Этика или правда?
10 октября 2019
В СМИ последние несколько суток не утихает скандал с утечкой банковских данных крупнейшего по капитализации банка в России.
Специализирующаяся на кибербезопасности компания DeviceLock, которая рассказала о нескольких массовых утечках персональных данных россиян в 2019 году, могла сделать это из коммерческого интереса. Об этом сообщают «Известия» со ссылкой на российские банки.
Альфа-банк, «Открытие», «Тинькофф» и Сбербанк получали от DeviceLock предложение о закупке системы для защиты данных пользователей. Представители компании утверждали, что обнаружили в открытом доступе записи, которые якобы принадлежат клиентам этих финансовых организаций. Банки отказывались от сотрудничества с DeviceLock, после чего информация об утечке их данных появлялась в прессе.
Разумеется, DeviceLock ко всем ним (и к другим) обращались с предложением рассмотреть возможность использования продукта для борьбы с утечками. Любой другой производитель ПО, дистрибутор и системный интегратор также обращается к потенциальным потребителям своих продуктов.
Для тех, кто не в курсе, DeviceLock – достаточно крупный поставщик решений в области контроля доступа. Таких компаний в России не так много, и вполне естественно, что его представители обращались к упомянутым компаниям с предложением о покупке у них решений. Тем более что использование такого типа решений требуется по закону. Вопрос только в том, когда они обращались. Об этом мы и поговорим.
«Юристы считают, что банки несут серьезные репутационные потери из-за сообщений об утечках», и поэтому компании и организации (в отсутствие в России закона о раскрытии данных об утечках) скрывают информацию такого рода, поступая вполне логично с точки зрения бизнеса. «Упоминание вами неоднократных утечек данных не является обоснованным, так как не соответствует действительности». И точка!
В связи с этим возникают вопросы.
- Если некая ИБ-компания, к примеру, находит уязвимость в безопасности другой компании, утечку информации или что-то иное в этом роде, информирует ее об этом на условиях конфиденциальности, то имеет ли ИБ-компания этическое право одновременно предложить свои услуги по защите?
- Правильной ли моделью поведения для допустившей утечку организации будет переводить внимание общественности с факта инцидента (а значит, откровенной дыры в безопасности) на якобы месть компании DeviceLock за отказ в поставке?
- А если в России будет все-таки принят закон об утечках? Как начнут реагировать банковские юристы на степень репутационного ущерба в этой связи?
#уязвимость #кредитные_данные #банки #этика #киберпреступление #утечка
Антивирусная правДА! рекомендует
А теперь мы бы хотели опросить наших читателей.
По вашему мнению, имеет ли право исследователь, обнаруживший проблемы безопасности и, естественно, корректно сообщивший о проблеме, предложить свои услуги. Не будет ли это похоже на шантаж?
- Да имеет.
- Нет, это не этично.
Должна ли компания, узнав о проблеме, поблагодарить исследователя и, возможно, принять его услуги (рассмотрев беспристрастно их преимущества), или должна исключить в принципе любую возможность сотрудничества с ним?
- Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
- Нет, нужно доказать, что проблема у исследователя, а не на своей стороне. Главное – своя репутация.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Анатолий
07:12:30 2019-10-11
Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
Voin sveta
22:53:31 2019-10-10
Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
Безопасность - прежде всего
Шалтай Александр Болтай
21:52:46 2019-10-10
- Да, должна.
- Да, безопасность важна!
Геральт
21:44:02 2019-10-10
2. Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
Шалтай Александр Болтай
21:43:41 2019-10-10
— Профессиональная этика.
Lenba
21:40:44 2019-10-10
2. Да, должна использовать все возможности для повышения своей безопасности.
razgen
21:35:47 2019-10-10
2. Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
Для тех кто подключился к всемирной информационной сети безопасность должна быть всегда на первом месте.
Как говорят в таких случаях - безопасность это наше всё.
Toma
21:35:06 2019-10-10
Vlad X
21:34:15 2019-10-10
Татьяна
21:17:32 2019-10-10
orw_mikle
20:45:38 2019-10-10
I23
20:37:26 2019-10-10
anatol
20:02:21 2019-10-10
Korney
19:35:39 2019-10-10
Masha
19:14:54 2019-10-10
L1t1um
19:03:43 2019-10-10
Dmur
17:35:19 2019-10-10
Dvakota
17:26:20 2019-10-10
vkor
15:37:51 2019-10-10
eaglebuk
15:25:47 2019-10-10
2. Задетая гордость подождёт, интересы клиентов выше.
vinnetou
15:14:56 2019-10-10
Sasha50
14:21:47 2019-10-10
1. Да, "исследователь, обнаруживший проблемы безопасности, и естественно корректно сообщивший о проблеме, предложить свои услуги."
2. Да, "компания, узнав о проблеме, должна поблагодарить исследователя и возможно принять его услуги (рассмотрев беспристрастно их преимущества)".
И это нормальный подход.
SGES
14:18:49 2019-10-10
Нет.
На чужих щах не разъешься.
FeliXAK
14:05:12 2019-10-10
Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
cruise
13:52:00 2019-10-10
Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
I46
13:38:02 2019-10-10
Да, должна использовать.
Lex
13:13:28 2019-10-10
Serg07
12:49:31 2019-10-10
Денисенко Павел Андреевич
12:43:43 2019-10-10
EvgenyZ
12:36:54 2019-10-10
Alexander
11:18:27 2019-10-10
На каких весах можно соотнести этику и финансы, уязвлённое самолюбие из-за вскрытой уязвимости и её открытое признание с последующими вероятными репутационными потерями?
Красиво и гордо звучит утверждение, что для некой компании безопасность клиента превыше всего. Но за этими словами должны последовать финансовые вложения в обеспечение той самой провозглашённой безопасности. И как найти эту минимальную достаточность?! И почему надо покупать у того, кто открыл уязвимой фирме глаза на имеющиеся "дыры" в её защите?
По опросу. По первому пункту: да, имеет. По второму, - да, должна.
P.S. В очень давние времена у некоторых правителей было принято казнить вестника, принёсшего неблагоприятное известие…
kozinka.ru
10:43:33 2019-10-10
Неуёмный Обыватель
09:44:42 2019-10-10
Zserg
09:18:56 2019-10-10
Пaвeл
09:14:22 2019-10-10
maestro431
08:54:06 2019-10-10
achemolganskiy
08:45:45 2019-10-10
Неуёмный Обыватель
08:39:23 2019-10-10
marisha-san
08:31:07 2019-10-10
sgolden
08:00:34 2019-10-10
Причем тут шантаж.
ka_s
07:24:29 2019-10-10
2. Да, должна использовать все возможности для повышения своей безопасности. Задетая гордость подождет.
PS Ждем закон об утечках.
Morpheus
06:20:17 2019-10-10
Ну а поощрять или нет - это все на усмотрение компании.(можно конечно и поблагодарить:)) Я думаю, если заключить контракт - это уже и будет своего рода поощрение.
tigra
06:03:18 2019-10-10
DoctorW
06:02:58 2019-10-10
tigra
05:59:14 2019-10-10
Саня
05:59:10 2019-10-10
Андрей
05:46:26 2019-10-10
Alex_1774
05:11:08 2019-10-10
Tanya086
05:04:36 2019-10-10
Xamanaptr
03:48:40 2019-10-10