07.10.2016

Об этике CISO да и вообще любого специалиста по ИБ

В упомянутом вчера материале Reuters говорится, что, согласно неназванным источникам, запрос спецслужб вызвал отторжение у ряда высокопоставленных сотрудников Yahoo, некоторые из которых покинули компанию. Одним из них был Алекс Стамос, руководившей службой ИБ Yahoo. После Yahoo Стамос перешел на аналогичную должность в Facebook. Я не раз слушал Стамоса (и у нас в Cisco на внутренних мероприятиях, и на публичных конференциях) и могу сказать, что он очень грамотный и адекватный мужик, прекрасно понимающий реалии рынка ИБ. И вот ему становится известно о решении Yahoo передавать информацию спецслужбам в рамках действующего американского законодательства (интересно, раньше спецслужбы не обращались  что ли в Yahoo?). Он молча уходит из компании в Facebook, который, теоретически, ничем не отличается от Yahoo по части интереса для спецслужб. И только спустя год после его ухода, когда стало известно о соглашении между Yahoo и спецслужбами, упоминается, что Стамос ушел именно из-за этого. В соцсетях я видел уже немало хвалебных сообщений в сторону Стамоса. Мол, чувак поступил честно, как подсказывала совесть... И вот тут и возникает дилемма, которая и заставила меня написать эту заметку (если исходить из версии, что Yahoo действительно сливает данные в АНБ, а Стамос действительно ушел по этой причине, а не из-за того, что в растущей FB ему предложили больше денег, чем в угасающей Yahoo).

Насколько этично было со стороны Стамоса промолчать, уходя в Facebook, оставив миллионы пользователей своего бывшего работодателя в неведении относительно "нарушения" их прав на тайну переписки? Или надо было поступить как Сноуден и рубануть с плеча, выдав правду-матку в СМИ? Или надо было молча продолжать работать в Yahoo? Где та грань, после которой действия Стамоса могут считаться неэтичными? И могут ли они вообще таковыми считаться?

Сидеть и наблюдать со стороны за этой историей достаточно интересно и можно даже дистанцироваться от нее, пытаясь рассуждать об этике CISO. Должен он был или не должен раскрыть всем "заговор спецслужб против демократии"? Особенно легко рассуждать, когда у твоей компании нет вообще клиентов-физлиц и тебя эта ситуация может коснуться только в теории. Но каково должно было быть Стамосу, когда он узнал о решении Yahoo? Лично я не знаю, как бы поступил на его месте. Остаться, значит быть сопричастным и активно помогать (пусть и своим бездействием) ненавистным многим спецслужбам. Уйти в сторону, уволившись и выйдя на новую работу? Это принцип страуса, зарывающего голову в песок и живущего по принципе "моя хата с краю". Возможно. А возможно и нет. Громко кричать об этом на каждом углу и стать персоной нон-грата в США, как это произошло со Сноуденом или Ассанжем? Или персоной нон-грата у спецслужб, что означает будущие сложности в работе на такой роли, как у Стамоса (что в Yahoo, что в Facebook), где приходится контактировать со спецслужбами. Тихо  и анонимно слить весь компромат в WikiLeaks или СМИ и хоть так попробовать повлиять на ситуацию? Вопросов много, ответов нет. Точнее у каждого он будет свой.

Кстати, не стоит думать, что такая проблема есть только у CISO Интернет-компаний или операторов связи. Она есть у всех. Даже у тех, кто не работает с физлицами, а только с юрлицами. Ведь задача CISO защищать информацию своих клиентов от несанкционированного доступа. И клиенты, скорее всего, не дадут санкции на доступ к своим данным со стороны правоохранительных и специальных служб. Соответственно, CISO, под чьим контролем данные будут предоставлены в АНБ, МИ-6, Моссад, ФСБ, СБУ и т.п., тем самым нарушит то, ради чего его нанимали. А спецслужбы могут заинтересовать не только данные переписки, но и любая другая информация. Например, движение по счету юрлица или детали какого-либо контракта. И понятно, что государство печется (вроде как) об интересах всех граждан и в этом случае можно поступиться интересами отдельных граждан или их групп, но от этого не легче. Дилемма "интересы клиента или интереса государства" будет дамокловым мечом висеть над CISO и в каждом конкретном случае каждый CISO будет решать ее по своему.


Занимательный факт - 3 года назад, на 21-м DEFCONе, Стамос уже говорил об этой дилемме. Его доклад "An Open Letter - The White Hat's Dilemma: Professional Ethics in the Age of Swartz, PRISM and Stuxnet" был посвящен этой этической дилемме, кстати, применимой не только к CISO. Стамос на DEFCON говорил про White и Black Hat, про то, что мир поменялся и только в  фантастических романах он выглядит черно-белым, а в реальной жизни полно оттенков, которые и ставят многих специалистов перед дилеммой.


Выступление Стамоса было эмоциональном (выступал он как независимый эксперт) и изобиловало различными интересными примерами и философскими вопросами. Я взял их, расширил, и получил вот такой список (неполный, конечно):

  • Можно ли продавать собранные данные клиентов рекламным компаниям за деньги?
  • Можно ли читать личную переписку сотрудников и следить за их поведением в Интернет?
  • Можно ли продавать собранные в рамках исследования ПО одного вендора уязвимости его конкурентам?


  • Можно ли не сообщать клиенту о дырах в его системе защиты, если это не входит в scope работ?
  • Можно ли сотрудничать со спецслужбами и иными регуляторами, если считаешь политику Президента неверной?
  • Можно ли манипулировать вендором, ссылаясь на "лучшие условия" от конкурента?
  • Можно ли провоцировать сотрудников на нарушения для улучшения показателей своей работы?
  • Можно ли неофициально заказать взлом своей организации, чтобы вынудить руководство задуматься о своей безопасности?
  • Можно ли покупать уязвимости у Black Hat, провоцируя их и дальше заниматься своим черным делом?
  • Можно ли держать на работе "хакера", который днем считает себя White Hat, а ночью подрабатывает Black Hat?
  • Можно ли подсиживать своего руководителя, если ты считаешь себя умнее его?
  • Можно ли оставаться программистом в компании, если вы знаете, что она встраивает закладки в свою продукцию по требованию спецслужб?
  • Можно ли нарушить права одного человека, скрываясь за благом для большей группы людей?
  • Можно ли участвовать в создании наступательного кибероружия?
  • Можно ли участвовать экспертом в суде на стороне обвинения, зная, что ваша экспертиза может засадить человека за решетку на 3 года только на том основании, что в его логах есть факты посещения хакерских сайтов?
Этическая дилемма все чаще будет возникать в деятельности российских специалистов по ИБ, работающих как на стороне производителей, так и потребителей продуктов и услуг ИБ. Например, сейчас, в ситуации, когда разговор о тотальной слежке за гражданами уже вошел в окно Овертона и считается уже почти нормальным, заданный 3 года назад на DEFCON вопрос звучит вполне уместно:



Сам же Алекс Стамос похоже предвидел текущую историю с Yahoo (если она действительно выполняла требования спецслужб в рамках американского СОРМ). На 21-м DEFCON он сформулировал этическую дилемму и для себя. Тогда он очень быстро проскочил этот слайд, но сейчас мы видим, что похоже он выбрал вариант C (возможно до этого был и B).



ЗЫ. Кстати, такой вот опросник - хорошая тема для какого-либо мероприятия по ИБ. Надо будет замутить где-нибудь...

7 коммент.:

p.a.kulikov комментирует...

NDA при уходе и если не хочешь помогать Сноудену просить билет домой из далекой России, то будешь вспоминать лучшие годы работы в %company_name%

Unknown комментирует...

У Стамоса кроме выбора, связанного с профессиональной этикой, был выбор, связанный с законом, так как ордер Foreign Intelligence Surveillance Court является секретным по закону, так что прямое его разглашение было б чревато неприятностями уголовного порядка.

Алексей Лукацкий комментирует...

Насчет FISC - это домыслы. Четкого ответа, что за секретное распоряжение, еще нет. И опять же разговор уходит в плоскость - можно или нельзя по закону. А мы говорим об этике.

ЗЫ. Военные по закону убивают других людей.

Сергей Борисов комментирует...

На счет запросов спецслужб - это надумано и раздуто.
Они действуют в рамках своего законодательства. Они делают свою работу, а собирают данные для каких-то личных корыстных целей. В таких условиях передавать им данные вполне этично.
Этично ли не распространять информацию если ты подписал NDA? Вполне. Пообещал - делай.

Другие случаи конечно не такие очевидные, но в общем они сводятся к следующим вопросам (причем не для безопасника, а вообще для любого человека):
- можно ли обманывать своих клиентов?
- можно ли обманывать своих партнеров / друзей / коллег?
- нужно ли бороться если ты считаешь закон государства не правильным? Можно ли бороться незаконными способами?
Ответ на первые два вопроса - вроде не этично, но все это делают.

Все приведенные в статье можно свести к ним.
- Например, вендор продает одинаковый продукт двум разным заказчикам по разной стоимости
- Интегратор продает одинаковые услуги двум разным заказчикам по существенно разной стоимости
- Исполнитель заведомо делает работу не так качественно как мог бы, для того чтобы уложится в сроки или успеть сделать больше проектов
- Заказчик берет на тестирование железку которую заведомо не планирует приоретать
- Заказчик просит бесплатно помочь нескольких консультантов обещая потом платный проект, хотя заведомо известно что всем он не достанется, а то и вообще никому
- и т.п.
Все эти примеры, а также примеры из статьи сводятся к небольшому обману, который поможет решить какую то задачу человеков



Михаил Зырянов комментирует...

Наблюдал много скандалов с безопасниками (и не только ИБ). Полагаю, что "крест" безопасника в том, чтобы защищать информацию своего работодателя, пока на него работает, и молчать, не разглашать его информацию, когда безопасник от своего "хозяина" уходит. Можно много обсуждать, правильно ли это с точки зрения гражданской позиции, но, с точки зрения профессиональной, полагаю, следует поступать так.

Сноуден, конечно, молодчина, но, если по-чесноку, он был (возможно, и остается) наивным парнем, который свято верил в американскую демократию и в то, что спецслужбы реально защищают интересы граждан Америки. Собственно, и пошел на разглашение, когда начал понимать, что что-то не то творится в "Датском королевстве". Молодец - как гражданин.

Стамос тоже молодец - он не подставил своего бывшего работодателя, хотя точно не одобрял его действий. Молодец - как профессионал.

Евгений комментирует...

Конфликт профессиональной этики и, назовем ее так, общечеловеческой (идеалистической). Вопрос приоритета каждый решает для себя сам. Сноуден решил, что его идеалы демократии превыше профессиональной, Стамос наоборот. Видимо решил, что не такой уж большой урон демократии тем самым наносится, можно потерпеть. Нахождение в окне Овертона?

Алексей Лукацкий комментирует...

Окно Овертона тоже меняется