В 4 часа утра ответ — оценил. Спасибо :)
Хорошо, когда есть разные мнения на вопрос.
Можно написать массу кодексов этики, но если понимания этичности нет в человеке, то кодексы не помогут.
Если же человек по своей натуре понимает границы, то ему кодексы не нужны.
В иных случаях кодекс может стать подспорьем, чтобы не «наломать дров».
Почему этические кодексы вообще должны что-то осуждать?
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Почему этические кодексы вообще должны что-то осуждать?
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Да, это так. Поэтому обе стороны (исследователь и производитель/разработчик) должны суметь найти «общий язык» или хотя бы постараться это сделать, чтобы максимально снизить вероятный ущерб в будущем.
Спасибо за комментарий.
1. Кодексы этики и являются некими защитными механизмами, построенными на моральных началах. И ведь ни кто не заставляет следовать им — это некая полярная звезда, на которою можно ориентироваться.
2. Почитаю. Однако, вопрос не в пентесте, а в пентесте как исследовании, которое должно обладать определенными параметрами, чтобы считаться обоснованным, объективным.
Описанный случай, это пример врачебной тайны, которая в определенных случаях может быть передана без согласия гражданина см. ст. 13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
3. Не полностью согласен. Этика исследования существует для того, чтобы исследования были действительно исследованиями и не были бесчеловечными. Пример: история появления «Нюрбергского кодекса» 1947.
Относительно ограничений — это больше правовые запреты, лакуны в законах, которые действительно могут использоваться для извлечения выгоды крупными корпорациями.
Или такая ситуация: если инженер создает ПО, в которое вложил средства семьи, и хочет обеспечить хорошее образование детям на деньги, полученные от продажи. Но, некий начинающие пентестер «влез» в хранилище с исходниками, при этом случайно, уничтожив большой «кусок» кода (год работы) и после этого опубликовал сообщение об успешном пентесте.
Можно ли описанное выше считать этичным поведением (до и после)? Нужно ли было так поступать? И как должен отнестись к этому инженер-разработчик?
Такое тоже бывает, но нужно суметь понять и оценить то, что «падает», для одного это набор символов, для другого клад на миллион.
Бывает же так, что на простое действие, ненаправленное на исследование — «вываливается» ценная информация. Наверное, это случайность.
А если при исследовании получается какой-то результат — это нормально. Вопрос в том насколько корректно и полно это исследование. Иначе, история будет напоминать заметку про столовую и хакера.
Донесение информации до ответственных лиц, публикация — это отдельный вопрос, который тоже требует изучения.
Добрый день!
Поздравляю с успешным финишем.
Очень интересную и актуальную тему выбрали.
Есть пара вопросов по проекту:
— Можно ознакомиться с расширенным списком источников? (думаю, другим читателям было бы интересно)
— Можно ознакомиться более подробно с технической стороной реализации проекта? (или, как вариант, увидеть статью на Хабре)
Спасибо. Интересная статья.
Приватные данные давно стали товаром, который покупается и продается. Однако, наверное, сейчас владелец приватных данных (источник) может попробовать выставлять их на продажу. Например, торговым сетям такое было бы интересно для более адресного подхода к клиентам/точной сегментации рынка.
Интересно, сколько бы людей согласились делиться данными о своих передвижениях по торговому комплексу или вкусовых пристрастиях на бирже за деньги, если бы такая была?
Сейчас, например, информацию о наших передвижениях сотовые операторы получают бесплатно, аналитика по клиентами, особенно с высоким уровнем дохода, была бы полезна/интересна компаниям, занимающихся наружной рекламой (количество контактов с рекламным продуктом можно увеличить).
Вот комментарий к статье Халатность УК РФ.
Этот состав преступления, является более общим по отношению к остальным составам преступления, связанным с нарушением правил. Как пример, нарушение правил ведения строительных работ.
С ст. 274.1 УК РФ аналогичная история (является специальным составом преступления по отношению к халатности), при этом данная статья предполагает более суровое наказание за наступление тяжких последствий.
Читал как-то эту статью. Есть еще хороший материал . В конце есть сводная инфографика, к сожалению, только в абсолютных цифрах.
Скажу так, в УК РФ нет ни одной статьи, которая запрещает что-либо делать, в статьях есть ответственность за определенные составы преступлений.
Относительно новых идей, экспериментов и ошибок.
Предлагаю такой пример.
В труднодоступном регионе из-за внутрибольничной инфекции нескольким новорожденным требуется немедленная помощь. В таких случаях обычно вызывают вертолет для транспортировки в областной центр и вопрос оперативно решается.
В результате некорректной настройки инженером сети (недостатка квалификации/как было установлено потом, желания поэкспериментировать с настройками) и отсутствия бэкапов настроек в удаленном труднодоступном регионе не было сотовой связи больше суток (это был единственный способ связи). Инженер живет в соседнем районе и знает о том, что сотовая связь является единственным способом связи. Вертолет в результате вызвать не смогли/машина отправленная за помощью не успела.
В результате несколько новорожденных погибли, при наличии связи у новорожденных вероятность выжить была бы выше.
Кого суд должен признать виновными в гибели новорожденных?
Конечно нет — это фантастика. Здесь больше вариантов.
Есть мнение, что при отсутствии угрозы наказания за преступления, количество людей, совершающих преступление увеличится.
Возьмем пример кражи. Есть люди которые не будут красть, т.к. считают это неприемлемым, есть которые будут красть всегда, а есть которые при возможности украсть и наличии наказания подумают, а нужно ли им это?
Таки и с этой историей. Кто-то спихнет обязанности на других, кто-то откажется их исполнять или сменит компанию не более спокойную, кто-то будет более вдумчиво подходить к тому, что делает.
Я надеюсь, что какой-то положительный эффект будет.
Сфера действия закона о кии:
«Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.»
В некоторых случаях техники/монтажники могут попасть под действие закона, админы в полной мере.
Если вы оператор связи и крупный федеральный или может региональный, но занимаете большую долю рынка в регионе, то скорее сами по себе являетесь обладателем критическое инфраструктуры.
Если вы единственный оператор связи для объекта КИИ, то тоже. (на основании проекта критериев значимости кии — как его утвердят, будет понятно точно).
Спасибо. Что вы имеете в виду под уязвимостью: Полный путь проникновения в систему банка или уязвимость в ПО разработчика?
Вопросы вы задали интересные и одним комментарием сложно ответить. Обдумаю их более подробно и наверное напишу отдельный пост на эту тему.
Почта РФ скорее да, чем нет. Отнесение остальных операторов будет зависеть от критериев оценки.
Есть такой проект документа: Проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования» regulation.gov.ru/projects#npa=73423
Хорошо, когда есть разные мнения на вопрос.
Можно написать массу кодексов этики, но если понимания этичности нет в человеке, то кодексы не помогут.
Если же человек по своей натуре понимает границы, то ему кодексы не нужны.
В иных случаях кодекс может стать подспорьем, чтобы не «наломать дров».
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
Этический кодекс или моральный кодекс — система правил или этических принципов, управляющих поведением членов определенного сообщества (социальной, профессиональной или этнической группы), выражающих понимание достойного поведения в соответствии с этическими принципами, моралью данного сообщества. Вики.
Тот же самый «Нюрнбергский кодекс» 1947 не осуждает, а лишь говорит о принципах проведения медицинских экспериментах над людьми,
Если поднимать вопрос о правовых кодексах, то Уголовный кодекс РФ носит диспозитивный характер, т.е. в нем нет ни одной статьи, которая является запретительной.
Любопытство часто бывает неэтичным, умение пройти по грани — в этом, видимо, и состоит зрелость исследования и исследователя.
1. Кодексы этики и являются некими защитными механизмами, построенными на моральных началах. И ведь ни кто не заставляет следовать им — это некая полярная звезда, на которою можно ориентироваться.
2. Почитаю. Однако, вопрос не в пентесте, а в пентесте как исследовании, которое должно обладать определенными параметрами, чтобы считаться обоснованным, объективным.
Описанный случай, это пример врачебной тайны, которая в определенных случаях может быть передана без согласия гражданина см. ст. 13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
3. Не полностью согласен. Этика исследования существует для того, чтобы исследования были действительно исследованиями и не были бесчеловечными. Пример: история появления «Нюрбергского кодекса» 1947.
Относительно ограничений — это больше правовые запреты, лакуны в законах, которые действительно могут использоваться для извлечения выгоды крупными корпорациями.
Или такая ситуация: если инженер создает ПО, в которое вложил средства семьи, и хочет обеспечить хорошее образование детям на деньги, полученные от продажи. Но, некий начинающие пентестер «влез» в хранилище с исходниками, при этом случайно, уничтожив большой «кусок» кода (год работы) и после этого опубликовал сообщение об успешном пентесте.
Можно ли описанное выше считать этичным поведением (до и после)? Нужно ли было так поступать? И как должен отнестись к этому инженер-разработчик?
Бывает же так, что на простое действие, ненаправленное на исследование — «вываливается» ценная информация. Наверное, это случайность.
А если при исследовании получается какой-то результат — это нормально. Вопрос в том насколько корректно и полно это исследование. Иначе, история будет напоминать заметку про столовую и хакера.
Донесение информации до ответственных лиц, публикация — это отдельный вопрос, который тоже требует изучения.
Поздравляю с успешным финишем.
Очень интересную и актуальную тему выбрали.
Есть пара вопросов по проекту:
— Можно ознакомиться с расширенным списком источников? (думаю, другим читателям было бы интересно)
— Можно ознакомиться более подробно с технической стороной реализации проекта? (или, как вариант, увидеть статью на Хабре)
Спасибо.
Приватные данные давно стали товаром, который покупается и продается. Однако, наверное, сейчас владелец приватных данных (источник) может попробовать выставлять их на продажу. Например, торговым сетям такое было бы интересно для более адресного подхода к клиентам/точной сегментации рынка.
Интересно, сколько бы людей согласились делиться данными о своих передвижениях по торговому комплексу или вкусовых пристрастиях на бирже за деньги, если бы такая была?
Сейчас, например, информацию о наших передвижениях сотовые операторы получают бесплатно, аналитика по клиентами, особенно с высоким уровнем дохода, была бы полезна/интересна компаниям, занимающихся наружной рекламой (количество контактов с рекламным продуктом можно увеличить).
Этот состав преступления, является более общим по отношению к остальным составам преступления, связанным с нарушением правил. Как пример, нарушение правил ведения строительных работ.
С ст. 274.1 УК РФ аналогичная история (является специальным составом преступления по отношению к халатности), при этом данная статья предполагает более суровое наказание за наступление тяжких последствий.
Скажу так, в УК РФ нет ни одной статьи, которая запрещает что-либо делать, в статьях есть ответственность за определенные составы преступлений.
Относительно новых идей, экспериментов и ошибок.
Предлагаю такой пример.
В труднодоступном регионе из-за внутрибольничной инфекции нескольким новорожденным требуется немедленная помощь. В таких случаях обычно вызывают вертолет для транспортировки в областной центр и вопрос оперативно решается.
В результате некорректной настройки инженером сети (недостатка квалификации/как было установлено потом, желания поэкспериментировать с настройками) и отсутствия бэкапов настроек в удаленном труднодоступном регионе не было сотовой связи больше суток (это был единственный способ связи). Инженер живет в соседнем районе и знает о том, что сотовая связь является единственным способом связи. Вертолет в результате вызвать не смогли/машина отправленная за помощью не успела.
В результате несколько новорожденных погибли, при наличии связи у новорожденных вероятность выжить была бы выше.
Кого суд должен признать виновными в гибели новорожденных?
Есть мнение, что при отсутствии угрозы наказания за преступления, количество людей, совершающих преступление увеличится.
Возьмем пример кражи. Есть люди которые не будут красть, т.к. считают это неприемлемым, есть которые будут красть всегда, а есть которые при возможности украсть и наличии наказания подумают, а нужно ли им это?
Таки и с этой историей. Кто-то спихнет обязанности на других, кто-то откажется их исполнять или сменит компанию не более спокойную, кто-то будет более вдумчиво подходить к тому, что делает.
Я надеюсь, что какой-то положительный эффект будет.
«Настоящий Федеральный закон регулирует отношения в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации (далее также — критическая информационная инфраструктура) в целях ее устойчивого функционирования при проведении в отношении ее компьютерных атак.»
В некоторых случаях техники/монтажники могут попасть под действие закона, админы в полной мере.
Если вы оператор связи и крупный федеральный или может региональный, но занимаете большую долю рынка в регионе, то скорее сами по себе являетесь обладателем критическое инфраструктуры.
Если вы единственный оператор связи для объекта КИИ, то тоже. (на основании проекта критериев значимости кии — как его утвердят, будет понятно точно).
Вопросы вы задали интересные и одним комментарием сложно ответить. Обдумаю их более подробно и наверное напишу отдельный пост на эту тему.
Есть такой проект документа: Проект постановления Правительства Российской Федерации «Об утверждении показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений, а также порядка и сроков осуществления их категорирования»
regulation.gov.ru/projects#npa=73423
Большая часть этих компаний точно попадает в список www.forbes.ru/rating/350675-200-krupneyshih-rossiyskih-kompaniy-2017