让我们停止安全羞辱

当我十多年前开始这个博客时，我对后现代主义的理解源于大学期间对艺术史和美学的研究。像卡米尔·帕格利亚一样，我并不喜欢这个运动或其结果：艺术被商品化到令人窒息的程度。我用这个标题作为一个自命不凡的内部笑话，来突显网络安全领域的可悲现状，这个领域越来越被虚伪的供应商和从业者所驱动，他们重视利润胜过责任。

直到现在，当我更多地阅读了这一运动并学会欣赏其创始人之一福柯的观点时，我才意识到这个博客的标题是多么贴切。“被压制知识的起义”是福柯在《社会必须被捍卫》中的名言，他谈到了长期被压制的文化智慧如何被重新发现，挑战主导的权力结构。最初，我选择这个名字是为了评论网络安全的现状，因为我的工作感觉重复且无意义，就像在流水线上一样。去不同的组织似乎并不重要。无论成熟与否，它们总是有相同的问题，这些问题很少是技术性的。我看到的最大挑战是安全从业者如何对待他们声称要服务的组织内部人员。安全团队之外的任何人都被羞辱和指责为所谓的无知，好像他们因为没有将网络安全作为日常工作的中心而有过错。安全组织常常暴虐地对待他们本应服务的人。

这种行为似乎适得其反且贬低人格，尤其在我学习了非暴力沟通和其他冲突解决技巧后。我认为建设和平的方法可能有助于在利益相关者之间建立协作和一致性。似乎没有多少安全从业者对此感兴趣，但随着组织转向强调这些属性的DevOps，我找到了一些志同道合的人。

我还观察到与刑事司法系统的相似之处，其中主流的惩罚性和羞辱性叙事并未被证明能减少犯罪或支持受害者。但一种替代方法，修复性正义，显示出希望。修复性正义专注于修复犯罪造成的伤害并恢复社区，同时维护所有相关方的尊严。这套实践旨在处理犯罪利益相关者所经历的羞耻感，以有效重建社区关系，从而减少再犯。它已经成功扩展到教育环境，我想知道它是否在网络安全领域也有用。

我找到的研究支持这一用例。安全社区对基于保护动机理论或恐惧诉求的方法的执着并未显示出太多成功。此外，使用羞辱来强调用户在执行安全措施时的失败，似乎只会疏远那些我们需要合作的人。什么能鼓励组织成员自愿采取安全行为？在工作场所社区中感到被支持的感觉，这是修复性正义的一个主要目标。

随着网络安全实践日益商品化但建设性减少，难道不是我们重新评估在组织内运作方式的时候了吗？我们会继续使用羞辱作为强制执行期望行为的手段，即使它已被证明无效甚至有害吗？难道不是我们进化超越基于恐惧、不确定性和怀疑（FUD）的方法，认识到用户是我们的盟友的时候了吗？