Pytanie:
Czy powinienem zgłosić wyciek poufnych informacji HR?
maronto
2019-06-23 09:00:48 UTC
view on stackexchange narkive permalink

Odkryłem, że pracownik, którego już nie ma, przesłał do Slacka gigantyczny plik Excel zawierający informacje kadrowe. Plik jest dostępny dla każdego w naszym Slacku i zawiera imiona i nazwiska wszystkich obecnych i byłych pracowników, ich dane kontaktowe, imiona i nazwiska, którzy mają opcje na akcje, uprawnienia do urlopu rocznego, historię kadrową i różne informacje na ich temat, ale nie szczegóły dotyczące wynagrodzenia. Plik jest w jakiś sposób tam i można go znaleźć podczas wyszukiwania, ale nie jest dołączany do żadnej wiadomości ani publikowany na żadnym kanale (nie wiem, jak to działa).

Czy powinienem powiedzieć o tym naszemu dyrektorowi technicznemu? Nikt naprawdę nie powinien być w stanie znaleźć tych informacji, a nawet mamy kilku dostawców, stażystów i pracowników zatrudnionych w niepełnym wymiarze godzin na naszym Slacku, którzy prawdopodobnie mogą je znaleźć.

Z drugiej strony nie mam wiarygodnego wyjaśnienie, w jaki sposób znalazłem ten plik (tak, szperałem w naszym Slacku w weekend, aby zobaczyć, co mogę znaleźć). Myślę też, że cokolwiek powiem w przyszłości, ludzie usłyszą to z myślą „och, ten facet miał dostęp do naszych danych o zatrudnieniu” z tyłu głowy.

Innymi słowy, przegrywam nic, jeśli tego nie zgłoszę, i mogę coś stracić, jeśli to zrobię. Wygląda na to, że nie mamy metody anonimowego zgłaszania rzeczy.

Ponadto jesteśmy dość małą firmą (mniej niż 200 osób), więc nie mamy żadnych oficjalnych opublikowanych zasad dotyczących tego .

Jak myślisz, dlaczego coś pójdzie nie tak, jeśli zgłosisz to otwarcie?Fakt, że znalazłeś ten plik nie jest podejrzany (jest to plik publiczny, możesz łatwo powiedzieć, że szukałeś innych informacji, gdy się na niego natknąłeś).Jak myślisz, dlaczego wszyscy wiedzieliby, że to zgłosiłeś?Czy Twoja firma miała historię źle radzić sobie z tego typu rzeczami?Osobiście byłbym bardzo wdzięczny za jak najszybsze uzyskanie tych informacji.Prawdopodobnie nie jesteś pierwszym, który widzi te informacje, ale byłbyś pierwszym, który to zgłosił, a to oznaczałoby coś dla wyższych.
Co masz do stracenia?Użyłeś Slacka zgodnie z przeznaczeniem.O ile nie użyłeś skradzionych danych logowania lub nie złamałeś haseł innych osób.
Może istnieć tutaj historia dostępu do plików do rozważenia.
Twoja lokalizacja jest tutaj ważna, ponieważ w UE prawdopodobnie byłoby to naruszenie RODO.Czy możesz potwierdzić swoją (przybliżoną) lokalizację - kraj, stan lub po prostu coś, co da nam podstawowe wskazanie?
Aby ukuć frazę, zgłoś się do diabła z tym.
Dwanaście odpowiedzi:
Stephan Branczyk
2019-06-23 12:36:45 UTC
view on stackexchange narkive permalink

Zgłosiłbym to.

Nie ukrywaj swojej tożsamości, nie ma sensu. Jeśli Twoja firma zapyta Slacka, Slack prawdopodobnie powie im, kto uzyskał dostęp do tego pliku. I tak wszystko jest w dziennikach. To tylko kwestia tego, czy ktoś je czyta. Osobiście nawet nie rozumiem twojej potrzeby ukrywania swojej tożsamości. Nie zrobiłeś nic złego.

W każdym razie lepiej być tym, który uzyskał dostęp do pliku i zgłosił naruszenie, niż ten, który uzyskał dostęp do pliku, ale niczego nie zgłosił.

To.Ponadto w niektórych jurysdykcjach masz obowiązek zgłaszania stwierdzonych naruszeń danych, gdy tylko je znajdziesz, a jeśli PO pojawi się w dziennikach jako przeglądający plik, ale go nie zgłosili, mogą zostać wyciągnięte negatywne wnioski.
Naprawdę się zastanawiam, dlaczego OP chciałby to zrobić anonimowo.
@jzenting, więc proponuję ponownie przeczytać OP.Chociaż wydaje się, że nie zdaje sobie sprawy z możliwego rejestrowania dostępu do plików.
* „Osobiście nawet nie rozumiem Twojej potrzeby ukrywania swojej tożsamości.” * - wydaje mi się, że OP wyjaśnił, dlaczego odczuwa tę potrzebę * „Nie mam wiarygodnego wyjaśnienia, w jaki sposób znalazłem ten plik”* i * „Myślę też, że cokolwiek powiem w przyszłości, ludzie usłyszą…” *.Jeśli uważasz, że są to niepoprawne obawy, być może mógłbyś odnieść się do nich w odpowiedzi.
Dobre wyjaśnienie: Użyłeś dowolnego połączonego narzędzia wyszukiwania na komputerze / w Internecie, spodziewając się, że znajdzie ten plik (lub niektóre informacje zawarte w tym pliku, których masz użyć do wykonania swojej pracy) w firmowym intranecie, zamiast tego znaleźć je nieoczekiwanie wotwarty internet ...
FWIW plik, który jest „dostępny dla każdego”, który „można znaleźć w wyszukiwaniu”, ale „nie jest załączony do żadnej wiadomości ani opublikowany na żadnym kanale”, brzmi jak problem z kontrolą dostępu po stronie Slacka.
Ponadto teraz jesteś pracownikiem HR.Gdy zobaczysz te informacje, nie możesz ich cofnąć.Nikt spoza działu HR nie może tego zobaczyć, więc jesteś teraz pracownikiem HR.Tak właśnie rekrutują.Nikt nie chce pracować dla HR, więc zostawiają takie rzeczy, aby rekrutować nowych pracowników.
@DenisdeBernardy jest lista przesłanych plików, które możesz przeglądać;jest przeznaczony do przeprowadzania inspekcji „co zużywa całą naszą pamięć?”
@Riking:, co jest świetne, jeśli jesteś administratorem;nie tak bardzo, jeśli lista umożliwia przypadkowym pracownikom dostęp do plików udostępnionych w kanałach prywatnych lub rozmowach.
L.Dutch - Reinstate Monica
2019-06-23 09:55:02 UTC
view on stackexchange narkive permalink

W zależności od lokalizacji Twojej firmy istnieją pewne zasady i przepisy dotyczące prywatności, które mogą nakładać obowiązek ochrony danych osobowych.

Poza tym informacje takie jak te, które wymieniasz, mogą pomóc potencjalnemu konkurentowi w dostosowywaniu ofert ekonomicznych do zwabić pracowników do odejścia z firmy.

Myślę, że powinieneś zgłosić wyciek, a jeśli obawiasz się, że Twoje imię i nazwisko nie będzie się w tej historii, są na to sposoby (fałszywe konto e-mail, podpisana poczta papierowa itp.).

Jörg W Mittag
2019-06-23 23:49:34 UTC
view on stackexchange narkive permalink

Powinieneś natychmiast zgłosić to każdemu w Twojej organizacji, który jest odpowiedzialny za ochronę danych.

Niestety, nie określasz swojej jurysdykcji, więc odpowiem w mojej jurysdykcji.

W mojej jurysdykcji każda firma powyżej pewnego rozmiaru musi mieć wyznaczonego inspektora ochrony danych. (Jeśli więcej niż 10 pracowników rutynowo przetwarza dane osobowe w formie elektronicznej). Ten inspektor ochrony danych musi mieć możliwość raportowania bezpośrednio do dyrektora generalnego, a jego niezależność musi być zagwarantowana. Na przykład. nie można ich zwolnić ani ukarać za poinformowanie władz o naruszeniach danych w firmie.

Powinieneś natychmiast zgłosić to swojemu IOD. Możesz to zrobić anonimowo (ponownie IOD jest chroniony przed naganą za nieujawnianie źródła).

Z kolei Twoja firma jest prawnie zobowiązana do zgłoszenia tego w ciągu 72 godzin swojemu IOD, zwykle urzędnikowi rządowemu lub organowi ścigania, w przeciwnym razie grozi im wysokie grzywny.

Dotyczy to tylko danych umożliwiających identyfikację, o których mówiłeś. Jeśli chodzi o dane finansowe, które wyciekły, mogą istnieć inne prawa i zasady, które również zostały naruszone.

korzystanie ze Slacka samo w sobie jest już poważną czerwoną flagą dla bezpieczeństwa danych, ponieważ Slack jest stroną zewnętrzną bez żadnych gwarancji bezpieczeństwa danych, które tam publikujesz.To duży powód, dla którego firma, dla której pracuję, nie zezwala na korzystanie ze Slacka, zamiast tego skonfigurowała wewnętrznie podobny system, który jest dostępny tylko z sieci korporacyjnej i jest hostowany w naszych własnych centrach danych.
@jwenting NASA używa Slacka, więc idź w to.Nie sądzę, aby jako firma coś zyskali, jeśli nie mogą zapewnić odpowiedniego kanału dla profesjonalistów.
@lucasgcb Czy jednak używają go do przesyłania bezpiecznych informacji?Istnieje różnica między używaniem Slacka do swobodnej komunikacji a używaniem go do przesyłania poufnych treści.
@lucasgcb NASA to agencja amerykańska.Nasi klienci w Europie martwią się o przechowywanie i przesyłanie danych na serwerach spoza UE z powodu różnic w przepisach dotyczących ochrony danych i prywatności regulujących te serwery.Stąd ograniczenie wielu usług.
@jwenting Mam wątpliwości, że Europejczycy są bardziej świadomi danych niż specjaliści z jednej z największych organizacji zajmujących się badaniami kosmicznymi na świecie, ale dygresję.
@lucasgcb prawa w UE są dość jasne i czynią nielegalnym przechowywanie dużej ilości rzeczy poza UE, zwłaszcza tam, gdzie rzeczy są objęte RODO.Dodajmy zawsze obecne ryzyko szpiegostwa korporacyjnego (lub szpiegostwa przez rządy), a wiele firm i agencji rządowych stosuje surowe zasady ograniczające korzystanie z wszelkich usług spoza UE.NASA oczywiście, podlegając prawu Stanów Zjednoczonych, nie ma tych samych problemów, ponieważ podlegają tym samym przepisom o ochronie danych, co dostawca hostingu w chmurze Slack.
@lucasgcb Tylko w ciągu ostatnich kilku dni pojawiły się doniesienia, że hakerzy włamali się do sieci JPL NASA i skopiowali dane związane z misjami na Marsa - atak pozostał niewykryty przez rok.NASA OIG obwinia o niepowodzenia w podzieleniu sieci wewnętrznej na mniejsze segmenty, utrzymywaniu aktualnej bazy danych bezpieczeństwa IT i usuwaniu luk w zabezpieczeniach na czas.W grudniu 2018 r. Doniesiono, że hakerzy uzyskali PII pracownika NASA i byłego pracownika w październiku 2018 r. NASA doświadczyła podobnych włamań w 2011 i 2016 r. (W 2013 r. Haker odkrył, że poświadczenia administratora zostały pozostawione domyślnie).
@Lag Naprawdę tak jest, co !?Przypuszczam, że naukowcy chcą po prostu coś zrobić
Dmitry Grigoryev
2019-06-24 13:58:13 UTC
view on stackexchange narkive permalink

Nic nie tracę, jeśli tego nie zgłaszam, i mogę coś stracić, jeśli to zrobię

Możesz mieć coś do stracenia, jeśli tego nie zgłosisz…

… ale później robi to ktoś inny. Jeśli po zgłoszeniu następuje audyt, Twoje imię i nazwisko może pojawić się na liście osób, które pobrały plik. W rezultacie mogą pojawić się pytania dotyczące tego, co zrobiłeś z plikiem podczas pobierania i dlaczego go nie zgłosiłeś.

Oczywiście nie jest to takie poważne, chyba że istnieje dowód, że masz używał danych z tego pliku i jeśli dotknąłeś go tylko raz, możesz wymyślić coś w rodzaju „Przypadkowo kliknąłem niewłaściwy plik i usunąłem go bez czytania, kiedy zdałem sobie sprawę z błędu”.

Ale dlaczego wymyślić kłamstwo, kiedy możesz zrobić coś, czego się od ciebie oczekuje, czyli zgłosić to od razu?

Ed Heal
2019-06-23 15:00:15 UTC
view on stackexchange narkive permalink

Osobiście zgłosiłbym to.

Pomyśl o tym w ten sposób.

Gdyby to były TWOJE dane, co byś chciał, gdyby ktoś wiedział, że wyciekły TWOJE dane.

Nie jestem pewien, czy możemy uogólnić i powiedzieć, że gdy jest coś, co chciałbyś zrobić komuś innemu, powinieneś zrobić to samo sam w tej sytuacji.Ważniejsze jest rozważenie takich rzeczy, jak prawidłowe, legalne, możliwe itp.Na przykład chciałbym, aby mój szef podwoił moją pensję.Nie oznacza to, że jeśli role się odwrócą, powinienem podwoić pensję mojego pracownika.
user25792
2019-06-23 21:58:33 UTC
view on stackexchange narkive permalink

Odkryłem, że pracownik, którego już z nami nie ma, przesłał do Slacka gigantyczny plik Excel zawierający informacje HR. Plik jest dostępny dla każdego w naszym Slacku i zawiera imiona i nazwiska wszystkich obecnych i byłych pracowników, ich dane kontaktowe, imiona i nazwiska, którzy mają opcje na akcje, uprawnienia do urlopu rocznego, historię kadrową i różne informacje na ich temat, ale nie szczegóły dotyczące wynagrodzenia. Plik jest w jakiś sposób tam i można go znaleźć podczas wyszukiwania, ale nie jest dołączony do żadnej wiadomości ani opublikowany na żadnym kanale (nie wiem, jak to działa).

Czy mam powiedzieć o tym naszemu dyrektorowi ds. Technologii?

Tak, powinieneś poinformować o tym CISO lub CTO na piśmie.

W branżach, w których pracowałem, opcje na akcje podlegają wynagrodzeniu kadry zarządzającej, a wynagrodzenie dyrektorów jest klasyfikowane jako dane o dużej wartości .

Klasyfikacja o wysokiej wartości obejmuje fuzje i przejęcia, toczące się postępowania sądowe, wynagrodzenie kadry kierowniczej, raporty z wyników firmy, takie jak niewydane dokumenty SEC itp.

Dane pracowników są zwykle klasyfikowane jako średnie lub niskie dane. Dane obejmują imię i nazwisko, numer telefonu, numer ubezpieczenia społecznego itp.

I aby dodać zwrot akcji, Slack może szyfrować dane w taki sposób, że tylko Twoja firma może je odszyfrować, więc może nie być zewnętrzny wyciek w ogóle. (Nie znam Slacka i nie przeprowadziłem oceny jego bezpieczeństwa, więc nie mogę powiedzieć, co robi).

Firmy bardzo dbają o to, czy dane o wysokiej wartości zostaną utracone lub wyciekną z powodu potencjalne szkody finansowe i reputacyjne dla firmy, zwłaszcza w środowiskach regulowanych, takich jak US Financial. W Stanach Zjednoczonych firmom nie zależy tak bardzo, jeśli wyciekną numery PESEL lub numery kont bankowych, ponieważ istnieje niewielkie ryzyko związane z ich utratą. Nawet utrata danych dotyczących opieki zdrowotnej to żart, ponieważ HIPPA sztucznie nakłada małe ograniczenia na działania regulacyjne.

Nie wiem, co dzieje się w Azji, UE lub innych krajach i regionach.

Pamiętaj, że w Stanach Zjednoczonych ryzyko jest demokratyzowane poprzez przenoszenie strat na posiadaczy akcji, a wynagrodzenie jest sprywatyzowane poprzez premie kierownicze. Większość utraty danych nie ma istotnego wpływu na firmę ani kierownictwo. Zepchnęli ryzyko na akcjonariuszy, subskrybentów i konsumentów, których dane zostały utracone.

Nie mam wiarygodnego wyjaśnienia, w jaki sposób znalazłem ten plik (tak, grzebałem naszego Slacka w weekend, aby zobaczyć, co uda mi się znaleźć)

To naprawdę nie ma znaczenia. Znalazłeś to [miejmy nadzieję] przed złym aktorem. Wątpię, czy ktokolwiek będzie cię za to winił.

Ponadto jesteśmy dość małą firmą (mniej niż 200 osób), więc nie mamy żadnych oficjalnych opublikowanych zasad w związku z którymkolwiek z nich.

Tak, jest to dość typowe dla małych firm i firm.

Jest to luka w zasadach i procedurach Twojej firmy, a dyrektorzy muszą zaadresuj to. Dopóki kierownictwo nie zdecyduje się temu zaradzić, najlepiej, jak możesz zgłosić incydent dyrektorowi ds. Bezpieczeństwa, dyrektorowi technicznemu lub innemu kierownictwu.

Jeśli jesteś zainteresowany, w US Financial pracowałem jako architekt bezpieczeństwa zagrożone. Byłem odpowiedzialny za ocenę systemów wewnętrznych i systemów dostawców (i propozycji dostawców).

Zrobiliśmy trzy lub cztery rzeczy:

  1. Sklasyfikuj dane zgodnie z polityką i procedurami firmy
  2. Przeprowadź ocenę bezpieczeństwa w systemie, upewniając się, że system może obsługiwać dane zgodnie z polityką i procedurami firmy.
  3. Zaproponuj sugerowane zmiany, aby mieć pewność, że dane są obsługiwane zgodnie z polityką i procedurami firmy

Czasami sprzedawca odmawiał dostosowania systemu do zasad i procedur firmy. W tym przypadku kierownik sponsorujący inicjatywę mógłby powiedzieć „Nie obchodzi mnie to, i tak chcę” . Jeśli dyrektor tak powiedział, system i jego ocena bezpieczeństwa zostały przesłane do Komitetu Ryzyka w celu przeprowadzenia szczegółowej analizy kosztów i korzyści i ustalenia, czy firma powinna zmienić moją decyzję. Komisja ds. Ryzyka miała ostatnie słowo w tej sprawie.

Projekty, które sprawiły mi najwięcej trudności, to aplikacje „Board Pad” , jak je nazwałem. Każdy dyrektor chciał zrezygnować z papieru i umieścić na swoich iPadach firmowe interesy na zebrania zarządu. Oczywiście, ponieważ byli członkami zarządu, chcieli zajmować się fuzjami i przejęciami, toczącymi się postępowaniami sądowymi, wynagrodzeniami kadry kierowniczej, raportami z wyników firmy. Wszystko chronione 4-cyfrowym kodem PIN, ponieważ programista chociaż uwierzytelnienie Apple było wystarczające. Ech ...

Od innego inżyniera bezpieczeństwa, ogólnie świetna odpowiedź.Jednak nie zgadzam się z tym stwierdzeniem, „jeśli numery ubezpieczenia społecznego lub rachunków bankowych wyciekną, ponieważ istnieje małe ryzyko związane z ich utratą”.Numery kont bankowych i SSN są uważane za informacje umożliwiające identyfikację i uważam, że prawo bankowe GLBA chroni je jako wrażliwe dane klientów.Za niewłaściwe zabezpieczenie grożą wysokie grzywny.
Jeśli możesz wyjaśnić, zagłosuję za tym.Jakie masz również doświadczenia, gdy wewnętrzne kierownictwo firmy odmawia usunięcia niezgodności?Dość powszechna sytuacja, z którą się spotkałem ...
Wysoka wartość wynagrodzenia kadry kierowniczej, adres domu pracowników o niskiej wartości.Mówi wszystko naprawdę.
Nie jestem pewien, czy śledzę twoją odpowiedź.Jestem w USA.Dlaczego myślałeś, że jestem w Europie?Przy okazji, GLBA to ustawa Gramm - Leach Billey Act
@Anthony - Przepraszam za to.Przekroczyłem przewody i pomyślałem, że mówisz o inicjatywie UE.GLBA to żart.Jest to licencja na ujawnianie informacji, tak jak HIPPA.Wszystko, co zawiera, to wymogi dotyczące ujawniania informacji.O ile wiem, nie ma agencji nadzorującej.Checkout [Subtitle A - Disclosure of niepubliczne dane osobowe] (https://www.govinfo.gov/content/pkg/PLAW-106publ102/html/PLAW-106publ102.htm), rozdz.501 - 510. (W większości tego można by się spodziewać po przepisach pisanych przez lobbystów).
Nimesh Neema
2019-06-23 10:01:12 UTC
view on stackexchange narkive permalink

Tak, i proszę zrób to anonimowo.

Innymi słowy, nic nie tracę, jeśli tego nie zgłaszam, i mogę coś stracić, jeśli to zrobię.

Zdecydowanie powinieneś rozważyć zgłoszenie się do zainteresowanych osób (CTO, HR) i zrobić to anonimowo. Na Slacku można usunąć wiadomość. Jeśli te informacje dotrą do właściwych osób, mogą poprosić autora o ich usunięcie. (Nie jestem pewien, czy administrator Slacka ma również uprawnienia do usuwania / maskowania wiadomości).

Wydaje się, że nie mamy metody anonimowego zgłaszania rzeczy.

W dzisiejszych czasach uzależnienia od urządzeń i usług cyfrowych całkowicie zapominamy o prostocie dawnych czasów. Po prostu pisz anonimowe ślimaki pocztowe do zainteresowanych osób :) Nie pisz tego ręcznie, pisz i drukuj, aby zamaskować jakąkolwiek próbę rozpoznania pisma ręcznego. Ma nawet tę zaletę, że wiadomość cyfrowa może zagubić się w hałasie, ale zwykła poczta jest pewnym sposobem na przyciągnięcie uwagi, ponieważ otrzymywanie takiej wiadomości jest coraz rzadsze.

Dlaczego muszą to zgłosić anonimowo, OP nie zrobił nic złego.Dopóki to zgłoszą, a następnie nigdy nikomu nie rozmawiają o treści, nie powinno to mieć żadnych negatywnych konsekwencji.Jestem naprawdę bardzo ciekawy, ponieważ polecasz zwykłą pocztę i drukujesz list.BTW OP, byłoby łatwiej użyć tymczasowego adresu e-mail (takiego jak yopmail), jeśli naprawdę chcesz zgłosić to anonimowo.
@MlleMei `` Z drugiej strony nie mam wiarygodnego wyjaśnienia, jak znalazłem ten plik (tak, w weekend grzebałem po naszym Slacku, żeby zobaczyć, co mogę znaleźć).Myślę też, że cokolwiek powiem w przyszłości, ludzie usłyszą to z myślą „och, ten facet miał dostęp do naszych danych o zatrudnieniu” z tyłu głowy. ”Tylko po to, by ograniczyć strach, jaki ma OP.Może ma to związek z kulturą firmy, zgodnie z percepcją OP.
Moje pytanie jest nadal aktualne, zachęcasz OP do zgłoszenia tego anonimowo i zastanawiam się, dlaczego.Nie widzę nic złego w samej sytuacji, która to uzasadnia (nie zastanawiałbym się dwa razy, gdybym powiedział moim przełożonym, że mają dostęp do poufnych informacji).Być może firma źle sobie z tym radziła w przeszłości lub OP jest o wiele bardziej zmartwiony i robi górę z kretowiska.Moje pytanie brzmi, co w tej sytuacji sprawia, że uważasz, że OP ma rację, podejmując takie środki ostrożności.
@MlleMei Całkowicie rozumiem twój punkt widzenia.W idealnym środowisku Twój komentarz jest o wiele lepszy niż odpowiedź.Jednak OP wydaje się niechętnie podejmować jakiekolwiek ryzyko.Mam nadzieję, że opierając się na tym, jak firma radzi sobie z tą sytuacją, OP może zyskać pewność, że będzie bardziej głośno zgłaszać takie zdarzenia.Ale może się też zdarzyć odwrotnie.Lepiej grać ostrożnie.Niepokoi go też nie tylko to, jak sobie poradzi kierownictwo, ale także to, że jest szansa, że inni pracownicy dowiedzą się i o czym będą rozmawiać.Chciałbym, aby OP również przeszedł przez tę dyskusję w komentarzach wraz z odpowiedzią, aby poradzić sobie lepiej.
@NimeshNeema ryzykuje, że jeśli zgłosi to anonimowo, zostanie zażądany dziennik dostępu do pliku i okaże się, że przeglądał plik.Bez korzyści z zgłoszenia tego.
Drukowane listy nie są anonimowe!Zobacz https://en.wikipedia.org/wiki/Machine_Identification_Code
Według raportów powodem zachowania anonimowości jest to, że niektóre organizacje odpowiedziały na zgłoszenia bezpieczeństwa strzelając do posłańca.
@MlleMei bezpieczniej niż żałować - i możesz nie chcieć, aby Twoje nazwisko było znane w przypadku odwetu ze strony byłego pracownika
@Neuromancer Dobra (lub nawet przeciętna) firma nie powie po prostu chcąc nie chcąc, kto zgłosił tego rodzaju informacje.O ile firma nie radziła sobie z takimi problemami w przeszłości, nie martwiłbym się tym.Bardziej prawdopodobne jest, że jego menedżer i osoby z wyższych sfer będą pozytywnie pamiętać raportowanie OP, przyniesie mu to więcej dobrego niż złego.I jak już powiedzieli inni, OP może mieć problemy prawne, jeśli wiadomo, że uzyskał dostęp do pliku i nie zgłosił go.
@Navin: Jestem ciekawy - czy pracowałeś w wielu firmach, które mają wiedzę techniczną i chęć wykorzystania tej wiedzy do identyfikacji anonimowych listów?Trudno mi uwierzyć, że jakakolwiek firma chciałaby osiągnąć te cele, aby wyśledzić kogoś, kto wysyła anonimową pocztę.Byłbym również zaskoczony, gdyby ci, którzy mają taką techniczną możliwość ... Osobiście uważam, że można uczciwie powiedzieć, że drukowane listy są anonimowe, ponieważ jeśli nie jesteś zaangażowany w jakieś dochodzenie na wysokim szczeblu, nikt nie będziedołożyć starań, aby ustalić, kto wysłał list ...
@Chris Wymaga bardzo małej wiedzy technicznej;po prostu uruchom dekoder kropek śledzących, taki jak https://github.com/dfd-tud/deda.W każdym razie OP wspomniał o Slacku, który jest powszechnie używany przez firmy programistyczne.90% pracowników mogłoby pobrać i uruchomić skrypt w języku Python, gdyby chcieli go zdeanonimizować.
@Navin: Jak rozumiem z czytania tej strony, chociaż nie mówi ona, kim jest osoba, która ją drukuje, tylko kilka szczegółów na temat jej drukarki.Masz więc model i numer seryjny (czy otrzymujesz coś jeszcze?) - jak przejść od tego do ustalenia, który z pracowników jest właścicielem tej drukarki, nie wymagając od wszystkich przesłania próbnego wydruku z domowych drukarek?Nadal też idę, a nikt nie będzie się przejmował na tyle, aby przejść przez cały ten wysiłek ....
Wydaje mi się, że posiadanie tej wiedzy nie zaszkodzi OP i mogą sami ocenić, czy uważają niepodpisany wydruk za wystarczająco anonimowy, czy nie.
@MlleMei to naiwne, jeśli to zgłosisz, będziesz musiał uczestniczyć i wnieść wkład w każdą dyscyplinę - jest to naturalna sprawiedliwość dla oskarżonego pracownika - być może będziesz musiał stawić czoła agresywnemu prawnikowi zewnętrznemu, który próbowałby cię zdyskredytować
Umieść anonimowy list w formacie PDF na pamięci USB i wydrukuj go w sklepie bez kamer bezpieczeństwa.
Kiedy drukarka mojej siostry odmówiła drukowania czarno-białego, ponieważ żółty wkład był pusty, po prostu przykleiłem taśmę do czujnika optycznego, który zgłosił, że jest pusty.
joeqwerty
2019-06-23 18:17:45 UTC
view on stackexchange narkive permalink

Czy powinienem powiedzieć o tym naszemu dyrektorowi technicznemu?

Powinieneś powiedzieć komuś z kierownictwa, niezależnie od tego, czy jest to dyrektor techniczny, Twój bezpośredni przełożony czy ktoś inny.

Z drugiej strony nie mam wiarygodnego wyjaśnienia, w jaki sposób znalazłem ten plik (tak, szperałem w naszym Slacku w weekend, aby zobaczyć, co mogę znaleźć). Myślę też, że cokolwiek powiem w przyszłości, ludzie usłyszą to z myślą „och, ten facet miał dostęp do naszych danych o zatrudnieniu” z tyłu głowy.

To naprawdę nie ma znaczenia, w jaki sposób go znalazłeś i nie widzę sensu w ujawnianiu faktu, że znalazłeś go, kiedy „grzebałeś” w okolicy. Jeśli to było w Twojej firmie Slack, to nie było wystarczająco zabezpieczone ani monitorowane. Jeśli w Twojej firmie są inne rzeczy tego rodzaju i jeśli „natknąłeś się” na nie w Slacku, to wadą jest implementacja, a nie to, że je znalazłeś. Nie rozumiem, dlaczego myślisz, że ujawnienie tego miałoby dla Ciebie negatywne reperkusje.

Innymi słowy, nic nie tracę, jeśli tego nie zgłaszam, i mogę coś stracić, jeśli to zrobię . Wydaje się, że nie mamy metody anonimowego zgłaszania rzeczy.

Ponownie, nie rozumiem, dlaczego miałbyś się bać ujawnienia tego. Nie zrobiłeś nic złego. Odkryłeś informacje, których nie należy ujawniać. To nie twoja wina. Chyba że nie opowiesz nam całej historii. Jeśli faktycznie "zhakowałeś" swoją firmę Slack (zabezpieczony kanał przeznaczony dla HR lub coś w tym rodzaju), powinieneś obawiać się pewnych reperkusji.

Poza tym jesteśmy dość małą firmą (mniej niż 200 osób), więc nie mamy żadnych oficjalnych opublikowanych zasad dotyczących tego wszystkiego.

Nie ma znaczenia, jak duża lub mała jest Twoja firma, ani czy masz określone zasady dotyczące tego typu informacji. Jeśli te informacje podlegają jakimkolwiek przepisom dotyczącym prywatności, może to stanowić naruszenie tych przepisów.

520 says Reinstate Monica
2019-06-24 14:36:03 UTC
view on stackexchange narkive permalink

Zgłoś to.

W świetle tych informacji, nikogo nie będzie obchodzić, że kręcisz się po Slacku; jeśli administratorzy systemów wykonują swoją pracę, grzebanie w tym miejscu nie byłoby powodem do niepokoju, ponieważ powinno się odmówić dostępu do czegokolwiek, czego nie było w Twojej domenie, że tak powiem.

Jeśli cokolwiek, to będzie wyglądać gorzej, jeśli tego nie zgłosisz, ponieważ stwarza to możliwość, że mogłeś próbować wykorzystać te informacje dla własnego zysku. Przynajmniej pojawi się pytanie, dlaczego uzyskiwałeś dostęp do tego pliku bez wywoływania alarmu. Innymi słowy, nie będziesz już wyglądać jak niewinny obserwator.

bez wyjaśnienia ta odpowiedź może stać się bezużyteczna w przypadku, gdy ktoś inny opublikuje przeciwną opinię.Na przykład, jeśli ktoś opublikuje roszczenie takie jak _ „Nie zgłaszaj tego. W świetle tych informacji wszyscy będą cię przeklinać za grzebanie w Slacku. Jeśli już, to będzie wyglądać gorzej, jeśli to zrobisz” _, jakczy ta odpowiedź pomogłaby czytelnikowi wybrać dwie przeciwstawne opinie?Rozważ [edytuj] go w lepszym kształcie, aby spełnić wytyczne [dotyczące odpowiedzi]
W OP tej odpowiedzi już wyjaśniono, że „_ będzie wyglądać gorzej, jeśli tego nie zrobisz_”.
@gnat dodał „dlaczego” do moich wypowiedzi
delliottg
2019-06-24 02:15:30 UTC
view on stackexchange narkive permalink

Kolejna kwestia do rozważenia, którą omówię z historią dotyczącą bardzo podobnej sytuacji, w której znalazłem się u poprzedniego pracodawcy.

Szukałem w naszej sieci czegoś (co nie miało nic zrobić z tym, co znalazłem), wyszukując w wierszu poleceń za pomocą wyrażenia regularnego. Nawet nie pamiętam, czego szukałem, ale znalazłem plik, który w jakiś sposób pasował do wyrażenia regularnego, który był arkuszem kalkulacyjnym zawierającym wszystkie stawki wynagrodzenia firmy, a także ich stawkę opłat (co firma naliczyła klientom za nasz czas) i inne dane, których ujawnienie jest mało prawdopodobne.

To były bardzo interesujące dane, ale czułem się winny, że znalazłem i przejrzałem plik. Problem polegał na tym, że po prostu nie było zbyt wielu osób w firmie, które mogłyby znaleźć plik (patrząc), ale to nie było tak, że był chroniony przez listy ACL lub cokolwiek innego, po prostu znajdował się w sieci współdzielonej dysk bez żadnej szczególnej ochrony (nawet nie tylko do odczytu lub chroniony hasłem).

Przez chwilę zadręczałem się, czy powiedzieć mojemu przełożonemu, ponieważ nie chciałem, aby myśleli, że węszę, ale w końcu mu o tym powiedziałem. Wyraz jego twarzy, kiedy pokazałem mu plik, był imponujący, najwyraźniej nie miał pojęcia, że ​​takie informacje są swobodnie dostępne dla każdego, kto ma dostęp do tego udziału (wszyscy w firmie). Poczułem się lepiej, mówiąc mu o tym (chociaż zwolniłby mnie kilka miesięcy później wraz z grupą innych ludzi, ale nie sądzę, że są spokrewnieni). Zaproponowałem, że pomogę naszemu działowi IT wypełnić lukę, którą znalazłem, ale nigdy nie otrzymałem od nich odpowiedzi.

Tak więc mijają kolejny miesiąc lub dwa i zdaję sobie sprawę, że znaleziony plik nie był w najmniejszym stopniu unikalny (wiedziałem, jaka jest jego nazwa, więc kiedy później zobaczyłem podobny plik, rozpoznał, co to było). Umieścili dokładnie ten sam plik w każdym katalogu zadań, były tam dosłownie tysiące kopii tego samego pliku. Moje cierpienie było całkowitą stratą czasu, nie tylko pliki były całkowicie niezabezpieczone, ale były wszędzie, czasami w wielu kopiach w tym samym katalogu zadań.

Chodzi o to, że ten gigantyczny arkusz kalkulacyjny, który został przesłany, mógł mieć wiele-wiele-wielu rodzeństwa, które nie są Ci znane i zgłoszenie tego może nie być warte Twojego czasu.

Nie zalecam, abyś go ignorował, ale pomyśl, że może być więcej do historii niż wiesz.

Za drugim razem powiedziałbym swojemu przełożonemu.Gdyby to było dla niego takie ważne, podjąłby się tego po raz drugi.Nie tylko to, ale zwykle można powiedzieć, kto skopiował tam plik, więc to powiedziałoby przełożonemu, kto potrzebuje szkolenia w zakresie bezpieczeństwa (lub który wydział potrzebuje szkolenia w kwestiach bezpieczeństwa).
Właściwie myślę, że tak, ale nie jestem pewien.To było ponad dekadę temu, a moja pamięć o następstwach jest niewyraźna.Pamiętam tylko, że byłem zdumiony (ponownie), że plik istniał wszędzie.
Anthony
2019-06-24 08:51:23 UTC
view on stackexchange narkive permalink

Jest wiele świetnych odpowiedzi, które już teraz sugerują zgłoszenie tego niewłaściwego ujawnienia danych i Całkowicie się zgadzam . Wydaje się, że martwisz się o właściwe bezpieczeństwo danych, co jest świetne, ponieważ każdy w firmie ma do odegrania rolę w zabezpieczaniu aktywów firmy. Nie jestem pewien Twojej roli w firmie lub jej kulturze , ale jeśli kierownictwo (np. CISO, CTO itp.) jest zainteresowane opiniami, moja odpowiedź na to pytanie powinna być pomocna.

Zaproponuj dokument firmowy, zatwierdź i poinformuj wszystkich użytkowników końcowych, którzy będą mieć dostęp do danych firmy , o zasadach ochrony takich danych. Aby złagodzić przyszłe scenariusze, takie jak ten, w którym się teraz znajdujesz, należy oczekiwać od pracowników metod zgłaszania incydentów bezpieczeństwa, a niewłaściwe ujawnienie z pewnością byłoby incydentem.

Ponadto nie wydaje się, aby uzyskać dostęp jest odpowiednio monitorowany. Rozumiem, że Twoja firma jest mała, ale zarządzanie dostępem będzie ważniejsze w miarę rozwoju firmy. Doskonałą praktyką do przyjęcia byłaby zasada najniższego uprzywilejowanego dostępu , tak aby pracownicy / dostawcy / stażyści, którzy potrzebują dostępu do wykonywania swojej pracy , mieli dostęp.

Nasza polityka bezpieczeństwa nakłada na pracowników obowiązek zgłaszania takich incydentów, jeśli się o nich dowiedzą.To część instrukcji pracy i powinna być wszędzie.
Scott Simontis
2019-06-25 15:47:57 UTC
view on stackexchange narkive permalink

200 pracowników jest na tyle dużych, że jestem zszokowany, że nie istnieje żadna polityka. Moim ostatnim pracodawcą było około 50-cio osobowe stowarzyszenie non-profit i miałem podobną sytuację. Brak zasad, najlepszych praktyk, nic udokumentowanego, zero spójności. Każdy, kto chciał nas zaatakować, prawdopodobnie mógł to zrobić bez oporu.

Przejąłem to i zacząłem opracowywać zasady, którymi chciałbym podzielić się z moim szefem, który był wiceprezesem ds. IT. Technicznie rzecz biorąc, zostałem zatrudniony, aby skupić się na zarządzaniu stroną internetową firmy, ale ostatecznie zająłem się prawie wszystkim w dziale IT. Ludzie byli bardzo zszokowani wrażliwością naszych systemów i nigdy nie brali pod uwagę wielu zagrożeń. Nikt nigdy nie pytał, dlaczego tak dużo wiem na ten temat, ale mój szef zawsze chciał usłyszeć odpowiedzi. Nasz sysadmin wdrożył narzędzia monitorujące na naszym serwerze e-mail, aby wykryć i zablokować przesyłanie danych osobowych, co pozwoliło nam zaoszczędzić co najmniej jednego incydentu, w którym pracownik próbował wysłać do siebie wszystkie dane dotyczące płatności, aby mogła przetwarzać listy płac podczas pracy w domu.

Jest to okazja do przejęcia władzy i bycia liderem, jeśli chcesz to zrobić. Rozumiem twoje obawy; Byłem w firmach, które kierowały się odchyleniem od odpowiedzialności i obwinianiem innych, pomimo naszych „zwinnych” procesów. Wybrałem osobę, której zgłosiłem się bardzo ostrożnie i skończyłem ponad moim bezpośrednim przełożonym, ponieważ tak naprawdę zależało mu tylko na problemach, które w żaden sposób do niego nie wracały, a ja musiałbym spędzać godziny na szczegółowym wyjaśnianiu rzeczy, aby mógł spróbować samodzielnie zarządzać sobą bezpieczeństwo. Jeśli jesteś w środowisku, w którym obawiasz się, że możesz zostać ukarany za właściwe postępowanie i ulepszanie firmy, nie znajdujesz się w zdrowym miejscu pracy i powinieneś rozważyć wkrótce odejście.

w podręczniku pracownika, zawierającym wszelkie istotne informacje, przygotuj pisemne oświadczenie i dyskretnie przedstaw sprawę przełożonemu, któremu ufasz.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...