Per molti anni, termini come “blacklist” e “whitelist” sono stati comunemente usati all’interno degli ambienti della sicurezza informatica e dell’infosec per designare semplicemente quale persona o applicazione ha avuto accesso a un sistema o una rete (e quali sono stati negati).
Sulla scia di proteste a livello nazionale per mesi su questioni come l’ingiustizia razziale e la cattiva condotta della polizia, le comunità di sicurezza informatica e infosec stanno avendo il loro dibattito su termini come “nero” e “bianco” e cosa significano queste connotazioni. È giunto il momento di cambiare la terminologia della sicurezza per rendere l’industria molto più equa e una comunità più inclusiva?
Alcuni di questi problemi sono già emersi.
Alla fine di aprile, proprio mentre le proteste negli Stati Uniti e altrove stavano costruendo, il Centro nazionale per la sicurezza informatica del Regno Unito, che fa parte dell’agenzia di intelligence britannica GCHQ e gestisce il team di risposta agli incidenti di quella nazione, ha pubblicato un annuncio che ora avrebbe usato i termini “allow list” e “deny list” al posto
A giugno, Cisco Talos, il braccio di ricerca sulle minacce della divisione sicurezza di Cisco, ha annunciato una misura simile.
“Mentre riconosciamo che si tratta di un piccolo cambiamento, Cisco Talos si sta muovendo per sostituire il nostro uso dei termini ‘blacklist’ e ‘whitelist’ con ‘block list’ e ‘allow list'”, secondo il team di Cisco Talos. “Anche se questi termini sono comunemente in uso nel settore della sicurezza, non andremo avanti assegnando casualmente connotazioni positive a ‘bianco’ mentre assegniamo connotazioni negative a ‘nero.'”
C’è anche un dibattito in corso sul fatto che uno degli eventi più riconosciuti della sicurezza informatica—BlackHat – debba cambiare il suo nome per riflettere il dibattito più ampio. Ai primi di luglio, David Kleidermacher, il vice presidente di ingegneria di Google che sovrintende la sicurezza Android e il Google Play Store, ha annunciato che stava ritirando da un discorso in programma per stimolare la comunità infosec in termini più neutri.
“Mentre molte persone giustamente affermano di non aver mai associato consapevolmente tali termini al razzismo, la realtà è che le parole contano, e queste parole perpetuano la nozione di “bianco” come “buono” e “nero” come “cattivo””, Michelle McLean, vice presidente del marketing di prodotto presso la società di sicurezza StackRox, ha detto a Dice. La sua azienda ha anche iniziato a utilizzare più razza-e termini neutri di genere come “allow list” e ” deny list.”
” I linguisti hanno da tempo fatto un caso convincente che le parole modellano direttamente la nostra coscienza e la nostra realtà, quindi dobbiamo prendere misure come rimuovere tali termini razzisti dal nostro vocabolario tecnico come una piccola parte di uno sforzo molto più grande necessario per creare ambienti positivi e opportunità per le persone nere e altre sottorappresentate nella tecnologia”, ha aggiunto McLean.
Dibattito in corso
Mentre potrebbe sembrare che le comunità di IT, sviluppatori e sicurezza abbiano iniziato solo di recente a discutere di scelte di parole come whitelist e blacklist, così come “master” e “slave”, le preoccupazioni sull’uso di questi termini e sul loro significato sono state parte della discussione per qualche tempo.
Nel 2018, ad esempio, due studiosi irlandesi hanno pubblicato un documento di ricerca che affronta “l’uso diffuso del linguaggio razzista nelle discussioni riguardanti l’editoria predatoria”, inclusi i termini blacklist e whitelist.
Thomas Hatch, CTO e co-fondatore della società di sicurezza SaltStack, ritiene che non solo termini più moderni e razziali neutrali contribuiscano ad eliminare il linguaggio razzista, ma offrono anche definizioni più chiare di ciò che la sicurezza dovrebbe significare per un’organizzazione.
” In passato, la maggior parte di noi non considerava la connotazione all’interno dei termini whitelist e blacklist. Abbiamo appena pensato a loro come termini di calcolo standard”, ha detto Hatch a Dice. “Tuttavia, allontanarsi dall’uso della terminologia che ha avuto origine specificamente da tali pratiche disumane è positivo per l’industria della sicurezza e per altre industrie. È stato rinfrescante vedere questa tendenza spazzare attraverso la tecnologia.”
Un Futuro ancora Più Perfetto
Mentre il dibattito su termini come blacklist e whitelist è in realtà solo iniziato, e non tutti possono sentire il bisogno di cambiare questi, Heather Paunet, vice presidente del product management presso azienda di sicurezza Districare, ritiene che l’eliminazione di alcune terminologie ora in grado di pagare giù la strada da fare cybersecurity e infosec più inclusiva e rispettosa del talento si vuole disegnare.
“‘Blacklist’ e ‘whitelist’ sono termini che dovevano essere appresi dai nuovi arrivati di una società di sicurezza o di un prodotto di sicurezza, perché non è chiaro quando li si incontra per la prima volta cosa significano”, ha detto Paunet. “L’uso di termini in cui è ovvio ciò che fanno renderà più facile comprendere le soluzioni di sicurezza, oltre a promuovere una cultura di non andare d’accordo con l’uso di una terminologia che promuove associazioni positive o negative con i colori ‘nero’ e ‘bianco.”
McLean di StackRox ritiene inoltre che l’aggiornamento delle parole utilizzate dall’industria possa aiutare a cambiare la cultura, rendendo la sicurezza informatica una carriera più attraente per molte persone di talento provenienti da ambienti diversi.
“Il settore della sicurezza trarrà beneficio solo dalla possibilità di attingere a un pool di talenti più ampio e diversificato mentre lavoriamo insieme per proteggere le applicazioni e le infrastrutture critiche”, ha affermato McLean. “Pensare in modo più ampio crea soluzioni migliori e il settore della sicurezza ha bisogno di questo strumento di talento più che mai.”