Я работаю над проектом в области ИТ-безопасности, где мы анализируем проприетарную встроенную систему. При исследовании системы мы обнаружили конфиденциальный лист данных, который был опубликован третьей стороной без согласия производителя системы. Спецификация помечена как конфиденциальная и обычно выдается только после подписания соглашения о неразглашении. Он описывает устаревшую версию анализируемой нами системы, но частично актуален, так как некоторые части системы с тех пор не изменились.
Этично/приемлемо ли использовать этот ресурс и ссылаться на него в документе?
«Связанная работа»: этот и этот вопросы касаются цитирования документов, которые не являются широко доступными (в то время как мой документ может найти любой, использующий Google, и ни один из вовлеченных исследователей не подписал никаких соглашений о неразглашении).
Редактировать: чтобы добавить дополнительную информацию, которую я добавил в несколько комментариев:
В рассматриваемом техническом описании описаны протоколы безопасности, используемые более старой версией популярного встроенного чипа безопасности, текущие версии которого используются в платежных системах и системах контроля доступа.
Производитель знает, что даташит просочился, и недоволен этим, но последние два года не удалит техпаспорт со сторонних серверов, где он находится. Причины этого неясны
Данные являются конфиденциальными (как в частном секторе NDA-конфиденциально), но не засекречены в государственном смысле.
Компания уже заявила, что они предпочли бы, чтобы мы не публиковали на основе этого документа, но что они не будут предпринимать никаких юридических действий, если мы это сделаем, при условии, что вся информация фактически верна.
Похоже, вы нашли интересный источник и обдумываете моральные последствия его использования. То, что я скажу, основано исключительно на личном мнении и, вероятно, на том, что я сделал бы, если бы мне не сказали иначе.
Утечки — это факт жизни. С распространением цифровых материалов они стали обычным явлением. Посмотрите на Wikileaks, разоблачения Сноудена и т. д. Как только материал становится достоянием общественности, к счастью или к сожалению, уже нет пути назад, независимо от того, как эта информация стала достоянием общественности. Ответственность за обеспечение безопасности несет владелец/создатель материала.
Распространение такого материала может быть очень плодотворным, но подумайте об этом с другой стороны: будет ли ваше опубликованное исследование, основанное на этом материале, в конечном счете конструктивным или деструктивным? Принесет ли это пользу только вам или всему миру? Кому это действительно выгодно? Если бы ответ был только у вас , я бы, вероятно, воздержался от вашего исследования, основанного на нем. Если у него есть более широкие разветвления большого значения, идите с ним. Также рассмотрите причины, по которым это конфиденциально. Кому он служит - кого защищает ? Было ли это конфиденциально из-за финансовых причин, неполных исследований, политики компании или «национальной безопасности»?
В этом вопросе есть тяжелый моральный оттенок, и вам, возможно, придется заняться самоанализом. Но в конечном счете, если это положительно послужит более широкой дисциплине, и такое рабство сильно перевешивает тех немногих людей, которых оно разгневало бы, я бы использовал его до тех пор, пока для вас не будет юридических последствий [маловероятно, так как третья сторона просочилась , но никогда нельзя быть слишком осторожным].
Я рад, что я не в вашей ситуации. Это сложно. Хотя я не могу предложить этику научной публикации в этой ситуации, журналист, который является конституционно защищенной организацией в США, вероятно, опубликовал бы после получения комментариев от компании.
На вас, однако, вероятно, подадут в суд, как и на ваш университет. Если бы я был в вашей ситуации, я бы, вероятно, проконсультировался с университетским юристом и следовал бы тому, что мне говорят. Если школа не прикроет мне спину, я не хочу брать на себя личную ответственность.
Я предполагаю, что другой способ смотреть на это - насколько важен вопрос. Стоит ли это дерьмового шторма, в котором вы, вероятно, окажетесь?
Вы спрашивали у редактора журнала? Они могут не захотеть публиковать вашу статью из-за риска предъявления иска со стороны компании, в которой произошла утечка проприетарного материала. Они также могут возразить, что источник не следует цитировать, потому что он может исчезнуть в любой момент и на самом деле не был «опубликован».
Обычный метод заключается в том, чтобы найти статью или публикацию, использовать ее содержание и правильно процитировать. Может быть, не в этом случае, но просто подумайте о своей позиции, если вы публикуете свою газету со ссылкой на этот просочившийся материал, а компания, которая якобы произвела просочившийся материал, отрицает, что она произвела какой-либо из этих материалов. Это плохие новости для вашей газеты.
Если компания, в которую попал документ, заявила, что предпочла бы не публиковать информацию на основе утекших данных, это означает, что это может быть для них вредно.
Так что вы выбираете между своей выгодой и их выгодой. Если вы решили опубликовать, это может быть законным, но менее моральным.
Может быть, вы сможете убедить их стать соавторами статьи, учитывая, что вред уже был нанесен им, и это выставит их в лучшем свете. Если это не сработает, вы можете увидеть, согласны ли они просмотреть вашу статью, и вы можете подтвердить их.
По сути, я считаю справедливым предпринять любые действия, которые не нанесут еще большего ущерба компании из-за просочившегося документа.
Ник С
мужчина
Зибадава Тимми
Дэйвид
мужчина
алефзеро
мужчина
Рэй
Ник Т
матридер