sok éven át az olyan kifejezéseket, mint a “feketelista” és a “engedélyezőlista”, gyakran használták a kiberbiztonsági és infosec körökben, hogy egyszerűen meghatározzák, hogy melyik személynek vagy alkalmazásnak volt hozzáférése egy rendszerhez vagy hálózathoz (és melyiket tagadták meg).
az olyan hónapok óta tartó országos tiltakozások nyomán, mint a faji igazságtalanság és a rendőri kötelességszegés, a kiberbiztonsági és infosec Közösségek saját vitát folytatnak olyan kifejezésekről, mint a “fekete” és a “fehér”, és hogy mit jelentenek ezek a konnotációk. Itt az ideje, hogy megváltoztassuk a biztonság terminológiáját, hogy az iparág sokkal igazságosabb és befogadóbb legyen?
néhány ilyen kérdés már a felszínre került.
április végén, éppen az Egyesült Államokban és másutt zajló tüntetések idején, az Egyesült Királyság nemzeti kiberbiztonsági központja, amely a GCHQ brit hírszerző ügynökség része, és az ország incidensre reagáló csoportját vezeti, bejelentette, hogy mostantól az “engedélyezési lista” és a “megtagadási lista” kifejezéseket fogja használni a hagyományosabb fehérlista és feketelista helyett.
júniusban a Cisco Talos, a Cisco biztonsági részlegének fenyegetéskutatási ága hasonló intézkedést jelentett be.
“bár elismerjük, hogy ez egy kis változás, a Cisco Talos arra törekszik, hogy a “feketelista” és az “engedélyezőlista” kifejezéseket “tiltólistára” és “engedélyezőlistára” cserélje ” – mondta a Cisco Talos csapata. “Annak ellenére, hogy ezeket a kifejezéseket gyakran használják a biztonsági iparban, nem fogunk együtt járni azzal, hogy véletlenül pozitív konnotációkat rendelünk a “fehérhez”, míg negatív konnotációkat a “feketéhez”.”
még vita folyik arról, hogy a kiberbiztonság egyik legismertebb eseménye—a BlackHat—megváltoztatja-e a nevét, hogy tükrözze a szélesebb körű vitát. Július elején David Kleidermacher, a Google mérnöki alelnöke, aki felügyeli az Android biztonságát és a Google Play Áruházat, bejelentette, hogy visszavonul egy tervezett beszélgetéstől, hogy az infosec közösséget semlegesebb kifejezések használatára ösztönözze.
“bár sokan joggal állítják, hogy soha nem tudatosan társították ezeket a kifejezéseket a rasszizmussal, a valóság az, hogy a szavak számítanak, és ezek a szavak állandósítják a” fehér “fogalmát ” jónak”, a “fekete” pedig “rossznak “” – mondta Michelle McLean, a StackRox biztonsági cég termékmarketing-alelnöke. Az ő cég is kezdett használni több faji és nemi szempontból semleges kifejezések, mint a” allow list “és a” deny list.”
“a nyelvészek régóta állítják, hogy a szavak közvetlenül formálják a tudatunkat és a valóságunkat, ezért olyan lépéseket kell tennünk, mint például az ilyen rasszista kifejezések eltávolítása a technikai szókincsünkből, mint egy sokkal nagyobb erőfeszítés, amely pozitív környezetet és lehetőségeket teremt a fekete és más alulreprezentált emberek számára a technológiában” – tette hozzá McLean.
folyamatban lévő vita
bár úgy tűnhet, hogy az informatikai, fejlesztői és biztonsági közösségek csak a közelmúltban kezdtek vitázni az olyan szóválasztásokról, mint az engedélyezőlista és a feketelista, valamint a “mester” és a “rabszolga”, a jelen kifejezések használatával és azok jelentésével kapcsolatos aggodalmak egy ideje a vita részét képezik.
2018-ban például két ír tudós közzétett egy kutatási cikket, amely a “rasszista nyelv széles körű használatával foglalkozik a ragadozó kiadással kapcsolatos vitákban”, beleértve a feketelistát és az engedélyezőlistát.
Thomas Hatch, a SaltStack biztonsági cég CTO-ja és társalapítója úgy véli, hogy a modernebb és fajsemlegesebb kifejezések nemcsak segítenek a rasszista nyelv megszüntetésében, hanem egyértelműbb meghatározásokat is kínálnak arra vonatkozóan, hogy mit jelent a biztonság egy szervezet számára.
“a múltban a legtöbben nem vették figyelembe a konnotációt a whitelist és a blacklist kifejezéseken belül. Csak úgy gondoltunk rájuk, mint a szokásos számítási kifejezésekre” – mondta Hatch A Dice-nak. “Azonban a kifejezetten az ilyen embertelen gyakorlatokból származó terminológia használatától való elmozdulás pozitív a biztonsági ipar, valamint más iparágak számára. Üdítő volt látni, hogy ez a tendencia végigsöpör a technikán.”
egy tökéletesebb jövő
míg a vita az olyan feltételekről, mint a feketelista és az engedélyezőlista, valójában csak most kezdődött el, és nem mindenki érzi szükségét ezeknek a változtatásoknak, Heather Paunet, az Untangle biztonsági cég termékmenedzsment-alelnöke úgy véli, hogy bizonyos terminológiák megszüntetése most megtérülhet az úton azáltal, hogy a kiberbiztonságot és az infosec-et befogadóbbá és tiszteletben tartja az általa igénybe venni kívánt tehetségeket.
” A “feketelista” és a “fehérlista” olyan kifejezések, amelyeket a biztonsági cég vagy biztonsági termék újonnan érkezőinek meg kell tanulniuk, mert nem világos, hogy mikor találkoznak velük, mit jelentenek ” – mondta Paunet. “A kifejezések használata, ahol nyilvánvaló, hogy mit csinálnak, megkönnyíti a biztonsági megoldások megértését, valamint elősegíti azt a kultúrát, amely nem jár együtt a terminológia használatával, amely elősegíti a pozitív vagy negatív asszociációkat a “fekete” és a “fehér” színekkel.”
a Stackrox ‘ s McLean úgy véli, hogy az iparág által használt szavak frissítése segíthet megváltoztatni a kultúrát, így a kiberbiztonság vonzóbbá válik a különböző háttérrel rendelkező tehetséges emberek számára.
“a biztonsági iparnak csak az lesz a haszna, ha nagyobb és változatosabb tehetségállományt tud kiaknázni, mivel együtt dolgozunk a kritikus alkalmazások és infrastruktúra védelme érdekében” – mondta McLean. “A szélesebb körű gondolkodás jobb megoldásokat hoz létre, és a biztonsági iparnak minden eddiginél nagyobb szüksége van erre a tehetséggondozó eszközre.”