Divulgazione in potenziali situazioni di perdita della vita, con un venditore non collaborativo

Naviga le tue risposte
6

Recentemente ho scoperto un'interfaccia web accessibile pubblicamente a un componente altamente sensibile di apparecchiature di laboratorio, il cui malfunzionamento potrebbe comportare una potenziale perdita di vite umane o gravi problemi di salute per un numero elevato di persone. Per fortuna, il team IT del laboratorio in questione era molto ricettivo e ha trovato rapidamente un modo per disabilitare l'interfaccia remota.

Tuttavia, questo mi ha fatto pensare: e se non fossero stati così ricettivi e mi avessero ignorato? E se avessero semplicemente deciso di non risolvere il problema? Ovviamente non vorrei passare direttamente alla completa rivelazione, dal momento che quasi certamente si tradurrebbe in un disastro. D'altra parte, il pubblico ha il diritto di conoscere il potenziale pericolo in cui si trovava / è coinvolto e garantire che una soluzione sia messa in atto è fondamentale.

Qual è il modo migliore per gestire i problemi di sicurezza in cui è implicata una potenziale perdita di vite umane, ma il venditore non è collaborativo?

    
posta Polynomial 12.12.2012 - 22:42
fonte

3 risposte

3

Ok, hai due problemi qui:

  • se le cose vanno male, causeranno la perdita della vita
  • se rendi questo pubblico sei un informatore (questo potrebbe avere un effetto sulla tua carriera)

La divulgazione al pubblico può essere pericolosa e dovrebbe essere utilizzata solo come ultima risorsa. Alcune altre opzioni che potresti voler pensare prima:

  • vai su N + 1 se il venditore fa parte di un'entità più grande puoi provare a inviare un messaggio molto chiaro che una delle loro entità minori sta minacciando l'immagine dell'intera azienda (perché questo è ciò che le aziende temono, ma non farlo mai: FISSATECO O LO DISCLOSE, non direttamente comunque, perché è ricatto)
  • vai in un istituto governativo, qui in Belgio abbiamo il CERT, che è il Cyber Emergency Response Team. Puoi segnalarli in modo anonimo e proveranno a contattare l'entità. Se ciò fallisce, sono ancora in contatto con l'Unità criminale informatica del Paese.

Se tutto questo fallisce, rivelalo magari anche in modo anonimo (comunica alla società anonimamente che il problema verrà divulgato alla data X, saranno costretti a correggerlo per allora, lo rilascerai indipendentemente dal fatto che abbiano risolto il problema o meno) . È una condanna a morte per il venditore, ma personalmente preferisco che alcuni ragazzi perdano qualche soldo per la perdita di alcune persone perché qualcuno è stato ignorante.

Comunque, questa è la mia opinione personale

    
risposta data 12.12.2012 - 23:04
fonte
2

Se non c'è un'agenzia governativa che faccia pressioni, vorrei prendere in considerazione 3 misure:

  • utente finale
  • supporto
  • regolatori

Per le apparecchiature mediche, potrei andare in un ospedale o in un gruppo ospedaliero che utilizza il prodotto e dimostrare loro il problema. La pressione che possono sopportare è maggiore di quello che puoi sopportare da solo.

Altrimenti, andrei al media specifico per il venditore o l'utente finale e lo spiegherei senza consentire che i dettagli del problema vengano resi pubblici. La pressione dei media apporta molta più influenza e non hai rivelato i dettagli e rischiato la vita da solo.

Se il prodotto influenza la vita, è probabile che un organismo di regolamentazione fornisca supervisione. Contattarli potrebbe essere difficile (e lungo), ma è ciò per cui esistono.

Personalmente, ero in una situazione molto simile e il venditore non era affatto cooperativo. Non avevo accesso agli utenti finali, ma chiamare le riviste nel settore dei produttori per far sì che i reporter iniziassero a fare domande era efficace per far cambiare il fornitore.

    
risposta data 13.12.2012 - 00:45
fonte
1

Prima parla con il tuo avvocato. Se non ne hai uno, prendine uno. Qualsiasi altro consiglio non è molto pertinente.

    
risposta data 13.12.2012 - 01:09
fonte

Leggi altre domande sui tag

Quali sono le applicazioni in tempo reale della firma digitale a lungo termine con timestamp Certificati SSL radice e supporto browser