这两天,大家肯定都听说了那个新闻,ISC2把新版的全球网络安全行为准则给发出来了。听说这是件大事,毕竟ISC2可是国际信息系统安全认证联盟嘛,说白了就是给大家定规矩的。这次发布的准则,主要是想给全球搞安全的人指条明路,帮他们应对像AI、深度伪造这些新兴技术带来的道德难题。 其实吧,这准则是ISC2搞了两年才弄出来的,真挺不容易。参与编写的都是来自127个国家的专家,差不多有1400个呢。光听听这个数字,就知道这事儿有多少人在操心。大家通过开会讨论、分析案例,把从CC(那个基础的网络安全认证)到CISSP(那个更高级的认证)这些不同级别的从业者遇到的伦理问题都捋清楚了。 你听ISC2的CEO斯科特·比尔怎么说的?他说现在光想着防黑客还不行,更得守住行业里的那点信任。所以他们特意加了块关于人工智能伦理的内容,就是提醒大家搞技术创新的时候不能乱来。这个准则的结构挺有意思,是个"双螺旋"的样子。一边是道德支柱,讲诚信、隐私、法律这些大道理;另一边是专业支柱,讲怎么问责、怎么团队合作。 就拿AI来说吧,准则明确规定开发那些自动防御系统的时候,必须得留个人工审核的口子,免得算法有偏见导致不公平。要是搞深度伪造检测呢,准则也强调要在检测效率和保护隐私之间找个平衡点。参与编写的帕诺斯·弗拉霍斯老师也说了,他们讨论的时候吵得可凶了,后来一致觉得不管多高级的自动化措施都得有人看着才行,尤其是涉及公民自由或者商业机密的时候。 大家最关注的还是这个准则怎么动起来。ISC2说每年都要让全球会员帮忙改一改,还专门设了个"新兴技术伦理观察站",盯着量子计算、脑机接口这些前沿东西。斯丽嘉·雷迪·阿拉姆老师也说了,他们特意留了20%的条款空间给突发情况用。因为技术变化太快了,太死板肯定不行。 行业那边反馈挺好。有个跨国科技公司用了这准则后,把自家AI威胁情报系统给改了,专门加了个算法透明报告的模块。欧洲那边的监管机构也把这准则放进考核里了,让安全分析师都得考个伦理决策模拟测试。比尔透露说,现在已经有超过35个国家的监管机构说要参考这个准则来搞本土化的规矩了。 最有意思的是"灰色地带"的处理原则。很多时候攻防里遇到的事儿都没明确法律说该咋办,比如要不要用零日漏洞去反击。这个准则给了一套决策树模型,让大家从法律合不合规、危害有多大、有没有别的办法这些七个方面去琢磨。阿拉姆老师说在这种法律不明确的地方这套工具挺管用的。 现在数字技术到处都是,ISC2的影响也越来越大。大学里有83所学校把这内容放进课程里了;好几个《财富》500强企业也在用这个重构合规体系;就连世界经济论坛都把这准则写进了《全球网络安全治理框架》里。看来这个诞生于专业社区的规范,已经快变成影响全世界数字治理的大力量了。