Pytanie:
Szef chce, żebym sfałszował raport. Jak mam udokumentować to nieetyczne żądanie?
it-guy
2019-05-23 20:38:26 UTC
view on stackexchange narkive permalink

Pracuję w IT i mój kierownik próbuje nakłonić mnie i mojego współpracownika do przesłania sfałszowanego skanu bezpieczeństwa naszemu klientowi. Zasadniczo chce, abyśmy przesłali skan bezpieczeństwa zmodyfikowany w celu wykluczenia luk, które zostały wykryte podczas skanowania. To część większego projektu, nad którym pracujemy dla klienta.

Mój kierownik podlega bezpośrednio dyrektorowi generalnemu firmy, a on sam naciska na mojego menedżera, aby wykonał ten projekt bez względu na wszystko. CEO nie dba o to, czy rogi są ograniczane lub czy robi się coś nieetycznego.

Dla mnie sprawa jest bardzo prosta. Nie zrobię tego, o co prosi mój przełożony, ponieważ uważam to za wysoce nieetyczne. Ponieważ jest to część większego projektu, pracowałem nad innymi rzeczami, aby dać sobie trochę czasu na zastanowienie się, co robić. Próbuję też dowiedzieć się, jak najlepiej udokumentować to, do czego stara się mnie skłonić menedżer, co prowadzi mnie do mojego pytania.

Jak dotąd wszystko, o co poprosił mnie menedżer, dotyczyło tego zostało wypowiedziane ustnie. Podjąłem kilka nieudanych prób nakłonienia go do napisania czegokolwiek. Wczoraj zapytałem go na piśmie, co chce zrobić ze skanami bezpieczeństwa, a on mi odpisał: „już o tym rozmawialiśmy, wiesz, co robić”.

Ponieważ będę wykonywał moją pracę kiedy w końcu muszę powiedzieć mojemu przełożonemu „nie”, chcę przynajmniej móc udokumentować, o co prosi mnie mój kierownik. Obecnie nie mam żadnego sposobu, aby udowodnić, że poprosił mnie o zrobienie czegoś nieetycznego. Czy jest lepsze podejście, które mogę zastosować? Bardziej martwię się o swoją reputację zawodową niż o pracę.

Masz mu go dostarczyć do przekazania, czy wysyłasz bezpośrednio do klienta?
Nie chce sam przesyłać skanów.Chce, żebyśmy zrobili to za niego.
Niezależnie od tego, co powiesz szefowi, mam nadzieję, że zacząłeś szukać nowej pracy.Klient prawdopodobnie wyglądałby bardzo dobrze, gdybyś nie chciał go oszukiwać.
@it-guy Ta strona może Ci się przydać: [California Whistleblower Protection Laws] (https://www.shouselaw.com/employment/whistleblower.html)
OP, to pytanie jest bardzo podobne do tego, przed którym stoisz, myślę, że odpowiedzi tam również mogą być pomocne.https://workplace.stackexchange.com/questions/105378/company-doesnt-follow-security-policies-advertised-to-clients
Czy znasz motywację do fałszywego raportu?Pytam, ponieważ jeśli jest to tak nieszkodliwe, jak nieznajomość zwykłej polityki InfoSec, jak niektórzy wspomnieli, edukacja na ten temat może być bardziej kwestią posiadania planów naprawczych niż bycia doskonałym, może przejść długą drogę.
Czy Twój menedżer podał powód zmiany wyników?Czy poproszono Cię o usunięcie z raportu wszystkich wykrytych luk w zabezpieczeniach, czy tylko wybranych?
@DavidK To zależy od klienta.Jest całkiem możliwe, że sam klient chce jedynie zaznaczyć pole regulacyjne bez konieczności podejmowania jakichkolwiek działań, a szefowie PO robią po prostu to, czego chce klient.
Jest kilka rzeczy, które można zrobić, aby „wybielić” raport, takich jak ponowne testy, plan łagodzenia skutków, oświadczenie dostawcy - zasugerowałbym je swojemu przełożonemu.Jeśli nalegają lub samodzielnie wprowadzają zmiany, upewnij się, że nie pojawia się jako autor.Nie sądzę jednak, aby był to osobisty problem prawny, z którym należy się zapoznać.
Czy Twoja firma ma Podręcznik pracownika lub inny zestaw opublikowanych zasad pracowniczych?Może tam być sekcja lub polityka dotycząca interakcji i komunikowania się z klientami, a także etycznego i uczciwego zachowania, która może dać ci pewne wskazówki.Zawsze czytam Podręcznik pracownika za każdym razem, gdy przeciążenie mojej firmy wymaga podpisania formularza, który stwierdza, że otrzymałem, i przeczytania go.Zawsze zawiera kilka zasad, które wydają się bardzo szablonowe i można je podsumować jako „Nie bądź% $! ~ # @ Jerk.”. Zawsze zastanawiam się, dlaczego ludziom trzeba przypominać, by byli dobrymi ludźmi.
Jestem uparty i nie pójdę na kompromis w czymś takim.Właściwie odpowiedziałem na wymianę e-maili, którą masz, mówiąc, że po prostu nie będę fałszować danych, ale przekażę wyniki, a jeśli chcesz sfałszować dane, zrób to.Kopiowałem na ślepo innych, a także moje osobiste konto e-mail.
Praca nad innymi podprojektami to unikanie.Powinieneś przeznaczyć większość przepustowości unikania na rozpowszechnianie swojego CV, ponieważ nie ma tu końca, w którym trzymasz swoją pracę.
Powiązane: https://security.stackexchange.com/questions/11025/what-should-i-do-when-my-boss-asks-me-to-fabricate-audit-log-data.Szukałem innego pytania, w którym zasadniczo brzmi następująco: chociaż istnieją certyfikaty w dziedzinie bezpieczeństwa, jest to bardzo mała dziedzina, w której dominującym czynnikiem jest zaufanie.Jeśli kiedykolwiek dałeś się wciągnąć w jakieś sprawy sądowe, to wystarczy, by przyprawić cię o ból głowy w karierze, jeśli w ogóle jej nie zakończyć.
@it-guy więc co się stało?Co zrobiłeś
Jedenaście odpowiedzi:
dbeer
2019-05-23 20:51:11 UTC
view on stackexchange narkive permalink

Prawdopodobnie nie chce składać wniosku na piśmie, ponieważ wie, że może zostać wezwany później. Myślę, że musisz wykonać dwa kroki:

  1. Dokumentuj, o co Cię proszono. Zapisz daty tych dyrektyw i tych rozmów, aby zachować najlepszą pamięć. Powinieneś także wykonać kopię zapasową wymiany e-maili, do której wspomniano, nawet niejasno. Spisane rachunki nie są w 100% kuloodpornym dowodem, ale mają większe znaczenie niż wtedy, gdy próbujesz o tym później przypomnieć.
  2. Poinformuj swojego szefa, że ​​uważasz, że to, o co Cię prosi, jest nieetyczne nie chcesz zmieniać raportu ani podpisywać się pod tym, że ktoś inny zmienia raport (lub w jakimkolwiek innym przypadku).

Czuję, że znalazłeś się w takiej sytuacji, ale robisz co słuszne w przestrzeganiu etyki.

Być może wyślij potwierdzającą wiadomość e-mail z powrotem do szefa.`Re: Nasza wczorajsza dyskusja;chcesz, abym X. Y. Z. Proszę potwierdzić, że dobrze zrozumiałem? ”
Czy to możliwe, że takie e-maile pomagają dokumentować sprawy, nawet jeśli mój przełożony nie odpowiada?
@it-guy Tak, pomagają, nawet jeśli nie otrzymają odpowiedzi - generalnie będą tworzyć logi, szczególnie ze znacznikiem czasu / itp.i są trudne (ale nie niemożliwe) do sfałszowania (prawdopodobnie wymagałyby zaangażowania właściciela usługi e-mail) - a ponadto można je łatwo przekazać komukolwiek, gdy zostanie eskalowany (szef szefa, prawnik itp.) - i jeślipliki są w tajemniczy sposób usuwane, to też nie wygląda dobrze
W zależności od lokalnych przepisów możesz nagrać jego prośbę ustnie.
@it-guy: Brak odpowiedzi przełożonego nie wystarczy, aby samemu stanąć w sądzie, aby udowodnić winę menedżera, ale brak jakichkolwiek wiadomości z napisem „Nigdy ci tego nie powiedziałem” może wystarczyć, aby zapytać kierownika, dlaczego nigdy nie odpowiedzieli (i czytwierdzą, że tak, aby udowodnić, że tak zrobili).Nawet jeśli to nie wystarczy, aby skazać menedżera, powinno wystarczyć, aby nie skazać Cię za złe postępowanie (uwaga: NIE JESTEM PRAWNIKIEM)
Nie tylko za trzymanie się etyki: szef OP stawia go jako baranka ofiarnego, jeśli pójdzie na południe.
@Flater Albo o krok dalej, po napisaniu e-maila i uzyskaniu jedynie ustnej odpowiedzi, wyślij kolejny e-mail „tak jak mi powiedziałeś osobiście, teraz to zrobię”.Żadna odpowiedź na to, że _ to_ jest jeszcze bardziej kompromitująca.
@R.Schmitz: Jest jednak kwestia przesady.Zgadzam się z tym, co mówisz i jest to najlepsze podejście do CYA (co wydaje się pasować do szczególnie nieetycznej sytuacji OP), ale chcę tylko dodać, że nie powinno się go stosować na ślepo do zwykłego „może będę musiał pokryćmój tyłek kiedyś, kto wie? "sytuacji, ponieważ spowoduje to tarcia między tobą a menedżerem.
@Flater Rzeczywiście, już zmierza w absurdalnym kierunku i tylko akceptowalne / zalecane, ponieważ grozi ci niechętne zostanie przestępcą.
@Flater FWIW, po każdej ustnej rozmowie, którą odbyłem z _akimkolwiek_, zawsze wysyłam e-mail: „Za dyskusję:…”, wszyscy to doceniają.(Pomaga nam to uniknąć nieuchronnego „co zdecydowaliśmy się zrobić, znowu?”) Jeśli OP przyzwyczai się do drobiazgów, to może zadziałać również w tym przypadku.(Oczywiście zakłada się, że OP już to robi).
Nie zapomnij o UDW na osobistym koncie e-mail.Udowodni, że wysłałeś tę wiadomość e-mail i kiedy, jeśli dojdzie do prawnego poparcia
3. Zaktualizuj swoje CV / CV i zacznij szukać następnej pracy, z dala od tych yahoo.
1. Przygotuj się na najgorszy przypadek (co teraz robisz) - zaktualizuj CV, przygotuj radę prawną, przygotuj notatki, zapisz dane kontaktowe klienta 2. Wyślij potwierdzenie do szefa - potwierdź, że możesz wysłać pełny raportdobre skany i zsumuj listę nieudanych przepustek, które są nadal badane (być może nie musisz być całkowicie nieuczciwy i wystarczy, że przedstawisz informacje w sposób unikalny) 4. Przejdź w górę łańcucha nad szefem i powiadom o ryzyku związanym zraport 5. Dmuchnij w ten gwizdek
mcknz
2019-05-23 22:57:33 UTC
view on stackexchange narkive permalink

Nie jestem prawnikiem, ale wydaje się, że wykracza to poza sferę etyczną, do wymiaru prawnego.

Pracuję w IT, a mój menedżer stara się nakłonić mnie i mojego współpracownika do przesłać fałszywy skan bezpieczeństwa naszemu klientowi.

To brzmi jak oszustwo.

Natychmiast skontaktuj się z prawnikiem, aby ustalić, jak najlepiej możesz się zabezpieczyć i znaleźć jeśli zrobiłeś cokolwiek, co może narazić Cię na odpowiedzialność.

Prawnik może zażądać natychmiastowej rezygnacji.

Dokumentacja jest w porządku, ale nie rób osobistych kopii klienta lub informacje firmowe , takie jak robienie zdjęć telefonem, zapisywanie wątków firmowych wiadomości e-mail lub wysyłanie dokumentów na osobiste konto e-mail. Jeśli już to zrobiłeś, usuń je natychmiast.

Jeśli Twój pracodawca zostanie ujawniony (co mam nadzieję, że tak się stanie), Twój pracodawca może zemścić się, składając przeciwko tobie pozew lub skargę karną ( bez względu na to, jak niepoważne) w oparciu o sposób obsługi danych firmy.

Prawnik może nie zalecić postępowania etycznego.Jeśli z prawnego punktu widzenia OP jest bezpieczniejsze, jeśli zignoruje to, co się dzieje i odejdzie, to nadal sprawia, że klienci jego pracodawcy są bardzo podatni na wszystko, na co pozwalają luki.
@forest Moje założenie jest takie, że prawnik byłby w stanie doradzić, jak bezpiecznie być demaskatorem, jeśli tego chce PO.
@mcknz prawnik doradzi klientowi zabezpieczenie swojego majątku i pozostanie w legalnym białym lub jasnoszarym obszarze, niech to będzie etyka.
Mam na myśli, oczywiście, że to oszustwo, ale osobiście uważam obawy etyczne * bardziej * za istotne niż kwestie prawne.To powiedziawszy, całkowicie zgadzam się z radą zawartą w tej odpowiedzi.
@Mindwin: Prawnik na ogół nie może doradzać klientowi łamania prawa, ale jeśli istnieje legalny sposób osiągnięcia celów PO - w tym celów etycznych - prawnik może mu doradzić, jak to zrobić.Prawnicy nie mówią tylko: „Jedną z legalnych opcji jest X. Teraz, kiedy powiedziałem Ci o X, nie muszę Ci doradzać na temat innych opcji”.
@Mindwin Mam na myśli, że istnieje bardzo duże prawdopodobieństwo, że postępowanie etyczne i prawne w tym kontekście się pokrywają.Z etycznego punktu widzenia kłamstwo na temat luk w zabezpieczeniach jest złe.Z prawnego punktu widzenia kłamstwo na temat luk w zabezpieczeniach (w przypadku których Twoja firma prawdopodobnie została zobowiązana do pomocy, w przeciwnym razie dlaczego robisz o tym raport?) Jest prawdopodobnie oszustwem.
Możesz dodać uwagę, że PO może być osobiście narażony na oszustwa.Pracownik jest generalnie chroniony przed wpadkami swojego pracodawcy.Jednak świadome fałszowanie dokumentów dotyczących działań, za które klient zapłacił pieniądze, prawdopodobnie doprowadzi do poziomu oszustwa kryminalnego.„Mój szef mi kazał” może nie chronić PO.Chciałbym dodać nagłówek do tej odpowiedzi, aby podkreślić: ** Skonsultuj się z prawnikiem **.
Peter
2019-05-24 19:02:20 UTC
view on stackexchange narkive permalink

Jak dotąd wszystko, o co poprosił mnie kierownik w związku z tym, zostało wypowiedziane ustnie. Podjąłem kilka nieudanych prób, aby zmusić go do napisania czegokolwiek.

Nie każesz mu niczego pisać. Pisałeś o tym za niego.

Do: Mój szef

Temat: Zlecenie pracy

Cześć Szefie,

Jak już wspomniałem, umieściłem [nieetyczną cechę], o której wczoraj do mnie przyszedłeś, na liście zaległości. Nadal mam kilka pytań dotyczących kwestii prawnych i byłbym szczęśliwy, gdybyśmy mogli omówić je, zanim zaczniemy nad tym pracować.

Najlepsze, człowieku

Możesz wtedy zorganizować spotkanie, na którym powie Ci, abyś kontynuował [nieetyczną funkcję], nie martwił się o stronę prawną, i poinstruuje Cię, abyś nie pisał już e-maili podsumowujących Twoje rozmowy. Zapomnisz o tym, jak nie pisać e-maili i wyślesz coś takiego:

Do: Mój szef

Temat: Zlecenie pracy, kontynuacja

Cześć Szefie,

Podsumowując dyskusję z godziny 14:00: Sprawdziłeś już od strony prawnej i właściwym sposobem jest to, że muszę zrobić [rzecz nieetyczna] i [rzecz nieetyczna]. Prawdopodobnie będę gotowy do jutra po południu.

Najlepsze, koleś

Jeśli jest niejednoznaczny, usuwasz niejednoznaczność w podsumowaniu, co sprawia, że ​​jest on odpowiedzialny aby wyjaśnić, jeśli źle zrozumiałeś.

Nie zapomnij wydrukować wiadomości e-mail i zabrać je do domu (lub po prostu przystawić telefon do ekranu), ponieważ firmy, które chcą łamać prawo, czasami są na to gotowe ” stracić ”e-maile.

„wydrukuj e-maile i zabierz je do domu” Według odpowiedzi McKnza może to być bardzo niewskazane.
O. Jones
2019-05-23 23:05:00 UTC
view on stackexchange narkive permalink

Mogę częściowo o tym porozmawiać z mojego doświadczenia jako koordynator infosec w firmie SaaS. (Nie mogę z tym wszystkim rozmawiać, ponieważ mój pracodawca ma kulturę przestrzegania przepisów; nasi kierownicy nigdy nie zagraliby w tę grę).

  1. W większości przypadków te żądania pochodzą od część działalności klienta, która po prostu zaznacza pola przed podpisaniem umowy z nowymi dostawcami. W cyniczne dni myślę, że po prostu ważą te raporty lub liczą je.

  2. Czasami można przesłać klientowi prawdziwy skan, jeśli dołączysz wyjaśnienie i plan naprawczy. Wielu klientów to zaakceptuje, a to zwiększy Twoją wiarygodność: pracownicy korporacji lubią przejrzystość. (Będą jednak kontynuować, aby upewnić się, że naprawiłeś sytuację.)

  3. Całkowicie rozsądne jest przesłanie klientowi samego podsumowania skanu; szczegóły twoich systemów i luk w zabezpieczeniach to nic innego jak twoja, a ujawnienie ich zwiększa powierzchnię ataku.

  4. Przypuszczam, że można przesłać klientowi fałszywy skan, aby biznes. Ale mądrze byłoby przygotować plan naprawczy i poprosić szefa, aby zgodził się go wdrożyć, jeśli to zrobisz.

Jeśli wyślesz fałszywy skan, a następnie jakiś cyberprzestępca pomyślnie Cię zaatakuje, co może się stać? Jeśli nie jesteś w służbie zdrowia, przypuszczam, że najgorszym scenariuszem jest Equifax: katastrofalna reklama dla twojego klienta i ciebie. Albo twój właściciel może wysłać twojego CTO do Fox News, aby kłamał na ten temat, tak jak to zrobili, gdy Panera miał naruszenie. Ale prawdopodobnie nie będzie tak źle.

Jeśli jesteś podmiotem biznesowym związanym z ochroną zdrowia HIPAA i masz dane pacjentów, które wyciekają, a ktoś dopuścił się zaniedbania, jest to przestępstwo, które przebija korporacyjną zasłonę , co oznacza, że ​​osoby fizyczne mogą ponosić odpowiedzialność karną i nie mogą chować się za LLC. W takim przypadku rozsądnie byłoby odmówić podpisania umowy.

Słuchaj, ciężko pracuje ... pracować dla firmy, która nie ma kultury przestrzegania prawa. Wiesz to. Ale można to wykorzystać jako wymówkę, aby zacząć naciskać na zmiany w swojej firmie. Moja sugestia numer 4 może być sposobem na osiągnięcie tego celu.

Właściwe pytanie dla Ciebie i dla Twojej kadry kierowniczej brzmi: „Jak możemy zwiększyć bezpieczeństwo danych naszych klientów?” Kompromis w tej sprawie może po prostu poprowadzić cię dalej na tej ścieżce. To tylko coś do przemyślenia.

Jeśli idziesz na kompromis, proponuję napisać „notatkę do akt” opisującą sytuację, otrzymane instrukcje i działania. Wydrukuj i zabierz do domu. To jest tylko dla Ciebie, a nie dla Twojej kadry kierowniczej lub współpracowników. Pomoże Ci to dokładnie zapamiętać, kto co powiedział i kiedy, jeśli będziesz musiał opisać ten incydent za kilka lat.

+1 za wzmiankę o rozwiązaniu kompromisowym.Podoba mi się, że nie jest to bezpośrednio konfrontacyjne, ale jednocześnie można je wykorzystać do przyszłych działań.Jako profesjonalista InfoSec dobrze wiem, że czasami najlepsze rozwiązanie może nie być idealne
Plan naprawczy w przypadku popełnienia oszustwa może polegać na upewnieniu się, że masz wystarczająco dużo na wpłacenie kaucji.
W rzeczywistości atakowanie ludzi - zagrywanie * nieetycznej * karty - nie jest zbyt skutecznym sposobem na ich zmianę.A każdy, kto czyta wiadomości, może zobaczyć, że skłonienie ludzi do zmiany jest naprawdę trudne i bardzo pilne.
Najgorsze, co może się wydarzyć?Pamiętasz inżyniera, który właśnie poszedł do więzienia na kilka lat za sfałszowanie wyników testów rzeczy, które leciały w kosmos?
Re: Nie nazwałbym dokładnie reklamy Equifax „katastrofalną”.Nadal działają doskonale, a ich faktycznym klientom to nie przeszkadza.To był zdecydowanie zły rozgłos, ale tak naprawdę nie była to katastrofa, jeśli odpowiedzialna firma nadal kwitnie 2 lata później.
Ciekawa interpretacja Delioth .. https://gizmodo.com/equifax-is-finally-getting-kicked-in-the-money-bags-due-1834976747
Post OP wydaje się wskazywać, że proszono go raczej o nie_ informowanie klienta o znalezionych lukach w zabezpieczeniach, a nie na odwrót.
@Delioth - Equifax nie ma klientów.To jedna z trzech firm, które razem w zasadzie dusią sektor, który nie powinien znajdować się w rękach prywatnych firm.Moi rodzice * nie * są zadowoleni z czasu, jaki musieli spędzić na rozmowie telefonicznej, aby zamrozić i odmrozić kredyt z powodu tego bs.
@Mazura: Equifax z pewnością ma klientów, ale nie ty (ani twoi rodzice).Pożyczkodawcy i agencje sprawdzające przeszłość płacą Equifax duże pieniądze za dostęp do tych raportów.Ludzie, o których zbierają raporty, nie są klientami, są produktami, które sprzedaje Equifax.Jeśli chodzi o „nie powinien być w rękach prywatnych firm”, wszystkie inne opcje byłyby dużo, DUŻO gorsze.
Michael Brininstool
2019-05-24 20:35:02 UTC
view on stackexchange narkive permalink

Niestety, byłem w takiej sytuacji kilka razy w swojej karierze.

Po pierwsze, nie możesz kontynuować pracy dla tej osoby, zacznij szukać innej pracy.

Po drugie , Proponuję zrobić to, co sugerował inny. Napisz to wszystko w e-mailu i poproś o potwierdzenie tak / nie. W tym e-mailu chciałbym wskazać w e-mailu, że to, czego od niego wymaga, jest nieetyczne i prawdopodobnie nielegalne. „Potwierdź za pomocą opcji Tak lub Nie, albo nie zrobię tej nieetycznej i prawdopodobnie nielegalnej rzeczy”. Poprosiłem wcześniej o podpisany dokument lub podpisany cyfrowo e-mail, a oni zawsze odmawiają.

Pewnego razu zostałem poproszony o podpisanie czegoś jako przechodzenie testów podatności, a nie zrobiłem tego, ponieważ nawet mi nie pozwolili uruchomić skanowanie. Kał uderzył później w urządzenie do ruchu powietrza. Około 6 miesięcy później skontaktował się ze mną pułkownik w biurze Generalnego Inspektora z prośbą o pisemne zeznanie, ponieważ nie mogłem sporządzić kopii e-maili (nie mogłem ich zabrać ze sobą) ....... dużo zwolnień, ale już mnie nie było ... Wtedy byłem już na drugim końcu świata.

SemiGeek
2019-05-23 22:12:42 UTC
view on stackexchange narkive permalink

Dan i dbeer omówili większość moich pierwszych myśli. Skopiuj, jakie elementy możesz, a resztę zarejestruj ręcznie. Niektóre z nich są ryzykowne, ale skupiam się na Twoim zapewnieniu, że jesteś skłonny stracić tę pracę przez to (i brawo Ci za to).

Możesz również odpowiedzieć na jego niezobowiązujący e-mail z kopiami oryginalnego wyniku i spreparowanej wersji roboczej ze znakami wodnymi „DRAFT” i ukrytą wiadomością e-mail.

„Zgodnie z naszą dyskusją, oto oryginał i wersja robocza skanów z zredagowanymi wynikami”. Zakładając, że ustnie powie Ci, że tego chce i wyśle ​​to (i może przestanie wysyłać dowody pocztą e-mail), w tym momencie jesteś nieco osaczony, aby powiedzieć mu, że nie możesz się zgodzić z wysyłaniem fałszywych wyników skanowania. Jeśli chcesz uratować związek, warto porozmawiać o planach naprawczych. Większość audytów, w których brałem udział, jest bardziej zainteresowana prawdą, a następnie planem poprawy ryzyka. Ale to może nie wystarczyć.

Może sprawdzić dzienniki poczty e-mail i wiedzieć, co robisz. Jeśli tak, powinien również wiedzieć, że udokumentowałeś jego przestępstwo. Miejmy nadzieję, że to zatrzyma go, zanim zagrozi ci zrujnowaniem. Może zrobić coś takiego, jak grożenie ci jakąś formą NDA, wysyłając do siebie ten e-mail. Pamiętaj, że to desperacja. Jedynym sposobem, w jaki może to udowodnić, jest przedstawienie dowodów, że próbuje oszukać klienta.

E-maile są świetne, o ile nie są hostowane przez firmę.Często zdarza się, że firma przejmuje Twoją pocztę e-mail przy wyjeździe (lub zwolnieniu), aby szef OP mógł łatwo zalogować się i usunąć wiadomość e-mail.Dlatego dobrym pomysłem jest eksportowanie wszystkiego, przynajmniej raz w tygodniu, aby mieć pewność, że jesteś przynajmniej objęty ochroną, zwłaszcza gdy ktoś mówi ci, że masz zrobić coś nieetycznego.Nic nie powstrzymuje ich przed kontynuowaniem nieetycznego zachowania i uzyskania dostępu do Twojej poczty e-mail i usuwania odpowiednich elementów, a nawet fałszowania komunikacji.
Jeśli jeszcze tego nie zrobiłeś, dobrym pomysłem może być cyfrowe podpisywanie wiadomości e-mail.To jest 100% dowód, że to wysłałeś i coś, czego zły aktor nie może powtórzyć, chyba że zagroziłby wszystkim, co masz.
Wysyłanie informacji e-mailem może chronić PO, ale nie wysyłałbym żadnych danych firmy ani klienta na osobisty adres e-mail.Może to stanowić naruszenie umowy o zachowaniu poufności lub podobnej umowy.Jeśli na przykład masz konto Gmail, OP zasadniczo będzie przechowywać zastrzeżone informacje za pośrednictwem strony trzeciej.
@mcknz To zdecydowanie należy wziąć pod uwagę.IANAL, ale osobiście byłbym skłonny postawić to ryzyko przeciwko umyślnemu oszustwu.
Chciałbym wyraźnie napisać w e-mailu, że jesteś temu przeciwny, ponieważ jest to nielegalne.Poradź również swojemu szefowi wyraźnie, aby nie usuwał „szkicu” znaku wodnego i nie korzystał z fałszywego raportu.Wydrukuj kopię wiadomości e-mail i dokument, przechowując ją w miejscu, w którym nie będą łatwo znaleźć.
@Dan Cyfrowo podpisane wiadomości e-mail nie są „100% dowodem wysłania”;to, jak trudno byłoby komuś złapać klucz i podpisać wiadomość, której nie napisałeś, zależy od środowiska.W środowiskach korporacyjnych, w których „atakujący” zwykle ma pełną kontrolę nad używanym oprogramowaniem i sprzętem, może z łatwością odszyfrować Twój klucz.(Prawdopodobnie jest on przechowywany na dysku firmowym i mogą mieć np. Oprogramowanie monitorujące, które przechwytuje Twoje hasło). W tym konkretnym przypadku i tak nie widzę potrzeby cyfrowego podpisywania wiadomości;możesz później zaświadczyć o tym, co napisałeś.
@mcknz W pewnym momencie informacje nie są już chronione przez umowy o zachowaniu poufności lub inne umowy, zwłaszcza gdy ktoś narusza prawo lub etykę.Kiedy jedna osoba robi źle, nie jesteś już ograniczony warunkami.To podstawowe prawa umów w większości krajów rozwiniętych.Powiedzmy, że jest to medyczne, a pracodawca sfałszował wyniki sprzedaży swoich produktów, które mogą okazać się śmiertelne.Czy chciałbyś, żeby ktoś to ujawnił?A może chciałbyś kogoś, kto przestrzega tak zwanej umowy NDA?
Milwrdfan
2019-05-24 19:15:31 UTC
view on stackexchange narkive permalink

W firmie zajmującej się zaawansowanymi technologiami, w której pracuję, pełnimy rolę w organizacji zwanej Rzecznikiem Praw Obywatelskich. Ich niezależnym obowiązkiem jest udzielanie porad i wskazówek w takich kwestiach etycznych / prawnych jak ta. W naszej firmie może to być w razie potrzeby całkowicie anonimowe. Jeśli Twoja firma ma taką rolę, sugerowałbym skontaktowanie się z nią w celu uzyskania wskazówek, ponieważ jest to ich praca i obowiązek.

bezużyteczna rada dla menedżera, który podlega bezpośrednio dyrektorowi generalnemu, który wywiera pierwotną presję.Przeczytaj pytanie
Zadaniem każdego pracownika, czy to HR, czy Rzecznika Praw Obywatelskich, jest przede wszystkim ochrona pracodawcy.O ile ten Rzecznik Praw Obywatelskich nie jest niezależną stroną trzecią (być może opłacaną przez rząd lub związek), prawdopodobnie nie będzie pomocny.* Pod żadnym pozorem nie * zakładaj, że ktoś zatrudniony przez tego samego pracodawcę co Ty przedłoży Twoje interesy nad pracodawcę.Istnieją * pewne, prawnie zdefiniowane, konkretne role, które mają określone zabezpieczenia (np. Inspektor ochrony danych RODO nie może zostać zwolniony za wykonywanie swojej pracy), ale to nadal nie oznacza, że są niezależne.
Nie leży to w interesie firmy.Jeśli Rzecznik Praw Obywatelskich działa w imieniu zarządu, zamknie ten brudny bałagan.
Sascha
2019-05-26 14:39:47 UTC
view on stackexchange narkive permalink

Co mi się sprawdziło w przeszłości: Zrób raport, który opisuje, co faktycznie zrobiłeś, w tym fragmenty, które powinieneś zrobić / planujesz zrobić, ale zaznacz je wyraźnie jako „jeszcze nie zrobione”, wyślij je do swojego szefa i powiedz mu, aby zredagował go tak, jak uzna to za stosowne, podpisz go i wyślij do klienta.

Wiele osób nagle staje się znacznie bardziej ostrożne, jeśli to ich podpis, a nie podpis podwładnych (w moim przypadku chodziło o zamówienie u „ulubionego dostawcy” zamiast najtańszego).

Jeśli Twój szef nadal chce to zrobić, uciekaj od tej firmy i w zależności od powagi sytuacji przekaż wiedzę do odpowiednich instytucji (-> pytanie prawne, porozmawiaj z prawnikiem).

Dan
2019-05-23 21:03:30 UTC
view on stackexchange narkive permalink

Myślę, że jeśli masz oryginalne skany i zmodyfikowane skany, po prostu wypal rzeczywiste skany na płycie CD i wrzuć je pocztą do firmy. Dołącz zaszyfrowany plik tekstowy z frazą kodową, która go identyfikuje. Jeśli kiedykolwiek będziesz musiał stanąć na stanowisku, że tak powiem, możesz opisać, co jest w tym zaszyfrowanym pliku tekstowym, aby mieć miejsce. Świetnie jest też, jeśli szef rzuci cię pod autobus przed firmą i możesz powiedzieć, że dołączyłeś zaszyfrowany plik z frazą kodową, którą tylko Ty znasz. Myślę, że to najlepsze podejście do ubezpieczenia. W przeciwnym razie myślę, że twój szef i jego szefowie mogą wymyślić, co im się podoba, a ty nie masz praktycznie żadnego dowodu, zwłaszcza jeśli powiedzieli ci ustnie.

Nie jestem prawnikiem.Zgadzam się z duchem tej odpowiedzi, ale myślę, że OP może potencjalnie wpaść w kłopoty z powodu nieautoryzowanego ujawnienia informacji firmowych, nawet jeśli dzieje się to z ważnego powodu.Lepiej zasięgnij porady prawnej.
Dobra uwaga, jeśli chodzi o publikację informacji, ale że ** to ** informacja, która ma trafić do klienta, niezależnie od tego, czy powinna zostać „udokumentowana”, czy nie, to inna kwestia ...
@SolarMike Przypuszczam, że tak jest i mam nadzieję, że OP byłby chroniony z tego powodu, ale prawo jest dziwne i nie zawsze sprawiedliwe.
@mcknz o tak, „człowiek jest niewinny, dopóki nie udowodniono, że jest spłukany” ...
A kiedy klient dzwoni do swojej firmy, aby powiedzieć im o płycie CD, i wiadomo, że OP odmówił sfałszowania skanowania bezpieczeństwa (nie może być tak wielu dostawców i nie może być tak wielu ludzi wykonujących skanowanie bezpieczeństwa.... to specyficzna praca), a następnie OP decyduje, czy było warto.
Umowy NDA @mcknz służą do ochrony tajemnicy handlowej, więc nie udasz się do innej firmy i nie ujawnisz informacji handlowych ani nie weźmiesz informacji patentowych i nie udasz się do innej firmy i nie ujawnisz informacji.Nie chroni firmy przed okłamywaniem klientów poprzez fałszowanie raportów.Chyba że obie strony zgodzą się, że chcą kłamać w zgłoszeniu, ale podejrzewam, że dana firma nie zgodziła się na fałszywe zgłoszenie.
Dataminion
2019-05-28 03:59:03 UTC
view on stackexchange narkive permalink

Myślę, że jest tu inna opcja, której ludzie mogą nie lubić, ale jest ona ignorowana. Obraca się wokół idei, kto jest osobą, która popełnia oszustwo i jak. Jeśli chcesz kontynuować pracę w firmie, ale unikasz robienia czegokolwiek, co mogłoby cię wplątać, polecam poniższe.

Utwórz wersję raportu, o którą poprosił szef, a następnie wyślij go do niego z oryginał załączony i powiedz co następuje.

Utworzyłem raport (z pominiętymi odpowiedziami), o którego przygotowanie poprosiłeś mnie dla {firma}. Znajdziesz go oraz oryginalny raport załączony do tego e-maila dla porównanie. Chcę, abyś wiedział, że przygotowałem raport w nadziei, że wykorzystasz go wyłącznie do celów wewnętrznych. Naprawdę wierzę, że decyzja o udostępnieniu zredagowanej wersji tego dokumentu {firmie} stawia naszą firmę w bardzo niebezpiecznej sytuacji, ponieważ niektóre kwestie zawarte w oryginalnym dokumencie to rzeczywiste kwestie, które mogą zostać wykorzystane. W tym świetle zachęcam do korzystania z oryginału.

Następnie przekierowałbym wiadomość e-mail na osobiste konto e-mail, a także wydrukowałbym całą wiadomość e-mail (nieprzetworzoną wiadomość e-mail z folderu wysłanych z wszystkie nagłówki). Jeśli Twój szef odpowie i każe Ci wysłać wiadomość e-mail do {company}, to jest moment, w którym mówisz

Ze względu na moją osobistą odpowiedzialność nie mogę z czystym sumieniem być osobą, która wyśle ​​to e-mailem do {company} i mam nadzieję, że nie stanowi to dla Ciebie problemu

Powiedziałbym, że powoduje to kilka różnych rzeczy:

a) niezależnie od oszustwa lub sytuacji, w której szef zlecił Ci pracę aby utworzyć raport i może to być sytuacja, w której możesz zostać zwolniony za nie zrobienie tego za tworzenie dokumentu i wywołanie tego, o co proszono, jasno oznacza, że ​​chcesz wykonać zadania od swojego przełożonego (Naprawdę rozumiem, że ludzie się z tym nie zgodzą ale ja postrzegam to jako podejście do etycznej linii bez jej przekraczania)

b) przekazując raport w wiadomości e-mail do swojego kierownika wraz z oryginałem, jasno określa, że ​​dokument powinien być traktowany do celów wewnętrznych. Jeśli Twój przełożony zdecyduje się skorzystać z tego dokumentu, to Twój przełożony popełnił oszustwo, a nie Ty. (Odpowiem, co zrobić, jeśli faktycznie wyśle ​​to później)

c) przesłanie tego do swojego przełożonego daje mu pisemną szansę zrobienia tego, co należy. Twój przełożony może zmienić zdanie ... miejmy nadzieję.

d) UDW drukowanie i zapisanie wiadomości e-mail dostarcza ważnych fizycznych dowodów, które mogą być konieczne, jeśli wystąpią negatywne reperkusje tej czynności.

Na koniec chciałbym argumentować, że sporządzenie raportu nie jest trudną kwestią etyczną. Powiedziałbym, że

za co odpowiadasz, jeśli wiesz na pewno, że Twój kierownik / firma wysłała dokument, popełniając w ten sposób oszustwo?

czy bardzo złożone pytanie, mógłbym sformułować kilka zaleceń w tym duchu, ale prawdą jest, że absolutnie powinieneś to zrobić.

Jeśli Twój szef korzysta ze zredagowanego raportu i jako bezpośredni lub pośredni rezultat, Twoja firma zyskuje lub w inny sposób kontynuuje kontrakty z drugą firmą. Nie publikuj na wymianie stosów, wydawaj kilkaset dolarów i zasięgaj porady prawnika pracy (będzie to rada z ubezpieczeniem od błędów w sztuce)

S. Miranda
2019-05-24 17:13:36 UTC
view on stackexchange narkive permalink

Dla mnie istnieją dwie możliwości:

  1. Zrób to, ale chroń siebie

    Zachowaj dokument z podjętymi działaniami, data utworzenia / modyfikacji młodsza niż wiadomość, którą wyślesz do klienta z wykluczonymi lukami. W tym dokumencie zapamiętaj dyskusje ze swoim przełożonym, wykluczone luki i link do prawdziwego raportu.

    Następnie wykonaj czynności, które zostały Ci polecone, i wyślij wiadomość e-mail ze zmodyfikowanym raportem do swojego menedżer ostrzegający go o lukach w zabezpieczeniach (lub znajdź inną wiadomość, którą już wysłałeś, mówiąc o tym).

    Jeśli klient wykryje to, będziesz chroniony (i nawet jeśli zapytają cię, dlaczego to zrobiłeś rzecz nieetyczna ze świadomością, możesz powiedzieć, że byłeś naciskany).

  2. Znajdź nową pracę i wyjdź jak najszybciej

    To jest toksyczne środowisko i / lub toksyczne zarządzanie, które tu masz. Postaraj się wyjść bez podpalania mostów i znajdź wcześniej inną pracę. Wygraj tyle czasu, ile możesz bez konieczności edytowania raportu, więc możesz wyjść, zanim będziesz musiał to zrobić.

َ

„wyślij e-mail ze zmienionym raportem do swojego przełożonego” - to dobry pomysł: chociaż kierownik odmawia odpowiedzi na piśmie, nadal możesz udokumentować, co się dzieje, wysyłając nieedytowany raport do menedżera, komentując luki w zabezpieczeniach, wspominając, że jest to raport, który * powinien * zostać wysłany.W ten sposób udokumentujesz, że Ty i Twój przełożony * byliście świadomi problemów i posiadacie dowody, że rozwiązaliście je właściwie.Jeśli nadal tylko zredagowany raport dotrze do klienta, fakt, że stało się to * pomimo * udokumentowanych obaw, powinien uwolnić Cię od
menedżer w centrum uwagi.
Fałszowanie raportu w żadnym wypadku nie powinno być tutaj opcją i nie widzę, jak by to rozważał jakikolwiek przyzwoity profesjonalista.Spójrz tylko, co stało się z tymi programistami w skandalu związanym z emisjami BMW.
@ayrtonclark Zgadzam się, ale w niektórych przypadkach nie możesz tak naprawdę wybrać.nie jestem w butach tej osoby: jeśli jest w sytuacji, gdy nie radzi sobie ze stratą pracy, pozostaje tylko postępować zgodnie z instrukcjami, zakrywając się tak bardzo, jak tylko może


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...