停止安全羞辱

当我十多年前开始写这个博客时，我对后现代主义的理解源于大学时期对艺术史和美学的研究。像Camille Paglia一样，我并不喜欢这场运动或其结果：令人窒息的艺术商品化。我使用这个标题作为一个自命不凡的内部笑话，以突显网络安全可悲的现状——这个领域越来越被虚伪的供应商和实践者驱动，他们重视利润胜过责任。

直到现在，当我更多地阅读了这场运动的著作，并学会欣赏其中一位创始人福柯的观点后，我才意识到这个博客标题是多么贴切。“被压制知识的起义"是福柯在《必须保卫社会》中的名言，他谈到长期被压抑的文化智慧如何被重新发现，挑战主导的权力结构。最初，我选择这个名字是为了评论网络安全的现状，因为我的工作感觉重复且毫无意义，就像在装配线上工作一样。去不同的组织似乎并不重要。无论成熟与否，它们总是有相同的问题，而这些问题很少是技术性的。我看到的最大挑战是安全实践者如何对待他们声称要服务的组织内部人员。安全团队之外的任何人都被羞辱为受害者，并因他们所谓的无知而受到指责，就好像他们未能将网络安全作为日常工作的中心是他们的错。安全组织经常暴虐地对待他们本应服务的人。

这种行为似乎适得其反且有辱人格，特别是当我学习了更多关于非暴力沟通和其他冲突解决技巧后。我认为建设和平的方法可能有助于在利益相关者之间创造合作和一致性。似乎没有多少安全实践者对此感兴趣，但随着组织转向强调这些属性的DevOps，我找到了一些志同道合的人。

我还观察到与刑事司法系统的相似之处，其中主要的惩罚性、羞辱性叙事并未被证明能减少犯罪或支持受害者。但一种替代方法——修复性正义——显示出了希望。修复性正义专注于修复犯罪造成的伤害和恢复社区，同时维护所有相关方的尊严。这套实践旨在处理犯罪利益相关者经历的羞耻感，以有效地重建社区中的关系，从而减少再犯。它已经成功扩展到教育环境，我想知道它是否也可以在网络安全领域有用。

我找到的研究支持这种用例。安全社区对基于保护动机理论或恐惧诉求的方法的执着并未显示出太多成功。此外，使用羞辱手段，强调用户在执行安全方面的失败，似乎只会疏远那些我们需要与之合作的人。什么能鼓励组织成员自愿采取安全行为？在工作场所社区中获得支持的感觉，这是修复性正义的一个主要目标。

随着网络安全实践越来越商品化，但越来越缺乏建设性，难道不是我们重新评估在组织内运作方式的时候了吗？尽管已被证明无效甚至有害，我们还会继续使用羞耻作为强制执行期望行为的策略吗？难道不是我们进化超越充满FUD的方法，认识到用户是我们盟友的时候了吗？