每日SWbeplay2018官网IG与Jeroen van der Ham谈到了第一条道德规范如何帮助整个安全社区建立信任
在网络安全空间内保持道德实践有时可能具有挑战性,尤其是考虑到不断发展的威胁景观。
不同的国际法律和政策,政府优先事项以及供应商和组织的庞大数量也可能在完成工作时陷入困境,而无需无意间越过界限 - 合法或其他方面。
作为回应,一群来自第一的人,事件响应和安全团队的论坛伦理学第一团队,一个专门为Infosec专业人员创建和促进道德守则框架的特殊兴趣小组。
该准则建立在信任和声明的观念上,即网络安全工作者有责任遵守协调脆弱性披露,以告知受安全事件影响的人,并承认管辖权范围。
这些建议是由跨部门的道德团队成员撰写的,包括供应商,政府代表和安全领域的其他工人。首先保持它年度会议下周,由于19020年的大流行,该活动将在2020年举行。
每日swbeplay2018官网ig在活动开始之前,与NCSC-NL的高级研究员,NCSC-NL的高级研究员和荷兰特威特大学的副教授与Jeroen van der Ham进行了交谈,以讨论管理行为,建立信任和维持伦理标准,并保持道德标准。整个行业。
杰罗恩·范·德·哈姆
beplay2018官网Daily Swig:何时首次组建道德团队,这是由于任何特定事件的结果吗?
Jeroen van der Ham:伦理SIG(特别兴趣小组)于2016年在首尔举行的第一届会议上成立。一小撮来自社区的经验丰富的人聚集在一起,认为制定道德规范很重要。
没有什么具体的事件,而是看到许多不同的发展,例如事件处理的专业化,许多不同的(国际)政策发展以及第一个社区的增长,使得有必要使隐性行为代码明确。
面试协作虫子狩猎“可能非常有利可图” - 亚历克斯·查普曼(Alex Chapman)关于道德黑客的未来
DS:团队坚持的核心原则是什么?
JH:道德信号由许多经验丰富的事件处理人员组成,他们珍惜社区及其所做的工作。这转化为伦理学的基础:可信赖。
《道德守则》的所有其他要素以此为基础,以使安全团队之间的可预测行为。不同的职责解释了建立信任关系以及不同团队的期望的含义。
但是该守则还解释说,有时候职责是冲突的,并希望提供一种手段和词汇来解释必须做出的决定,同时仍试图维持不同团队之间的信任关系。
事件响应和安全团队的道德规范
EthicsFirst旨在激发和指导所有Infosec团队成员的道德行为。预计其信徒将遵守职责:
- 可信赖的职责
- 协调脆弱性披露的义务
- 保密义务
- 承认的责任
- 授权义务
- 通知的责任
- 尊重人权的义务
- 团队健康的责任
- 责任团队能力
- 负责任的责任
- 承认管辖权边界的义务
- 循证推理的义务
DS:您能否谈谈框架 - 您如何决定包括什么?
JH:一组职责是第一个道德信号中许多讨论与合作的结果。我们首先查看相关守则,例如ACM道德规范,也是美国心理学协会或会计师代码的代码。另一个重要成分是安全界隐含的预期行为。
最后,我们敏锐地意识到我们工作的国际性质,涵盖了许多不同的文化,因此我们也试图考虑到这一点。
最后,我们谈到了SIG成员经历了许多不同的困境,并试图取消扮演的重要职责,直到我们很高兴我们有一系列相当完整的重要职责。
DS:道德团队如何与行业中的其他人(例如供应商或政府机构)进行互动?
JH:伦理学SIG是来自供应商,政府机构和其他领域其他人的一组安全从业人员,因此没有正式的互动,而是从这个公开工作组中汇聚在一起的所有不同利益相关者的意见。
DS:最后,在未来几个月/几年中,道德团队的计划是什么?有什么项目正在进行吗?
JH:伦理学SIG目前正在研究示例案例的集合,以帮助说明不同职责的影响。这些可以用作道德规范的附录,也可以用作教学工具。我们目前正在最终确定该过程,并希望明年年初发布。
