Учитель сказал: "Если руководить народом посредством законов и поддерживать порядок при помощи наказаний, народ будет стремиться уклоняться [от наказаний] и не будет испытывать стыда. Если же руководить народом посредством добродетели и поддерживать порядок при помощи ритуала, народ будет знать стыд, и он исправится"
Конфуций. Суждения и беседы. 2, 3.
Как ни странно, сама постановка вопроса об этике (морали) работников нашей сферы, сферы информационной безопасности (и шире - отрасли ИТ) вызывает сомнения у некоторого числа этих самых работников. «А бывает ли мораль у айтишника?», "А правомерно ли говорить об этике в нашей профессии?», «А можно ли применять этические критерии в нашей работе?» Именно такие вопросы приходится слышать при обсуждении темы в кругу технических специалистов ИТ-индустрии.
О чём это свидетельствует? О том, что многие технические специалисты воспринимают свою работу исключительно как работу с техникой, но не с людьми. К бездушным и неразумным объектам, мораль, разумеется, неприложима. Интернет, можно подумать, всего лишь совокупность технических устройств, соединённых каналами связи, то есть, именно такой бездушный и неразумный объект. Именно такую ошибку и совершают многие наши коллеги. Они думают, что взаимодействуют лишь с техникой, в то время как на самом деле взаимодействуют с людьми. Причём, не просто взаимодействуют, а затрагивают довольно «чувствительные» людские аспекты, например, тайну связи и тайну частной жизни.
Интернет возник как техническое устройство. И управлялся он поначалу техническими сотрудниками, которые применяли для управления соответствующие методы. Но с годами Интернет всё больше превращался из чисто технического устройства в среду, где взаимодействовали экономические, эмоциональные, политические, религиозные, научные и иные «нетехнические» интересы граждан. Сейчас уже временами говорят не про среду, а про целый виртуальный мир.
Несмотря на новые отношения в этом виртуальном мире, методы управления им основном остаются старыми. Интернет управляется технарями при помощи доступных им технических методов. Типичный технический сотрудник малосведущ в таких гуманитарных областях, как право, экономика, этика и все возникшие задачи пытается решать исключительно техническими средствами. Естественно, что такие неприменимые средства оказываются, как минимум, неэффективны и не дают решения, а лишь ещё больше драматизируют существующие проблемы. В связи с этим применяется термин «техническое варварство».
Классическая иллюстрация - попытки решения «проблемы спама». Спам является экономическим феноменом, одним из видов рекламы. Экономические вопросы всегда регулировались либо экономическими, либо правовыми методами. Но «проблему спама» на протяжении 10 лет пытались решить техническими методами, в упор не видя иных аспектов. Естественно, на каждую техническую меру спамеры находили ответную контрмеру, и за все годы «борьбы» количество спама не уменьшилось. Умножались лишь побочные неприятные следствия технократических попыток «решения».
Кстати, одним из проявлений технического варварства является широко известный принцип «человек - слабейшее звено системы защиты информации». Рассмотрение человека (пусть даже и пользователя) в качестве «звена», то есть, заурядного элемента информационной системы - это полное игнорирование гуманитарных аспектов ИТ. То есть, попытка решить техническими методами совсем не технические задачи.
Человек не может быть «звеном» или «элементом» информационной системы. Человек - это альфа и омега такой системы. Базис и конечная цель. Смысл существования и критерий эффективности.
Совершенно очевидно, что «чистых» технарей пора отстранять от управления Интернетом. Администраторам информационных систем надо давать изрядный объём гуманитарных знаний. А многие вопросы управления сетями пора передавать юристам, экономистам, психологам, другим «нетехническим» специалистам. Впрочем, ещё неизвестно, что труднее - обучить сисадмина основам гуманитарных наук или объяснить гуманитарию технические особенности глобальной сети.
Предшествующие абзацы, конечно, не могут претендовать на сколь-нибудь полное изложение основного сетевого противоречия - противоречия между старыми методами управления Сетью и новыми общественными отношениями в Сети. Более подробное изложение можно найти в других статьях автора. Здесь же эти рассуждения призваны лишь предварить постановку вопроса об этике информационной безопасности.
Этика - наука о морали. Мораль - неписаные правила отношений между людьми. Вряд ли будет возможно заменить повсюду мораль законом, хотя такая тенденция и наблюдается, особенно на Западе. А в сфере сетевых отношений это тем более сложно, поскольку здесь законодательное регулирование отстаёт от офлайна.
Автор надеется, что он достаточно обосновал актуальность этики в сфере информационной безопасности. Как и в любой другой достаточно сложной и общественно значимой отрасли, здесь представляется невозможным обойтись без хотя бы основных этических принципов.
Может возникнуть вопрос: а насколько правомерно говорить об этике какой-то конкретной профессии или сферы деятельности? Разве не является мораль инвариантной к профессии?
По большому счёту, это так. Та или иная этическая система может регулировать отношения человека с другими людьми, чем бы этот человек ни занимался.
Но не всегда бывает легко произвести редуцирование моральных принципов, носящих общий характер, применительно к ситуациям, характерным для той или иной профессии. Тем более, что современные профессии из сферы ИТ изобилуют достаточно сложными и неочевидными отношениями, в которые вступают люди.
Кроме того, далеко не все из многочисленных моральных принципов имеют значение для конкретной деятельности. Многие из принципов могут просто не иметь здесь своего применения, а другие - напротив, играть более важную роль, чем в обычных ситуациях.
Иными словами, «профессиональная этика» это не особенная этика для какой-то профессии, а всего лишь «проецирование» общих этических принципов на характерные ситуации данной профессии.
Этика должна позволить принимать решения там, где пасует Закон и Процедура. А в некоторых весьма редких, но важных случаях этика даже вступает в противоречие с Законом и Процедурой и корректирует их, не позволяя использовать «букву закона» во вред обществу.
Какие же этические ограничения следует наложить на методы защиты? На допустимые средства? На область применения суждений информационной безопасности?
В качестве отправной точки для кодификации этических принципов для информационной безопасности автор взял древний, проверенный столетиями этический кодекс медицины. В народе он известен как «клятва Гиппократа". Если отбросить античный антураж, она сводится к пяти основным принципам. Переформулировав их на современном языке и приложив к нашей отрасли, автор предлагает взять их за основу, но уже как пять этических принципов информационной безопасности.
Следующие пять моральных принципов предлагаются в качестве публичной и обязывающей политики для работников Межоператорской группы анализа инцидентов (МЕГА), которая создаётся по инициативе АДЭ и призвана, в частности, исполнять роль российского CERT'а. Не исключено, что в дальнейшем указанной политикой станут руководствоваться и иные службы информационной безопасности, и она может вырасти до полноценного «морального кодекса».
Ещё раз хочется подчеркнуть, что автор не пытался «выдумать» или «создать» или «ввести" моральные нормы. Их нельзя ввести. Они должны возникнуть сами. И только если такие этические нормы уже существуют, их можно изложить в явном виде, кодифицировать. Нет смысла спорить, какие этические нормы были бы полезны или логичны. Можно лишь попытаться понять и сформулировать уже существующие.
Пять этических принципов ИБ
Работники ИБ не должны отказывать людям поделиться знаниями в области информационных технологий и защиты информации. Эти знания должны передаваться безвозмездно всякому, кто выразит желание обучаться.
В своей деятельности работники ИБ должны избегать причинения вреда защищаемому объекту (побочного вреда) за исключением случаев, когда предотвращаемый вред заведомо превышает причиняемый.
В своей деятельности работники ИБ должны избегать причинения любого вреда непричастным, даже если благодаря этому будет предотвращён вред защищаемому объекту.
Работники ИБ не должны передавать кому-либо сведений об уязвимости, позволяющих эту уязвимость использовать (за исключением владельца или разработчика уязвимой системы - только с целью исправления уязвимости).
Работники ИБ не должны передавать кому-либо вредоносных программ или программ двойного назначения, если есть опасение, что они будут использованы во вред.
Полученный любым способом доступ в чужую систему или информацию о чужой системе работники ИБ должны использовать только для защиты, предотвращения вреда и повышения безопасности. Ни для каких других целей (в том числе, безобидных) такой доступ или информация использоваться не могут. По миновании необходимости такой доступ должен закрываться, а информация - уничтожаться.
Работники ИБ должны сохранять в тайне сведения, ставшие им известными в связи с оказанием услуг по защите, составляющие чью-либо коммерческую тайну, тайну частной жизни, профессиональную тайну, а также другую конфиденциальную информацию, независимо от наличия явного соглашения или обязательства о сохранении тайны.
Данные этические принципы рассматриваются не только в качестве первой попытки кодификации профессиональной этики «защитников информации». Они в виде официальной политики МЕГА представляют собой одну из гарантий участникам, что МЕГА будет исполнять свои функции непредвзято и справедливо.
Мораль и нравственность - совершенный образ действия, направленный на достижение гармонии с самим собой и с другими. Мораль служит предметом изучения этики. Степень моральности человека определяется его добродетельностью.
Необходимым компонентом оценочных моральных категория является понятие норма.
Мораль вступает в сложные отношения с правом. С одной стороны формализованная мораль становится правом. Десять заповедей - это одновременно моральный и уголовный закон.
Ныне право пытается частично поглотить мораль через понятие «морального ущерба». Однако мораль всегда остается сферой высших идей, делом совести, которая служит критерием для исторических правовых реформ. Кроме того, практика тоталитарных режимов показала, что иногда мораль может вступать в противоречие с правом. Современный философ Фрэнсис Фукуяма рассматривает мораль как социальный капитал, определяющий степень жизнеспособности общества.
Мораль и нравственность
В русском языке понятия морали и нравственности имеют разные оттенки. Мораль, как правило, подразумевает наличие внешнего оценивающего субъекта (других людей, общество, церковь и т. д.). Нравственность в большей степени ориентирована на внутренний мир человека и его собственные убеждения.
Нравственность в широком смысле - особая форма общественного сознания и вид общественных отношений.
Нравственность в узком смысле - совокупность принципов и норм поведения людей по отношению друг к другу и обществу.
Нравственность представляет собой ценностную структуру сознания, способ регуляции действий человека во всех сферах жизни, включая труд, быт и отношение к окружающей среде.
Тайна связи - часть 2 статьи 23 Конституции Российской Федерации (1993 года). Она гласит:
«Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения»
Тайна связи является неотчуждаемым правом (ч.2 ст. 17 Конституции РФ), то есть, человека нельзя лишить этого права, и он не может добровольно отказаться от этого права.
Правом на тайну связи охватываются личные сообщения, находящиеся в любых каналах связи или в распоряжении оператора связи, от момента отправки сообщения отправителем до момента получения сообщения адресатом. Служебные и рекламные сообщения не защищаются правом на тайну связи, однако это не означает, что служебные каналы связи разрешено контролировать (производить перлюстрацию).
Нарушением тайны связи признаётся ознакомление с охраняемым сообщением какого-либо лица кроме отправителя и получателя (его уполномоченного представителя). В некоторых видах связи, в силу их технических особенностей, допускается ознакомление с сообщением отдельных работников связи, как, например, при передаче телеграммы. В таких случаях нарушением будет считаться не ознакомление, а разглашение содержания сообщения. Наравне с самим сообщением, так же охраняются сведения о сообщении; для телефонных переговоров это номера вызывающего и вызываемого абонента, время звонка и его продолжительность.
Не следует путать право личности на тайну связи с правом лиц на коммерческую тайну, профессиональную тайну (адвокатскую, врачебную и т.д.). Другие виды тайн, также охраняются законом, но термин «тайна связи» относится только к личной жизни.
На всех операторов связи законом возложена обязанность принимать меры к охране тайны связи (ст. 63 закона РФ "О связи").
За нарушение тайны связи в России установлена уголовная ответственность, (ст. 138 УК РФ). Также возможна гражданско-правовая ответственность, если нарушение тайны связи повлекло материальный ущерб или моральный вред.
В настоящее время право на тайну связи считается составной частью так называемых «прав человека» - естественных и неотъемлемых прав личности, признанных на международном уровне.
Клянусь Аполлоном врачом, Асклепием, Гигией и Панакеей и всеми богами и богинями, беря их в свидетели, исполнять честно, соответственно моим силам и моему разумению, следующую присягу и письменное обязательство.
Считать научившего меня врачебному искусству наравне с родителями, делиться с ним своими достатками и в случае надобности помогать ему в его нуждах; его потомство считать своими братьями, и это искусство, если они захотят его изучать, преподавать им безвозмездно и безо всякого договора; наставления, устные уроки и все остальное в учении сообщать свом сыновьям, сыновьям своего учителя и ученикам, связанным обязательством и клятвой по закону медицинскому, но никому другому.
Я направлю режим больных к их выгоде сообразно с моими силами и моим разумением, воздерживаясь от причинения всякого вреда и несправедливости. Я не дам никому просимого у меня смертельного средства и не покажу пути для подобного замысла; точно так же я не вручу никакой женщине абортивного средства.
Чисто и непорочно буду я проводить свою жизнь и свое искусство. Я ни в коем случае не буду делать сечения у страдающих каменной болезнью, предоставив это людям, занимающимся этим делом.
В какой бы дом я ни вошел, я войду туда для пользы больного, будучи далек от всего намеренного, несправедливого и пагубного, особенно от любовных дел с женщинами и мужчинами, свободными и рабами. Что бы при лечении а также и без лечения я ни увидел или ни услышал касательно жизни людской из того, что не следует когда-либо разглашать, я умолчу о том, считая подобные вещи тайной.
Мне, нерушимо выполняющему клятву, да будет дано счастье в жизни и в искусстве и слава у всех людей на вечные времена; преступающему и дающему ложную клятву да будет обратное этому.