網絡安全已經成為現代社會不可或缺的一部分，影響著世界各地的每一個人。然而，現實的問題是，企業通常將網絡安全工作的重點放在滿足合規要求和應用先進技術，但卻忽視了在倫理道德層面的建設保障。僅僅是依靠法規條例和先進的安全防護技術，并不足以維護網絡空間的安全性。

企業需要將倫理原則和符合道德的價值觀納入到網絡安全建設中，才能在尊重個人隱私和權利的基礎上，引導員工遵守組織所制定的網絡安全原則和標準，維護信息的保密性、完整性和可用性。

網絡安全中的倫理困境

網絡安全領域充滿了對抗和限制，當網絡安全專業人員需要在相互沖突的道德標準和工作要求之間做出選擇時，網絡安全中的倫理困境就會出現。這些情況經常發生，因為網絡安全涉及保護敏感信息和應用系統，同時還需要考慮如何平衡隱私性、合規性和公共利益。

1、隱私與安全

平衡隱私和安全是網絡安全工作中的一個關鍵挑戰。在現代社會中，隱私是一項基本人權，包括控制個人信息和限制無正當理由的監視。而安全防護則需要實施強有力的管控措施，如廣泛的威脅行為監測和攻擊情報信息獲取等，這就可能會侵犯到個人的隱私權。如何在有效的安全防護和尊重隱私之間取得適當的平衡是網絡安全領域的一個重大關切。

2、對違規信息的披露

組織在網絡安全工作中經常因暴露安全隱患而面臨嚴重后果，有時甚至還會因違規行為而受到監管部門的處罰。 例如?，2013年，愛德華·斯諾登因為披露了美國國家安全局的全網信息監視活動，導致他被美國政府部門通緝。在另一個道德困境的案例中，一名審計師在米德爾伯里學院（Middlebury College）的IT系統審計項目實施中發現了兒童遭受性虐待的信息。盡管該審計工作簽訂了保密協議，但這位審計師還是選擇將他所發現的違法信息報告給執法部門，將未成年人保護置于了客戶隱私之上。這些案例都說明了，安全專業人員在很多時候必須作出復雜的道德決定，在安全保密職責與應對嚴重威脅的道德責任之間進行取舍和權衡。

3、對安全漏洞的披露

網絡安全專家在工作中會經常發現網絡或系統上的安全漏洞，此時就必須決定是否要公開披露發現的漏洞，這往往需要兼顧透明度需要，同時又避免造成不必要的恐慌。披露可以讓漏洞得到快速修復，但在補丁發布之前，漏洞會有被惡意行為者利用的風險。或者，他們可以選擇保密，這可能會使系統的安全缺陷長期存在。當然，漏洞發現者有時也會因為惡意的意圖而不披露漏洞，這取決于他們的偏好與價值觀。

4、道德黑客的工作邊界

道德黑客是指受信任的個人或團體利用黑客攻擊技術，發現和糾正網絡或計算機系統內的安全缺陷。

與惡意黑客不同，道德黑客的目的是增強網絡安全，而不會對系統或其用戶造成損害。但是在實際工作中，盡管有道德動機，但道德黑客的一些攻擊測試方法往往跨越法律界限，并在實踐中由于失誤等原因造成一定的損害。因此，道德黑客工作的合法邊界往往很難劃分清楚。

5、人工智能應用的偏見

AI系統可能會從訓練數據及算法模型中無意中產生偏見，這可能會導致對特定人員或群體產生歧視性的看法。人工智能系統應用的公平性對于維護網絡安全中的道德標準和有效性至關重要。

6、認知失調

網絡安全認知失調主要指當個人利益與職業責任發生沖突的情況下，安全人員該如何進行操作。例如，網絡安全顧問如果從一家公司得到一份利潤豐厚的合同，但該公司的網絡安全做法卻與他的核心價值觀背道而馳，他可能會面臨兩難境地。如果接受這樣的工作合同可能會損害他的職業操守和道德標準。

將道德操守納入網絡安全

計算機機械協會（ ACM?）于1992年發布了《IT行業道德和職業行為守則》，并于2018年更新。守則強調了IT領域專業人員的行為會對社會產生的深遠影響，敦促他們應該優先考慮公共利益，并考慮更廣泛的安全性后果。

雖然這份守則不是專門針對網絡安全的，但對于所有參與網絡安全工作的人員來說，這都是一個寶貴的道德指引框架。因為守則從四個方面對包括網絡安全在內的IT技術工作提出了道德要求：

1. 一般道德準則：IT專業人員必須為社會福祉、尊重多樣性和促進人權作出貢獻。在工作中避免傷害,誠實守信,確保公平,尊重知識產權,維護隱私和保密。
2. 工作職責：IT專業人員應努力提高工作質量，保持勝任能力，遵守專業標準和規則，并對計算機系統及其影響提供全面的評價。他們必須在其職權范圍內工作，促進公眾對計算機的理解，只有在獲得授權或為公眾利益時才能訪問資源。
3. 專業的領導力原則： 計算領導人必須優先考慮公共利益在所有專業工作，促進他們所在的組織更多承擔社會責任，并提高工作生活的質量，支持系統運營政策與道德原則保持一致。他們還應該小心處理系統修改和淘汰等問題，并認識到計算機系統的社會性整合。
4. 遵守守則：計算機專業人員有義務維護、促進和尊重道德準則的原則。他們應能夠發現并處理違反守則的行為，并考慮報告違反行為，以確保整個職業的道德標準得到維護。

相比其他IT領域，網絡安全工作由于其專業知識和廣泛接觸敏感信息和系統的機會，需要在維護道德標準方面發揮著關鍵作用。因此，企業的網絡安全建設需要將倫理和道德原則融入日常實踐，以保護資產、維護隱私和確保安全，在建立信任的基礎上，促進形成更公平的數字環境。

企業在將道德規范納入網絡安全工作時，可以使用以下方法：

• 強調道德的網絡安全是每個人的責任，培養一種所有員工都堅持道德實踐以保護信息和系統安全的企業文化。
• 傳達網絡安全控制措施和政策要求背后的原理，以提高員工對安全風險的認識，并鼓勵警惕異常的網絡安全事件。
• 根據企業實際情況制定網絡安全道德守則，為所有員工提供持續的道德培訓，定期進行全組織的風險評估，保持全面的數據記錄，明確界定違反道德原則的懲罰機制，并在必要時予以強制執行。
• 評估現有網絡資產，進行徹底的風險評估，并確定當前的網絡安全實踐中是否缺乏道德考慮的領域。
• 制定一套全面的網絡安全道德準則和政策，概述網絡安全道德行為的標準，同時界定不同的角色和責任，以確保該準則能夠被所有人遵守。
• 實施持續和多樣化的網絡安全培訓，以跟上不斷變化的威脅，培養一種組織文化，在這種文化中，錯誤是學習和改進安全實踐的機會。

參考鏈接：https://www.tripwire.com/state-of-security/importance-ethics-cybersecurity