Đạo đức nghề nghiệp trong đảm bảo An toàn thông tin

15:31 | 12/06/2014

Fedotov là chuyên gia phân tích chính thuộc công ty InfoWatch của Nga, chuyên phát triển các hệ thống phòng chống thất thoát dữ liệu DLP. Là tiến sĩ toán - lý, nhưng Fedotov có cách nhìn khá thú vị về đảm bảo an toàn thông tin (ATTT) từ khía cạnh phi kỹ thuật và đã có nhiều bài báo về vấn đề này. Phần lược dịch bài báo dưới đây sẽ giới thiệu về vai trò của đạo đức nghề nghiệp trong đảm bảo ATTT.

Khổng Tử đã nói, nếu cai trị người dân thông qua các luật lệ và đảm bảo kỷ cương bằng những hình phạt thì người dân sẽ cố gắng trốn tránh các hình phạt và không cảm thấy xấu hổ. Còn nếu cai trị người dân thông qua đạo đức và đảm bảo kỷ cương qua các lễ nghi thì người dân sẽ biết đến sự xấu hổ và sẽ sửa mình.

Có điều lạ là nhiều người hoạt động trong lĩnh vực công nghệ thông tin (CNTT) nói chung và ATTT nói riêng lại hoài nghi về sự tồn tại vấn đề đạo đức nghề nghiệp trong lĩnh vực này. Vậy có đạo đức nghề nghiệp cho người làm CNTT không; Nói về đạo đức nghề nghiệp trong lĩnh vực này có hợp lý không; Có thể áp dụng các tiêu chí đạo đức nào trong lĩnh vực này.... Là những câu hỏi mà người ta đã đặt ra khi thảo luận về vấn đề đạo đức trong cộng đồng chuyên gia kỹ thuật của ngành CNTT. Thực tế trên cho thấy, nhiều chuyên gia kỹ thuật tin tưởng và cảm nhận rằng họ chỉ làm việc với máy móc mà không hề làm việc với con người.

Hiển nhiên là vấn đề đạo đức không thể áp dụng cho những đối tượng vô tri, vô giác. Người ta có thể cho rằng, Internet chỉ là một tập hợp các thiết bị kỹ thuật được liên kết với nhau qua các kênh thông tin. Nói cách khác, Internet là một đối tượng vô tri, vô giác. Đó chính là sai lầm mà một số người thường mắc phải. Họ nghĩ rằng chỉ đang tương tác với máy móc, trong khi trên thực tế họ đã và đang tương tác với con người. Hơn thế nữa, họ còn tác động đến những lĩnh vực nhạy cảm thuộc sở hữu của con người, ví dụ như bí mật thông tin liên lạc, bí mật cá nhân.

Ban đầu, Internet được hình thành như là một cỗ máy, việc điều khiển nó được thực hiện bởi các nhân công kỹ thuật. Nhưng cùng với thời gian, Internet đã trở thành một môi trường mà trong đó các lợi ích kinh tế, tinh thần, chính trị, tín ngưỡng, khoa học và các lợi ích phi kỹ thuật khác của con người trao đổi, tương tác với nhau. Đến nay, nó không còn là một “môi trường” nữa, mà đã là một thế giới ảo.  

Dù rằng trong thế giới ảo đó đã xuất hiện những mối quan hệ mới, nhưng phương pháp điều khiển Internet vẫn không thay đổi. Nó vẫn được điều khiển bởi những nhân công kỹ thuật, bằng những phương pháp kỹ thuật. Thông thường thì những công việc như vậy không cần phải nắm vững các vấn đề thuộc các lĩnh vực khoa học xã hội – nhân văn như luật, kinh tế, đạo đức.... Vì thế họ sẽ cố gắng giải quyết mọi vấn đề phát sinh chỉ bằng các công cụ kỹ thuật. Những công cụ như thế không hiệu quả, không giúp giải quyết vấn đề mà chỉ làm cho vấn đề trở nên nghiêm trọng hơn.

Ví dụ điển hình cho trường hợp này là cách giải quyết vấn đề thư rác. Thư rác (spam) là một hiện tượng kinh tế, đó là một dạng quảng cáo. Các vấn đề kinh tế cần phải được giải quyết hoặc bằng phương pháp kinh tế, hoặc bằng pháp luật. Thế nhưng, suốt nhiều năm qua, người ta lại cố gắng giải quyết vấn đề thư rác bằng các biện pháp kỹ thuật mà không quan tâm đến các khía cạnh khác. Tất nhiên, người phát tán thư rác luôn tìm được cách để vượt qua các kỹ thuật lọc thư rác. Vì thế, số lượng thư rác không giảm đi, mà các tác dụng phụ không mong muốn từ các giải pháp kỹ thuật đó lại càng tăng lên.
Đã đến lúc cần phải xem xét lại việc sử dụng những quản trị viên chỉ thuần túy kỹ thuật trong việc điều khiển Internet. Cần phải cung cấp cho quản trị viên các hệ thống thông tin, một lượng tương đối kiến thức về khoa học xã hội – nhân văn. Đồng thời, một số vấn đề trong quản trị mạng cần phải được giao cho những nhà luật học, kinh tế học, tâm lý học và các chuyên gia phi kỹ thuật khác. Tuy nhiên, chúng ta chưa phân định được việc nào dễ thực hiện hơn – đào tạo kiến thức khoa học xã hội – nhân văn cho quản trị viên, hay là giảng giải kỹ thuật về Internet cho các nhân lực phi kỹ thuật.

Những vấn đề đã được trình bày trên đây không đặt mục tiêu chỉ ra mâu thuẫn trong môi trường mạng, giữa các biện pháp quản trị mạng cũ và các mối quan hệ xã hội mới trong mạng. Mâu thuẫn này đã được tác giả phân tích kỹ hơn trong các bài báo khác. Mục đích ở đây là gợi mở sự cần thiết của vấn đề đạo đức trong ATTT.

Đạo đức là những quy tắc bất thành văn trong quan hệ giữa người với người. Khó có thể luật hóa một cách đầy đủ mọi quy tắc đạo đức, dù rằng khuynh hướng này đang diễn ra, đặc biệt là ở các nước phương Tây. Và trong các mối quan hệ trên mạng, thì việc luật hóa lại càng khó khăn, bởi vì các quy phạm pháp luật thường bị lạc hậu so với thực tế.
Có người đặt câu hỏi: liệu có thỏa đáng không nếu nói về đạo đức trong một nghề cụ thể hoặc một lĩnh vực công việc cụ thể? Đạo đức là như nhau đối với mọi nghề nghiệp?

Xét một cách tổng thể thì đúng như thế. Một tập hợp quy tắc đạo đức có thể điều chỉnh mối quan hệ giữa con người với nhau, bất kể trong lĩnh vực, nghề nghiệp gì. Tuy nhiên, không phải bao giờ cũng có thể diễn giải một cách dễ dàng các quy tắc đạo đức chung để áp dụng vào những tình huống đặc trưng cho một nghề nghiệp nào đó. Hơn thế nữa, khi làm việc trong lĩnh vực CNTT, con người sẽ phải tham gia vào nhiều mối quan hệ phức tạp, không lường trước được. Ngoài ra, không phải mọi quy tắc đạo đức đều có thể áp dụng vào một ngành nghề cụ thể. Một số quy tắc không thể áp dụng, một số khác lại trở nên quan trọng hơn so với trong các tình huống thông thường.

Nói cách khác, đạo đức nghề nghiệp không phải là một loại đạo đức đặc biệt dành cho một nghề nghiệp nào đó, mà đạo đức nghề nghiệp là hình chiếu của các quy tắc đạo đức chung lên những tình huống đặc trưng đối với một nghề nghiệp nhất định.

Đạo đức phải là công cụ để giải quyết vấn đề trong những trường hợp mà luật pháp không thể phát huy tác dụng. Trong những trường hợp đặc biệt, các quy tắc đạo đức có thể mâu thuẫn với luật pháp, điều chỉnh luật pháp để không cho phép dựa vào luật pháp mà làm những điều gây tổn hại cho xã hội.

Vậy đạo đức sẽ tác động hỗ trợ như thế nào đối với các biện pháp bảo vệ thông tin, các phương tiện bảo vệ và đối với những trường hợp cần bảo vệ?

Sẽ là hợp lý nếu các quy tắc đạo đức trong ATTT được phát biểu dựa trên các quy tắc đạo đức trong y học. Đó là những quy tắc đạo đức được áp dụng, được kiểm chứng qua nhiều thế kỷ và được biết đến như là lời thề Hippocrates. Nếu bỏ qua những yếu tố đặc trưng của xã hội cổ đại thì lời thề này có thể được tóm lược với năm điểm chính. Trên cơ sở đó, tác giả đã đề xuất năm quy tắc đạo đức trong ATTT. Các quy tắc này cần được sử dụng như là chính sách bắt buộc đối với thành viên của các tổ chức cung cấp dịch vụ ATTT đặc biệt như: ứng cứu sự cố máy tính, giám sát an toàn mạng… Không loại trừ khả năng các quy tắc này trong tương lai sẽ được sử dụng bởi các tổ chức ATTT khác và chúng sẽ phát triển thành một bộ quy tắc đạo đức nghề nghiệp hoàn chỉnh.

 

Năm quy tắc đạo đức trong an toàn thông tin

1. Giúp đỡ những người có tinh thần học hỏi
Người làm ATTT không được phép từ chối chia sẻ với người khác những kiến thức trong lĩnh vực CNTT và bảo vệ thông tin. Những kiến thức này phải được truyền đạt một cách không vụ lợi cho tất cả những ai có mong muốn học hỏi.

2. Tránh những điều có hại
Trong công việc của mình, người làm ATTT cần phải tránh việc gây hại cho đối tượng được bảo vệ (thiệt hại từ tác dụng phụ), trừ trường hợp việc gây hại là cần thiết để ngăn chặn một thiệt hại lớn hơn. Cần tránh gây hại cho những bên không liên quan, cho dù việc gây hại đó giúp tránh được thiệt hại cho đối tượng được bảo vệ.

3. Không phát tán những thông tin nguy hiểm
Người làm ATTT không được cung cấp cho bất kỳ ai thông tin về các điểm yếu mà có thể bị khai thác (ngoại trừ việc cung cấp thông tin cho chủ sở hữu hoặc nhà phát triển hệ thống chứa điểm yếu nhằm mục đích loại trừ điểm yếu đó). Không được cung cấp cho bất kỳ ai những chương trình độc hại hoặc chương trình đa mục đích, nếu như có căn cứ để cho rằng người được cung cấp sẽ sử dụng chương trình một cách ác ý.

4. Sử dụng có chừng mực
Khi có được quyền truy cập tới hệ thống hoặc thông tin về hệ thống, người làm ATTT chỉ được sử dụng quyền truy cập/thông tin đó để thực hiện việc bảo vệ, ngăn chặn các mối nguy hại và tăng cường mức an toàn, mà không được sử dụng quyền truy cập/thông tin đó cho bất kỳ mục đích nào khác, kể cả mục đích vô hại. Khi thực hiện xong nhiệm vụ, quyền truy cập cần được đóng lại, còn thông tin thì cần phải được xóa bỏ.

5. Giữ bí mật
Người làm ATTT cần phải giữ bí mật mọi thông tin được tiếp cận trong quá trình cung cấp dịch vụ bảo vệ, nếu thông tin đó là bí mật thương mại, bí mật đời tư, bí mật nghề nghiệp hay bất kỳ dạng thông tin mật nào khác, dù cho có hay không có thỏa thuận về việc giữ bí mật các thông tin.
Những quy tắc đạo đức trên đây không chỉ là nỗ lực ban đầu trong việc văn bản hóa chuẩn mực đạo đức nghề nghiệp cho những người làm trong lĩnh vực bảo vệ thông tin, mà chúng cần được quy định chính thức cho các tổ chức ứng cứu sự cố máy tính, giám sát an toàn mạng, cung cấp dịch vụ ATTT. Đó là một trong những yếu tố đảm bảo rằng thành viên của đội sẽ thực hiện chức năng của mình một cách vô tư, công bằng.