Morální dilemata kyberbezpečnostního testování

Morální dilemata v oblasti kyberbezpečnostního testování mohou mít pro organizace zásadní význam, například v souvislosti s jejich důvěryhodností a reputací či s různými (finančními aj.) ztrátami v případě porušení zákona, ztráty dat, výpadku informačního systému a podobně. V důsledku se může jednat dokonce o dopady na zdraví či život lidí. Organizace musí být schopny plnit své závazky vůči zákazníkům, partnerům a dalším zainteresovaným stranám v oblasti kyberbezpečnosti, a proto „musí“ mít plán na řešení morálních dilemat, která se v této oblasti mohou objevit.

Pokud organizace nedokáže řešit morální dilemata v oblasti kyberbezpečnostního testování, může to vést k narušení důvěry zákazníků a partnerů, což má vliv na ziskovost a výkonnost organizace a riziko podrobení organizace právním postihům, pokud se nedodržují zákony v oblasti kyberbezpečnosti a ochrany osobních údajů.

Organizace by měla mít etický kodex, který stanoví, jakým způsobem se budou řešit morální dilemata, která se v oblasti kyberbezpečnosti objeví. Tento kodex by měl být znám všem zaměstnancům a měl by být pravidelně aktualizován s ohledem na aktuální situaci a trend v oblasti kyberbezpečnosti. Všichni zaměstnanci organizace by měli mít přístup k vzdělávání a tréninku v oblasti etiky a morálky, aby byli schopni řešit morální dilemata v rámci své práce.

V neposlední řadě, organizace by měla mít systém pro monitorování a řešení morálních dilemat v oblasti kyberbezpečnosti, aby byla schopna identifikovat a řešit tyto problémy v co nejranější fázi. Pokud organizace dokáže efektivně řešit morální dilemata v oblasti kyberbezpečnostního testování, může to vést k vyšší důvěryhodnosti a reputaci organizace a zároveň snížit rizika potenciálních negativních dopadů.

Kyberbezpečnostní testeři se během své práce mohou setkat s mnoha morálními dilematy, mezi něž patří například:

1. Ne/etický hacking: Kyberbezpečnostní testeři často používají techniky, které mají potenciál být nelegálními. Testují bezpečnostní slabiny systému, což může zahrnovat útoky (i když jen simulované) na systém a zneužití zranitelnosti. Testeři se často musí rozhodovat, jak daleko mohou v této činnosti zajít a která aktivita je či není etická.
2. Neetické chování jiných lidí: Kyberbezpečnostní testeři se musí také rozhodnout, jak postupovat, když narazí na neetické chování jiných lidí v organizaci.
3. Ohrožení dat: Kyberbezpečnostní testeři často pracují s citlivými údaji a informacemi, jako jsou osobní údaje, finanční informace a obchodní tajemství. Musí se rozhodnout, jak zacházet s těmito informacemi, aby nebyly zcizeny, zneužity apod.
4. Porušování práv uživatelů: Při testování bezpečnosti se mohou kyberbezpečnostní testeři dostat do situace, kdy porušují práva uživatelů, například tím, že poruší soukromí uživatele nebo omezí přístup uživatele k systému.
5. Výpadky systému: Testování bezpečnosti může způsobit výpadky systémů a může tak ohrozit bezpečnost uživatelů. Kyberbezpečnostní testeři musí zvažovat, jaký je rizikový profil testovaného systému a s jakými negativními důsledky kyberbezpečnostního testu se mohou setkat.
6. Konflikty zájmů: Kyberbezpečnostní testeři mohou mít konflikty zájmů, pokud pracují pro společnost, která daný systém vytváří. Mohou se ocitnout v situaci, kdy jsou motivováni minimalizovat závažnost či četnost bezpečnostních problémů, aby nepoškodili zájmy firmy.
7. Konflikt s vedením firmy: Kyberbezpečnostní testeři se mohou ocitnout v konfliktu s vedením firmy, pokud jsou nuceni neohlásit zranitelnosti, aby minimalizovali vliv na reputaci firmy.
8. Zneužití znalostí: Kyberbezpečnostní testeři mají přístup k citlivým informacím a technologiím. Musí se rozhodnout, jakým způsobem využijí své znalosti a zda nebudou použity k účelům, které jsou v rozporu s etickými standardy.
9. Závislost na technologii: Testování bezpečnosti může vést k závislosti na technologii a snižování lidského faktoru. Kyberbezpečnostní testeři musí rozhodnout, jaké jsou důsledky tohoto snížení lidského faktoru a jak mohou udržovat rovnováhu mezi technologií a lidskými schopnostmi. Blíže viz článek Morální dilemata kyberbezpečnostního testování – závislost na technologiích.
10. Ohrožení života či zdraví: V některých případech může kyberbezpečnostní tester svou činností ohrozit život či zdraví člověka. a) Například neodhalení kritické zranitelnosti v lékařském zařízení může mít za následek závažné zdravotní riziko nebo dokonce smrt pacienta. b) Podobně může tester způsobit potenciální nebezpečí tím, že neprovede dostatečnou analýzu bezpečnostních rizik v kritických systémech, jako jsou letadla, vlaky, jaderné elektrárny nebo zbraně. c) Při testování kritických infrastruktur, jako jsou elektrárny, vodárenské a distribuční sítě a jiné – pokud nezvládne situaci a spustí například nechtěný nebo nezamýšlený kód či nástroj, vzniká riziko výpadku energie nebo zásobování vodou, což může mít vážné následky na zdraví a bezpečnost lidí.
11. Atd.

Kyberbezpečnostní testeři musí dodržovat etické standardy a omezit neetické praktiky při testování. Řešení problematiky morálních dilemat kyberbezpečnostního testování může mít pro organizace a kyberbezpečnostní testery několik výhod:

1. Zlepšení morálního povědomí: Diskuze o morálních dilematech pomáhá testerům lépe pochopit důsledky jejich činností a posílit jejich morální povědomí. To má potenciál ke zlepšení etického chování při práci.
2. Zvýšení kvality testování: Zohledňování morálních aspektů testování vede ke zlepšení kvality testování tím, že testeři budou mít větší povědomí o možných důsledcích své práce. To může vést ke zvýšení efektivity a účinnosti testování.
3. Snížení rizika negativní publicity: Diskuze o morálních dilematech organizacím pomáhá předcházet situacím, kdy jsou jejich testovací činnosti vnímány jako eticky nezodpovědné. To může snížit riziko negativní publicity a ochránit pověst organizace.
4. Lepší vztah s klienty: Zohledňování morálních aspektů testování vede k lepšímu vztahu s klienty, protože organizace ukazuje, že je odpovědná a že bere v úvahu důsledky své činnosti.
5. Zlepšení zaměstnanecké kultury: Diskuze o morálních dilematech pomáhá kultivovat styl práce, která klade důraz na morální zodpovědnost. To vede ke zvýšení uspokojení zaměstnanců a zvýšení jejich loajality.

Celkově řešení morálních dilemat kyberbezpečnostního testování může mít pro organizace a kyberbezpečnostní testery pozitivní dopady, a to nejen z hlediska etického chování, ale i z hlediska efektivity testování, vztahů s klienty a firemní kultury.