Об этике информационной безопасности после 24 февраля

Рефлексия

В “Понедельник начинается в субботу” Стругацких есть один из второстепенных героев, Саваоф Баалович Один. Стругацкие про него пишут так: “Историю Саваофа Бааловича я узнал сравнительно недавно. В незапамятные времена С. Б. Один был ведущим магом земного шара. Кристобаль Хунта и Жиан Жиакомо были учениками его учеников. Его именем заклинали нечисть. Его именем опечатывали сосуды с джиннами. Царь Соломон писал ему восторженные письма и возводил в его честь храмы. Он казался всемогущим. И вот где-то в середине шестнадцатого века он воистину  с т а л  всемогущим. Проведя численное решение интегро-дифференциального уравнения Высшего Совершенства, выведенного каким-то титаном еще до ледникового периода, он обрел возможность творить  л ю б о е  чудо. Каждый из магов имеет свой предел. Некоторые неспособны вывести растительность на ушах. Другие владеют обобщенным законом Ломоносова – Лавуазье, но бессильны перед вторым принципом термодинамики. Третьи – их совсем немного – могут, скажем, останавливать время, но только в римановом пространстве и ненадолго. Саваоф Баалович стал всемогущ. Он мог все. И он ничего не мог. Потому что граничным условием уравнения Совершенства оказалось требование, чтобы чудо не причиняло никому вреда. Никакому разумному существу. Ни на Земле, ни в иной части Вселенной. А такого чуда никто, даже сам Саваоф Баалович, представить себе не мог. И С. Б. Один навсегда оставил магию и стал заведующим отделом Технического Обслуживания НИИЧАВО…

На днях активно обсуждалась история одного инициативного человека по сбору и публикации персональных данных работников компании NTechLab, которая известная своими технологиями распознавания по лицам, которые сегодня активно используются российскими властями для идентификации не только преступников, но и участвующих в митингах лицах, снимаемых камерами видеонаблюдения. Уж не знаю, чем руководствовался сборщик этих данных, но это сильно похоже на этакий самосуд или призыв к мини-санкциям, когда хочется вывести на свет лиц, которые, якобы, совершают преступление. И не важно, что ты при этом тоже совершаешь преступление. Схожая по сути история была на заре проявления Навального как политика, когда он публиковал не всегда законно полученные данные, обличая крупные корпорации.

Иван Бегтин у себя в канале поднимает тему этичности технологических компаний и задает ряд вопросов (например, можно ли с помощью технологии нарушать права граждан или какие меры разработчик предпринимает чтобы снизить последствия такого применения?), на которые должен уметь отвечать любой работник технологической компании, связанной с технологиями двойного назначения. Иван упоминает про биометрическую идентификацию, фильтрацию трафика (DPI) и т.п.

Я 6 лет назад писал про чеклист любого действия с точки зрения этики!

И вот тут мы подступаем к очень непростой теме, которая после 24-го февраля подняла голову во весь рост. Речь об этике информационной безопасности. Как мне кажется, универсального понятия “этики” не существует и у каждого свой барометр, определяющий, когда мы можем что-то делать, не опасаясь быть “замазанными”, когда мы по ходим по краю, а когда мы ”зашквариваемся” и нам уже не отмыться. Причем наше видение этической стороны той или иной проблемы может не совпадать с видением наших друзей и коллег. Я вот столкнулся с тем, что часть моих украинских друзей обвинило меня по сути в пособничестве произошедшего 24-го февраля, так как я не поднял на баррикады всех своих подписчиков и не бросил их под танки, идущие в Украину, а также не повлиял на президента страны через свои знакомства в коридорах власти (забавно, что тебя считают человеком, способным на такое влияние).

Кто-то считает для себя невозможным находиться в стране и своими налогами оплачивать продолжение военной операции и поэтому отдельные (не буду писать многие) специалисты по ИБ или разработчики ИБ-компаний выезжают за пределы России, релоцируясь самостоятельно или с помощью своего иностранного работодателя (кто-то, конечно, делает это из-за паники или банального страха за себя и своих родных). Кто-то считает для себя невозможным работать в госструктурах или выполнять заказы для них. Кто-то из российских компаний перевозит своих сотрудников зарубеж, а иностранные компании, теряя немалые деньги, уходят из России. Все это проявления этики, которая, иногда, превалирует над желанием заработать бабла. И в последнее время эти вопросы всплывают все чаще и чаще. Сотрудники Google написали коллективное письмо по поводу использования их технологий для слежки. Общественные организации поднимают шум по поводу компаний, разрабатывающих шпионское ПО для слежки за диссидентами, журналистами и другими интересантами для государств и спецслужб. Кейсы с Geofeedia, NetSweeper, Cambridge Analytica 

По мере развития технологий они все чаще начинают применяться там, где их авторы, возможно, и не планировали. Или так, как авторы не планировали. И это заставляет задумываться о том, что этика — это то, что отличает искусственный интеллект от человека. И что специалистам по ИБ также придется задумываться о последствиях своих действий и своих проектов.

Помню в “Сириусе”, выступая перед школьниками старших классов (или студентами младших курсов), один из них высказал мысль, что если он разработает вредоносную программу, но сам не будет ее использовать, только продавая ее желающим, он не участвует ни в чем опасном и преступном и его деятельность не может рассматриваться как вредоносная. Вот тут, как мне кажется, и проявляется как раз этика (или ее отсутствие). Да, с технической и, возможно, юридической точки зрения, вы можете быть правым сколь угодно раз и убеждать себя в том, что именно ваши действия не нанесли никому ущерба напрямую. Можно убеждать себя в том, что вы написали вредоносный код в рамках исследовательской работы, а уж кто и как будет использовать результаты НИОКР вас не волнуют. Можно убеждать себя, что вы защищаетесь от врагов, а offensive — это один из элементов современной ИБ.

Я сейчас не хочу никого учить этике и показывать, что правильно, а что нет (нет тут ”правильно” и “неправильно”). Также как я не буду ничего говорить тем, кто уезжает из страны или, наоборот, остается. У каждого своя ситуация, свои мысли и видение будущего. Мне кажется, этика тем и отличается, что в ней нельзя четко провести грань — это белое, а это черное (не зря июнь — месяц толерантности, символом которой является радуга). Есть множество оттенков между белым и черным и каждый сам для себя проведет грань между этичным и неэтичным поведением в ИБ.

Главное, чтобы эта грань все-таки проводилась и специалисты по ИБ для себя могли ответить, они уверены в том, что их действия этичны или нет?

Например, многие иностранные компании не желают работать с россиянами, отказываясь от продажи им своих продуктов и услуг. Это объяснимо и врядли наказуемо, так как решение, с кем работать, а с кем нет, каждый бизнес принимает самостоятельно. А вот когда компания не препятствует тому, что в ее стенах создаются “хакерские отряды”, которые атакуют российские предприятия, это уже за гранью. Это не только неэтично, но и подпадает под статьи уголовного кодекса многих стран (хотя сейчас вряд ли кто-то питает иллюзии в перспективу выигрыша таких дел). Когда специалист по ИБ рассказывает о методах хакеров с целью показать, как с ними бороться, — это нормально. Когда тот же специалист прямо призывает своих подписчиков ”атаковать Рашку” и показывает, где скачать и как пользоваться средствами организации DDoS-атак, — это уже неэтично. Когда организаторы конференций приглашают выступить бывших, исправившихся хакеров рассказать о том, как они вели себя в прошлом и за счет чего их деятельность была успешной (чтобы слушатели знали, как их ломают) — это приемлемо. Когда те же организаторы зовут КиберПартизан, открыто рассказывающих о том, как они атаковали железные дороги (КИИ) и государственные структуры Беларуси, то это уже за гранью добра и зла. Особенно когда те же организаторы еще год назад проводили мероприятия о том, как защищать КИИ и как надо усиливать ответственность за атаки на критическую инфраструктуру.

КиберПартизаны публично рассказывают об атаках на КИИ
КиберПартизаны публично рассказывают об атаках на КИИ

Когда иностранное государство создает подразделения “хакеров в погонах”, которые ведут спецоперации в киберпространстве, — это нормально. В конце концов, Интернет — это еще один полигон для ведения боевых действий, пусть и виртуальных. Но эти действия обычно подчиняются определенным законам. Когда иностранное государство прямо призывает атаковать любой российский ресурс, государственный или частный, имеющий отношение к военной операции или нет, ведущий коммерческую или гуманитарную деятельность, — это, на мой взгляд, перебор. И проблема не в том, что “на войне все средства хороши”, а в том, что потом будет сложно откатиться назад и сказать “все, война закончилась, теперь давайте быть белыми и пушистыми и никого почем зря не будем атаковать”. Те, кто почувствовал ”вкус крови” и получил индульгенцию на атаки, обратно уже не повернет (или сделать это будет очень сложно). Своими действиями многие иностранные государства открывают ворота в киберад.

Я предполагаю, какую реакцию вызовет эта заметка, особенно у тех, кто пострадал от военных действий. И я понимаю, что сидя в Москве, где не рвутся снаряды, рассуждать об этике удобно. Я не разделяю целей военной операции за пределами границ России и я не понимаю ее. Но случилось то, что случилось. И нам теперь жить с этим и мир на долгие годы будет разделен на три части (те, кто за, кто против, и кому пох). Поэтому я не и жду какого-то кардинального изменения ситуации. Просто сейчас, когда многие мои друзья уезжают, поневоле задумываешься о том, что происходит вокруг и о том, что этика как-то быстро ворвалась в нашу, ранее сугубо или технологическую или “бумажнобезопасную” жизнь и заставляет по новому посмотреть на то, что и как мы делаем в ИБ. Опять же, никого не призываю ни на чью сторону; каждый, как писал еще в 1983-м году Юрий Левитанский, выбирает для себя:

Каждый выбирает для себя

женщину, религию, дорогу.

Дьяволу служить или пророку —

каждый выбирает для себя.

Каждый выбирает по себе

слово для любви и для молитвы.

Шпагу для дуэли, меч для битвы

каждый выбирает по себе.

Каждый выбирает по себе.

Щит и латы. Посох и заплаты.

Мера окончательной расплаты.

Каждый выбирает по себе.

Каждый выбирает для себя.

Выбираю тоже — как умею.

Ни к кому претензий не имею.

Каждый выбирает для себя. 

А еще мне кажется, что в программу обучения специалистов по ИБ, о необходимости обновления которой в последнее время говорят многие, надо включать такой предмет, как этика в информационной безопасности.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. пофиг

    это надо было на английском писать…

    Ответить
    1. Алексей Лукацкий автор

      Зачем? Кто понимает, понимает это и так. Кто нет, тому не важен язык. Во время охоты на ведьм всем было плевать, виновен ты или нет.

      Ответить
      1. пофиг

        я далек от войны, но сейчас байден(будем вещи называть своими именами) развязал мировую войну и это война сейчас сказывается на всем мире, и если я вначале не понимал что за фигня началась, то сейчас мне очень понятно, что происходит — полностью идет отказ от своих обязательств и воровство на мировом уровне, как Вы Алексей это называете? Международное право? Это не право. Байден переплюнул Путина за три месяца, даже озеро столько не наворовало, сколько байден хапнул….а сейчас начинают кошек вешать…то мы отстающая страна, а оказывается в мире и топятся и жрут за наш счет?

        Ответить
      2. пофиг

        Вот из последнего что сделал байден и это скажется на всем мире и России тоже-
        Стагнация добычи газа в США при агрессивном росте экспорта к чему может привести? Верно – к серьезному снижению запасов газа, т.к. спрос почти не падает из-за замещения угольных электростанций на газовые.

        Текущие запасы газа на минимуме за 5 лет. Ровно, как и нефтью – все чистое приращение экспорта газа в 2022 относительно 2021 формируется из запасов! Экспорт газа из США за 6 месяцев вырос на 10 млрд куб.м в сравнении с аналогичным периодом года назад – вот и на 10-12 млрд куб.м сократились запасы газа.

        Это, собственно, одна из причин роста цен на газ на внутреннем рынке США (более, чем в три раза за год).

        Почему так? Сверх дорогой газ в Европе, цены на который были в 6-8 раз выше внутренних американских. Это привело к тому, что производители газа направляли на экспорт все, что могли направить на физических пределах инфраструктуры терминалов СПГ и доступных газовозов. Им удалось утроить за три года экспорт СПГ – плюс 70 млрд куб.м в год на экспорт в сравнении с 2019 и плюс 35 млрд куб.м за год к 2021.

        Сейчас ценовой гэп естественным образом выравнивается.

        Однако, во всем этом важно то, что США формирует экспорт газа через закрытие энергодефицита в Европе после введения санкций на Россию — это первое.

        Во-вторых, экспорт в Европу происходит из запасов нефти и газа, т.к. внутреннее производство ни нефти, ни газа они нарастить не могут! 

        Таким образом, объявленное чрезвычайное положение энергосистемы США — это следствие накопленных дисбалансов. Структура добычи нефти и газа с упором в сланцевые проекты, токсичная ESG повестка, хроническая недоинвестированность и агрессивный экспорт нефти и газа в Европу, формируемый из запасов.

        А что значит экспорт из запасов? Это рано или поздно закончится. Таким образом, Россия может обрушить не только энергосистему Европы, но и энергосистему США!

        Ответить
        1. Алексей Лукацкий автор

          У меня же блог по ИБ, а не по мировой экономике. Да, местами вещи связанные, но все-таки

          Ответить
      3. пофиг

        https://t.me/uranews/58530 этику тут надо…

        Ответить
        1. Алексей Лукацкий автор

          А вдруг его аккаунт опять взломали?

          Ответить
          1. пофиг

            https://fstec.ru/obshchaya-informatsiya/gosudarstvennye-informatsionnye-sistemy этим тоже сломали?

          2. Алексей Лукацкий автор

            Не, у этих их отродясь не было, что всегда вызывало вопросы

  2. Злой

    Ууууу… вот это каминг аут…. Эффект от последнего абзаца — это как если бы лучший друг, с которым не раз мылся в бане, вдруг признался, что все это время у него был стояк на мою задницу…. Хотя со многими мыслями выше я согласен, но прямые призывы иностранных государств атаковать КИИ — это все же не «перебор», а «акт агрессии». Давайте называть вещи своими именами. И вот, например, ваш визави из США — тоже опытный седовласый безопасник, несущий свет хакинга в массы в своих книгах и курсах — не стесняется обозначать свою сторону и позицию. https://www.hackers-arise.com/ А вот вы все еще не понимаете целей того, что сейчас начала Россия. Хотя ВВП уже очень давно в своем интервью сказал: «Улица меня научила одному правилу: когда на тебя нависает шпана, бей первым.»

    Ответить
    1. Алексей Лукацкий автор

      Дело в том, что все-таки иностранные государства пока не призывают атаковать КИИ. Да, Накасоне признал, что они проводили операции, ну так они и раньше проводили, как и наши проводили против них (это ж разведка, ничего личного). Бриты признают право проведения кибератак в ответ, но пока ничего публично не признавали и призывали. Отдельные специалисты не в счет — это их личная позиция и статья во многом про них. Именно к личной позиции человека можно относить этику, а не к позиции государства, которое всего лишь отстаивает свои интересы (то, как оно их понимает). Пока официально призывают атаковать только украинские власти, но их-то как раз можно понять. Вот потакание или официальное признание хакеров, атакующих КИИ, это за гранью. Но и это еще не факт агрессии, если смотреть на это с точки зрения международного права.

      Все очень непросто, а уж с точки зрения международного права тем более. Поэтому и важно оставаться специалистом по ИБ и человеком.

      Ответить
  3. 9d712a6c071b4a13

    хороший своевременный текст во время всеобщего расчеловечивания

    Ответить
  4. Сергей

    По видимому, мы наблюдаем и/или участвуем в тех самых событиях, которые повлияют на все наше будущее. Мир никогда не станет тем же, а вот каким именно — будем посмотреть.

    Ответить
    1. Алексей Лукацкий автор

      Ну я бы не переоценивал «те самые события» — все-таки ситуация отличается от той же Второй мировой войны, которая действительно поменяла будущее. Но с другой стороны, прошло всего 45 лет с момента завершения Второй мировой и до падения Берлинской стены. Не такой уж и большой срок. Нельзя сказать, что все забылось (не у нас уж точно, в отличие от той же Европы), но многое ушло на второй план. Человеку свойственно забывать все плохое со временем. Особенно при смене поколений. Думаю и тут будет также — все извлекут уроки, цари сменятся или будут сменены, и мир вновь заживет как прежде. Если к тому времени человечество не сотрет себя с лица Земли по чьей-то дурости

      Ответить
  5. Евгений

    В уходе компаний с российского рынка нет ни грамма этики, а только бизнес. Санкции это очень дорого. Уходят плохо, не соблюдая контрактных обязательств, это видимо тоже «этично» с позиции Алексея и его работодателя.

    Ответить
    1. Алексей Лукацкий автор

      Ну какой же это бизнес, если компании теряют до миллиарда-двух от ухода с российского рынка, а это в свою очередь влияет на курс акций? Да, с уходом тоже не все так просто, как кажется, и для многих компаний это не было только их решением (хотя многие небольшие и средние компании уходят по своей воле, без звонка из «вашингтоновского обкома»). Но в целом, это осознанное решение потерять деньги из-за происходящего.

      Что касается нарушений обязательств, то, увы, тут нельзя всех под одну гребенку и надо смотреть каждый кейс. Оборудование моего работодателя продолжает у многих российских заказчиков работать и выполнять свои задачи. Оно даже обновляется, как с точки зрения сигнатур угроз, так и с точки зрения обновлений ПО. Да, если компания попала в SDN тут ничего сделать нельзя. В остальном все не так плохо, как вы пишете. Но уход и то, как он был осуществлен, был проведен не самым лучшим образом. Я этого и не отрицаю. Но опять же, каждый решил для себя, как он себя ведет в такой ситуации и на какие потери, в том числе и репутационные, он готов.

      Ответить
      1. Евгений

        Потеря миллиардов всегда лучше потери десятков миллиардов. Выпав из «повесточки» можно лишиться гораздо большего. Джоан Роулинг не даст соврать.

        Ответить
        1. Алексей Лукацкий автор

          Ну Роулинг пока остается одной из самых высокооплачиваемых писательниц, несмотря на отстаивание ею права на свободу слова и правом называть женщин женщинами, а не менструирующими людьми (если речь об этом кейсе).

          А вообще спор о чужих миллиардах смысла не имеет 🙂

          Ответить
  6. Петр

    Не надо учиться в Генеральном штабе, что бы понимать зачем идёт СВО.
    Вы вроде неглупый человек, странно, что Вы этого не понимаете.Или Cisco перестал платить зарплату? Занимайтесь ИБ, это у Вас неплохо получается.

    Ответить
  7. Павел

    Вы правильно пишете, что этика у каждого своя. Я добавлю, что она формируется окружением человека. А окружение очень разное бывает, понятно.
    Что касается международного права, последние события подтвердили, что такой вещи не существует. Сильные делают, что хотят, слабые терпят. Увы. Несмотря на все эти годы видимой красоты и верховенства международного права, ничего принципиально не поменялось в мире.
    Вот про «киберад» интересно. Звучит как начало для отдельной очень интересной статьи, не бросайте тему!

    Ответить