#language cs ## 20240423 AK ---- '''česky''' | [[NewBackgroundCheck/DE|deutsch]]| [[NewBackgroundCheck|english]] | [[NewBackgroundCheck/FR|français]] ---- = Nová kontrola pozadí = . (nový Background Check) . ''(Jde o bezpečnostní prověrku a "pozadí" zde znamená "původ", "minulost" nebo "zázemí" osoby.)'' <> == Přehled == Tato stránka je rozpracovaným dokumentem (WIP, Work-In-Progress), který chce zavést nový postup pro kontroly pozadí založený na [[ArbitratedBackgroundChecks | myšlenkách, jež uvedl PhillipDunkel]]. Bezpečnostní postupy vyžadují, aby lidé jednající v některých kritických pozicích „prošli“ kontrolou spolehlivosti. Současný proces (před rokem 2020), jak toho dosáhnout, se nazývá „Arbitrated Background Check“ (ABC). Tento proces je považován za nedostatečný (chatrný, porušený) [[Arbitrations/a20140124.1|a20140124.1]]. Jelikož nedošlo k žádnému pokroku v opravě stávajícího procesu po dobu více než 5 let, snažíme se nyní najít zcela nový proces. == Cíl bezpečnostní prověrky Kontrola pozadí (Background Check) == Cílem starého procesu ABC, jak je popsán ve výše zmíněném případu Arbitration, byl „prvotní důkaz integrity člověka, pokud jde o jeho ovládání (či vzájemné vztahy s) bezpečnostními agenturami nebo jinými organizacemi s cíli, které jsou v rozporu s principy CAcert. Řečeno (trochu polemicky) jednoduchými slovy, starý proces ABC by měl „prokázat, že kandidát je dobrý člověk“. Nyní chápeme, že i když je tento cíl naprosto platný, je velmi ambiciózní a pravděpodobně jej nelze dosáhnout prostředky dostupnými pro CAcert. Bylo tedy stanoveno, že cílem nového postupu je více „informovat osobu o rizicích, která vyplývají z jednání v kritické pozici v CAcert, a o způsobech, jak zmírnit některá z těchto rizik“. Z toho plyne, že tento druh kontroly pozadí nelze vyhodnotit obvyklým způsobem („prošel“ nebo „selhal/neprošel“). V ideálním případě se samotní žadatelé sami rozhodnou, zda chtějí rizika přijmout nebo ne. Ale samozřejmě, pokud by se během rozhovoru mělo odhalit něco velmi vážného, měly by tazatelé odmítnout dokončit zprávu, nebo vložit výrazné (ale velmi obecné) varování. ---- Jako dědictví starého ABC byl zařazen seznam otázek týkajících se vztahů k „problematickým“ organizacím. Záměrem je víceméně odradit lidi, kteří nechtějí takové věci zveřejňovat. Alespoň se „komerční konkurenti“ mohou opravdu trochu obávat, že pokud jejich „agent“ udělá něco špatného, budou se muset dostavit před arbitráž, což by mohlo vyústit ve velmi špatnou publicitu. Abychom to znovu zdůraznili, cílem kontroly pozadí není „odtrhnout masku od tváří agentů tajné služby“, nebo dokonce usvědčit lidi zvyklé a ochotné během rozhovoru bezostyšně lhát. Máme jen velmi málo zdrojů k ověření prohlášení daných kandidáty. Musíme tedy předpokládat, že kandidáti jsou víceméně dobří a v přiměřené míře poctiví ve svých odpovědích. Jsou-li čestní a prozradí svůj potenciální střet zájmů, jsou zdokumentováni ve zprávě. Poté musí představenstvo CAcert Inc. rozhodnout, zda jsou uvedené skutečnosti tolerovatelné pro konkrétní práci, kterou mají pro kandidáta na mysli. === Co není cílem === V současné době se filtrování „špatných lidí“ musí více spoléhat na sociální protokol. Vzhledem k tomu, že kandidáti už museli nějakou dobu pracovat pro CAcert, měli jejich spolupracovníci větší šanci zjistit temnější místa v charakteru kandidáta. A pokud se rozhodnou, že chtějí, aby někdo vykonával kritickou práci, musí to vzít v úvahu. Není také cílem kontroly pozadí posoudit „vhodnost uchazeče pro konkrétní práci“. To je téměř nemožné během jedné hodiny typického rozhovoru. Spolupracovníci uchazeče mají opět mnohem více času a příležitostí hodnotit jeho dovednosti. = Návrh na scénář interview = Rozhodl jsem se, že toto napíšu jako podklady pro kandidáta. Snad má smysl nasměrovat kandidáty na tuto stránku, aby věděli, co je čeká. To jim ponechává možnost zavčas stáhnoutt svou žádost o kritické úlohy (nebo častěji zvážit jejich přijetí). Všimněte si, že jsem se trochu vzdálil svému původnímu návrhu „bez rozhodnutí“, když jsem se pokoušel integrovat některé z myšlenek „staré“ kontroly pozadí ... == Příprava interview == * Měla by být naplánována schůzka mezi Vámi (žadatelem) a dvěma pracovníky, kteří vedou pohovor. * Jedna z osob, které vedou pohovor, by Vám jako žadateli měla zaslat odkaz na tuto stránku. * Měl byste si vzít čas na přípravu na oficiální otázky (části 1 až 3). == Část 0: Zahřívací kolo == Tato část je víceméně tak trochu pokec, abychom se navzájem poznali. Může to být docela krátké, pokud se vy i tazatelé již navzájem velmi dobře znáte, jinak očekávejte nějaké zvědavé otázky týkající se vašeho vztahu k CAcertu, lidem a oblastem, pro které jste již na CAcertu pracovali. Stejně jako o životě, vesmíru a o všem. Vyzýváme Vás také, abyste se zeptali na postup, záměr a implementaci kontroly spolehlivosti. Informace zveřejněné během této rozcvičky obvykle nebudou součástí zprávy jako takové, ale mohou být získány během části 3 rozhovoru. Pokud souhlasíte, tazatelé mohou do zprávy zahrnout některá fakta z vašeho životopisu a vašeho vztahu k CAcert. To může být obzvláště užitečné, pokud nejste (zatím) mezi aktivními členy komunity dobře známí, a můžete si ušetřit práci s písemným představením sebe sama. == Část 1: Potvrzení, že víte, co se od Vás očekává == V této části vám vysvětlíme věci, které už pravděpodobně znáte. Ale po podepsání zprávy už neexistuje žádná výmluva „proč jsi mi to neřekl dříve“. Ujistěte se tedy, že se ptáte na věci, které nejsou zcela jasné. Tazatelé položí několik otázek ke každému tématu a pokusí se získat představu o tom, zda rozumíte důsledkům každého tématu. * Jaké jsou základní principy CAcert? Můžete některé z nich jmenovat? * Při práci pro CAcert nebo při spoléhání se na certifikáty CAcert musíte přijmout Dohodu komunity CAcert (CCA). Můžete jmenovat některé důležité body obsažené v CCA? * Znáte své povinnosti, které jsou uvedeny v CCA? * Víte, k čemu je arbitráž CAcert dobrá? Proč je arbitráž důležitá pro komunitu CAcert? * Víte něco o CAcert Inc.? Jaký je vztah mezi CAcert Inc. a komunitou CAcert? * Znáte význam „Prohlášení spolehlivosti zaručovatele CAcert“, často zkráceně CARS? == Část 2: Co chce CAcert vědět o Vás == Toto je několik formálních otázek, na které CAcert chce, abyste odpověděli. Odpovědi, které dáte, budou součástí zprávy a budou proto archivovány společností CAcert Inc. Pokud by bylo zjištěno, že jste na tyto otázky odpověděli falešně, mohlo by Vás to dostat do problémů. O důsledcích bude patrně muset rozhodnout arbitráž. Zde uvedené „nesprávné“ odpovědi určitě nepovedou automaticky k Vašemu vyloučení z práce. Pravděpodobně ale musí proběhnout nějaká diskuse o podrobnostech a mohlo by být užitečné zahrnout tyto podrobnosti do písemné zprávy. * Pracovali jste v současné době nebo v minulosti pro národní bezpečnostní agenturu nebo tajnou službu? Máte k těmto službám jiné blízké vztahy? * Pracovali jste pro nebo máte jiné blízké vztahy s orgány vynucujícími zákon nebo podobnými? * Pracovali jste pro nebo máte jiné blízké vztahy se soukromými vyšetřovacími společnostmi? * Pracovali jste pro nebo máte jiné blízké vztahy se společnostmi nabízejícími komerční služby CA? * Víte o jiných konfliktech s CAcertem? == Část 3: Složitá část... == Smyslem této části je zjistit problémy (rádi bychom jim říkali „temná místa“ nebo "obtížné situace") Vaší současné a budoucí situace, které by Vás nebo CAcert mohly dostat do potíží, pracujete-li v kritickém zaměstnání. Například věci, které mohou být použity jako prostředky k vydírání, abyste mohli dělat věci škodlivé pro CAcert. Protože některé z takových temných skvrn má pravděpodobně každý, je smyslem této části také diskutovat o způsobech, jak zmírnit dopad těchto problémů. Pro tuto část neexistuje žádný pevný skript. Tazatelé představí několik příkladů obtížných situací. Nedejte se urazit, toto jsou příklady, nikoli narážky! Vezměte v úvahu, že v budoucnu se s takovou situací můžete setkat. Tato diskuse vám může pomoci předvídat takovou situaci, než nastane, což pak může zvýšit vaše šance se jí vyhnout. Zřejmým řešením, když se v reálném životě setkáte s tak obtížnou situací, bude rezignace na kritickou práci. V závislosti na situaci však často existují i jiné způsoby, jak dopad snížit. Spolu s tazateli byste se měli pokusit nastínit možné alternativy pro některé situace. Zpráva bude muset obsahovat určité prohlášení o této části. Doufejme, že to bude nějaká standardní fráze, že nebyly identifikovány žádné problémy. Pokud tomu tak není, tazatelé s vámi projednají, co by mělo být součástí zprávy. == Zpráva (hlášení) == Výsledkem pohovoru bude zpráva o výsledcích pohovoru, kterou sepíší tazatelé. Zahrnutí některých informací ve stylu [[https://en.wikipedia.org/wiki/Curriculum_vitae|CV|target="_blank"]] z části 0 rozhovoru je zcela volitelné. Zpráva bude obsahovat hrubý přehled témat diskutovaných v části 1 a odpovědi na otázky v části 2. Zpráva obsahovat prohlášení o diskusi v části 3. V závislosti na Vašem svolení může být uveden přehled témat. Chcete-li, mohou být připojeny i některé podrobnosti. Tazatel může v souhrnu předložit návrhy, například diskutovat o nějakém potenciálně kontroverzním problému na schůzce mezi Vámi a radou CAcert Inc. --(Tato zpráva bude zaslána správní radě CAcert Inc. a bude zvážena při rozhodování, zda budete jmenováni pro kritickou práci nebo ne. CAcert ji bude archivovat po dobu Vašeho setrvání v kritické roli. Standardně pět let poté, co jste resignovali na poslední kritickou úlohu, bude zpráva odstraněna / zničena, pokud výslovně nepožádáte o její uchování (protože například plánujete požádat o další kritickou roli po ukončení prvé). Na Vaši žádost bude zpráva skartována i dříve, avšak nejdříve jeden rok po Vaší resignaci.)-- Zpráva bude digitálně podepsána alespoň jedním z tazatelů a zaslána pouze vám. Na vás je pak konečné rozhodnutí, zda chcete zprávu předat radě CAcert, či nikoli. Pokud zprávu nepředáte, bude to samozřejmě pravděpodobně interpretováno jako stažení vaší žádosti o kritické pracovní místo. Zpráva bude odeslána pouze v případě, že Vy i tazatelé potvrdíte, že je zpráva správná a může být odeslána. Obě strany mají vždy možnost proces zastavit; pak nebude odeslána žádná zpráva, ani nebudou zveřejněny informace získané během pohovoru. Je zřejmé, že jde vlastně o stažení Vaší žádosti o kritickou práci. Neexistují žádné další důsledky týkající se Vašeho členství v komunitě nebo Vašeho zapojení do jiných (nekritických) úloh u CAcert. == A co dál? == Nyní je míč na straně výboru. Ten rozhodne, na co dalšího se vás chtějí zeptat, jaké další informace je třeba poskytnout (například obsáhlejší kontaktní informace pro seznam klíčových osob, v závislosti na práci určenou pro Vás) a zda máte potřebné zkušenosti a kompetence pro tu práci. Ale to už je úplně jiný příběh. :-) = Historická část = Tato sekce je určena pro ty, kteří chtějí pochopit tok diskuse, která vede k výše uvedenému výsledku. == Cíl bezpečnostní prověrky Kontrola pozadí (Background Check - počáteční úvahy) == Abychom to ještě jednou zdůraznili, cílem kontroly pozadí není „strhnout masku s tváří agentů tajné služby“, nebo dokonce usvědčit lidi zvyklé a ochotné během rozhovoru očividně lhát. Máme jen velmi málo zdrojů k ověření prohlášení kandidátů. Musíme tedy předpokládat, že kandidáti jsou víceméně dobří a v přiměřené míře poctiví ve svých odpovědích. V současné době se filtrování „špatných lidí“ více spoléhá na sociální protokol. Vzhledem k tomu, že kandidáti už museli nějakou dobu pracovat pro CAcert, měli již jejich spolupracovníci větší šanci zjistit temnější místa v charakteru kandidáta. A pokud se rozhodnou, že chtějí, aby někdo vykonával kritickou práci, musí to (oni) vzít v úvahu. Ještě není rozhodnuto, zda by nový postup měl zahrnovat i standardnější test některých základních znalostí. To však určitě nebude hlavním cílem, „technickou způsobilost“ pro konkrétní práci je třeba hodnotit jinými procesy! === Další pohledy na toto téma === Ian (jeden z iniciátorů „staré“ arbitrované kontroly pozadí, ABC) podal vysvětlení motivů původního postupu. Stručně řečeno (doufám, že jsem to pochopil správně), myšlenkou bylo zahrnout arbitra do týmu tazatelů, aby bylo možno považovat falešné odpovědi na otázky z pohovoru za rovnocenné „lži před soudem“. Pokud tedy někdo během ABC výslovně lhal a udělal něco zlého, mohl by být "pohnán" před arbitráží a být jednou provždy „veřejně upálen“. To by ani tak neodhalilo, ale odradilo tajné služby a komerční konkurenty, které/kteří se obvykle obávají „veřejného upálení“ nejvíce. == Nápady na formální záležitosti == * Obsah rozhovoru je přirozeně považován za přísně důvěrný! To může v extrémních případech najít určitá právnická omezení, se kterými se snad nikdy nesetkáme. A pokud se rozhodneme jít touto cestou, tazatelé možná budou muset formálně posoudit kandidáty, což nesmí zacházet do žádných podrobností. Pokud uchazeči chtějí zveřejnit podrobnosti, musí to udělat sami. * Uchazečům by mělo být umožněno odmítnout tazatele. Možná může navrhovatelka dokonce navrhnout vlastního tazatele, ale CAcert<> je musí schválit. * Uchazeči se mohou vždy rozhodnout stáhnout svou žádost o (nebo přijetí na) pracovní pozici s výsledkem okamžitého zastavení kontroly spolehlivosti, aniž by bylo provedeno jakékoli hodnocení. * Bylo by dobré představit kandidátům seznam referenčních situací a zeptat se, zda se již s podobnou situací setkali. Odpoví jen ano nebo ne a nemusí zpočátku zacházet do dalších podrobností. Poté se tazatelé musí rozhodnout, co mohou kandidátovi poradit ohledně podrobností, které je kandidát ochoten poskytnout. == Kontrolní seznam pro rozhovor == Při jednání v kritické pozici za CAcert se kandidát stane veřejně viditelnějším. Zvažte tyto scénáře: * Novinář provádí výzkum CAcertu, objevuje „nějakou temnou skvrnu“ v minulosti kandidáta a uvádí tato zjištění v některých odporných bulvárních titulcích. * Někdo, kdo zná kandidáta z minulosti a má nějakou starou zášť, se dozví o nové pozici kandidáta a hledá pomstu, i když ta zcela nesouvisí s CAcertem. * Komerční konkurent společnosti CAcert se snaží využít některé znalosti o minulosti kandidáta k ukončení činnosti CAcert. Možná vydíráním kandidáta, aby udělal něco škodlivého pro CAcert, nebo prostým zahájením házení bláta na CAcert. Mezi příklady možných „temných míst“ patří: * účast na nějakém (možná méně závažném) zločinu * být ve „finančně obtížné situaci“, například: * čerpání neobvykle vysoké částky půjček * závislost na hazardu, drogách nebo podobných věcech Věci, které lze snadno zmírnit publikováním a otevřeností: * práce pro „komerčního konkurenta“ CAcert v současnosti nebo v minulosti * práce pro zpravodajskou službu nebo pro společnost aktivní v této oblasti Zjevně složité problémy, které by vyžadovaly jít do detailů: * uchazeč byl obviněn v trestním řízení týkajícím se podvodu nebo věcí shrnutých jako „black hat hacking“ (pozn. překl.: počítačová kriminalita zaměřená k obohacení hackera) Jedním ze snadných způsobů, jak zmírnit některá rizika, je odhalit je. Pokud kandidát předem prohlásí, že v minulosti pracoval pro nějakou nepřátelskou vládní agenturu, je úkolem CAcertu rozhodnout, zda to představuje problém nebo ne. === 1:1 nebo 2:1 ? === Stále existuje diskuse o tom, zda by měl být jeden tazatel nebo dva tazatelé, ale existuje obecná shoda, že by to nemělo být více než dva. Velkou výhodou individuálního pohovoru je, že je to pravděpodobně nejpohodlnější varianta pro kandidáty, protože se musí podělit o svá tajemství pouze s jednou jinou osobou. Velkou nevýhodou je, že pro jednoho tazatele je velmi obtížné spravedlivě rozhodnout o „důvěryhodnosti“ kandidáta, zejména proto, že celý scénář má smysl pouze tehdy, pokud musí být obsah pohovoru naprosto důvěrný. Dva tazatelé mohou alespoň diskutovat o obsahu rozhovoru mezi sebou a dospět k závěru se značně sníženou šancí rozhodnout svévolně. == Bity a kousky == * [[https://wiki.cacert.org/SecurityManual#Background_Check_Procedures|Security Manual]] současné precizuje požadavky na kontrolu pozadí a je velmi specificky zaměřen na staré ABC. * V současnosti vyžadují kontrolu pozadí tyto role: * Support (Podpora), ne však Triage (třídění - 1. stupeň podpory) * Software Assessment (ne však kódování a testování) * Critical (ne však infrastruktura) * Access Admin (přístup Správce do datacentra, poskytnutý secure-u e.V) * Pohovor by měl obsahovat některé formální pokyny, např. že při práci pro CAcert podléhají kandidáti dohodě s CAcert Community, a proto musí přijmout a reagovat na arbitráž CAcertu. Ve své zprávě pro vedení by tazatelé měli výslovně poukázat na skutečnost, že tento pokyn byl vydán a že kandidáti arbitráž akceptovali. * Zpráva poskytovaná tazateli by mohla také obsahovat několik velmi specifických prohlášení (a odpovědí kandidátů), jako: * "Kandidát má určité spojení s jednou nebo více z tohoto seznamu organizací: CIA, NSA, MI5, MAD, BND, Verfassungsschutz,..." (nebo jen "National Security Agencies" / "Národní bezpečnostní agentury"?) * „Kandidát má nějaký druh spojení s jakoukoli komerční CA“ * Pokud je odpověď na jednu z těchto otázek ano, pak rada CAcert pravděpodobně požádá o zveřejnění podrobností, jinak žádost odmítne. * Zpráva by měla být podepsána kandidátem, což by pravděpodobně splnilo podobné cíle jako [[#Other views on the topic|stará ABC]] == Odmítnuté nápady == Následující náměty byly diskutovány a byly za současného stavu diskuse odmítnuty. Toto rozhodnutí samozřejmě není vytesáno do kamene... === Vyžadovat trestní rejstřík kandidátů === Proti: * V některých (např. německých) právních předpisech nemusí být povoleno * Je velmi těžké posoudit relevanci zahraničního rejstříku trestů * Za vystavení výpisu z rejstříku trestů se obvykle účtuje poplatek * Pokud jsou kandidáti ochotni, sdělí relevantní otázky během pohovoru dobrovolně. Pokud něco opravdu chtějí udržet v tajnosti, je velmi snadné dokument zfalšovat. Pro: * Je to jednoduchý postup (alespoň z pohledu tazatele): můžete zaškrtnout jeden bod v kontrolním seznamu a už na něj nemusíte myslet. === Žádost o souhlas s kontaktováním „doporučujících“, abychom ověřili doporučení === * Lidé, kteří dávají doporučení, jsou často velmi opatrní, aby neřekli věci, které je mohou dostat do situace, kdy budou žalováni. Negativní nebo problematická fakta tedy nejsou častěji zveřejňována. * Je velmi těžké posoudit důvěryhodnost doporučujících ... alespoň pokud jde o doporučující osoby mimo komunitu CAcert. Samozřejmě by měla existovat dobrá doporučení zevnitř komunity CAcert, protože kandidáti už měli nějakou dobu přispívat CAcertu (základní pravidlo: 1 rok?), než se stanou způsobilými obsadit kritickou pozici. = Pod čarou = <> ---- [[CategoryArbitration]]