Босс хочет, чтобы я сфальсифицировал отчет. Как я должен задокументировать это неэтичное требование?

Я работаю в сфере ИТ, и мой менеджер пытается заставить меня и моего коллегу отправить фальсифицированное сканирование безопасности нашему клиенту. По сути, он хочет, чтобы мы представили модифицированное сканирование безопасности, чтобы исключить уязвимости, обнаруженные во время сканирования. Это часть большого проекта, над которым мы работаем для клиента.

Мой менеджер подчиняется непосредственно генеральному директору компании, и сам генеральный директор оказывает давление на моего менеджера, чтобы он выполнил этот проект, несмотря ни на что. Генеральному директору все равно, срезаны ли углы или совершается что-то неэтичное.

Для меня вопрос очень простой. Я не буду делать то, о чем просит мой руководитель, так как считаю это крайне неэтичным. Поскольку это часть более крупного проекта, я работал над другими вещами, пытаясь дать себе немного времени, чтобы понять, что делать. Я также пытаюсь выяснить, как наилучшим образом задокументировать то, что мой менеджер пытается заставить меня сделать, что подводит меня к моему вопросу.

До сих пор все, что менеджер просил меня сделать в связи с этим, было сказано в устной форме. Я предпринял несколько неудачных попыток заставить его изложить что-нибудь в письменной форме. Вчера я спросил его в письменной форме, что он хочет сделать со сканированием безопасности, и он ответил мне: «Мы уже обсуждали это, вы знаете, что делать».

Поскольку я буду рисковать своей работой, когда мне в конечном итоге придется сказать своему менеджеру «нет», я хочу, по крайней мере, иметь возможность документировать то, что мой менеджер попросил меня сделать. В настоящее время у меня нет никакого способа доказать, что он даже попросил меня сделать что-то неэтичное. Есть ли лучший подход, который я могу предпринять? Я больше беспокоюсь о своей профессиональной репутации, чем о своей работе.

Вы должны предоставить его ему для передачи или вы отправляете его непосредственно клиенту?
Он не хочет отправлять сканы сам. Он хочет, чтобы мы сделали это за него.
Независимо от того, что вы в конечном итоге скажете своему боссу, я надеюсь, что вы начали искать новую работу. Клиент, вероятно, высоко оценил бы тот факт, что вы не желаете его обманывать.
@it-guy Эта страница может оказаться полезной: Законы Калифорнии о защите осведомителей
ОП, этот вопрос очень похож на тот, с которым вы сталкиваетесь, я думаю, что ответы там также могут быть вам полезны. рабочее место.stackexchange.com/questions/105378/…
Вы знаете мотивы ложного сообщения? Я спрашиваю, потому что, если это так же безобидно, как незнание обычных политик информационной безопасности, как некоторые упоминали, обучение этому, возможно, больше зависит от наличия планов исправления, а не от совершенства, может иметь большое значение.
Объяснил ли ваш руководитель причину изменения результатов? Вас просили удалить из отчета все обнаруженные уязвимости или только выбрать?
@DavidK Это зависит от клиента. Вполне возможно, что сам клиент просто хочет поставить галочку в нормативном поле без каких-либо действий, а боссы ОП просто делают то, что хочет клиент.
Есть несколько вещей, которые можно сделать, чтобы «обелить» отчет, например, повторное тестирование, план смягчения последствий, заявление поставщика — я бы посоветовал их вашему менеджеру. Если они настаивают или сами вносят изменения, убедитесь, что вы не фигурируете как автор. Однако я не думаю, что это личная юридическая проблема для вас.
Есть ли в вашей компании Справочник сотрудника или другой набор опубликованных политик для сотрудников? Там может быть раздел или политика о взаимодействии и общении с клиентами, а также об этичном и честном поведении, которые могут дать вам некоторое руководство. Я всегда читаю Справочник сотрудника всякий раз, когда мои корпоративные перегрузки просят меня подписать форму, в которой говорится, что я получил и прочитал ее. Всегда включен набор политик, которые кажутся очень шаблонными и могут быть резюмированы как «Не будь %$!~#@ придурком.», и я всегда удивляюсь, почему людям нужно напоминать, чтобы они были хорошими людьми.
Я упрямый, и я не пойду на компромисс в чем-то подобном. Я фактически ответил на переписку по электронной почте, которая у вас есть, что я просто не буду фальсифицировать данные, но я передам результаты, и если вы хотите фальсифицировать данные, то дерзайте. Я слепо копировал других, а также свою личную учетную запись электронной почты.
Работа над другими подпроектами — это избегание. Вы должны направить большую часть своей пропускной способности на распространение своего резюме, потому что здесь нет конца, где вы сохраняете свою работу.
Связано: security.stackexchange.com/questions/11025/… . Я искал другой вопрос, в котором в основном говорится следующее: несмотря на то, что в области безопасности есть сертификаты, это очень небольшая область, где наиболее доминирующим фактором является доверие. Если вы когда-нибудь будете вовлечены в какие-то судебные дела, этого может быть достаточно, чтобы создать вам головную боль для вашей карьеры, если не положить ей конец.
@it-guy, так что случилось? Что ты сделал?

Ответы (11)

Вероятно, он не хочет оформлять запрос в письменной форме, потому что знает, что позже может быть вызван в суд. Я думаю, что вам нужно сделать два шага:

  1. Задокументируйте то, что вас попросили сделать. Запишите даты этих указаний и этих бесед, насколько вам помнится. Вам также следует сделать резервную копию переписки по электронной почте, на которую ссылался этот запрос, пусть даже неопределенно. Записанные отчеты не являются 100% пуленепробиваемыми доказательствами, но они имеют большее влияние, чем если бы вы просто пытались вспомнить их позже.
  2. Сообщите своему боссу, что вы считаете то, что он просит вас сделать, неэтичным, и вы не желаете изменять отчет или подписываться на то, чтобы кто-то еще изменил отчет (или что-то еще).

Я чувствую, что вы попали в эту ситуацию, но вы поступаете правильно, придерживаясь своей этики.

Возможно, отправить боссу письмо с подтверждением.Re: Our discussion yesterday; you want me to X. Y. Z. Please confirm I have understood correctly?
Возможно ли, что такие электронные письма помогают документировать вещи, даже если мой менеджер не отвечает?
@it-guy Да, они помогают, даже если не получают ответа - обычно они создают журналы, особенно с отметками времени и т. Д. и их трудно (но не невозможно) подделать (вероятно, потребуется вмешательство владельца службы электронной почты) - плюс их легко переслать кому угодно, когда дело обострится (начальнику, юристу и т. д.) - и если файлы таинственно удалены, это тоже не очень хорошо выглядит
В зависимости от местных законов вы можете записать его устный вопрос.
@it-guy: Отсутствие ответа от вашего менеджера само по себе недостаточно для того, чтобы подать в суд, чтобы доказать вину менеджера, но отсутствие каких-либо писем с надписью «Я никогда вам этого не говорил» может быть достаточным, чтобы спросить менеджера, почему они никогда не отвечали (и если они заявляют, что они это сделали, доказать, что они это сделали). Даже если этого недостаточно, чтобы уличить менеджера, этого должно быть достаточно, чтобы не уличить вас в правонарушении (примечание: Я НЕ ЮРИСТ)
Не только за то, что вы придерживаетесь своей этики: босс ОП ставит его / ее жертвенным ягненком, если все пойдет не так.
@Flater Или сделайте еще один шаг, написав электронное письмо и получив только устный ответ, отправьте еще одно электронное письмо «как вы сказали мне лично, теперь я продолжу это». Отсутствие ответа на этот вопрос еще более компрометирует.
@R.Schmitz: Однако здесь нужно переусердствовать. Я согласен с тем, что вы говорите, и это лучший подход CYA (который кажется подходящим для особенно неэтичной ситуации OP), но я просто хочу добавить, что его не следует слепо применять к любому случайному «может быть, мне нужно будет покрыть моя задница когда-нибудь, кто знает?" ситуации, так как это создаст трения между вами и менеджером.
@Flater Действительно, это уже идет в нелепом направлении и приемлемо / целесообразно только потому, что вы рискуете невольно стать преступником.
@Flater FWIW, после любого устного разговора с кем-либо я всегда отправляю электронное письмо: «За обсуждение: ...», все это ценят. (Это помогает нам избежать неизбежного «что мы решили сделать, опять?») Если OP привыкает к мелочам, то это может работать и для этого очень эффективно. (Конечно, предполагается, что OP уже это делает.)
Не упускайте из виду скрытую копию вашей личной учетной записи электронной почты. Это докажет, что вы отправили это электронное письмо и когда, если дело дойдет до юридических дел.
3. Обновите свое CV/резюме и начните искать следующую работу, далеко-далеко от этих придурков.
1. Подготовьтесь к наихудшему случаю (что вы делаете сейчас) — обновите резюме, подготовьте юридическую консультацию, подготовьте свои заметки, запишите контактную информацию клиента 2. Отправьте подтверждение своему начальнику — подтвердите, что вы можете отправить полный отчет о хорошие сканы и агрегировать список неудачных проходов, которые еще исследуются (возможно, не нужно быть полностью нечестным и нужно только однозначно преподнести информацию) 4. Подняться по цепочке выше своего начальника и уведомить о рисках, связанных с отправкой отчет 5. Дуй в свисток

Я не юрист, но это, кажется, выходит за рамки этической сферы в юридическую.

Я работаю в ИТ, и мой менеджер пытается заставить меня и моего коллегу отправить фальсифицированное сканирование безопасности нашему клиенту.

Это похоже на мошенничество.

Немедленно свяжитесь с адвокатом, чтобы определить, как лучше всего вы можете защитить себя, и выяснить, не сделали ли вы что-либо, что может привести к потенциальной ответственности.

Адвокат может попросить вас немедленно подать в отставку.

Документация — это хорошо, но не делайте личные копии информации о клиенте или компании , например, фотографируйте на телефоне, сохраняйте ветки электронной почты компании или отправляйте документы на личную учетную запись электронной почты. Если вы уже сделали это, немедленно удалите их.

Если о вашем работодателе в конечном итоге узнают (на что я, конечно же, надеюсь), ваш работодатель может принять ответные меры, подав иск или уголовную жалобу против вас (независимо от того, насколько легкомысленно) на основании вашего обращения с данными компании.

Адвокат может не посоветовать вам поступать этично. Если с юридической точки зрения для OP безопаснее игнорировать происходящее и уйти, то это по-прежнему делает клиентов его работодателя очень уязвимыми для любых уязвимостей.
@forest Я предполагаю, что юрист сможет посоветовать, как безопасно быть осведомителем, если это то, что хочет сделать ОП.
@mcknz, юрист, посоветует клиенту покрыть свои активы и оставаться в легальной белой или светло-серой зоне, черт возьми, этика.
Я имею в виду, конечно, это мошенничество, но лично я нахожу этические соображения более важными, чем юридические. Тем не менее, я полностью согласен с советом, данным в этом ответе.
@Mindwin: Юрист, как правило, не может посоветовать клиенту нарушить закон, но если есть какой-либо законный способ достичь целей ОП, включая цели, связанные с этикой, юрист может посоветовать ему, как это сделать. Юристы не просто говорят: «Одним из законных вариантов является X. Теперь, когда я рассказал вам о X, мне не нужно давать вам советы по поводу каких-либо других вариантов».
@Mindwin Я имею в виду, что очень и очень высока вероятность того, что этические действия и юридические действия в этом контексте совпадают. С этической точки зрения ложь об уязвимостях в системе безопасности — это плохо. С юридической точки зрения, ложь об уязвимостях в системе безопасности (которые предположительно должны помочь вашей компании, иначе зачем вы делаете отчет об этом?), вероятно, является мошенничеством.
Вы можете добавить примечание о том, что OP может быть лично разоблачен в преступном мошенничестве. Работник, как правило, защищен от неудач своего работодателя. А вот заведомая фальсификация документов о действиях, за которые клиент заплатил деньги, скорее всего, достигает уровня криминального мошенничества. «Мой босс сказал мне» может не защитить ОП. Я бы добавил заголовок к этому ответу, чтобы подчеркнуть: проконсультируйтесь с адвокатом .

До сих пор все, что менеджер просил меня сделать в связи с этим, было сказано в устной форме. Я предпринял несколько неудачных попыток заставить его изложить что-нибудь в письменной форме.

Ты не заставляешь его писать что-либо. Вы написали это для него.

Кому: Мой босс

Тема: Порядок работы

Привет, босс,

Как уже обсуждалось, я поместил [неэтичную функцию], о которой вы мне вчера говорили, в список невыполненных работ. У меня все еще есть некоторые вопросы по юридической стороне дела, и я был бы рад, если бы мы могли обсудить их, прежде чем мы начнем над этим работать.

Лучший, это парень

Затем у вас может быть встреча, на которой он скажет вам, чтобы вы продолжали [неэтичную функцию], не беспокоились о юридической стороне, и поручил вам больше не писать электронные письма, резюмирующие ваши разговоры. Вы забудете о том, что не должны писать электронные письма, и отправите что-то вроде этого:

Кому: Мой босс

Тема: Заказ на работу, продолжение

Привет, босс,

Просто резюмируя дискуссию с 14:00: вы уже проверили юридическую сторону, и правильный способ сделать это состоит в том, что мне нужно сделать [неэтичное действие] и [неэтичное действие]. Я, вероятно, буду готов к завтрашнему дню.

Лучший, это парень

Если он двусмыслен, вы устраняете двусмысленность в резюме, что делает его обязанностью разъяснить, если вы неправильно поняли.

Не забудьте распечатать электронные письма и взять их домой (или просто сделать снимок экрана своим телефоном), потому что компании, которые готовы нарушать закон, иногда готовы «терять» электронные письма.

«распечатайте электронные письма и возьмите их домой». Согласно ответу mcknz, это может быть очень нецелесообразно.

Частично я могу рассказать об этом, исходя из своего опыта работы в качестве координатора информационной безопасности в SaaS-бизнесе. (Я не могу говорить обо всем этом, потому что у моего работодателя есть культура подчинения; наши руководители никогда не будут играть в эту игру.)

  1. В большинстве случаев эти запросы исходят от части бизнеса клиента, которая просто ставит галочки перед подписанием новых поставщиков. В циничные дни, я думаю, они просто взвешивают эти отчеты или подсчитывают их количество слов.

  2. Иногда можно отправить правдивое сканирование клиенту, если вы включите объяснение и план исправления. Многие клиенты согласятся с этим, и это повысит доверие к вам: сотрудники корпоративной информационной безопасности любят прозрачность. (Однако они будут следить за тем, чтобы вы исправили ситуацию.)

  3. Совершенно разумно отправить клиенту только сводку результатов сканирования; подробности о ваших системах и уязвимостях на самом деле никого не касаются, кроме вас, и их раскрытие увеличивает поверхность вашей атаки.

  4. Я полагаю, что можно отправить клиенту поддельный скан, чтобы получить заказ. Но было бы разумно подготовить план исправления и попросить своего босса согласиться на его реализацию, если вы это сделаете.

Если вы отправите поддельное сканирование, а затем вас успешно атакует какой-нибудь киберпреступник, что может произойти? Если вы не работаете в сфере здравоохранения, я полагаю, что наихудший сценарий — это Equifax: пагубная реклама для вашего клиента и для вас. Или ваш владелец может отправить вашего технического директора на Fox News, чтобы он солгал об этом, как они сделали, когда у Panera была утечка информации. Но, наверное, это будет не так уж и плохо.

Если вы являетесь коммерческой организацией, связанной с HIPAA в области здравоохранения, и у вас есть данные о пациентах, и они просачиваются, и кто-то проявил халатность, это преступление, которое пробивает корпоративную завесу, а это означает, что люди могут быть привлечены к уголовной ответственности и не могут прятаться за LLC . В этом случае было бы мудро отказаться подписывать.

Послушайте, работать в компании, в которой отсутствует культура соблюдения требований, - головная боль. Ты знаешь что. Но это можно использовать как предлог, чтобы начать настаивать на переменах в вашей компании. Мое предложение номер 4 может быть способом добиться этого.

Правильный вопрос для вас и ваших руководителей: «Как мы можем сделать данные наших клиентов более безопасными?» Компромисс по этому поводу может продвинуть вас дальше по этому пути. Просто кое что для раздумий.

Если вы пойдете на компромисс, я предлагаю вам написать «памятку в файл», описывающую ситуацию, данные вам инструкции и ваши действия. Распечатайте его и возьмите домой. Это только для вас, а не для ваших руководителей или коллег. Это поможет вам точно вспомнить, кто, что и когда сказал, если вам придется описывать этот инцидент через несколько лет.

+1 за упоминание компромиссного решения. Мне нравится, что это не прямо конфронтационно, но в то же время может быть использовано для будущих действий. Как профессионал в области информационной безопасности, я прекрасно знаю, что иногда лучшее решение может не быть идеальным.
План исправления мошенничества может заключаться в том, чтобы убедиться, что у вас достаточно средств для внесения залога.
На самом деле нападки на людей — разыгрывание неэтичной карты — не очень эффективный способ заставить их измениться. И любой, кто читает новости, может видеть, что заставить людей измениться очень сложно и очень срочно.
Худшее, что может случиться? Помните того инженера, который только что сел в тюрьму на несколько лет за подделку результатов испытаний вещества, которое отправлялось в космос?
Re: Я бы не назвал рекламу Equifax "катастрофической". Они по-прежнему прекрасно работают, а их реальных клиентов, похоже, это не волнует. Это определенно была плохая реклама, но на самом деле это не было катастрофой, если компания, ответственная за это, все еще процветает 2 года спустя.
Интересная интерпретация Делиота.. gizmodo.com/…
Сообщение ОП, похоже, указывает на то, что его просят не сообщать клиенту об обнаруженных уязвимостях, а не наоборот.
@Delioth - у Equifax нет клиентов. Это одна из трех компаний, которые вместе фактически держат в руках сектор, который не должен находиться в руках частных компаний. Мои родители недовольны временем, которое им приходилось тратить на телефон, замораживая и размораживая кредит из-за этого bs.
@Mazura: у Equifax определенно есть клиенты, но не у вас (или ваших родителей). Кредиторы и агентства по проверке биографических данных платят Equifax большие деньги за доступ к этим отчетам. Люди, о которых они собирают отчеты, — это не клиенты, а продукты, которые продает Equifax. По поводу "не должно быть в руках частных компаний", все остальные варианты были бы намного, НАМНОГО хуже.

Я, к сожалению, был в такой ситуации несколько раз в моей карьере.

Во-первых, вы не можете продолжать работать на этого человека, начните искать другую работу.

Во-вторых, я предлагаю вам сделать то, что предложил другой. Напишите все это в электронном письме и попросите подтверждение да/нет. В этом электронном письме я хотел бы указать на то, что то, что, как вы понимаете, он требует от вас, является неэтичным и, возможно, незаконным. «Подтвердите Да или Нет, или я не буду делать эту неэтичную и, возможно, незаконную вещь». Я уже запрашивал подписанный документ или электронное письмо с цифровой подписью, и они всегда отказываются.

Однажды меня попросили подписать что-то как прохождение тестов на уязвимости, и я не стал, потому что они даже не позволили мне запустить сканирование. Позже фекалии попали в устройство перемещения воздуха. Примерно через 6 месяцев со мной связался полковник из офиса Генерального инспектора с просьбой предоставить письменные показания, потому что я не мог предоставить копии электронных писем (я не мог взять их с собой). ...... много увольнений, но меня уже не было.... К тому времени я был на другом конце света.

Дэн и дбир осветили большую часть моих первых мыслей. Скопируйте те части, которые вы можете, и вручную зарегистрируйте остальные. Частично это рискованно, но я сосредоточен на вашем утверждении, что вы готовы потерять эту работу из-за этого (и я аплодирую вам за это).

Вы также можете ответить на его ни к чему не обязывающее электронное письмо с копиями исходного результата и подправленным черновиком с водяными знаками «ЧЕРНОВИК» и скрытой копией личного электронного письма.

«В соответствии с нашим обсуждением, вот оригинал и черновик сканов с отредактированными результатами». Предполагая, что он устно говорит вам, что это то, чего он хочет, и отправляет это (и, возможно, чтобы прекратить отправлять доказательства по электронной почте), в этот момент вы несколько загнаны в угол, говоря ему, что вы не можете согласиться с отправкой фальсифицированных результатов сканирования. Если вы хотите спасти отношения, возможно, стоит обсудить планы исправления. Большинство аудитов, в которых я принимал участие, больше интересовались правдой, а затем планом снижения рисков. Но это может не сработать здесь.

Он может проверить журналы электронной почты и узнать, чем вы занимаетесь. Если это так, он также должен знать, что вы задокументировали его должностные преступления. Надеюсь, это заставит его задуматься, прежде чем угрожать погубить вас. Он может сделать что-то вроде угроз о неразглашении, отправив вам это электронное письмо. Помните, что это шаг отчаяния. Единственный способ доказать это - предоставить доказательства того, что он пытается обмануть клиента.

Электронные письма хороши до тех пор, пока они не размещаются в компании. Обычно компания берет на себя вашу электронную почту после ухода (или увольнения), поэтому босс ОП может легко войти в систему и удалить электронную почту. Поэтому рекомендуется экспортировать все, по крайней мере, один раз в неделю, чтобы убедиться, что вы по крайней мере застрахованы, особенно когда кто-то говорит вам сделать что-то неэтичное. Ничто не мешает им продолжать свое неэтичное поведение и получать доступ к вашей электронной почте и удалять соответствующие элементы или даже подделывать сообщения.
Кроме того, если вы еще этого не сделали, было бы неплохо подписать электронные письма цифровой подписью. Это 100% доказательство того, что вы отправили его, и что-то, что не может быть воспроизведено злоумышленником, если только он не скомпрометировал все, что у вас есть.
Отправка информации по электронной почте может защитить OP, но я бы не стал отправлять данные о компании или клиенте на личную электронную почту. Это может нарушить NDA или аналогичное соглашение. Например, если у вас есть учетная запись Gmail, OP, по сути, будет размещать конфиденциальную информацию через третью сторону.
@mcknz Это определенно соображение. IANAL, но лично я готов противопоставить этот риск умышленному мошенничеству.
Я бы прямо написал в электронном письме, что вы против этого, так как это незаконно. Также посоветуйте своему начальнику не удалять водяной знак «черновик» и не использовать мошеннический отчет. И распечатайте копию электронного письма и документа, сохранив их в таком месте, где они не смогут легко их найти.
@Dan Сообщения электронной почты с цифровой подписью не являются «100% доказательством того, что вы их отправили»; насколько сложно кому-то будет завладеть ключом и подписать сообщение, которое вы не писали, зависит от среды. В корпоративной среде, где «злоумышленник» обычно имеет полный контроль над используемым вами программным и аппаратным обеспечением, он может легко расшифровать ваш ключ. (Возможно, они хранятся на корпоративном диске, и у них может быть, например, программное обеспечение для мониторинга, которое перехватывает вашу парольную фразу.) В данном конкретном случае я не вижу необходимости подписывать сообщения цифровой подписью; вы можете позже свидетельствовать о том, что вы написали.
@mcknz В какой-то момент информация больше не защищена NDA или чем-то подобным, особенно когда кто-то нарушает законы или этику. Когда один человек поступает неправильно, вы больше не связаны условиями. Это основные договорные законы в большинстве развитых стран. Допустим, это медицинское исследование, и работодатель сфальсифицировал результаты для продажи своей продукции, что может оказаться смертельным. Хотели бы вы, чтобы кто-то раскрыл это? Или вам нужен кто-то, кто следует их так называемому NDA?

В высокотехнологичной компании, в которой я работаю, у нас есть должность в организации, называемой омбудсменом. Их независимая обязанность — давать советы и рекомендации по подобным этическим/юридическим вопросам. В нашей компании при необходимости это может быть полностью анонимно. Если в вашей компании есть такая роль, я бы посоветовал обратиться к ним за советом, так как это их работа и обязанность.

бесполезный совет для менеджера, который подчиняется непосредственно генеральному директору, оказывающему первоначальное давление. Прочитать вопрос
Работа любого сотрудника, будь то HR или омбудсмен, в первую очередь заключается в защите своего работодателя. Если этот омбудсмен не является независимой третьей стороной (возможно, оплачиваемой правительством или профсоюзом), он, вероятно, не будет полезен. Ни при каких обстоятельствах не думайте, что кто-то, нанятый тем же работодателем, что и вы, поставит ваши интересы выше интересов вашего работодателя. Существуют определенные, определенные законом, конкретные роли, которые имеют определенную защиту (например, сотрудник по защите данных GDPR не может быть уволен за выполнение своей работы), но это все равно не означает, что они независимы .
Это не в интересах компании. Если омбудсмен действует от имени правления, то он закроет этот гнусный бардак.

Что работало для меня в прошлом: сделайте отчет, в котором опишите, что вы на самом деле сделали, включая отрывки, которые вы должны сделать/планируете сделать, но отметьте их явно как «еще не сделано», отправьте его своему боссу и скажите ему, чтобы отредактируйте его так, как он считает нужным, подпишите и отправьте заказчику.

Многие люди вдруг становятся намного осторожнее, если это их подпись, а не подпись их подчиненных (в моем случае речь шла о заказе их «любимому поставщику», а не самому дешевому).

Если ваш начальник все еще хочет это сделать, то бегите из этой компании и в зависимости от серьезности ситуации передайте информацию в соответствующие учреждения (-> юридический вопрос, поговорите с юристом).

Я думаю, что если у вас есть оригинальные сканы и модифицированные сканы, то просто запишите фактические сканы на компакт-диск и отправьте его по почте в компанию. Включите зашифрованный текстовый файл с кодовой фразой, которая идентифицирует его для вас. Если вам когда-нибудь понадобится, так сказать, выступить с трибуной, вы можете описать, что находится в этом зашифрованном текстовом файле, чтобы у вас была репутация. Также здорово, если ваш босс бросает вас под автобус перед компанией, и вы можете сказать, что включили зашифрованный файл с кодовой фразой, которую знаете только вы. Я думаю, что это лучший подход с точки зрения страхования. В противном случае я думаю, что ваш босс и его боссы могут выдумывать все, что им заблагорассудится, и у вас практически нет доказательств, особенно если они сказали вам устно.

Я не юрист. Я согласен с духом этого ответа, но я думаю, что у ОП могут возникнуть проблемы из-за несанкционированного раскрытия информации о компании, даже если это сделано по уважительной причине. Лучше получить юридическую консультацию.
Хороший вопрос о выпуске информации, но это информация , которая должна идти к клиенту, должна ли она идти до того, как она будет «лечена» или нет, это другой вопрос...
@SolarMike Я бы предположил, что это так, и что OP, надеюсь, будет защищен из-за этого факта, но закон странный и не всегда справедливый.
@mcknz о да, «человек невиновен, пока не доказано, что он разорился» ...
И когда клиент звонит в свою компанию, чтобы рассказать им о компакт-диске, и известно, что OP отказался подделать сканирование безопасности (не может быть так много поставщиков и не может быть так много людей, выполняющих сканирование безопасности. .. это конкретная работа), тогда ОП решает, стоило ли оно того.
NDA @mcknz используются для защиты коммерческой тайны, поэтому вам не нужно обращаться в другую компанию и раскрывать коммерческую информацию или брать патентную информацию и обращаться в другую компанию и раскрывать информацию. Это не защищает компанию от лжи своим клиентам путем фальсификации отчетов. Если только обе стороны не согласны с тем, что они хотят солгать в отчете, но я подозреваю, что рассматриваемая компания не соглашалась на ложный отчет.

Я думаю, что здесь есть еще один вариант, который может не нравиться людям, но который игнорируется. Он вращается вокруг идеи о том, кто тот человек, который совершает мошенничество и как. Если вы хотите продолжать работать в компании, но не делать ничего, что могло бы вас запутать, я бы порекомендовал следующее.

Создайте версию отчета, которую запросил ваш босс, затем отправьте ее ему с прикрепленным оригиналом и скажите следующее.

Я создал отчет (с опущенными ответами), который вы просили меня подготовить для {company}, вы найдете его и исходный отчет, прикрепленный к этому письму, для сравнения. Я хочу, чтобы вы знали, что я подготовил отчет в надежде, что вы будете использовать его только для внутренних целей. Я искренне верю, что решение поделиться отредактированной версией этого документа с {company} ставит нашу компанию в очень опасное положение, поскольку некоторые проблемы в исходном документе являются реальными проблемами, которыми можно воспользоваться. В этом свете я призываю вас использовать оригинал.

Затем я бы скопировал электронное письмо на личную учетную запись электронной почты, а также распечатал полное электронное письмо (необработанное электронное письмо из вашей отправленной папки со всеми заголовками). Если ваш босс отвечает и говорит вам отправить электронное письмо в {компанию}, это тот момент, когда вы говорите

Что касается моей личной ответственности, я не могу с чистой совестью быть человеком, который отправляет это по электронной почте {company}, и я надеюсь, что это не проблема для вас.

Я бы сказал, что это делает несколько разных вещей:

а) независимо от Мошенничества или ситуации, когда ваш начальник дал вам рабочее задание по созданию отчета, и это может быть ситуация, когда вас могут уволить за то, что вы этого не сделали. выполнять задания от вашего менеджера (я действительно понимаю, что люди не согласятся с этим, но я рассматриваю это как приближение к этической черте, не переступая ее)

б) предоставление отчета по электронной почте вашему руководителю с оригиналом дает понять, что документ следует рассматривать для внутренних целей. Если ваш руководитель решит использовать этот документ, мошенничество совершил ваш руководитель, а не вы. (Я сообщу, что делать, если он действительно отправит его позже)

c) отправив это вашему руководителю, вы даете ему письменную возможность поступить правильно. ваш менеджер может передумать... надеюсь.

d) Распечатка и сохранение электронной почты с помощью скрытой копии предоставляет вам важные вещественные доказательства, которые могут понадобиться, если вы столкнетесь с негативными последствиями этого действия.

Наконец, я бы сказал, что составление отчета не является сложным этическим вопросом. Я бы сказал, что

какова ваша ответственность, если вы точно знаете, что ваш руководитель/компания отправили документ, тем самым совершив мошенничество?

это очень сложный вопрос, я мог бы дать несколько рекомендаций в этом ключе, но верная одна из них, которую вы должны сделать абсолютно точно.

Если ваш начальник использует отредактированный отчет и в результате, прямо или косвенно, ваша компания заключает или иным образом продолжает контракты с другой компанией. Не размещайте сообщения на бирже стека, потратьте пару сотен долларов и получите совет от адвоката по трудовым спорам (это будет совет, который имеет страховку от злоупотребления служебным положением).

Для меня есть две альтернативы:

  1. Сделай это, но защити себя

    Храните документ с предпринятыми вами действиями, с датой создания/изменения младше, чем письмо, которое вы отправите клиенту с исключенными уязвимостями. В этом документе запомните ваши обсуждения с вашим менеджером, исключенные уязвимости и ссылку на реальный отчет.

    Затем выполните действия, которые вам сказали, и отправьте письмо с отредактированным отчетом вашему менеджеру, предупредив его об уязвимостях (или найдите другое письмо, которое вы уже отправили, говоря об этом).

    Если об этом узнает клиент, вы будете защищены (и даже если вас спросят, почему вы сделали это неэтичное дело добросовестно, вы можете сказать, что на вас оказали давление).

  2. Найдите новую работу и увольняйтесь как можно скорее

    Это токсичная среда и/или токсичное управление. Постарайтесь выбраться, не сжигая мостов, и найдите перед этим другую работу. Выиграйте как можно больше времени, не редактируя отчет, чтобы вы могли уйти до того, как вам придется это делать.

َ

"отправьте письмо с отредактированным отчетом вашему менеджеру" - Это дает мне хорошую идею: хотя менеджер отказывается отвечать в письменной форме, вы все равно можете задокументировать происходящее, отправив неотредактированный отчет менеджеру, комментируя уязвимости , упомянув, что это отчет, который должен быть отправлен. Таким образом вы документально подтверждаете, что вы и ваш руководитель знали о проблемах и у вас есть доказательства того, что вы решили их должным образом. Если по-прежнему только отредактированный отчет доходит до клиента, тот факт, что это произошло, несмотря на ваши задокументированные опасения, должен выбить вас из колеи.
менеджер в фокусе.
Фальсификация отчета никоим образом не должна быть здесь вариантом, и я не вижу, чтобы какой-либо порядочный профессионал даже рассматривал это. Только посмотрите, что случилось с разработчиками в скандале с выбросами BMW.
@ayrtonclark Я согласен, но в некоторых случаях вы не можете выбирать. я не в шкуре этого человека : если он находится в ситуации, когда он не может справиться с потерей работы, остается единственный выбор - следовать инструкциям, прикрывая себя настолько, насколько он может
Босс хочет, чтобы я сфальсифицировал отчет. Как я должен задокументировать это неэтичное требование?
СпросиСетьПолитика конфиденциальности1y, 0v