Компания Meta приостановила реализацию вызвавшей споры программы отслеживания сотрудников после того, как в ходе внутренней проверки безопасности выяснилось, что доступ к очень подробным данным о нажатиях клавиш и снимках экрана с ноутбуков сотрудников внутри компании был гораздо более широким, чем предполагалось.
Эта программа была частью инициативы Meta «Model Capability Initiative» (MCI), в рамках которой с рабочих ноутбуков сотрудников собирались данные о движениях мыши, местах нажатий, нажатиях клавиш и содержимом экрана для обучения внутренних систем искусственного интеллекта.
Кроме того, эта программа таила в себе очевидный риск. Одно дело — собирать крайне конфиденциальные данные о деятельности сотрудников, а совсем другое — обеспечить их надлежащую защиту.
Согласно отчетам, основанным на внутренних документах и показаниях сотрудников, данные не просто собирались. Они оставались доступными в тысячах внутренних таблиц данных, включая запросы искусственного интеллекта, стенограммы, личные переписки и информацию, касающуюся эффективности работы.
После того как об этом стало известно, компания Meta сначала сократила масштабы инициативы, а затем приостановила её реализацию на фоне продолжающейся внутренней критики и сомнений по поводу того, были ли меры по защите конфиденциальности чем-то большим, чем просто заверения в служебной записке.
С точки зрения Meta, инициатива «Model Capability Initiative» была направлена на повышение эффективности. Цель заключалась в том, чтобы предоставить моделям ИИ «реальные примеры того, как люди на самом деле используют компьютеры», путем пассивного сбора данных о том, как сотрудники работают с повседневными инструментами, такими как Gmail, GChat, Metamate и VS Code. Модели смогут обучаться на реальных рабочих процессах, а не на синтетических тестовых наборах.
Сотрудникам пообещали, что сбор данных будет ограничен служебными приложениями и не будет касаться личных телефонов сотрудников. Но можно себе представить, как это было воспринято:
- На ноутбуки американских сотрудников было установлено программное обеспечение для отслеживания нажатий клавиш и движений мыши, причем на корпоративных устройствах не было возможности отказаться от его использования, что подтвердил технический директор Meta в ходе внутреннего обсуждения.
- Программа фиксировала ввод данных и сопутствующее содержимое экрана, создавая набор данных о поведении пользователя: что вы набираете, куда нажимаете и что отображается на экране в этот момент.
Эта программа вызвала значительную внутреннюю критику. Внутренний пост одного из инженеров, в котором он протестовал против «слежки за ноутбуками» и мониторинга экранов, стал вирусным внутри компании Meta, что привело к появлению петиции с требованием полностью закрыть эту программу.
С точки зрения соблюдения нормативных требований программы мониторинга сотрудников такого масштаба могут повлечь за собой сложные правовые и нормативные вопросы, особенно в тех юрисдикциях, где предъявляются требования к прозрачности в отношении наблюдения на рабочем месте и сбора данных.
Последствия для репутации, пожалуй, еще более серьезны. Когда компания постоянно находится под пристальным вниманием из-за отслеживания пользователей, подрыв доверия со стороны сотрудников служит ярким свидетельством её отношения к данным в целом.
И всё это при том, что данные о нажатиях клавиш и снимках экрана по своей природе представляют высокий риск. Данные такого рода содержат большое количество информации, отражают поведение пользователей и зачастую содержат конфиденциальную информацию. Их сбор в больших объёмах создаёт дополнительную нагрузку на систему безопасности. Каждая новая точка данных влечёт за собой обязательства в отношении контроля доступа, минимизации объёма данных, хранения и аудита, которыми организация должна активно заниматься на протяжении всего срока существования этих данных.
- Меры контроля доступа должны быть точными и регулярно проверяться, поскольку даже простая ошибка в настройках может привести к серьезным последствиям.
- Минимизация объема данных и установление сроков их хранения имеют решающее значение, поскольку длительное хранение данных многократно усугубляет последствия возможной утечки данных.
- Любая будущая утечка данных — как внутренняя, так и внешняя — может привести к раскрытию не только электронных писем, но и точных последовательностей ввода текста сотрудниками, включая процедуры аутентификации и черновики документов. Попав в чужие руки, такая информация может подвергнуть компанию риску компрометации.
Этот случай служит напоминанием о том, что каждый новый набор данных влечет за собой новые обязательства. Чем подробнее и конфиденциальнее информация, тем серьезнее последствия в случае сбоя в системе контроля доступа.
Мошенникам не нужно взламывать ваш компьютер. Им достаточно, чтобы вы один раз нажали кнопку.
Malwarebytes Identity Theft выявляет подозрительную активность, прежде чем она станет проблемой.
