![举报危险图[©Brian Stauffer]](https://images.techhive.com/images/article/2014/09/whistleblower_whistleblowing_danger_brian_stauffer_cw_single_use-100462731-large.jpg)
技术专业人员是当今最臭名昭着的举报人之一。制定了揭露企业或政府的人的列表包括肖恩木匠,这是一个网络安全分析师,他们吹灭了中国讯连圈的盖子;布拉德利(现在切尔西)曼宁,曼宁与维基解码分享超过250,000个分类的国家部门电缆;和爱德华斯诺登,他泄露了关于NSA监视活动的顶级信息。
但对于每一个高调的情况,有很多的IT专业人员,在不制定国家头条或感受到在国外寻求庇护所需要的情况下,他们会指责他们的雇主。
例如,采取Nell Walton。Nova Information Systems(Now Elavon)的前数据库管理员,Walton将举办举报人投诉,2005年职业安全和健康管理局对信用卡处理器,以违反包含数十亿个交易记录的数据库的安全违规行为。
根据沃尔顿的说法,她一再向公司提出,将其数据库安全支持 - 这项要求她声称促使从新星的“指挥链”报复。沃尔顿的投诉被OSHA驳回。她呼吁与美国劳动部的决定申请,但最终在联邦法院对Nova失去了她的案例。(Elavon没有回复面试要求。)
案件持续了近三年,成本沃尔顿的工作,身体健康,近50,000美元的法律费用。“这完全沉默了我的生命三年,”她说。“即使在案件结束后,我们丢失了,那就是糟糕的。”
这是敢于敢于暴露他们认为在雇主的不当行为或疏忽的情况下的困难且经常压力的道路。“这就像我童年的那样说:没有人喜欢叛徒,”战略和国际研究中心的战略技术计划董事和高级研究员詹姆斯·刘易斯(James Lewis)表示,这是一名华盛顿州的智库战略和国际研究中心的战略技术计划。“你可以是高尚的,举报人,但不要指望它是一种简单的生活。”
然而,技术人员的潜力变得高调的举报人正在增长,无论是他们喜欢还是没有。对于初学者来说,今天的数据删除 - 从装配线传感器到销售点设备的所有内容都会产生的信息的位和字节 - 是对前所未有的数据透明度的需求。突然间,公众正在从IT部门要求更多的开放性,了解正在收集的数据,它是如何使用的,它是如何获得的,并且正在访问它。
与此同时,组织对组织来说,赌注从未升高,以保持其系统安全。根据Ponemon Institute的说法“2014年数据违规成本研究:全球分析“由IBM赞助的报告,数据违约的平均成本为350万美元,距公司参与去年学习的公司的平均值增加了15%。来自10个国家的314家公司参加了今年的研究估计他们将平均处理17个恶意代码和每月12个持续探针。IT团队必须从这些安装威胁或面对愤怒的股东,精细的监管机构和心怀不满的客户的愤怒中保持机密数据。
Ponemon Institute创始人Larry Ponemon表示,许多IT领导者认为报告渎职是别人的问题。
所有这一切都将技术专业人员放在岩石和一个艰难的地方。一方面,他们背负着确保数据开放性并向它看待数据管理实践符合最高道德标准的令人敬畏的责任。另一方面,检测 - 然后报告的IT专业人员 - 伪造的安全措施或滥用数据正在坐落在“潜在的粉末桶”上,警告庞蒙研究所的创始人Larry Ponemon,隐私和数据保护智库MICH。许多IT领导者“抓住了[报告渎职是]别人的问题的态度并不奇怪,”他说,“或说服自己,即使它是一个数据违规,它并不是有害人们。”
幸运的是,许多新的发展正在帮助IT领导者更容易将其新兴的角色作为企业看门狗。更大的法律保护,创新的举报平台,新的报告流程,文化转变 - 他们都承诺帮助科技专业人士为高科技举报的新时代做好准备,即使在雇主报复的威胁下,漫长的法律战斗和外国流亡。
法律问题
四年来,Dodd-Frank Wall Street改革和消费者保护法已收到有关其履行其授权奖励和保护报告政府或企业不当行为的人的能力的混合审查。立法通过授予举报人的货币奖项,从执法行动中收集的10%到30%的金钱。事实上,在2011年8月的Dodd-Frank法案生效后的前七周,证券交易委员会从事信息人员寻求奖励的信息334个提示。从那时起,SEC已经涉及超过6,000名举报人报告。
除了提供财务奖励之外,Dodd-Frank法案还旨在通过允许他们保持匿名来保护举办雇主报复的举报人。
然而,由于金融专家继续辩论Dodd-Frank的影响,许多组织正在掌握自己的手。“举报的Dodd-Frank规则是一个很好的叫醒,但我看到很多组织踩回来并问,”我们如何把它带到一个下一级别?版本2.0?“”穆罕默德说艾哈迈德,德勤金融咨询服务和德勤报告“举报和新竞选新竞赛的共同作者”。
如何不是空气肮脏的洗衣店
对于许多组织来说,答案是建立一个内部举报计划,为揭露不良行为和故障系统的员工提供全天候热线和金融奖励。例如,举报人Hotlines允许其工人匿名地通过电话或通过Web门户报告他们在组织内存的任何不当行为。虽然IT专业人员最有可能注意到数据的误操作,但令人担忧的其他原因包括任何类型的欺诈,腐败和非法活动,当然以及安全违规和健康危害。
Deloitte的穆罕默德艾哈德说,许多公司“对他们不知道关于他们的概念的概念感到不舒服。”
沃尔顿说,她希望在2005年举行举行举报的热线,当时她决定告诉她的雇主对数据安全的担忧。“老实说,我认为[举报]渠道将向更有兴趣保护数据而不是保护自己的工作的人开放[案件],”她说。
即便如此,虽然越来越多的组织正在提供内部通信平台和举报的激励,但许多这些举措背后的真正动机是为了确保企业误导是在内部处理,而不是提请当局的注意力。
其中许多内部计划的理由“是激励举报人在进入秒之前先在内部报告,”艾哈迈德说。“公司正在努力,报告可以直接向秒进行。大多数人对他们不知道关于他们的报告的概念感到不舒服,而且他们第一次发现是来自监管机构的概念。”
隐藏在平原的解决方案
如果今天的内部举报工具未能灌输IT领导者,那么有一个越来越多的第三方网站和提交系统可以选择。
例如,TOR(以前称为洋葱路由器)是匿名程序,该程序通过多个节点或虚拟隧道的网络路由流量 - 匿名其用户的身份。
根据TOR网站,该技术反弹围绕世界各地志愿者经营的中继网络的分布式网络交流。Tor阻止网站跟踪用户,成为他们的CIO或政治审议议案,因此如果他们想说,这些人可以保持未被发现,例如,将敏感信息与记者交流,与当局联系或浏览举报人。
另一种选择是Globaleaps,这是一个旨在帮助IT专业人员报告不法行为的开源举报框架,而无需依赖于内部工具或技术。“举报人是有风险的,”米兰,意大利米兰透明度和数字人权中心的成员Marco Calamari说,这是创新技术。“Globaleaks是一种高度可配置的软件,基于Tor的基础,允许匿名浏览互联网。”Globalabs的上行额,它拥有5,000名志愿服务器和100万用户,是其易用性,这使得甚至甚至没有人们可以建立自己的匿名举报地点。
今天更具创新性提交系统之一是一个名为Adleaks的在线广告网络。与诸如TOR等工具不同,该工具依赖于匿名网络掩盖用户的身份,Adleaks通过将Adleaks广告嵌入到网站上来工作。
这些广告包含加密录音机消息的代码,然后将其交付回adleaks作为加密信息的小数据包。通过让举报人的浏览器替代具有披露的加密部分的消息,Adleaks确保发件人完全不可观察,窃听者无法区分常规浏览器的传输和录音机的浏览器。
但即使是Adleaks也不是万无一失的解决方案。一方面,因为它每次只泄漏一小部分信息,所以过程可能需要数周才能完成。而且由于Adleaks是一个研究项目,该系统仍被认为是实验研究产品线的一部分。弗雷菲大学的Volker Roth教授(自由大学)在柏林被认为是该项目的柏林,“我们无法保证任何提交的安全性,我们没有组织处理将提交给我们的任何内容。”