”Whitelist”,” Blacklist”: The New Debate Over Security Terminologies

for many years, terms such as” blacklist ” and ”whitelist” was common used in cybersecurity and infosec Circuits to simply instance what person or application had access to a system or network (and which those were eved).

kuukausia kestäneiden, maanlaajuisten protestien, jotka koskivat muun muassa rotusyrjintää ja poliisin väärinkäytöksiä, seurauksena kyberturvallisuus-ja infosec-yhteisöt käyvät omaa väittelyään sellaisista termeistä kuin ”musta” ja ”valkoinen” ja siitä, mitä nämä mielleyhtymät tarkoittavat. Onko nyt aika muuttaa turvallisuuden terminologiaa, jotta alasta tulisi paljon oikeudenmukaisempi ja osallistavampi yhteisö?

osa näistä asioista on jo pulpahtanut pintaan.

huhtikuun lopulla, juuri kun protestit Yhdysvalloissa ja muualla olivat rakentumassa, Britannian kansallinen Kyberturvallisuuskeskus, joka on osa Britannian tiedustelupalvelu GCHQ: ta ja johtaa kyseisen maan vaaratilanteiden torjuntaryhmää, julkaisi ilmoituksen, että se käyttäisi nyt termejä ”salli lista” ja ”kieltolista” perinteisemmän valkolistan ja mustan listan sijaan.

kesäkuussa Ciscon tietoturvaosaston uhkatutkimushaara Cisco Talos ilmoitti vastaavanlaisesta toimenpiteestä.

”vaikka myönnämme, että kyseessä on pieni muutos, Cisco Talos on siirtymässä korvaamaan termien” blacklist ” ja ”whitelist” käytön ilmaisuilla ”block list” ja ”allow list” Ciscon Talos-tiimin mukaan. ”Vaikka nämä termit ovat yleisesti käytössä tietoturvateollisuudessa, emme hyväksy sitä, että ’valkoiselle’ annetaan ohimennen myönteisiä mielleyhtymiä, kun taas ’mustalle’ annetaan negatiivisia mielleyhtymiä.””

on jopa väittelyä siitä, pitäisikö yhden kyberturvallisuuden tunnetuimmista tapahtumista—Blackhatin—vaihtaa nimensä vastaamaan laajempaa keskustelua. Heinäkuun alussa, David Kleidermacher, varatoimitusjohtaja engineering Google, joka valvoo Android Security ja Google Play Store, ilmoitti vetäytyvänsä aikataulun puhua kannustaa infosec yhteisön käyttämään neutraalimpia termejä.

”vaikka monet ihmiset oikeutetusti väittävät, etteivät he ole koskaan tietoisesti liittäneet tällaisia termejä rasismiin, totuus on, että sanoilla on merkitystä, ja nämä sanat ylläpitävät käsitystä ’valkoisesta’ ’hyvänä’ ja ’mustasta’ ’huonona'”, Michelle McLean, tietoturvayhtiö Stackroxin tuotemarkkinoinnista vastaava johtaja, kertoi Dicelle. Hänen yrityksensä on myös alkanut käyttää enemmän rotu – ja sukupuolineutraaleja termejä, kuten ”salli lista” ja ”estä lista.”

”kielitieteilijät ovat jo pitkään esittäneet vakuuttavia todisteita siitä, että sanat muokkaavat suoraan tietoisuuttamme ja todellisuuttamme, joten meidän on ryhdyttävä toimiin, kuten poistettava tällaiset rasistiset termit teknisestä sanastostamme pienenä osana paljon suurempaa ponnistusta, joka tarvitaan luomaan positiivisia ympäristöjä ja mahdollisuuksia mustille ja muille aliedustetuille ihmisille tekniikan alalla”, McLean lisäsi.

jatkuva keskustelu

vaikka näyttää siltä, että IT -, kehittäjä-ja tietoturvayhteisöt ovat vasta hiljattain alkaneet väitellä sanavalinnoista, kuten whitelist ja blacklist, sekä ”master” ja ”slave”, näiden termien käytöstä ja siitä, mitä ne tarkoittavat, on keskusteltu jo jonkin aikaa.

esimerkiksi vuonna 2018 kaksi irlantilaista tutkijaa julkaisi tutkimuspaperin, joka käsitteli ”laajaa rasistisen kielen käyttöä saalistushinnoittelua koskevissa keskusteluissa”, mukaan lukien termit blacklist ja whitelist.

Thomas Hatch, teknologiajohtaja ja turvallisuusyritys Saltstackin toinen perustaja, uskoo, että modernimmat ja rotuneutraalit termit auttavat poistamaan rasistisen kielenkäytön, mutta ne tarjoavat myös selkeämpiä määritelmiä siitä, mitä turvallisuuden pitäisi tarkoittaa organisaatiolle.

” aiemmin useimmat meistä eivät pitäneet konnotaatiota termien whitelist ja blacklist sisällä. Ajattelimme vain niitä normaaleina laskentatermeinä”, Hatch kertoi Dicelle. ”Siirtyminen pois terminologiasta, joka on peräisin nimenomaan tällaisista epäinhimillisistä käytännöistä, on kuitenkin myönteistä niin turvallisuusalalla kuin muillakin teollisuudenaloilla. On ollut virkistävää nähdä tämä suuntaus lakaista läpi tech.”

täydellisempi tulevaisuus

vaikka keskustelu sellaisista termeistä kuin blacklist ja whitelist on todella vasta alkanut, eivätkä kaikki ehkä tunne tarvetta muuttaa näitä, Heather Paunet, tietoturvayhtiö Untanglen tuotehallintajohtaja, uskoo, että tiettyjen terminologioiden poistaminen voi nyt tuottaa tulosta tekemällä kyberturvallisuudesta ja infosecistä osallistavamman ja kunnioittavamman lahjakkuuden, johon se haluaa turvautua.

”’Blacklist’ ja ’whitelist’ ovat termejä, jotka tietoturvayrityksen tai tietoturvatuotteen tulokkaiden oli opittava, koska ei ole selvää, kun niihin törmää ensimmäisen kerran, mitä ne tarkoittavat”, Paunet sanoi. ”Käyttämällä termejä, joissa on selvää, mitä he tekevät, helpotetaan tietoturvaratkaisujen ymmärtämistä, sekä edistetään kulttuuria, jossa ei mennä mukaan terminologian käyttöön, joka edistää myönteisiä tai kielteisiä mielleyhtymiä väreihin ’musta’ ja ’valkoinen.””

Stackroxin McLean uskoo myös, että alan käyttämien sanojen päivittäminen voi auttaa muuttamaan kulttuuria, mikä tekee kyberturvallisuudesta houkuttelevamman uran monille lahjakkaammille, erilaisista taustoista tuleville ihmisille.

”turvallisuusala hyötyy vain siitä, että voimme hyödyntää laajempaa ja monipuolisempaa lahjakkuuksien joukkoa, kun työskentelemme yhdessä kriittisten sovellusten ja infrastruktuurin suojelemiseksi”, McLean sanoi. ”Ajattelu laajemmin luo parempia ratkaisuja, ja tietoturva-ala tarvitsee tätä talent-työkalua enemmän kuin koskaan.”

Vastaa

Sähköpostiosoitettasi ei julkaista.

Previous post SKYbrary Wiki
Next post Aivokuvaukset voivat muuttaa sitä, miten diagnosoimme masennuksen