Thursday, October 19th, 2017

Этические проблемы ИТ специалистов

Published on Январь 29, 2009 by   ·   Комментариев нет

В этой статье проведен обзор часто забываемой области обучения большинства специалистов в области компьютерной безопасности: что делать с проблемами этического характера, которые могут возникнуть и непременно возникнут в процессе работы.

Врачи, юристы и другие специалисты, чья работа связана с человеческими жизнями, обычно проходят в процессе своего обучения курсы, в которых обращают внимание на этические проблемы, специфичные для их профессии. ИТ специалисты в области безопасности имеют доступ к зачастую гораздо более конфиденциальным данным и сведениями о частных лицах, сетях и системах компаний, что дает им огромную власть. Это может привести к сознательным либо случайным злоупотреблениям. Однако не существует стандартизированных требований на воспитанность, необходимую для получения Вашего диплома консультанта в области безопасности или внутреннего специалиста по безопасности. Ассоциации и организации ИТ специалистов только-только начинают уделять внимание этической стороне работы, но опять же нет требований принадлежности ИТ персонала к таким организациям.

Почему необходимы этические рекомендации?

Образование и обучение ИТ специалистов, включая специалистов в области безопасности, обычно сфокусировано на технических знаниях и умениях. Вы изучаете, как выполнять задачи, однако почти ничего не говорится о том, как этими возможностями можно злоупотребить. Фактически, многие ИТ специалисты относятся к своей работе с  точки зрения хакера: тебе позволено все, что ты можешь сделать.

Примечание:
В данной статье слово «хакер» используется в общепринятом значении, относящемся к “black hat” хакерам, которые используют свои умения для проникновения в системы и доступа к данным и программам без разрешения их владельцев. Нам хорошо известно, что этот термин изначально означал каждого, кто хорошо разбирался в программировании, т.е. к так называемым “white hat” хакеры, которые использовали свои умения для помощи компаниям и частным лицам в защите от “black hat” хакеров.

На самом деле, многие ИТ специалисты даже не осознают, что их работа связана с этическими вопросами. Каждый день мы принимаем решения, поднимающие этические вопросы.

Каковы же эти проблемы этического характера?

Многие проблемы этического характера, с которыми сталкиваются ИТ специалисты, затрагивают вопросы приватности. Например:

  • Следует ли читать личную электронную почту Ваших пользователей сети только потому, что Вы можете это сделать? Стоит ли читать почту служащих в качестве меры безопасности, чтобы удостоверится, что не раскрывается информация компании? Стоит ли читать почту служащих, чтобы удостовериться, что не нарушены правила компании (к примеру, направленных против использования служебной почты в личных целях)? Если же Вы читаете почту служащих, следует ли сообщать им об этом? Заранее или после нарушения?
  • Стоит ли отслеживать посещаемые пользователями веб-сайты? Стоит ли хранить журналы посещений сайтов? Не является ли отсутствие отслеживания использования Internet халатностью, которая ведет к возможности просмотра порнографии на рабочем месте, что может создать неприязненную рабочую обстановку?
  • Стоит ли устанавливать на рабочие места программы, отслеживающие нажатия клавиш, для записи всего, что введет пользователь? Программы, сохраняющие копии экрана, чтобы видеть все, что выводится на экран? Следует ли сообщать пользователям, что за ними следят подобным образом?
  • Стоит ли читать документы и просматривать графические файлы, хранящиеся на компьютерах пользователя или в их папках на сервере?

Помните, мы здесь не обсуждаем вопросы законности. Компания вполне может иметь законное право отслеживать все, что делают сотрудники с компьютерным оборудованием. Мы говорим об моральном праве так поступать.

Как сетевой администратор или специалист в области безопасности, у Вас есть права и привилегии, которые открывают Вам доступ к большинству данных на компьютерах Вашей сети. Вы возможно даже можете получить доступ к зашифрованным данным, если у Вас есть доступ к учетной записи агента восстановления. То, что Вы будете делать с такими возможностями, частично зависит от Ваших текущих служебных обязанностей (например, мониторинг почты пользователей может быть частью официального описания Вашей работы), а частично от Ваших этических убеждений, касательно данных вопросов.

«Скользкий путь»

Общая идея всех споров об этике — это «скользкий путь». Это связано с легкостью, с которой человек может перейти от совершения чего-либо не выглядящего слишком неэтично (просмотр почты служащих просто для развлечения) к совершению того, что гораздо более неэтично (например, создание небольших изменений в почтовых сообщениях или доставка их другим адресатам).

Просматривая вышеуказанный список этических проблем, можно легко оправдать каждое из этих действий. Но так же легко видно, что каждое из этих действий может перетечь в действия, которые оправдать гораздо труднее. Например, информация, которую Вы получили, прочитав чье-либо письмо, может быть использована для того, чтобы поставить того человека в неловкое положение, для получения политического преимущества в рамках компании, для назначения этому человеку дисциплинарного взыскания, для его увольнения или даже для шантажа.

Подобное поведение также может выходить за рамки использования Ваших навыков в сфере ИТ. Если для Вас нормально — читать почту служащих, то, значит, для Вас нормально — пройтись по их рабочим местам, когда их нет? А открыть их портфели или бумажники?

Этические дилеммы реального мира

Что если Ваше прочтение случайных документов раскроет Вам профессиональные тайны компании? Что если Вы позже покинете эту компанию и уйдете на работу к конкурентам? Правильно ли использовать эти знания на новой работе? Будет ли «хуже», если Вы распечатаете эти документы и возьмете их на новую работу, чем, если Вы их просто запомните?

Что если документы, которые Вы читаете, свидетельствуют о нарушении закона Вашей компанией? Имеете ли Вы моральное право использовать их против компании, либо Вам следует уважать тайны Вашего работодателя? Что-нибудь меняет то, что Вы дали подписку о неразглашении при приеме на работу?

ИТ специалистам и консультантам по безопасности, которые работают сразу с несколькими компаниями, приходится иметь дело с гораздо большими проблемами этического характера. Если Вы узнали что-либо об одном из клиентов, что может повлиять на другого Вашего клиента, кому Вы будете лояльны?

Существует много проблем с деньгами. Распространение сетевых атак, взломов, вирусов и других угроз ИТ инфраструктуре компаний, заставляет их бояться, очень бояться. Вам, как консультанту по безопасности, можно очень легко сыграть на этом страхе, чтобы заставить компании потратить гораздо больше денег, чем это действительно необходимо. Нечестно  требовать за свои услуги сотни или даже тысячи долларов или в данном случае рынок стерпит? Честно ли завышать стоимость оборудования и ПО, купленного для клиента? А как насчет взяток от производителей оборудования? Честно ли брать «комиссионные» от производителей убеждая Ваших клиентов брать их продукты? А насчет более хитрых условий? Честно ли  советовать Вашим клиентам продукты компаний, в которых у Вас есть акции?

Еще одной этической проблемой является обещание большего, чем Вы можете предоставить, или манипулирование данными для получения большего гонорара. Вы можете применять технологии и изменять настройки для того, чтобы сделать сеть клиента более безопасной, но Вы никогда не сделаете ее абсолютно безопасной. Честно ли требовать от клиента замены существующих брандмауэров на другого производителя, или перехода на операционную систему с открытым исходным кодом — такие изменения совершенно случайно приведут к гораздо большему числу оплачиваемых часов Вашей работы – основываясь на том, что это — решение их проблем с безопасностью?

А теперь другой сценарий: что если клиент попросит Вас об экономии денег, убрав расходы на некоторые меры безопасности, которые Вы порекомендовали, хотя Ваш анализ безопасности клиента показывает, что ценная информация будет под угрозой, если Вы это сделаете? Вы пробуете ему объяснить это, но клиент непоколебим. Следует ли подчиниться и настроить сеть с меньшей безопасностью? Следует ли Вам «проглотить» стоимость и установить более высокий уровень безопасности бесплатно для клиента? Следует ли отказаться делать работу? Что-нибудь изменит то, что бизнес клиента может лежать в сфере регулируемой стандартами, и нарушение стандартов безопасности, может повлечь нарушение норм HIPAA, GLB, SOX или других законов?

Вывод

В этой статье подняты многие вопросы, но не предпринято попыток дать ответы. Потому, что, в конце концов, ответ на вопрос «Это этично?» должен быть найден каждым ИТ специалистом индивидуально. К сожалению, в отличие от других старинных, более устоявшихся профессий, как, например, медицина и юриспруденция, большинство этических проблем, с которыми сталкиваются ИТ специалисты не прописаны в законе, как нет и стандартного обязательного надзорного органа(как, например, национальная медицинская ассоциация или медицинская ассоциация штата, или ассоциация адвокатов), который разработал бы более детальный кодекс этических норм.

Как бы то ни было, на вопрос этичности поведения ИТ специалистов начинают обращать внимание. Добровольные ассоциации специалистов, такие как Association for Computing Machinery (ACM), разработали собственные моральные кодексы и профессиональные руководства, которые могут служить указаниями для частных лиц и других организаций.

Источник www.windowsecurity.com



Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]