Ethics

Kurssin englanninkielistä toteutusta ei ole julkaistu. Siirry suomenkieliseen toteutukseen vaihtamalla kieli sivupalkista.

Obligations owed to a client

Codes of conduct

Vulnerability testing and disclosure

Testing for vulnerabilities

Disclosure of vulnerabilities

Facilitating and acting on vulnerability disclosures

Question 1

Lain noudattaminen voi yksinään olla riittämätöntä ohjaamaan kyberturva-ammattilaista eettiseen toimintaan, koska

eettinen toiminta tarkoittaa aktiivisuutta, eli laajempaa toimintaa kuin vähimmän vaaditun tekemistä.

lait eivät määrittele muuta kuin rikoksia ja rangaistuksia, eli eivät varsinaisesti käske tekemään mitään.

on runsaasti tilanteita, joissa ammattilainen luottamusasemassa tai irrallaan asiakassuhteista voi aiheuttaa vahinkoa toisille rikkomatta silti lakia.

lain noudattamiseen ei tarvita kuin tietoa, eli sen kummempaa ymmärrystä ja varsinkaan empatiaa ei tarvita.

Question 2

Millaista eettistä sääntelyä tietoturva-alalla on?

Useimmat tietoturva-ammateista ovat samaan tapaan säänneltyjä kuin lääkärintoimi ja niitä koskevat samantapaiset säännöt, mm. vaitiolovelvollisuus.

Vain harvat tietoturva-ammatit ovat samaan tapaan säänneltyjä kuin lääkärintoimi, mutta tietosuojasta huolehtimisen osalta GDPR asettaa eetttiset säännöt kaikille EU-alueella toimiville tietoturva-ammattilaisille.

Tietoturva-ammateissa ei sinänsä ole edes samantapaista sääntöä kuin asianajosalaisuus on asianajajilla, mutta asiakkaan kanssa tehdyillä sopimuksilla saavutetaan vastaavia tavoitteita.

Britanniassa ei voi suorittaa ammattimaisesti tunkeutumistestejä ilman, että sitoutuu noudattamaan CREST-koodia.

Question 3

Haavoittuvuuden vastuullinen paljastaminen

on kaksivaiheinen toimitus, jonka suorittamisen periaatteet ovat vakiintuneet.

on toimitus, jonka ensimmäisessä vaiheessa tieto luovutetaan yleensä tietojärjestelmän valmistajalle.

on kaksi- tai useampivaiheinen täysin anonymisoitu toimitus.

ei tarvitse harkintaa, jos ei ole olemassa tahoa, joka voisi tehdä jotain haavoittuvuuden korjaamiseksi.

Question 4

Mihin valintakirjaimeen asti seuraavaan tekstiä voi lukea ennen kuin se alkaa tavanomaisen tulkinnan mukaan kuvata epäeettistä toimintaa? ”Tietoturva-ammattilainen tutkii jonkun toisen omistamaa tietojärjestelmää (a) hyökkäävällä tavalla (b) tavoitteena löytää haavoittuvuus (c) ja ansaita siitä rahaa. (d) Hän myös ilmoittaa löydetyn tiedon haavoittuvuuksia julkaisevalle organisaatiolle. (e)”

a

b

c

d

e

Posting submission...