Я работаю в сфере ИТ, и мой менеджер пытается заставить меня и моего коллегу отправить фальсифицированное сканирование безопасности нашему клиенту. По сути, он хочет, чтобы мы представили модифицированное сканирование безопасности, чтобы исключить уязвимости, обнаруженные во время сканирования. Это часть большого проекта, над которым мы работаем для клиента.
Мой менеджер подчиняется непосредственно генеральному директору компании, и сам генеральный директор оказывает давление на моего менеджера, чтобы он выполнил этот проект, несмотря ни на что. Генеральному директору все равно, срезаны ли углы или совершается что-то неэтичное.
Для меня вопрос очень простой. Я не буду делать то, о чем просит мой руководитель, так как считаю это крайне неэтичным. Поскольку это часть более крупного проекта, я работал над другими вещами, пытаясь дать себе немного времени, чтобы понять, что делать. Я также пытаюсь выяснить, как наилучшим образом задокументировать то, что мой менеджер пытается заставить меня сделать, что подводит меня к моему вопросу.
До сих пор все, что менеджер просил меня сделать в связи с этим, было сказано в устной форме. Я предпринял несколько неудачных попыток заставить его изложить что-нибудь в письменной форме. Вчера я спросил его в письменной форме, что он хочет сделать со сканированием безопасности, и он ответил мне: «Мы уже обсуждали это, вы знаете, что делать».
Поскольку я буду рисковать своей работой, когда мне в конечном итоге придется сказать своему менеджеру «нет», я хочу, по крайней мере, иметь возможность документировать то, что мой менеджер попросил меня сделать. В настоящее время у меня нет никакого способа доказать, что он даже попросил меня сделать что-то неэтичное. Есть ли лучший подход, который я могу предпринять? Я больше беспокоюсь о своей профессиональной репутации, чем о своей работе.
Вероятно, он не хочет оформлять запрос в письменной форме, потому что знает, что позже может быть вызван в суд. Я думаю, что вам нужно сделать два шага:
Я чувствую, что вы попали в эту ситуацию, но вы поступаете правильно, придерживаясь своей этики.
Re: Our discussion yesterday; you want me to X. Y. Z. Please confirm I have understood correctly?
Я не юрист, но это, кажется, выходит за рамки этической сферы в юридическую.
Я работаю в ИТ, и мой менеджер пытается заставить меня и моего коллегу отправить фальсифицированное сканирование безопасности нашему клиенту.
Это похоже на мошенничество.
Немедленно свяжитесь с адвокатом, чтобы определить, как лучше всего вы можете защитить себя, и выяснить, не сделали ли вы что-либо, что может привести к потенциальной ответственности.
Адвокат может попросить вас немедленно подать в отставку.
Документация — это хорошо, но не делайте личные копии информации о клиенте или компании , например, фотографируйте на телефоне, сохраняйте ветки электронной почты компании или отправляйте документы на личную учетную запись электронной почты. Если вы уже сделали это, немедленно удалите их.
Если о вашем работодателе в конечном итоге узнают (на что я, конечно же, надеюсь), ваш работодатель может принять ответные меры, подав иск или уголовную жалобу против вас (независимо от того, насколько легкомысленно) на основании вашего обращения с данными компании.
До сих пор все, что менеджер просил меня сделать в связи с этим, было сказано в устной форме. Я предпринял несколько неудачных попыток заставить его изложить что-нибудь в письменной форме.
Ты не заставляешь его писать что-либо. Вы написали это для него.
Кому: Мой босс
Тема: Порядок работы
Привет, босс,
Как уже обсуждалось, я поместил [неэтичную функцию], о которой вы мне вчера говорили, в список невыполненных работ. У меня все еще есть некоторые вопросы по юридической стороне дела, и я был бы рад, если бы мы могли обсудить их, прежде чем мы начнем над этим работать.
Лучший, это парень
Затем у вас может быть встреча, на которой он скажет вам, чтобы вы продолжали [неэтичную функцию], не беспокоились о юридической стороне, и поручил вам больше не писать электронные письма, резюмирующие ваши разговоры. Вы забудете о том, что не должны писать электронные письма, и отправите что-то вроде этого:
Кому: Мой босс
Тема: Заказ на работу, продолжение
Привет, босс,
Просто резюмируя дискуссию с 14:00: вы уже проверили юридическую сторону, и правильный способ сделать это состоит в том, что мне нужно сделать [неэтичное действие] и [неэтичное действие]. Я, вероятно, буду готов к завтрашнему дню.
Лучший, это парень
Если он двусмыслен, вы устраняете двусмысленность в резюме, что делает его обязанностью разъяснить, если вы неправильно поняли.
Не забудьте распечатать электронные письма и взять их домой (или просто сделать снимок экрана своим телефоном), потому что компании, которые готовы нарушать закон, иногда готовы «терять» электронные письма.
Частично я могу рассказать об этом, исходя из своего опыта работы в качестве координатора информационной безопасности в SaaS-бизнесе. (Я не могу говорить обо всем этом, потому что у моего работодателя есть культура подчинения; наши руководители никогда не будут играть в эту игру.)
В большинстве случаев эти запросы исходят от части бизнеса клиента, которая просто ставит галочки перед подписанием новых поставщиков. В циничные дни, я думаю, они просто взвешивают эти отчеты или подсчитывают их количество слов.
Иногда можно отправить правдивое сканирование клиенту, если вы включите объяснение и план исправления. Многие клиенты согласятся с этим, и это повысит доверие к вам: сотрудники корпоративной информационной безопасности любят прозрачность. (Однако они будут следить за тем, чтобы вы исправили ситуацию.)
Совершенно разумно отправить клиенту только сводку результатов сканирования; подробности о ваших системах и уязвимостях на самом деле никого не касаются, кроме вас, и их раскрытие увеличивает поверхность вашей атаки.
Я полагаю, что можно отправить клиенту поддельный скан, чтобы получить заказ. Но было бы разумно подготовить план исправления и попросить своего босса согласиться на его реализацию, если вы это сделаете.
Если вы отправите поддельное сканирование, а затем вас успешно атакует какой-нибудь киберпреступник, что может произойти? Если вы не работаете в сфере здравоохранения, я полагаю, что наихудший сценарий — это Equifax: пагубная реклама для вашего клиента и для вас. Или ваш владелец может отправить вашего технического директора на Fox News, чтобы он солгал об этом, как они сделали, когда у Panera была утечка информации. Но, наверное, это будет не так уж и плохо.
Если вы являетесь коммерческой организацией, связанной с HIPAA в области здравоохранения, и у вас есть данные о пациентах, и они просачиваются, и кто-то проявил халатность, это преступление, которое пробивает корпоративную завесу, а это означает, что люди могут быть привлечены к уголовной ответственности и не могут прятаться за LLC . В этом случае было бы мудро отказаться подписывать.
Послушайте, работать в компании, в которой отсутствует культура соблюдения требований, - головная боль. Ты знаешь что. Но это можно использовать как предлог, чтобы начать настаивать на переменах в вашей компании. Мое предложение номер 4 может быть способом добиться этого.
Правильный вопрос для вас и ваших руководителей: «Как мы можем сделать данные наших клиентов более безопасными?» Компромисс по этому поводу может продвинуть вас дальше по этому пути. Просто кое что для раздумий.
Если вы пойдете на компромисс, я предлагаю вам написать «памятку в файл», описывающую ситуацию, данные вам инструкции и ваши действия. Распечатайте его и возьмите домой. Это только для вас, а не для ваших руководителей или коллег. Это поможет вам точно вспомнить, кто, что и когда сказал, если вам придется описывать этот инцидент через несколько лет.
Я, к сожалению, был в такой ситуации несколько раз в моей карьере.
Во-первых, вы не можете продолжать работать на этого человека, начните искать другую работу.
Во-вторых, я предлагаю вам сделать то, что предложил другой. Напишите все это в электронном письме и попросите подтверждение да/нет. В этом электронном письме я хотел бы указать на то, что то, что, как вы понимаете, он требует от вас, является неэтичным и, возможно, незаконным. «Подтвердите Да или Нет, или я не буду делать эту неэтичную и, возможно, незаконную вещь». Я уже запрашивал подписанный документ или электронное письмо с цифровой подписью, и они всегда отказываются.
Однажды меня попросили подписать что-то как прохождение тестов на уязвимости, и я не стал, потому что они даже не позволили мне запустить сканирование. Позже фекалии попали в устройство перемещения воздуха. Примерно через 6 месяцев со мной связался полковник из офиса Генерального инспектора с просьбой предоставить письменные показания, потому что я не мог предоставить копии электронных писем (я не мог взять их с собой). ...... много увольнений, но меня уже не было.... К тому времени я был на другом конце света.
Дэн и дбир осветили большую часть моих первых мыслей. Скопируйте те части, которые вы можете, и вручную зарегистрируйте остальные. Частично это рискованно, но я сосредоточен на вашем утверждении, что вы готовы потерять эту работу из-за этого (и я аплодирую вам за это).
Вы также можете ответить на его ни к чему не обязывающее электронное письмо с копиями исходного результата и подправленным черновиком с водяными знаками «ЧЕРНОВИК» и скрытой копией личного электронного письма.
«В соответствии с нашим обсуждением, вот оригинал и черновик сканов с отредактированными результатами». Предполагая, что он устно говорит вам, что это то, чего он хочет, и отправляет это (и, возможно, чтобы прекратить отправлять доказательства по электронной почте), в этот момент вы несколько загнаны в угол, говоря ему, что вы не можете согласиться с отправкой фальсифицированных результатов сканирования. Если вы хотите спасти отношения, возможно, стоит обсудить планы исправления. Большинство аудитов, в которых я принимал участие, больше интересовались правдой, а затем планом снижения рисков. Но это может не сработать здесь.
Он может проверить журналы электронной почты и узнать, чем вы занимаетесь. Если это так, он также должен знать, что вы задокументировали его должностные преступления. Надеюсь, это заставит его задуматься, прежде чем угрожать погубить вас. Он может сделать что-то вроде угроз о неразглашении, отправив вам это электронное письмо. Помните, что это шаг отчаяния. Единственный способ доказать это - предоставить доказательства того, что он пытается обмануть клиента.
В высокотехнологичной компании, в которой я работаю, у нас есть должность в организации, называемой омбудсменом. Их независимая обязанность — давать советы и рекомендации по подобным этическим/юридическим вопросам. В нашей компании при необходимости это может быть полностью анонимно. Если в вашей компании есть такая роль, я бы посоветовал обратиться к ним за советом, так как это их работа и обязанность.
Что работало для меня в прошлом: сделайте отчет, в котором опишите, что вы на самом деле сделали, включая отрывки, которые вы должны сделать/планируете сделать, но отметьте их явно как «еще не сделано», отправьте его своему боссу и скажите ему, чтобы отредактируйте его так, как он считает нужным, подпишите и отправьте заказчику.
Многие люди вдруг становятся намного осторожнее, если это их подпись, а не подпись их подчиненных (в моем случае речь шла о заказе их «любимому поставщику», а не самому дешевому).
Если ваш начальник все еще хочет это сделать, то бегите из этой компании и в зависимости от серьезности ситуации передайте информацию в соответствующие учреждения (-> юридический вопрос, поговорите с юристом).
Я думаю, что если у вас есть оригинальные сканы и модифицированные сканы, то просто запишите фактические сканы на компакт-диск и отправьте его по почте в компанию. Включите зашифрованный текстовый файл с кодовой фразой, которая идентифицирует его для вас. Если вам когда-нибудь понадобится, так сказать, выступить с трибуной, вы можете описать, что находится в этом зашифрованном текстовом файле, чтобы у вас была репутация. Также здорово, если ваш босс бросает вас под автобус перед компанией, и вы можете сказать, что включили зашифрованный файл с кодовой фразой, которую знаете только вы. Я думаю, что это лучший подход с точки зрения страхования. В противном случае я думаю, что ваш босс и его боссы могут выдумывать все, что им заблагорассудится, и у вас практически нет доказательств, особенно если они сказали вам устно.
Я думаю, что здесь есть еще один вариант, который может не нравиться людям, но который игнорируется. Он вращается вокруг идеи о том, кто тот человек, который совершает мошенничество и как. Если вы хотите продолжать работать в компании, но не делать ничего, что могло бы вас запутать, я бы порекомендовал следующее.
Создайте версию отчета, которую запросил ваш босс, затем отправьте ее ему с прикрепленным оригиналом и скажите следующее.
Я создал отчет (с опущенными ответами), который вы просили меня подготовить для {company}, вы найдете его и исходный отчет, прикрепленный к этому письму, для сравнения. Я хочу, чтобы вы знали, что я подготовил отчет в надежде, что вы будете использовать его только для внутренних целей. Я искренне верю, что решение поделиться отредактированной версией этого документа с {company} ставит нашу компанию в очень опасное положение, поскольку некоторые проблемы в исходном документе являются реальными проблемами, которыми можно воспользоваться. В этом свете я призываю вас использовать оригинал.
Затем я бы скопировал электронное письмо на личную учетную запись электронной почты, а также распечатал полное электронное письмо (необработанное электронное письмо из вашей отправленной папки со всеми заголовками). Если ваш босс отвечает и говорит вам отправить электронное письмо в {компанию}, это тот момент, когда вы говорите
Что касается моей личной ответственности, я не могу с чистой совестью быть человеком, который отправляет это по электронной почте {company}, и я надеюсь, что это не проблема для вас.
Я бы сказал, что это делает несколько разных вещей:
а) независимо от Мошенничества или ситуации, когда ваш начальник дал вам рабочее задание по созданию отчета, и это может быть ситуация, когда вас могут уволить за то, что вы этого не сделали. выполнять задания от вашего менеджера (я действительно понимаю, что люди не согласятся с этим, но я рассматриваю это как приближение к этической черте, не переступая ее)
б) предоставление отчета по электронной почте вашему руководителю с оригиналом дает понять, что документ следует рассматривать для внутренних целей. Если ваш руководитель решит использовать этот документ, мошенничество совершил ваш руководитель, а не вы. (Я сообщу, что делать, если он действительно отправит его позже)
c) отправив это вашему руководителю, вы даете ему письменную возможность поступить правильно. ваш менеджер может передумать... надеюсь.
d) Распечатка и сохранение электронной почты с помощью скрытой копии предоставляет вам важные вещественные доказательства, которые могут понадобиться, если вы столкнетесь с негативными последствиями этого действия.
Наконец, я бы сказал, что составление отчета не является сложным этическим вопросом. Я бы сказал, что
какова ваша ответственность, если вы точно знаете, что ваш руководитель/компания отправили документ, тем самым совершив мошенничество?
это очень сложный вопрос, я мог бы дать несколько рекомендаций в этом ключе, но верная одна из них, которую вы должны сделать абсолютно точно.
Если ваш начальник использует отредактированный отчет и в результате, прямо или косвенно, ваша компания заключает или иным образом продолжает контракты с другой компанией. Не размещайте сообщения на бирже стека, потратьте пару сотен долларов и получите совет от адвоката по трудовым спорам (это будет совет, который имеет страховку от злоупотребления служебным положением).
Для меня есть две альтернативы:
Сделай это, но защити себя
Храните документ с предпринятыми вами действиями, с датой создания/изменения младше, чем письмо, которое вы отправите клиенту с исключенными уязвимостями. В этом документе запомните ваши обсуждения с вашим менеджером, исключенные уязвимости и ссылку на реальный отчет.
Затем выполните действия, которые вам сказали, и отправьте письмо с отредактированным отчетом вашему менеджеру, предупредив его об уязвимостях (или найдите другое письмо, которое вы уже отправили, говоря об этом).
Если об этом узнает клиент, вы будете защищены (и даже если вас спросят, почему вы сделали это неэтичное дело добросовестно, вы можете сказать, что на вас оказали давление).
Найдите новую работу и увольняйтесь как можно скорее
Это токсичная среда и/или токсичное управление. Постарайтесь выбраться, не сжигая мостов, и найдите перед этим другую работу. Выиграйте как можно больше времени, не редактируя отчет, чтобы вы могли уйти до того, как вам придется это делать.
َ
ПолуГик
пользователь77653
Дэвид К.
Дэвид К.
Энтони
ПолуГик
С. Грей
Пол Джонсон
экес
Адам Порад
Рон Мопен
Харпер - Восстановить Монику
Вальфрат
Алекс М