- COMP.SEC.100
- 4. Laki ja säädökset
- 4.13 Eettisyys
Eettisyys¶
Kyberturva-ammattilaiset joutuvat usein toimimaan luottamusta edellyttävissä tehtävissä, joissa erityiset tiedot ja taidot voivat antaa heille mahdollisuuden vaikuttaa asiakkaidensa tai muiden ihmisten asioihin tai häiritä niitä. Asiakassuhteiden ulkopuoliset toimijat, kuten tuotekehittäjät ja akateemiset tutkijat, soveltavat erityistaitoja tavalla, joka voi aiheuttaa vahinkoa monille kolmansille osapuolille. Mainittujen ammattilaisten toiminta tapahtuu usein suljettujen ovien takana kaukana julkisesta valvonnasta. Eettiset normit voivat auttaa vähentämään todennäköisyyttä hairahtua käyttämään väärin luottamusasemaa tai muuten aiheuttamaan merkittävää riskiä yleisölle.
Varhaiset kyberturvallisuuden eettiset ohjeet keskittyivät merkittävästi oikeudellisten riskien hallintaan, kuten vastuisiin, joita aineettomia oikeuksia ja yksityisyyttä koskeviin lakeihin liittyy. Vaikka ammattilaisten tulee pysyä tietoisina heidän toimintaansa koskevista laeista, lain noudattaminen voi yksinään olla riittämätöntä ohjaamaan eettiseen toimintaan.
Kyberturva-ammatteja harjoitetaan yleensä ilman muodollista sääntelyä tai lisenssiä, toisin kuin esim. lääkärintointa. Siksi on vaikea tunnistaa yleistettäviä normeja, joita turva-alan toimijoiden tulisi soveltaa. Tässä luvussa tarkastellaan joitain keskeisiä ilmiöitä ja mahdollisia ohjeiden lähteitä.
Velvoitteet asiakasta kohtaan¶
Kun kyberturva-alan ammatilliset yhteisöt kehittävät eettisiä normeja, ne voivat hakea mallia siitä, millaisia velvollisuuksia asiakkaita kohtaan on säännellyissä ammateissa. Ainakin voidaan tunnistaa erilaisia sopimus- tai vahingonkorvausoikeuteen perustuvia huolellisuusvelvoitteita, joiden mukaan palveluja ja muita riskialttiita toimintoja pitää suorittaa järkevällä tavalla ja riittävällä asiantuntemuksella. Tuotesuunnittelijoilla jo on oikeudellisia velvoitteita normaalien vahingonkorvaussäädösten mukaisesti.
Säänneltyjen ammattilaisten odotetaan yleensä toimivan asiakkaidensa edun mukaisesti, välttävän eturistiriitoja ja säilyttävän asiakassuhteiden luottamuksellisuuden. Vaikka tämäntyyppisten velvoitteiden hyväksyminen sopimuksella on usein kiistatonta, vaikeuksia voi syntyä, kun tietoturvan harjoittaja ja asiakas ovat eri mieltä sopivimmasta toimintatavasta tietyissä olosuhteissa.
Haasteita voi syntyä koskien todisteiden vapaaehtoista luovuttamista kolmansille osapuolille. Jos ammatinharjoittaja havaitsee todisteita väärinkäytöksestä eikä ole lakisääteistä velvollisuutta ilmoittaa siitä, ammatinharjoittaja ja asiakas voivat olla eri mieltä asiasta. Hyvinkin kiinnostuneita kolmansia osapuolia voivat olla poliisiviranomainen, CERT tai vahingonkorvaukseen oikeutettu. Tällaisissa tapauksissa voi olla vaikea navigoida. Asiakkaaseen kohdistuneen talousrikoksen (esim. pikkuvarkaus) tapauksessa asiakas voi pitää julkisuutta haitallisempana kuin asian käsittelyä yksinomaan sisäisten seuraamuskäytäntöjen mukaisesti. Tapauksissa, joissa työntekijän todetaan vahingoittaneen kolmatta osapuolta vahingonkorvaukseen johtaneilla toimilla, kuten huolimattomuudella, todisteiden paljastaminen uhrille voi vahingoittaa asiakkaan yritystä.
Muita vaikeita tapauksia syntyy, kun ammatinharjoittajan ja asiakkaan edut eivät ole samansuuntaiset. Jotkut ammattieettiset järjestelmät esimerkiksi sallivat säännellyn ammattilaisen paljastaa joitain osia asiakkaan luottamuksellisista tiedoista osana laskun perintää, esim. nostamalla kanteen luottamuksellisten palvelujen toimittamiseen liittyvän sopimusrikkomuksen vuoksi. Tällaiset paljastukset pitää tavallisesti rajoittaa tietoihin, jotka ovat tarpeen perinnän toteuttamiseksi, ja niihin voi liittyä velvollisuus pyytää asianmukaisia suojamääräyksiä tuomioistuimesta.
Ammatinharjoittajan toimet esim. tunkeutumistestauksessa voivat häiritä asiakkaan infrastruktuurin toimintaa. Sopimuksen mukaisina ja vähimmillään nämä toimet ovat epämiellyttäviä mutta voivat pahimmillaan täyttää rikoksen tunnusmerkit. Kyseessä ei välttämättä ole pelkkä tunarointi vaan meneillään voi olla ammatinharjoittajan epäeettinen yritys vaikuttaa asiakkaaseen. Sellaisilla toimilla uhkaaminen suoraan tai epäsuoraan ei ole sen hyväksyttävämpää
Nähtäväksi jää, tulevatko kyberturva-ammattilaisten ja asiakkaiden väliset suhteet aikanaan muodollisen sääntelyn tai luvan alaisiksi.
Eettiset ohjeistot¶
Erinäiset ammatilliset yhteisöt ovat julkaisseet käyttäytymissääntöjä ja eettisiä ohjeita kyberturvallisuuden ammattilaisille. Monet niistä viittaavat korkean tason eettisiin periaatteisiin antamatta yksityiskohtaisia ohjeita, jotka olisivat tarpeen auttamaan periaatteiden tulkinnassa. Alla on esimerkkejä kahdesta tuoreehkosta ja huolellisesti harkitusta säännöstöstä. Toinen on muotoiltu yleisesti sovellettavaksi ja toinen on rakennettu määritellyn liiketoimintaprosessin ympärille.
Association for Computing Machinery eli ACM sai alkunsa silloin kuin tietokoneetkin. Siihen kuuluu yli 100 000 jäsentä. ACM:n eettisiä ja ammatillisia käyttäytymissääntöjä tarkistettiin laajasti vuonna 2018 ottamaan paremmin huomioon kehittyneiden datayhteyksien vaikutukset. Uudistettu ACM-säännöstö (code of ethics) tarjoaa useita kyberturvallisuuden alaan liittyviä ohjeita. ACM tarjoaa myös lisämateriaalia, joka auttaa säännöstön ymmärtämisessä ja soveltamisessa.
ACM-säännöstö osoittaa selkeästi vaikeudet tasapainottaa eettisiä vaatimuksia. Haittojen välttämistä koskevassa kehotuksessaan (kohta 1.2) se toteaa, että “lisävelvoite on raportoida kaikista järjestelmäriskeistä, jotka voivat aiheuttaa vahinkoa”. Vaikka käytännesäännöissä käsitellään “whistle-blowing” -mahdollisuutta raportointitekniikkana tietyissä olosuhteissa, se varoittaa myös siitä, että “harkitsematon tai harhaanjohtava riskien ilmoittaminen voi itsessään olla haitallista. Ennen kuin raportoit riskeistä, tietojenkäsittelyn ammattilaisen tulee arvioida huolellisesti tilanteeseen liittyvät näkökohdat.”
Hyvin toisenlainen järjestö on CREST. Se perustettiin Englannissa 2000-luvun alussa ja alun perin se oli penetraatiotestausta tarjoavien yritysten järjestö. Vuonna 2019 sillä oli yli 180 akkreditoitua jäsenyritystä. Penetraatiotestaus on tyyppiesimerkki huolta aiheuttavasta palvelusta: Asiakkaat eivät yleensä pysty erottamaan hyviä käytäntöjä huonoista; palveluita tarjotaan luottamuksellisesti julkisen valvonnan ulkopuolella, ja ammatinharjoittajien virheet voivat aiheuttaa suhteetonta haittaa asiakkaille tai kolmansille osapuolille. CREST tarjoaa ammattilaisille osaamissertifikaatteja, joilla asiakkaat saavat hyvän käsityksen ainakin taidoista. Sertifikaatin yhtenä vaatimuksena on CRESTin eettinen säännöstö, CREST-koodi. Se antaa ohjeita lukuisista näiden palvelujen toimittamiseen liittyvistä aiheista, mukaan lukien palvelumenetelmät, eettiset liiketoimintakäytännöt ja velvollisuudet asiakkaita kohtaan. CREST tarjoaa asiakkaille valitusmekanismin ja varaa oikeuden erottaa jäsenyydestään ne, jotka eivät noudata CREST-koodia. Siinä määrin kuin asiakkaat alkavat vaatia, että palveluntarjoajat säilyttävät CREST-jäsenyyden, niiden toimeksiannot voivat vähitellen muuttaa CRESTin puhtaasti vapaaehtoisesta järjestöstä näiden palvelujen tarjoajien tosiasialliseksi sääntelijäksi.
Yleisen tason säännöstöt ovat hyödyllisiä ohjeistaessaan laajaa kyberturva-ammattilaisten yhteisöä, ihmisiä, jotka voivat työskennellä niinkin erilaisilla aloilla kuin tutkimus- ja kehitystyö tai turvallisuusjohtaminen. Palvelukohtaiset säännöstöt ovat hyödyllisiä keskittyessään selkeästi tiettyihin korkean riskin palveluihin. Erilaiset säännöstöt epäilemättä kehittyvät sitä mukaa, kun kyberturva-ammattilaisten toiminnan vaikutuksia ymmärretään entistä paremmin.
Haavoittuvuustestaus ja julkitulo¶
Tietojärjestelmistä etsitään haavoittuvuuksia ja niistä tiedotetaan. Kumpikin aiheuttaa eettisiä ongelmia.
Haavoittuvuustestaus¶
Tietoturva-aukkoja etsivien pitää ymmärtää toimintansa luonne. Eettistä ongelmaa ei yleensä ole, kun tutkitaan konkreettisia laitteistotuotteita, lisensoituja ohjelmistoja, jotka sijaitsevat omissa laitteissa, julkaistuja kryptoprimitiivejä tai viestintäprotokollia. Vaikka kohteena olisi saman suljetun kryptosysteemin takaisinmallintaminen, laillisuus voi olla erilaista riippuen siitä, missä kohteessa sitä tehdään. Tällainen tilanne ilmeni vuonna 2013 Volkswagenin ajonestojärjestelmästä haavoittuvuuden löytäneille tutkijoille, jotka saivat julkistamisesta syytteen. He eivät olleet tutkineet kryptosysteemin toimintaa laitteessa vaan kolmannen osapuolen ohjelmistossa (Megamos, ks. pitkä selvitys).
Kun haavoittuvuustestaus suoritetaan etänä, tietojärjestelmään sisälle hankkiutuminen saattaa olla rikos. ACM-säännöstä (kohta 2.8) toteaa, ettei järjestelmän julkisuus sinänsä tarkoita pääsyoikeutta. Myös “bug bounty” -ohjelmaan osallistuvien hakkereiden pitää tuntea ehdot hyvin, jotta he eivät ylittäisi valtuuksiaan.
Testaajien tulisi punnita menetelmiensä mahdollista vaikutusta julkisen tai yksityisen infrastruktuurin vakauteen, sekä kohteessa että välittäjien ja muiden kolmansien osapuolten järjestelmissä.
Haavoittuvuuksien paljastaminen¶
Tietoturva-aukon löytäjä joutuu valitsemaan, mitä tehdä uudella tiedolla. Vaihtoehtojen kirjo on laaja. Ääripäinä ovat omana tietona pitäminen ja yksityiskohtainen julkaisemiseen välittömästi koko maailmalle.
Jotkut eivät halua paljastaa tietoja välttääkseen monimutkaisia eettisiä ongelmia ja mahdollista vastuuta. Tätä kantaa on vaikea sovittaa yhteen ACM-säännöstön kohdassa 2.8 ilmaistun eettisen periaatteen kanssa. Sen mukaan pitää ilmoittaa järjestelmäriskeistä, jotka voivat aiheuttaa vahinkoa.
Valtion turvallisuusvirastoa lähellä oleva toimija saattaa haluta pitää salaisuuden laskettuaan, että paljastamisen riskit ja hyödyt ovat suuremmat kuin salassapidon riskit ja hyödyt. Tämän tasapainottelun etiikka on jatkuvasti keskustelun kohteena.
Välittömästi ilman ennakkovaroitusta julkaiseva voi myös tehdä niin useista eri syistä. Joidenkin mielestä tämä on ainoa varma tapa kannustaa kehittäjiä korjaaviin toimiin. Jotkut eivät halua käyttää aikaa jäljempänä kuvattuihin yksityisiin ja julkisiin ilmoituksiin. Toiset taas pelkäävät, että yhteydenotolla kehittäjiin saa aikaan oikeudellisen väliintulon, joka kieltää paljastamisen. Näitä näkökulmia on vaikea sovittaa yhteen ACM-säännöstön ohjeiden kanssa. Monet ammatinharjoittajat noudattavat periaatetta, joka tunnetaan nimellä vastuullinen paljastaminen. Ajatuksena on kertoa ensin luottamuksellisesti tahoille, jotka saattavat pystyä korjaamaan haavoittuvuuden tai lieventämään sen vaikutusta. Kun sopiva aika on kulunut, löytäjä voi julkistaa havaintonsa. Ajatuksena on, että tieto antaa muille ammatinharjoittajille mahdollisuuden tutkia ja välttää samanlaisia haavoittuvuuksia ja/tai kannustaa tuotteen ja palvelun tarjoajia korjaamaan haavoittuvuus. Ei kuitenkaan näytä olevan yleisesti hyväksyttyjä periaatteita vastuullisen paljastamisen asianmukaisesta suorittamisesta. Eroavia kohtia ovat:
- kuinka hallita yksityistä paljastamista, kun haavoittuvuus
- on osa laajasti hyväksyttyä alan standardia;
- löydetään tuotteesta, joka muodostaa osan tai komponentin jatkojalostustuotteissa;
- sopivan ajan määrittäminen yksityisten ja julkisten tiedottamisten välillä;
- sen määrittäminen, mitkä olosuhteet vaativat lykkäämään julkistamista;
- toimintatavan valinta, jos vaarantuneiden tuotteiden toimittajat tai ostajat ovat eri mieltä löytäjän kanssa julkistamisen viisaudesta tai ajoituksesta.
Haavoittuvuuksien julkinen paljastaminen voi myös aiheuttaa vahingonkorvausvastuun paljastajalle, varsinkin jos paljastamisprosessi on huonosti hallittu tai haavoittuvuus on kuvattu väärin.
“Vastuullinen julkistaminen ilman harkintaa” ei välttämättä ole lainvalvojien hyväksymä periaate, kuten edellä mainittu VW-Megamos -tapaus osoitti.
Pyrkimykset saada julkistamisesta taloudellista hyötyä aiheuttavat myös keskustelua. Taloudellisen palkkion hyväksyminen valmistajan julkaiseman “bug bounty” -ohjelman mukaisesti näyttää olevan laajalti hyväksytty, varsinkin kun valmistaja hallitsee ohjelman ehtoja. Kiistanalaisempia taktiikoita ovat:
- palkkion pyytäminen valmistajalta ehtona haavoittuvuudesta kertomiselle:
- haavoittuvuutta koskevan tiedon myyminen sellaisten tietojen välittäjälle;
- osake- tai muu kauppa, joka muodostuu tuottavaksi, koska on etukäteen tietoa pian julkistettavasta ongelmasta.
Jos haavoittuvuus on löytynyt osana turvallisuustutkijan työtä, siitä mahdollisesti saatu palkkio ei välttämättä kuulu kokonaan löytäjälle.
Haavoittuvuuksien paljastamisen toimintamallit¶
Tuotteiden ja palvelujen tuottajien olisi hyvä suunnitella, kuinka ne voisivat helpottaa tiedonsaantia haavoittuvuuksista ja reagointia niihin tavalla, joka minimoi haavoittuvuuden aiheuttamat haitat.
Hyviä periaatteita tähän olisi, että tuottaja
- ilmoittaa hyväksyttävistä menetelmistä, joilla haavoittuvuuksien etsijät voivat tiedottaa löydöksistään;
- näkee vaivaa varmistaakseen haavoittuvuuden sen paljastumisen jälkeen;
- kehittää korjaavia tai lieventäviä menettelyjä;
- jakelee korjauksia;
- työskentelee toimitusketjun kumppanien kanssa ja
- antaa palautetta löytäjälle.
Ohjeisto käytäntöjen ja prosessien kehittämiseksi löytyy standardeista ISO/IEC 29147 (haavoittuvuuksia koskevien tietojen vastaanottaminen ja käsitteleminen) ja ISO/IEC 30111 (haavoittuvuuksien tarkistamis- ja korjaamisprosessi). Joissain maissa myös virastot ovat julkaisseet ohjeita tästä aiheesta.