты считаешь себя умнее его?
  • Можно ли оставаться программистом в компании, если вы знаете, что она встраивает закладки в свою продукцию по требованию спецслужб?
  • Можно ли нарушить права одного человека, скрываясь за благом для большей группы людей?
  • Можно ли участвовать в создании наступательного кибероружия?
  • Можно ли участвовать экспертом в суде на стороне обвинения, зная, что ваша экспертиза может засадить человека за решетку на 3 года только на том основании, что в его логах есть факты посещения хакерских сайтов?
Этическая дилемма все чаще будет возникать в деятельности российских специалистов по ИБ, работающих как на стороне производителей, так и потребителей продуктов и услуг ИБ. Например, сейчас, в ситуации, когда разговор о тотальной слежке за гражданами уже вошел в окно Овертона и считается уже почти нормальным, заданный 3 года назад на DEFCON вопрос звучит вполне уместно:
6
Сам же Алекс Стамос похоже предвидел текущую историю с Yahoo (если она действительно выполняла требования спецслужб в рамках американского СОРМ). На 21-м DEFCON он сформулировал этическую дилемму и для себя. Тогда он очень быстро проскочил этот слайд, но сейчас мы видим, что похоже он выбрал вариант C (возможно до этого был и B).
7

           Публикуется с разрешения автора, по материалам авторского блога

Комментарии:

НОВЫЕ СТАТЬИ

Как обеспечить 100% доступность данных
Владимир Смирнов 27 Апреля 11:43
Как «заказывают» DDos-атаки: история из жизни
По материалам Космонова 26 Апреля 11:33