przez wiele lat terminy takie jak „czarna lista” i „biała lista” były powszechnie używane w kręgach cyberbezpieczeństwa i infosec, aby po prostu określić, która osoba lub aplikacja miała dostęp do systemu lub sieci (a które zostały odrzucone).
w wyniku wielomiesięcznych, ogólnokrajowych protestów dotyczących takich kwestii jak niesprawiedliwość rasowa i niewłaściwe zachowanie policji, społeczności cyberbezpieczeństwa i infosec prowadzą własną debatę nad pojęciami takimi jak „czarny” i „biały” i co oznaczają te konotacje. Czy nadszedł czas, aby zmienić terminologię dotyczącą bezpieczeństwa, aby uczynić tę branżę bardziej sprawiedliwą i bardziej integrującą społecznością?
niektóre z tych problemów już wypłynęły na powierzchnię.
pod koniec kwietnia, podobnie jak protesty w Stanach Zjednoczonych i innych krajach, Narodowe Centrum bezpieczeństwa cybernetycznego w Wielkiej Brytanii, które jest częścią brytyjskiej agencji wywiadowczej GCHQ i kieruje zespołem reagowania na incydenty, opublikowało ogłoszenie, że teraz użyje terminów „Zezwalaj na listę” i „odmawiaj listy” zamiast bardziej tradycyjnej białej i czarnej listy.
w czerwcu Cisco Talos, ramię ds. badań nad zagrożeniami działu bezpieczeństwa Cisco, ogłosiło podobny środek.
„choć uznajemy, że jest to niewielka zmiana, Cisco Talos zamierza zastąpić nasze Użycie terminów” Czarna lista ” i „biała lista „”listą bloków” i „listą dozwolonych””, według zespołu Cisco Talos. „Mimo że terminy te są powszechnie używane w branży zabezpieczeń, nie będziemy się zgadzać na przypadkowe przypisywanie pozytywnych skojarzeń do „białego”, podczas gdy negatywne skojarzenia przypisujemy do „czarnego”.””
toczy się nawet debata nad tym, czy jedno z najbardziej rozpoznawalnych wydarzeń cyberbezpieczeństwa—BlackHat—powinno zmienić nazwę, aby odzwierciedlić szerszą debatę. Na początku lipca David Kleidermacher, wiceprezes ds. inżynierii w Google, który nadzoruje bezpieczeństwo Androida i sklep Google Play, ogłosił, że wycofuje się z zaplanowanej rozmowy, aby zachęcić społeczność infosec do stosowania bardziej neutralnych warunków.
„podczas gdy wiele osób słusznie twierdzi, że nigdy świadomie nie kojarzyło takich terminów z rasizmem, w rzeczywistości słowa mają znaczenie, a słowa te utrwalają pojęcie” białego „jako” dobrego ” i „czarnego” jako „złego””, powiedziała Dice Michelle McLean, wiceprezes ds. marketingu produktów w firmie ochroniarskiej StackRox. Jej firma zaczęła również używać bardziej neutralnych rasowo i płciowo terminów, takich jak” allow list „i” deny list”.”
” lingwiści od dawna przekonują, że słowa bezpośrednio kształtują naszą świadomość i naszą rzeczywistość, więc musimy podjąć kroki, takie jak usunięcie takich rasistowskich terminów z naszego słownictwa technicznego, jako mała część znacznie większego wysiłku potrzebnego do stworzenia pozytywnych środowisk i możliwości dla czarnych i innych niedostatecznie reprezentowanych ludzi w technologii”, dodał McLean.
trwająca debata
choć mogłoby się wydawać, że społeczności IT, programistów i bezpieczeństwa dopiero niedawno zaczęły debatować nad wyborem słów, takich jak biała i czarna lista, a także „master” i „slave”, obawy dotyczące użycia tych terminów i ich znaczenia były częścią dyskusji od pewnego czasu.
na przykład w 2018 roku dwóch irlandzkich uczonych opublikowało pracę badawczą poświęconą „powszechnemu użyciu języka rasistowskiego w dyskusjach dotyczących drapieżnego publikowania”, w tym pojęciom Czarna lista i biała lista.
Thomas Hatch, CTO i współzałożyciel firmy ochroniarskiej SaltStack, uważa, że bardziej nowoczesne i neutralne rasowo terminy nie tylko pomagają wyeliminować rasistowski język, ale także oferują jaśniejsze definicje tego, co bezpieczeństwo powinno oznaczać dla organizacji.
” w przeszłości większość z nas nie rozważała konotacji w kategoriach białej i czarnej listy. Pomyśleliśmy o nich jako o standardowych terminach obliczeniowych ” – powiedział Dice Hatch. „Jednak odejście od terminologii, która wywodzi się konkretnie z takich nieludzkich praktyk, jest pozytywne dla branży bezpieczeństwa, jak również innych branż. To było odświeżające, aby zobaczyć, że ten trend przenika przez technologię.”
doskonalsza przyszłość
podczas gdy debata nad pojęciami takimi jak czarna i biała lista naprawdę dopiero się rozpoczęła i nie każdy może odczuwać potrzebę ich zmiany, Heather Paunet, wiceprezes ds. zarządzania produktami w firmie zajmującej się bezpieczeństwem Untangle, uważa, że wyeliminowanie niektórych terminologii może się teraz opłacić, dzięki czemu cyberbezpieczeństwo i infosec będą bardziej integracyjne i będą szanować talent, z którego chce czerpać.
„”Czarna lista” i „biała lista” to terminy, których muszą nauczyć się nowi użytkownicy w firmie ochroniarskiej lub produkcie zabezpieczającym, ponieważ nie jest jasne, kiedy po raz pierwszy je napotkasz, co oznaczają ” – powiedział Paunet. „Używanie terminów, w których jest oczywiste, co robią, ułatwi zrozumienie rozwiązań bezpieczeństwa, a także promuje kulturę niestosowania się do terminologii, która promuje pozytywne lub negatywne skojarzenia z kolorami „czarny” i „biały”.””
McLean ze StackRox wierzy również, że aktualizacja słów używanych w branży może pomóc zmienić kulturę, czyniąc cyberbezpieczeństwo bardziej atrakcyjną karierą dla wielu utalentowanych ludzi z różnych środowisk.
„branża zabezpieczeń skorzysta tylko na możliwości skorzystania z większej i bardziej zróżnicowanej puli talentów, ponieważ wspólnie pracujemy nad ochroną krytycznych aplikacji i infrastruktury” – powiedział McLean. „Szersze myślenie tworzy lepsze rozwiązania, a branża zabezpieczeń potrzebuje tego narzędzia bardziej niż kiedykolwiek.”