問題があるとは思わない大規模な組織に脆弱性を報告するにはどうすればよいですか?
この問題は技術的というより政治的です。
組織には、Webブラウザーを介して中央データベースに接続する多数のコンピューターがあります。顧客は、一度に15分間以上、端末への物理的なアクセスを常に無人にしています。ハードウェアキーロガーに対して脆弱であると報告しました。正式なITの対応は、「その可能性を認識しており、解決策があります。パスワードを取得しても、攻撃者は何の役にも立ちません。」しかし、上層部は彼にこれ以上何も言わせません-あいまいさによるセキュリティ。
ポイントは、私は彼らがはったりしていると思う。私は彼らの解決策が何であるかはわかりませんが、あなたが物理的にアクセスできるとき、何百もの攻撃ベクトルが開かれています。リスク(攻撃の可能性)が低く、物理的なセキュリティを改善するコストに勝るので、本当に心配していませんか?どうすれば彼らに聞いてもらえますか?努力する価値さえあるのでしょうか?
あなたは会社の顧客なので、さらにいくつかのオプションを提供するかもしれません。考慮に値するいくつかのこと:
- 会社のCEOに手紙を書いてください。手紙のコピーを作成し、話をした人とそのマネージャーに送信します。
- ストーリーに興味を持つ人を見つけることができると思われる場合は、報道機関に通知してください。
- Better Business Bureau(米国にいる場合)に苦情を提出し、CEOに送信する
- 別の場所にあなたのビジネスを取り、なぜあなたがそれをしているのかを彼らに教えてください。
正直なところ、これらが機能する可能性は非常に低いと思いますが、今は彼らがあなたを輝かせているように思えるので、選択肢は限られています。
あなたDID報告してください。彼らに耳を傾けるのはあなたの責任ではありません。結局、問題を解決するための彼らの会社、彼らのリスク、彼らの費用です。
あなたは適切な努力をしました-あなたはそれ以上の努力を適用するための力を持ちません。