• Thứ Năm, 11/12/2014 14:28 (GMT+7)

    Một số vấn đề đạo đức đối với người làm an ninh thông tin

    TS.Nguyễn Tuấn Anh
    (PCWorldVN) Đạo đức trong đào tạo và tác nghiệp an ninh thông tin là chủ đề mang tính thời sự trong bối cảnh Việt Nam hiện nay.

    Các nhà vật lý, luật gia và chuyên gia thuộc các lĩnh vực mà công việc của họ ảnh hưởng đến đời sống của người khác, thường được học về các vấn đề đạo đức nghề nghiệp như là một phần của chương trình đào tạo.

    Người làm trong lĩnh vực an toàn thông tin (ATTT) thường có quyền truy cập tới các dữ liệu nhạy cảm, có hiểu biết về máy tính hay mạng máy tính của cá nhân, tổ chức; điều đó giúp họ có được lợi thế to lớn để thực hiện những thao tác mà người dùng thông thường không có được. Nhưng khả năng này lại thường vô tình hay cố ý bị lạm dụng.

    bảo mật; an toàn thông tin; tin tặc; hacker;
    Trong số những vấn đề đạo đức mà người làm ATTT phải đối mặt, trước hết phải kể đến các vấn đề liên quan đến tính riêng tư.

    Trong khi đó, chẳng có tiêu chuẩn nào quy định về yêu cầu đào tạo đối với người làm ATTT độc lập. Các hiệp hội, các tổ chức về công nghệ thông tin (CNTT) thường quan tâm đến mặt đạo đức nghề nghiệp, nhưng những người làm ATTT lại không nhất thiết phải thuộc một tổ chức hay hiệp hội như thế.

    Tại sao cần có những chỉ dẫn về đạo đức?

    Các chương trình đào tạo về CNTT, bao gồm cả đào tạo chuyên gia ATTT thường tập trung vào kiến thức và kỹ năng kỹ thuật. Người học được truyền thụ kiến thức, kỹ năng để thực hiện công việc, nhưng lại ít được cảnh báo về khả năng, kịch bản mà các kiến thức, kỹ năng đó bị lạm dụng.

    Trên thực tế, nhiều người làm CNTT hành động với suy nghĩ của một hacker (mũ đen): tất cả những gì có thể làm đều là những thứ được phép làm. Và nhiều người thậm chí không nhận thấy sự tồn tại vấn đề đạo đức trong công việc của họ.

    Đó là những vấn đề đạo đức nào?

    Trong số những vấn đề đạo đức mà người làm ATTT phải đối mặt, trước hết phải kể đến các vấn đề liên quan đến tính riêng tư. Ví dụ: Nếu bạn có khả năng đọc được email cá nhân của các người dùng khác trong mạng thì bạn có đọc chúng không?

    • Có đúng không, nếu bạn đọc email của nhân viên để đảm bảo rằng nhân viên không vi phạm các quy định của công ty (ví dụ, quy định không được phép sử dụng hệ thống email của công ty vào mục đích cá nhân, thông tin nhạy cảm của công ty không được tiết lộ). Và nếu bạn quyết định đọc email của nhân viên thì bạn có thông báo cho họ biết hay không? Nếu có thì thông báo trước hay sau khi đọc chúng?
    • Có cần phải giám sát tất cả hành động truy cập web của người dùng trong mạng hay không? Có cần ghi vào log tất cả những website mà người dùng đã truy cập không? Việc không giám sát các truy cập như thế có phải là một sự tắc trách không, khi mà bạn biết rằng việc giám sát có thể giúp ngăn ngừa ai đó truy cập nội dung mang tính giải trí trong giờ làm việc, nhưng đồng thời cũng tạo ra một môi trường làm việc kém thân thiện?
    • Có đúng không nếu cài đặt keylogger trên các máy tính trong mạng để ghi lại tất cả thao tác gõ bàn phím của người dùng? Câu trả lời có khác không nếu đối tượng được cài đặt là phần mềm chụp ảnh màn hình, cho phép người quản lý theo dõi tất cả những gì hiện trên màn hình người dùng? Và nếu bạn quyết định giám sát người dùng bằng một trong hai hình thức trên thì bạn có thông báo trước cho người dùng hay không?
    • Có đúng không nếu bạn đọc các file tài liệu hoặc xem các file hình ảnh mà người dùng lưu trên máy của họ hoặc trong thư mục của họ trên file server?

    Các vấn đề trên đây được nêu ra không phải từ khía cạnh pháp lý. Nếu xét về mặt pháp lý, một công ty hoàn toàn có quyền giám sát tất cả mọi thứ mà nhân viên thực hiện trên hệ thống máy tính. Nhưng xét về mặt đạo đức, liệu chúng ta có nên thực hiện những việc như đã nêu ở trên mà chúng ta có quyền, có khả năng thực hiện hay không?

    Bạn là quản trị viên một mạng máy tính, hoặc là một chuyên gia ATTT, bạn sẽ có được đặc quyền để truy cập hầu hết dữ liệu trên mạng mà bạn tác nghiệp, thậm chí có thể truy cập được cả những dữ liệu đã mã hóa, nếu bạn có tài khoản Recovery Agent.

    Bạn sẽ làm những gì khi có được đặc quyền và khả năng như thế? Điều đó một phần tùy thuộc vào nhiệm vụ cụ thể của bạn (ví dụ, có thể chính sách của công ty chỉ rõ rằng, một phần công việc của bạn là giám sát email của nhân viên) và một phần tùy thuộc vào quan điểm đạo đức của cá nhân bạn về các vấn đề trên đây.

    Sự tuột dốc

    Khi tranh luận về một vấn đề đạo đức, người ta thường đề cập đến khái niệm “tuột dốc” (slippery slope). Khái niệm này liên quan đến một thực tế rằng, người ta có thể dễ dàng đi từ việc thực hiện một hành động dường như không trái đạo đức (quét email của người dùng “cho vui”) đến việc thực hiện những hành động có tính trái đạo đức tăng dần (thay đổi đôi chút trong nội dung email, chuyển email tới người nhận khác...).

    an toàn thông tin; bảo mật; đạo đức đối với người làm trong lĩnh vực an toàn thông tin
    Không khó để nhà quản lý CNTT biết được mật khẩu đăng nhập của một người dùng.

    Khi xem xét danh sách các vấn đề đạo đức có liên quan đến tính riêng tư trên đây, có thể nhận thấy rằng, rất dễ để đưa ra sự biện hộ cho mỗi hành động. Đồng thời cũng có thể nhận ra rằng, các hành động đó có thể dễ dàng biến tấu thành những hành động khó biện hộ hơn. Ví dụ, những thông tin có được từ việc đọc email của ai đó có thể bị sử dụng để gây khó dễ cho người đó, để tạo lợi thế về quyền lực trong công ty, để khiến cho người đó có thể bị kỷ luật hoặc bị đuổi việc và thậm chí để tống tiền.

    Sự “tuột dốc” cũng có thể dẫn đến những hành động vượt ra ngoài phạm vi việc sử dụng các kỹ năng CNTT. Nếu người quản trị cho rằng việc đọc email của các nhân viên khác là bình thường, thì có lẽ người đó cũng sẽ cho là bình thường với việc "soi' bàn làm việc của người khác khi họ vắng mặt, cho đến việc lục lọi cặp và túi xách của người khác.

    Một số tình huống đạo đức trên thực tế

    • Điều gì sẽ xảy ra nếu bạn nghiên cứu một tài liệu nào đó và phát hiện ra bí mật thương mại của công ty? Sẽ thế nào nếu sau đó bạn nghỉ việc và chuyển sang làm việc cho một công ty là đối thủ cạnh tranh với công ty cũ? Liệu có sai trái không, nếu bạn sử dụng những kiến thức thu được trước đó cho công việc mới? Và liệu có “sai hơn” hay không, nếu bạn in tài liệu đó và mang theo mình, thay vì chỉ ghi nhớ chúng trong đầu?
    • Điều gì sẽ xảy ra nếu những tài liệu mà bạn đọc được cho thấy rằng công ty của bạn đã vi phạm luật pháp hoặc quy định khác của chính quyền? Bạn sẽ vì nghĩa vụ mà tố cáo hay vì tình nghĩa mà giữ bí mật cho sếp? Và sự lựa chọn có khác đi không, nếu trước khi thực hiện công việc, bạn đã ký với công ty một thỏa thuận không tiết lộ thông tin (nondisclosure agreement)?
    • Những người cùng một lúc làm công việc tư vấn CNTT hoặc ATTT cho nhiều công ty sẽ phải đối mặt những tình huống đạo đức phức tạp hơn nữa. Nếu bạn phát hiện ra rằng, một trong những khách hàng của mình có thể ảnh hưởng xấu đến một (một số) khách hàng khác, bạn sẽ phải xử lý thế nào?
    • Bên cạnh vấn đề đạo đức liên quan đến tính riêng tư thì ta cũng thường gặp những vấn đề đạo đức liên quan đến tiền bạc. Sự gia tăng các cuộc tấn công mạng, phát tán virus và các hiểm họa khác đối với cơ sở hạ tầng CNTT khiến cho nhiều công ty lo ngại. Là người tư vấn về ATTT, bạn có thể dễ dàng lợi dụng sự lo ngại của các công ty như thế để thuyết phục họ phải chi nhiều tiền hơn so với mức cần thiết. Liệu có sai trái không, nếu bạn yêu cầu từ các công ty đó quá nhiều tiền cho mỗi giờ tư vấn, hay bạn coi đó là trường hợp “ra cái giá mà thị trường chấp nhận trả”?
    • Liệu có là sai trái không nếu bạn kê khai giá thiết bị, phần mềm cao hơn so với thực tế để kiếm lời? Còn việc nhận “lại quả” từ nhà sản xuất thiết bị thì sao? Liệu có là sai trái nếu bạn nhận “phần trăm” từ nhà sản xuất để thuyết phục khách hàng lựa chọn sản phẩm của họ? Có là sai trái nếu thúc đẩy người dùng sử dụng sản phẩm của hãng mà bạn có cổ phần?
    • Có một thực tế là bạn có thể triển khai, cấu hình các sản phẩm bảo vệ để một mạng máy tính trở nên an toàn hơn, nhưng bạn không bao giờ có thể làm cho nó tuyệt đối an toàn. Liệu có đúng không, nếu bạn thuyết phục khách hàng rằng, để giải quyết vấn đề an toàn của họ thì cần phải đổi toàn bộ firewall hiện tại sang dùng firewall của hãng khác, đổi hệ điều hành hiện tại sang hệ điều hành mã nguồn mở... bởi vì những sự thay đổi đó khiến thời gian làm việc của bạn tăng lên và bạn thu được nhiều tiền hơn?

    Một tình huống khác: sẽ thế nào nếu khách hàng yêu cầu tiết kiệm chi phí bằng cách cắt giảm một số biện pháp bảo vệ mà bạn khuyến cáo, trong khi kết quả khảo sát của bạn về nhu cầu an toàn của khách hàng chỉ ra rằng, việc cắt giảm như thế sẽ khiến cho dữ liệu nhạy cảm của khách hàng sẽ không được bảo vệ ở mức cần thiết? Bạn đã cố gắng giải thích điều này với khách hàng nhưng không thành công. Liệu bạn có tiếp tục công việc và bỏ qua phần bị cắt giảm? Liệu bạn có thiết lập không công cho khách hàng các biện pháp bảo vệ bổ sung để nâng cao tính an toàn? Hay bạn sẽ từ chối, không nhận thực hiện công việc đó nữa? Và quyết định của bạn có khác đi không, nếu lĩnh vực hoạt động của khách hàng thuộc diện chịu sự kiểm soát của nhà nước và việc áp dụng mức bảo vệ thấp hơn tiêu chuẩn là một sự vi phạm pháp luật?

    Kết luận

    Bài viết này đã đặt ra nhiều câu hỏi, nhưng không có ý định đưa ra câu trả lời tương ứng. Bởi câu hỏi “Liệu có phù hợp đạo đức không” phải được trả lời bởi chính mỗi cá nhân, bởi từng người làm ATTT.

    Khác với những nghề nghiệp có lịch sử lâu đời như nghề y, nghề luật,... hầu hết vấn đề đạo đức mà người làm CNTT và ATTT gặp phải đều rất khó luật pháp hóa. Bên cạnh đó cũng chưa có một tổ chức uy tín nào tương tự như hiệp hội y tế, hiệp hội luật gia đề xuất được một bộ quy tắc đạo đức cụ thể.

    Tuy vậy, vấn đề đạo đức nghề nghiệp trong lĩnh vực CNTT cần phải được quan tâm. Một số tổ chức như Hiệp hội Kỹ thuật tính toán của Mỹ (Association for Computing Machinery - ACM) đã xây dựng bộ quy tắc đạo đức nghề nghiệp của riêng mình. Những bộ quy tắc đạo đức đó có thể áp dụng, định hướng cho các cá nhân và tổ chức khác.

    TS. Nguyễn Tuấn Anh

    Nguồn: Tạp chí An toàn thông tin