Firma Meta wstrzymała kontrowersyjny program monitorowania pracowników po tym, jak wewnętrzny przegląd bezpieczeństwa wykazał, że bardzo szczegółowe dane dotyczące naciśnięć klawiszy i zrzutów ekranu z laptopów pracowników były dostępne w firmie w znacznie szerszym zakresie niż zamierzano.
Program ten stanowił część inicjatywy Meta o nazwie Model Capability Initiative (MCI), w ramach której gromadzono dane dotyczące ruchów myszy, miejsc kliknięć, naciśnięć klawiszy oraz zawartości ekranu z laptopów służbowych pracowników w celu szkolenia wewnętrznych systemów sztucznej inteligencji.
Program wiązał się również z oczywistym ryzykiem. Gromadzenie bardzo wrażliwych danych dotyczących aktywności pracowników to jedno. Zapewnienie ich odpowiedniego bezpieczeństwa to zupełnie inna sprawa.
Zgodnie z doniesieniami opartymi na dokumentach wewnętrznych i relacjach pracowników dane te nie zostały jedynie zebrane. Pozostawały one dostępne w tysiącach wewnętrznych tabel danych, w tym w poleceniach dla sztucznej inteligencji, transkrypcjach, prywatnych rozmowach oraz informacjach dotyczących wyników pracy.
Po ujawnieniu tej sprawy firma Meta ograniczyła zakres inicjatywy, a następnie ją wstrzymała w obliczu utrzymujących się wewnętrznych sprzeciwów i pytań o to, czy środki ochrony prywatności były kiedykolwiek czymś więcej niż tylko zapewnieniem zawartym w notatce służbowej.
Z punktu widzenia firmy Meta inicjatywa „Model Capability Initiative” miała na celu zwiększenie wydajności. Celem było dostarczenie modelom sztucznej inteligencji „rzeczywistych przykładów tego, jak ludzie faktycznie korzystają z komputerów” poprzez pasywne rejestrowanie sposobu, w jaki pracownicy korzystają z codziennych narzędzi, takich jak Gmail, GChat, Metamate i VS Code. Modele miałyby możliwość uczenia się na podstawie rzeczywistych procesów roboczych zamiast syntetycznych testów porównawczych.
Pracownikom obiecano, że gromadzenie danych będzie ograniczone do aplikacji służbowych i nie będzie dotyczyło ich telefonów. Można sobie jednak wyobrazić, jak to zostało odebrane:
- Oprogramowanie do rejestrowania naciśnięć klawiszy i śledzenia ruchów myszy zostało zainstalowane na laptopach pracowników w Stanach Zjednoczonych, bez możliwości rezygnacji z tej funkcji na urządzeniach służbowych, co potwierdził wewnętrznie dyrektor ds. technologii firmy Meta.
- Oprogramowanie rejestrowało wprowadzane dane oraz powiązaną zawartość ekranu, tworząc zbiór danych dotyczących zachowań: co użytkownik wpisuje, gdzie klika i co widnieje na ekranie w trakcie tych czynności.
Program wywołał znaczną falę krytyki wewnątrz firmy. Wewnętrzny post inżyniera, w którym protestował przeciwko „inwigilacji laptopów” i monitorowaniu ekranów, stał się hitem w sieci w Meta, co doprowadziło do powstania petycji domagającej się całkowitego zniesienia programu.
Z punktu widzenia zgodności z przepisami programy monitorowania pracowników o takim zakresie mogą rodzić trudne kwestie prawne i regulacyjne, zwłaszcza w jurysdykcjach, które wymagają przejrzystości w zakresie nadzoru w miejscu pracy i gromadzenia danych.
Wpływ na reputację jest prawdopodobnie jeszcze poważniejszy. Gdy firma nieustannie znajduje się pod lupą z powodu śledzenia użytkowników, naruszenie zaufania pracowników stanowi wyraźny sygnał świadczący o jej ogólnym podejściu do danych.
A wszystko to przy świadomości, że dane dotyczące naciśnięć klawiszy i zrzutów ekranu z natury rzeczy wiążą się z wysokim ryzykiem. Dane tego typu są bogate w treść, dotyczą zachowań i często zawierają poufne informacje. Gromadzenie ich na dużą skalę stanowi obciążenie dla bezpieczeństwa. Każdy nowy punkt danych wiąże się z obowiązkami w zakresie kontroli dostępu, minimalizacji, przechowywania i audytu, którymi organizacja musi aktywnie zarządzać tak długo, jak długo dane te istnieją.
- Kontrola dostępu musi być precyzyjna i regularnie poddawana audytom, ponieważ nawet niewielka błędna konfiguracja może mieć poważne konsekwencje.
- Ograniczenie ilości danych i terminy ich przechowywania mają zasadnicze znaczenie, ponieważ długotrwałe przechowywanie danych zwielokrotnia skutki ewentualnego naruszenia bezpieczeństwa.
- Każdy przyszły wyciek danych — wewnętrzny lub zewnętrzny — mógłby ujawnić nie tylko wiadomości e-mail, ale także dokładne sekwencje znaków wpisywane przez pracowników, w tym procesy uwierzytelniania i treści szkiców. W nieodpowiednich rękach tego rodzaju informacje mogłyby narazić firmę na zagrożenie.
Ten odcinek przypomina nam, że każdy nowy zbiór danych wiąże się z nowymi obowiązkami. Im bardziej szczegółowe i wrażliwe są informacje, tym poważniejsze są konsekwencje w przypadku zawiedzenia mechanizmów kontroli dostępu.
Oszuści nie muszą włamują się do twojego komputera. Wystarczy, że raz klikniesz.
Malwarebytes Identity Theft wykrywa podejrzaną aktywność, zanim stanie się ona problemem.
