Divulgación en situaciones potenciales de pérdida de vida, con un proveedor que no coopera

6

Recientemente descubrí una interfaz web de acceso público para un equipo de laboratorio altamente sensible, cuyo funcionamiento defectuoso podría resultar en una posible pérdida de vidas o problemas de salud graves para una gran cantidad de personas. Afortunadamente, el equipo de TI en el laboratorio en cuestión fue muy receptivo y rápidamente encontró una manera de deshabilitar la interfaz remota.

Sin embargo, esto me hizo pensar: ¿y si no hubieran sido tan receptivos y me hubieran ignorado? ¿Y si simplemente hubieran decidido no arreglar el problema? Obviamente, no querría saltar directamente a la divulgación completa, ya que eso seguramente resultaría en un desastre. Pero, por otro lado, el público tiene derecho a saber sobre el peligro potencial en el que se encontraban, y garantizar que se haga una corrección es fundamental.

¿Cuál es la mejor manera de manejar los problemas de seguridad cuando se trata de una posible pérdida de vidas, pero el proveedor no es cooperativo?

    
pregunta Polynomial 12.12.2012 - 22:42
fuente

3 respuestas

3

Está bien, tienes dos problemas aquí:

  • si las cosas van mal, causarán la pérdida de vidas
  • si lo haces público, eres un informante (esto podría tener un efecto en tu carrera)

La divulgación al público puede ser peligrosa y solo debe usarse como último recurso. Algunas otras opciones que quizás quieras pensar primero:

  • vaya a N + 1 si el proveedor es parte de una entidad más grande, puede intentar enviar un mensaje muy claro de que una de sus entidades más pequeñas está amenazando la imagen de toda la empresa (porque esto es lo que temen las empresas, pero nunca hagas esto: FIJALO O LO DIVULGARÉ, no directamente, porque eso es chantaje)
  • vaya a una institución gubernamental, aquí en Bélgica tenemos CERT, que es el Equipo de respuesta a emergencias cibernéticas. Puede informarles anónimamente e intentarán ponerse en contacto con la entidad. Si eso falla, también están en contacto con la Unidad Federal de Delitos Informáticos.

Si todo esto falla, puede revelarlo de manera anónima (avise a la compañía de forma anónima que el problema se dará a conocer en la fecha X, se verá obligado a solucionarlo para entonces, lo publicará independientemente de si solucionó el problema o no) . Es una sentencia de muerte para el vendedor, pero personalmente prefiero que unos pocos individuos pierdan algo de dinero en lugar de unas pocas personas que pierden la vida porque alguien estaba siendo ignorante.

De todos modos, esta es mi opinión personal.

    
respondido por el Lucas Kauffman 12.12.2012 - 23:04
fuente
2

Si no hay una agencia gubernamental para reducir la presión, consideraría 3 medidas:

  • usuario final
  • medios de comunicación
  • reguladores

Para el equipo médico, podría ir a un hospital o grupo de hospitales que use el producto y demostrarles el problema. La presión que pueden soportar es mayor que la que puedes soportar solo.

De lo contrario, acudiría a los medios específicos del proveedor o usuario final y se los explicaré sin permitir que los detalles del problema se hagan públicos. La presión de los medios de comunicación aporta mucho más apalancamiento, y usted no ha revelado los detalles y ha arriesgado vidas.

Si el producto afecta vidas, es probable que exista un organismo regulador que supervise. Ponerse en contacto con ellos puede ser complicado (y largo), pero es para lo que existen.

Yo, personalmente, estaba en una situación muy similar y el proveedor no era cooperativo en absoluto. No tenía acceso a los usuarios finales, pero llamar a las revistas de la industria del proveedor para que los reporteros comenzaran a hacer preguntas fue efectivo para que el proveedor cambiara.

    
respondido por el schroeder 13.12.2012 - 00:45
fuente
1

Habla primero con tu abogado. Si no tienes uno, consigue uno. Cualquier otro consejo no es muy relevante.

    
respondido por el Vitaly Osipov 13.12.2012 - 01:09
fuente

Lea otras preguntas en las etiquetas