Anteriormente, você foi apresentado ao conceito de ética de segurança. A ética de segurança é um conjunto de diretrizes para tomar decisões apropriadas como profissional de segurança. Ser ético exige que os profissionais de segurança permaneçam imparciais e mantenham a segurança e confidencialidade dos dados privados. Ter um forte senso de ética pode ajudá-lo a navegar em suas decisões como profissional de cibersegurança, para que você possa mitigar as ameaças representadas pelas táticas e técnicas em constante evolução dos agentes de ameaças. Nesta leitura, você aprenderá sobre mais conceitos éticos que são essenciais para saber para que possa tomar decisões apropriadas sobre como responder legal e eticamente a ataques de uma forma que proteja organizações e pessoas.
Preocupações éticas e leis relacionadas a contra-ataques
Posição dos Estados Unidos sobre contra-ataques
Nos Estados Unidos, implantar um contra-ataque em um ator de ameaças é ilegal por causa de leis como a Computer Fraud and Abuse Act de 1986 e a Cybersecurity Information Sharing Act de 2015, entre outras. Você só pode defender. O ato de contra-atacar nos Estados Unidos é percebido como um ato de vigilância. Um vigilante é uma pessoa que não é membro da polícia que decide parar um crime por conta própria. E como os agentes de ameaças são criminosos, os contra-ataques podem levar a um maior agravamento do ataque, o que pode causar ainda mais danos e prejuízos. Por fim, se o agente de ameaças em questão for um hacktivista patrocinado pelo Estado, um contra-ataque pode levar a sérias implicações internacionais. Um hacktivista é uma pessoa que usa hacking para alcançar um objetivo político. O objetivo político pode ser promover a mudança social ou a desobediência civil.
Por essas razões, os únicos indivíduos nos EUA que podem contra-atacar são funcionários aprovados do governo federal ou militares.
Posição internacional sobre contra-ataques
O Tribunal Internacional de Justiça (ICJ), que atualiza suas orientações regularmente, afirma que uma pessoa ou grupo pode contra-atacar se:
- O contra-ataque afetará apenas a parte que atacou primeiro.
- O contra-ataque é uma comunicação direta pedindo ao invasor inicial que pare.
- O contra-ataque não agrava a situação.
- Os efeitos do contra-ataque podem ser revertidos.
As organizações normalmente não contra-atacam porque os cenários e parâmetros acima são difíceis de medir. Há muita incerteza ditando o que é e o que não é legal e, às vezes, resultados negativos são muito difíceis de controlar. As ações de contra-ataque geralmente levam a um resultado pior, especialmente quando você não é um profissional experiente na área.
Para saber mais sobre cenários específicos e preocupações éticas de uma perspectiva internacional, consulte as atualizações fornecidas no Manual de Tallinn online.
Princípios e metodologias éticas
Como os contra-ataques são geralmente desaprovados ou ilegais, o reino da segurança criou frameworks e controles – como a tríade de confidencialidade, integridade e disponibilidade (CIA) e outros discutidos anteriormente no programa – para abordar questões de confidencialidade, proteção de privacidade e leis. Para entender melhor a relação entre essas questões e as obrigações éticas dos profissionais de cibersegurança, analise os seguintes conceitos-chave relacionados ao uso da ética para proteger organizações e as pessoas que elas atendem.
- Confidencialidade: significa que apenas usuários autorizados podem acessar ativos ou dados específicos. A confidencialidade, no que diz respeito à ética profissional, significa que é necessário um alto nível de respeito pela privacidade para proteger ativos e dados privados.
- Proteção de privacidade: significa proteger informações pessoais de uso não autorizado. Informações pessoalmente identificáveis (PII) e informações pessoais identificáveis sensíveis (SPII) são tipos de dados pessoais que podem causar danos às pessoas se forem roubados. Os dados PII são quaisquer informações usadas para inferir a identidade de um indivíduo, como seu nome e número de telefone. Os dados SPII são um tipo específico de PII que se enquadra em diretrizes de tratamento mais rígidas, incluindo números de segurança social e números de cartão de crédito. Para proteger efetivamente os dados PII e SPII, os profissionais de segurança têm a obrigação ética de proteger as informações privadas, identificar vulnerabilidades de segurança, gerenciar riscos organizacionais e alinhar a segurança com os objetivos de negócios.
- Leis: são regras reconhecidas por uma comunidade e aplicadas por uma autoridade governamental. Como profissional de segurança, você terá a obrigação ética de proteger sua organização, sua infraestrutura interna e as pessoas envolvidas com a organização.
Para fazer isso:
- Você deve permanecer imparcial e conduzir seu trabalho com honestidade, responsabilidade e com o mais alto respeito à lei. Isso significa que você não deve tomar decisões com base em preconceitos pessoais ou favorecer um grupo ou indivíduo em detrimento de outro. Você também deve estar ciente das leis e regulamentos aplicáveis à sua organização e setor, e garantir que suas ações estejam em conformidade com eles.
- Seja transparente e justo, e baseie-se em evidências. Isso significa que você deve ser aberto e honesto sobre suas decisões e ações, e que deve ser capaz de justificar suas decisões com base em evidências sólidas. Você também deve estar disposto a considerar todos os lados de uma questão antes de tomar uma decisão.
- Garanta que você está constantemente investido no trabalho que está fazendo, para que possa abordar de forma apropriada e ética os problemas que surgem. Isso significa que você deve estar sempre atento às ameaças e vulnerabilidades de segurança mais recentes, e estar pronto para tomar medidas para mitigar esses riscos. Você também deve estar disposto a aprender e se adaptar às novas tecnologias e práticas de segurança.
- Mantenha-se informado e se esforce para aprimorar suas habilidades, para que possa contribuir para a melhoria do cenário cibernético. Isso significa que você deve participar de treinamentos e cursos de atualização regularmente, e estar familiarizado com as tendências e desenvolvimentos mais recentes no campo da segurança cibernética. Você também deve estar disposto a compartilhar seus conhecimentos e experiências com os outros.
Como exemplo, considere a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), que é uma lei federal dos EUA estabelecida para proteger as informações de saúde dos pacientes, também conhecidas como PHI, ou informações de saúde protegidas. Esta lei proíbe o compartilhamento de informações de pacientes sem seu consentimento. Portanto, como profissional de segurança, você pode ajudar a garantir que a organização para a qual trabalha cumpra sua obrigação legal e ética de informar os pacientes sobre uma violação se seus dados de saúde forem expostos.
Como futuro profissional de segurança, a ética desempenhará um papel importante em seu trabalho diário. Compreender a ética e as leis ajudará você a fazer as escolhas corretas se e quando você encontrar uma ameaça de segurança ou um incidente que resulte em uma violação.
Ao seguir os princípios éticos e legais discutidos acima, você pode ajudar a proteger sua organização, seus clientes e seus funcionários de ameaças cibernéticas. Você também pode contribuir para criar um ambiente cibernético mais seguro e confiável para todos.