Использование просочившейся конфиденциальной информации в научной статье

Я работаю над проектом в области ИТ-безопасности, где мы анализируем проприетарную встроенную систему. При исследовании системы мы обнаружили конфиденциальный лист данных, который был опубликован третьей стороной без согласия производителя системы. Спецификация помечена как конфиденциальная и обычно выдается только после подписания соглашения о неразглашении. Он описывает устаревшую версию анализируемой нами системы, но частично актуален, так как некоторые части системы с тех пор не изменились.

Этично/приемлемо ли использовать этот ресурс и ссылаться на него в документе?

«Связанная работа»: этот и этот вопросы касаются цитирования документов, которые не являются широко доступными (в то время как мой документ может найти любой, использующий Google, и ни один из вовлеченных исследователей не подписал никаких соглашений о неразглашении).

Редактировать: чтобы добавить дополнительную информацию, которую я добавил в несколько комментариев:

  • В рассматриваемом техническом описании описаны протоколы безопасности, используемые более старой версией популярного встроенного чипа безопасности, текущие версии которого используются в платежных системах и системах контроля доступа.

  • Производитель знает, что даташит просочился, и недоволен этим, но последние два года не удалит техпаспорт со сторонних серверов, где он находится. Причины этого неясны

  • Данные являются конфиденциальными (как в частном секторе NDA-конфиденциально), но не засекречены в государственном смысле.

  • Компания уже заявила, что они предпочли бы, чтобы мы не публиковали на основе этого документа, но что они не будут предпринимать никаких юридических действий, если мы это сделаем, при условии, что вся информация фактически верна.

Следует учитывать одну вещь: вы, вероятно, не можете включить данные в документ, и документ может быть удален из-за проблем с соглашением о неразглашении.
@NickS В этом конкретном случае документ оставался в силе в течение нескольких лет, поэтому либо продавец (который знает об этом), либо не занимается им, либо не может получить юридическую защиту. Но да, в целом, это определенно соображение.
Я не юрист, но... спросите у юриста. В зависимости от того, где вы находитесь, юридические последствия могут значительно различаться. Вы можете вообще не нести никакой юридической ответственности, хотя это не отвечает на вопрос, как это будет воспринято исследовательским сообществом. Возникают вопросы о надежности и достоверности того, что вы нашли, которые совершенно не зависят от этики и законности. Это чисто научные проблемы.
Вы не думали обратиться в компанию? Возможно, доступ к данным старой системы больше не контролируется.
@David Я разговаривал с компанией, чтобы сообщить об обнаруженной нами уязвимости. Они подтвердили, что знали о существовании утечки и не были в восторге от нее, но что она, как правило, не была официально «рассекречена» (в скобках, поскольку она не является государственной, а конфиденциальной для частного сектора). Судя по всему, они не предприняли никаких (эффективных) действий для перевода документа в автономный режим, поскольку он все еще широко доступен.
Игнорируя этические вопросы, публикация этой информации просто незаконна, если только компания не дает вам явного разрешения на ее публикацию. Попытка «получить документ в автономном режиме» из Интернета почти невозможна, так как нет способа отследить все копии, которые были сделаны, но предпринять эффективные юридические действия против печатного издателя намного проще!
@alephzero Публикация всего документа вполне может быть незаконной, но мне было бы интересно, как будет выглядеть судебное дело об использовании базовой информации в опубликованной статье и цитировании таблицы данных - есть ли какой-либо прецедент, о котором вы знаете? Что бы это ни стоило, компания уже (неохотно) заявила, что они не будут возбуждать против нас судебные иски, если мы будем использовать данные в этом конкретном случае, они только попросили, чтобы мы сначала проверили документ для проверки фактов.
Вы говорите, что это связано с «протоколами безопасности… используемыми в платежных системах и системах контроля доступа» и что вы нашли как минимум одну уязвимость. Если эти системы используются людьми за пределами компании и эти уязвимости не являются общедоступными, пользователи имеют право знать о них, и в этот момент раскрытие информации может быть морально необходимо. (Хотя в таком случае вы должны дать компании время на исправление уязвимости до публичного выпуска в соответствии с принципом ответственного раскрытия информации (что, по общему признанию, сложнее для оборудования, чем для программного обеспечения)). Аргументы могут быть сделаны в обоих направлениях.
В журналистике различие между публикациями обычно проводится на основе того, была ли рассматриваемая информация предоставлена ​​без запроса и без каких-либо оговорок: она попала «через фрамугу». Незапрашиваемый, чтобы вы не могли каким-либо образом намекнуть или намекнуть источнику, что «было бы хорошо, если бы у меня было это», и без каких-либо условий (например, «вы должны это опубликовать»), чтобы избежать опасений шантажа.
Я не юрист , но это в первую очередь не этический вопрос, но я подозреваю, что во многих законодательных актах это может быть юридический вопрос. Вы же не хотите, чтобы вас случайно обвинили, скажем, в промышленном шпионаже.

Ответы (5)

Похоже, вы нашли интересный источник и обдумываете моральные последствия его использования. То, что я скажу, основано исключительно на личном мнении и, вероятно, на том, что я сделал бы, если бы мне не сказали иначе.

Утечки — это факт жизни. С распространением цифровых материалов они стали обычным явлением. Посмотрите на Wikileaks, разоблачения Сноудена и т. д. Как только материал становится достоянием общественности, к счастью или к сожалению, уже нет пути назад, независимо от того, как эта информация стала достоянием общественности. Ответственность за обеспечение безопасности несет владелец/создатель материала.

Распространение такого материала может быть очень плодотворным, но подумайте об этом с другой стороны: будет ли ваше опубликованное исследование, основанное на этом материале, в конечном счете конструктивным или деструктивным? Принесет ли это пользу только вам или всему миру? Кому это действительно выгодно? Если бы ответ был только у вас , я бы, вероятно, воздержался от вашего исследования, основанного на нем. Если у него есть более широкие разветвления большого значения, идите с ним. Также рассмотрите причины, по которым это конфиденциально. Кому он служит - кого защищает ? Было ли это конфиденциально из-за финансовых причин, неполных исследований, политики компании или «национальной безопасности»?

В этом вопросе есть тяжелый моральный оттенок, и вам, возможно, придется заняться самоанализом. Но в конечном счете, если это положительно послужит более широкой дисциплине, и такое рабство сильно перевешивает тех немногих людей, которых оно разгневало бы, я бы использовал его до тех пор, пока для вас не будет юридических последствий [маловероятно, так как третья сторона просочилась , но никогда нельзя быть слишком осторожным].

Я полностью не согласен. На самом деле это не только решение автора. Подумайте об этом так: если бы кто-то бросил вам на стол какие-то невероятно многообещающие результаты испытаний наркотиков на людях, которые были явно получены незаконным путем, вы бы опубликовали их (или, если бы вы были редактором, разрешили бы вы эти данные? для публикации), даже если можно было бы доказать, что автор не получил данные сам? Если данные не прошли своего рода проверку специальной группой специалистов, я не думаю, что их использование было бы даже отдаленно близко к морально оправданному.
@andorian Если бы эти результаты спасли жизни людей, то да, я бы их опубликовал. Получение результатов, как вы предлагаете, очевидно, неэтично, и я бы тоже это прояснил, но утаивание информации, которая может спасти жизни, еще хуже.
@AleksandurMurfitt, я согласен, но это не решение автора. Если данные чрезвычайно важны, то, безусловно, есть государственные и научные органы, заинтересованные и вовлеченные в их оценку. Как это произошло с результатами кучи нацистских экспериментов, проведенных во Второй мировой войне.
@andorian: Я не думал, что мы так быстро доберемся до закона Годвина. Вы действительно думаете, что использование данных, украденных из компании, сравнимо с использованием данных о нацистских пытках людей?
Почему мы вдруг постулируем «а что, если это спасет жизни?» Это делает все упражнение гиперболой. Я скорее уверен, что ОП ничего подобного не нашел. Это даже не в том же городе, что и стадион.
@zibadawatimmy: это «ИТ-безопасность» для «встроенной системы». Что-то, что может повлиять на жизнь. Не говорю, что это обязательно происходит здесь, но это чертовски меньше, чем данные о нацистских пытках.
Не зная, о чем данные, я, честно говоря, не могу сравнивать. Причина, по которой я «упомянул Гитлера», заключается в том, что это четкий и очень запоминающийся пример данных, которые могут спасти жизни, о чем меня и спросили. Если данные могут спасти жизни, то не будет преувеличением предположить, что они потенциально могут оборвать жизни — например, они могут быть неверными. Однако, как я поясняю в своем ответе, оценка этого не входит в обязанности автора и не имеет на это личных полномочий.
Чтобы дать некоторый контекст о данных в этом конкретном случае: это таблица данных, которая определяет, как ведет себя определенный встроенный чип с функциями безопасности и как с ним взаимодействовать. Мы смотрим на безопасность протоколов, которые там определены. Более современные версии чипа используются, в том числе, в системах контроля доступа и оплаты.
Я думаю, что сравнение с «незаконно полученным» материалом является неудачным. Нарушение NDA не является преступлением! Обратите внимание на разницу: если оно было получено незаконным путем, вы участвуете в первоначальном причинении вреда (например, в примере с пытками нацистов), которого у вас есть этическое обязательство избегать. В данной ситуации, если вы лично не подписали соглашение о неразглашении, у вас нет этических обязательств по защите деловых интересов первоначального владельца.
@андориан, почему бы и нет? жизни несчастных испытуемых на тот момент уже потеряны и ничего уже не исправишь. Но информация может помочь всем остальным в будущем.

Я рад, что я не в вашей ситуации. Это сложно. Хотя я не могу предложить этику научной публикации в этой ситуации, журналист, который является конституционно защищенной организацией в США, вероятно, опубликовал бы после получения комментариев от компании.

На вас, однако, вероятно, подадут в суд, как и на ваш университет. Если бы я был в вашей ситуации, я бы, вероятно, проконсультировался с университетским юристом и следовал бы тому, что мне говорят. Если школа не прикроет мне спину, я не хочу брать на себя личную ответственность.

Я предполагаю, что другой способ смотреть на это - насколько важен вопрос. Стоит ли это дерьмового шторма, в котором вы, вероятно, окажетесь?

Вы спрашивали у редактора журнала? Они могут не захотеть публиковать вашу статью из-за риска предъявления иска со стороны компании, в которой произошла утечка проприетарного материала. Они также могут возразить, что источник не следует цитировать, потому что он может исчезнуть в любой момент и на самом деле не был «опубликован».

Обычный метод заключается в том, чтобы найти статью или публикацию, использовать ее содержание и правильно процитировать. Может быть, не в этом случае, но просто подумайте о своей позиции, если вы публикуете свою газету со ссылкой на этот просочившийся материал, а компания, которая якобы произвела просочившийся материал, отрицает, что она произвела какой-либо из этих материалов. Это плохие новости для вашей газеты.

Если компания, в которую попал документ, заявила, что предпочла бы не публиковать информацию на основе утекших данных, это означает, что это может быть для них вредно.

Так что вы выбираете между своей выгодой и их выгодой. Если вы решили опубликовать, это может быть законным, но менее моральным.

Может быть, вы сможете убедить их стать соавторами статьи, учитывая, что вред уже был нанесен им, и это выставит их в лучшем свете. Если это не сработает, вы можете увидеть, согласны ли они просмотреть вашу статью, и вы можете подтвердить их.

По сути, я считаю справедливым предпринять любые действия, которые не нанесут еще большего ущерба компании из-за просочившегося документа.

Использование просочившейся конфиденциальной информации в научной статье
СпросиСетьПолитика конфиденциальности1y, 0v