一位欧洲资深安全从业人员对行业潜规则的吐嘈
作者:星期四, 十二月 18, 20140

编者注:本文原文作者为约翰·沃克尔,英国网络安全企业Cytelligence首席技术官,大学客座教授及英国网络安全研究所资深会员,电子取证调查专家。

0我现在从事信息安全工作已经30年了,我开始怀疑,是不是在这行业待得太久了。同时我也怀疑,2014年里我做事的风格和方法是否有违职业道德。最后我开始问自己,是不是必需做出改变,以跟上不断成长的行业“规则”。

我还记得,即使在我早年的职业生涯中,也有很多人给我提供所谓的“灰色收入”,但我从来都没有接受过。但当时在我们企业身处要职的另外一些人就接收了,后来被人发现并被解雇。

2014年,我又遇上了类似的事情。那是我受邀拜访一家汽车制造商,去该公司评估安全和渗透测试评估服务。该公司的首席信息安全官邀我在餐厅与他会面,并进行了私下的会谈。会谈中他暗示我,要想拿下这笔业务,就要适当打点打点,让我将利润的40%“返点”给他,即所谓的“灰色收入”的一种。

现在回想起来,我当时非常渴望拿下这笔业务,而我也非常清楚,拿下这样的一笔业务不仅不光彩,而且会严重影响到我的个人意志。不久,我再次受邀参与报价,再次被提醒要“慎重考虑”。

会后,我再三斟酌了目前的状况,最终毅然退出。尽管这是一笔看上去非常划算的业务,但我想,大概是职业道德挡住了我的财路吧。

让我们再回到那些组织人员之间棘手的职业道德问题,不同的人可能会出现很大的意见冲突,但有些事情说出来不见得是好事。英国贸易行业的一些机构,并不在意暴露他们的客户群体和合作伙伴,而这些信息极易被网络犯罪组织盯上并利用。

比如,当前正在推进部署的智能电表入户计划,有许多安全问题被忽略,尽管有人知道这些安全问题和漏洞的存在。说是要保护客户的敏感信息,但似乎没人担心内部信息泄露的问题,要知道这个计划的实施者包括成千上万的员工、承包商和第三方,而他们都有可能接触到这些敏感的资产。(安全牛注:英国能源与气候变迁部2010年宣布,英国能源供应商必须负责在2020年将该国所有房屋全面转换至智能电表,估计总替换成本将达142.5亿美元,需要更换的电表数量则达到4,700万台。

这些事情好像还不足以说明,我们摒弃了安全从业人员的职业操守,虽然这些信息资产可以轻松下载到任何存储介质上,不管它是智能手机、U盘,还是20G的存储设备,更为严重的是这些数据可以被毫无限制的访问。

而所有这一切却被在位的首席信息安全官以及他的安全经理和许多安全专业人员所容忍。这时,职业道德就被默不作声以保全组织声誉的完整性所代替,但同时他们却漠视了公众,漠视了他们的商业伙伴,漠视了他们向管理机构提交的虚假报表。

信息安全是这样一个行业,它的职业操守至少不能低到乐于容忍不安全和信息暴露的程度。如果连这一点都做不到,那么我们就只能接受不安全是正常的,进而接受对经济的影响,而不安全这一“标准”的泛滥也是自然而然的了。

如果我们认为这样一种做法是站得住脚的,是遵守诸如ISSA和ISACA等此类组织规范的,那么也许我们需要重新考虑一下我们的身份了。既然我们可以把我们的雇主信息暴露,那么我们又比另一些人好到哪里了呢?比如,罪犯?

所以,在2014年结束之际,我开始问自己并把自己的想法发出来,让大家看一看是否符合信息安全行业的职业准则。也许这样做并不“时尚”,也得不到某些人的尊重,但我坚信这些品质是一个正直的安全从业人员在2014年应该坚守的,也是我们这个数字经济社会安全的必要保证。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章