Солдатов в Телеграм

Варианты тем дебатов по ИБ

1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать

2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно

3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат

4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)

5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса

6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак

7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы

8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом


#vCISO

👍11🔥1

www.tgoop.com/soldatov_in_telegram/688

1.32K viewsJul 7 at 08:11

Варианты тем дебатов по ИБ

1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать

2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно

3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат

4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)

5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса

6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак

7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы

8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом


#vCISO

BY Солдатов в Телеграм