Patronlarınızın Sizinle İlgili Bir Dosyası Olabilir ve Onu Yanlış Yorumlayabilirler

Bir “içeriden tehdit misiniz?”

Çalıştığınız şirket bilmek isteyebilir. Bazı kurumsal işverenler, çalışanların bilgi sızdırabileceğinden, gizli dosyalara erişime izin verebileceğinden, müşterilerle uygunsuz bir şekilde iletişim kurabileceğinden veya aşırı derecede ofise silah getirebileceğinden korkuyor.

Bu korkuları gidermek için bazı şirketler, çalışanları zaman zaman psikoloji gibi davranış bilimi araçlarını kullanarak yarı otomatik, neredeyse sürekli algılanan güvenilirlik değerlendirmelerine tabi tutar. Artık birçok işveren, Büyük İstifa olarak adlandırılan durum karşısında işçileri elde tutmaktan endişe duyuyor. Ancak, teknolojinin ve gözetimin hayatlarının başka bir alanını işgal ettiği duygusuyla işçilerin makul bir şekilde ertelenebileceği endişelerine rağmen, işverenler hangi saat delicilerinin kuruluşlarına zarar verebileceğini bilmek istiyor.

Bu tür işçi izlemenin etrafındaki dil, genellikle, kamu kurumlarının istihbarat toplama veya ulusal güvenlikle ilgili hassas bilgileri işlemek için güvenlik izni alan işçileri değerlendirdiği hükümet içinde kullanılan dili yansıtır. Federaller için izleme yazılımı ve davranış analizi üreten kuruluşlar da kavramsal olarak benzer araçları özel şirketlere bağımsız olarak veya daha geniş siber güvenlik araçlarıyla paketlenmiş olarak sunabilir.

İçeriden öğrenenlerin satışını yapan Clearforce’un CEO’su Tom Miller, “Genel olarak içeriden öğrenenlerin riskini düşündüğünüzde, muhtemelen hükümetten çıkıyor ve ardından özel sektöre ve ticari sektöre giriyor” dedi. özel müşterilere yönelik tehdit hizmetleri.

Bazı özel şirketler, bir istihbarat teşkilatının analistleri ve casusları takip edebilmesi gibi, çalışanları aynı verilere erişime sahip olmasa da, incelemeye ilgi duyabilir. kaynaklar. Bu hizmetleri sağlayan bazı şirketlerin sözcüleri, müşterilerinin ismini vermek istemediklerini, ancak Fortune 500 şirketlerini ve kritik altyapı, finansal hizmetler, ulaşım, sağlık ve eğlence gibi sektörlerdeki işverenleri içerdiğini söylüyor. Şu anda biri için çalışıyor olabilirsin.

Yazılım, şüpheli bilgisayar davranışlarını izleyebilir veya bir çalışanın kredi raporlarını, tutuklama kayıtlarını ve medeni durum güncellemelerini inceleyebilir. Cheryl’in toplu bulut verilerini indirip indirmediğini kontrol edebilir veya zaman içinde test edici olup olmadığını görmek için Tom’un e-postalarında bir duygu analizi çalıştırabilir. Bu verilerin analizi, içeriden öğrenenlerin riskini izleyen şirketlerin iş yerindeki olası sorunlara işaret edebileceğini söylüyor.

Kâr amacı gütmeyen bir kuruluş olan Workplace Fairness’ın yönetici direktörü Edgar Ndjatou, “İşverenlerin deney yaptığı veya yatırım yaptığı çok fazla teknoloji var” dedi. Bir noktada, bu teknolojinin istenmeyen sonuçlarıyla ilgili bir hesaplaşma olacağını tahmin ediyor. “İşçi hakları topluluğu açısından kesinlikle umduğumuz şey, işverenlerin neler yapabileceği ve yapamayacağı konusunda daha fazla denetimdir – yalnızca işyerinde değil, evde de.”

Ancak özel sektördeki içeriden gelen tehditleri tahmin etmeye yönelik ilgi, sivil toplum çalışanlarının ne düzeyde izlenmesi gerektiğine ilişkin etik soruları gündeme getiriyor. Ve içeriden bilgi edinmeyle ilgili başka bir konu daha var: Her zaman yerleşik bilime dayanmaz.

Onlarca yıldır, federal hükümetin güvenlik izni verme sürecinin çoğu, yirminci yüzyılın ortalarında ortaya çıkan tekniklere dayanıyordu.

Güvenlik izinlerini içeren pozisyonlar için bir web sitesi ilanı, işler, haberler ve tavsiyeler olan ClearanceJobs başkanı Evan Lesser “Çok manuel” dedi. “İnsanlarla tanışmak için arabalarda dolaşmak. Çok eski ve çok zaman alıyor.”

2018’de başlayan Trusted Workforce 2.0 adlı federal bir girişim, federal çalışanların neredeyse gerçek zamanlı olarak gerçekleşen yarı otomatik analizini resmen başlattı. Bu program, hükümetin, güvenlik izinleri arayan veya halihazırda güvenlik izinleri olan çalışanları “sürekli inceleme ve değerlendirmeye” tabi tutmak için yapay zeka kullanmasına izin verecek – temel olarak, sürekli bilgi alan, kırmızı bayraklar fırlatan ve kendi kendine raporlama ve insan analizini içeren yuvarlanan değerlendirme .

“Hukuk sistemlerinde ve kamuya açık kayıt sistemlerinde sürekli olarak var olduğu için birisini kontrol eden ve sürekli kontrol eden ve o kişinin eğiliminin farkında olan bir sistem kurabilir miyiz?” İçeriden öğrenenlerin analizinin hükümet tarafına odaklanan bir şirket olan Peraton’un kıdemli teknik direktörü Chris Grijalva, şunları söyledi: “Ve bu fikirden sürekli değerlendirmeler kavramı doğdu.”

Bu tür çabalar, hükümette 1980’lerden beri daha özel yollarla kullanılıyordu. Ancak 2018 duyurusu, çalışanları genellikle her beş veya 10 yılda bir yeniden değerlendiren hükümet politikalarını modernleştirmeyi amaçlıyordu. Politika ve uygulamadaki ayarlamanın motivasyonu, kısmen, gerekli soruşturmaların birikmiş yığını ve koşulların ve insanların değiştiği fikriydi.

“Screening the System: Exposition Security Clearance Dangers” kitabının yazarı Martha Louise Deutscher, “İnsanları bir tür sürekli, sürekli gelişen bir gözetim süreci altında tutmak bu yüzden çok çekici” dedi. “Her gün kredi kontrolü yapacaksınız ve her gün ceza kontrolü yapacaksınız – ve banka hesapları, medeni durum – ve insanların böyle durumlarla karşılaşmamasını sağlayacaksınız. dün olmasaydı bir risk haline gelirdi.”

Programın, tam uygulamadan önceki bir geçiş dönemi olan ilk aşaması, 2021 sonbaharında sona erdi. Aralık ayında, ABD Devlet Hesap Verebilirlik Ofisi, otomasyonun etkinliğinin değerlendirilmesini tavsiye etti (ancak, bilirsiniz, sürekli olarak değil).

Ancak şirketler kendi yazılımla geliştirilmiş gözetimleriyle ilerliyorlar. ClearanceJobs’tan Lindy Kyzer, özel sektör çalışanları 136 sayfalık bir izin formunun zorluklarına maruz kalmayabilirken, özel şirketler federal hükümet için bu “sürekli inceleme” teknolojilerinin oluşturulmasına yardımcı oluyor, dedi. Ardından, “Her çözümün özel sektör uygulamaları olur” diye ekliyor.

Devletin sürekli değerlendirmesine ilişkin 2019 tarihli bir RAND Corporation araştırması, potansiyel devlet içi tehditlerin belirlenmesine yardımcı olan bilgiler sağlayan üç büyük şirketi vurguladı: Thomson Reuters Özel Hizmetleri, LexisNexis ve TransUnion. Ancak Forcepoint, Clearforce, Peraton ve Endera gibi tanınmayan şirketler de yarı otomatik içeriden tehdit analizi hizmetleri sunuyor ve bazıları müşteri olarak özel şirketler arıyor.

“İnsanlar içeriden gelen tehdidin bir iş sorunu olduğunu ve buna göre ele alınması gerektiğini anlamaya başlıyor” dedi Bay Grijalva.

Ve bir şirketin çalışanlarını izleme yeteneğinin çok az sınırı olabilir.

“Yasa, işverenlere yalnızca işyerinde değil, işyeri dışında da gözetim yapmak için bir düzeyde özgürlük – oldukça yüksek bir özgürlük düzeyi – veriyor, dedi. Çalışanların bu tür bir izleme hakkında bilgilendirilmesindeki dürüstlük değişiklik gösterir.

İçeriden gelen tehditleri değerlendirmek için bir dizi davranışsal çerçeve vardır, ancak uzmanlar arasında en iyi bilinenlerden biri “kritik yol” olarak adlandırılır. Kavramı geniş çapta duyuran ve 2015 yılında Studies in Intelligence dergisinde yayınlanan bir makaleye göre, “kişisel yatkınlıkların, stresörlerin, ilgili davranışlar ve sorunlu örgütsel tepkilerin” toplu olarak nasıl “düşmanca bir eyleme” yol açabileceğini ortaya koyuyor.

Klinik psikolog ve 2015 çalışmasının ortak yazarı Eric Shaw, genel olarak ideal, tam bir kontrol grubu olmadığı da dahil olmak üzere modelde zayıflıklar olduğunu kabul etti. Aynı zamanda risk faktörlerini de tanımladı, ancak kimin tehdit oluşturacağını tam olarak tahmin etmiyor.

“Tüm bu risk göstergelerine sahip oldukları ancak hiçbir zaman içeriden öğrenilen bir risk haline gelmedikleri durumlar ne olacak?” dedi.

Dr. Shaw’ın eski bir FBI özel ajanı olan meslektaşı Edward Stroz, çalışanlar arasındaki e-postalar ve mesajlar gibi metin iletişimlerinin analizine kritik yol ilkelerinin uygulanmasına yardımcı oldu. Bay Stroz, Dr. Shaw’un bir zamanlar psikolog olarak danışmanlık yaptığı siber adli tıp firması Stroz Friedberg’i kurdu. Her ikisi de şu anda Dr. Shaw’ın CEO’su olduğu Insider Risk Group’un bir parçası. SCOUT adı verilen dilbilimsel yazılım paketi, diğer şeylerin yanı sıra mağduriyet, öfke ve suçlama gibi hoşnutsuzluk duygularını gösteren işaretler aramak için psikodilbilimsel analiz kullanır.

“Dil, farkında olmadığınız incelikli şekillerde değişiyor,” dedi Bay Stroz.

Yazılımın en son yayınlanan testinde — yaklaşık 69.000 göndericiden 50 milyon mesaj üzerinde çalıştırıldı — 137 göndericiden 383 mesaj, filtrelemeden sonra incelenmek üzere eğitimli bir klinisyene gönderildi. Bay Stroz, küçük sayının, bu sistemin bireysel gizliliği koruyabileceğini gösterdiğini, çünkü yalnızca ilgili mesajların bir insan tarafından görülebileceğini söyledi.

“Bunun için tanımlanan küçük e-posta miktarı insanlara çok fazla rahatlık vermeli” dedi.

Deneyde, yazılım yaklaşık üçte bir yanlış pozitif oranı gösterdi: tehdit olarak görünmeyen birini tehdit olarak etiketleme.

Bay Stroz, bu tür izlemeyi etik olarak uygulamanın yolları olduğunu söyledi – şeffaf olmak, fikri aşamalar halinde tanıtmak ve bir sorun ortaya çıkmadıkça analizi kilit altında tutmak gibi.

“Toplumumuzu, kurumlarımızı korumak için ne yaptığımız hakkında daha iyi sorular sormamız gerekiyor” dedi, “sadece ‘Bu Büyük Birader’ demeyin; defol buradan.’”

RAND’ın 2019’daki sürekli değerlendirme raporunun yazarlarından biri olan David Luckey, hükümet veya özel sektörde kullanılan içeriden tehdit programları fikrini destekliyor ve davranışsal psikolojiyi ele alıyor. Bu tür göstergeler kusursuz olmasa bile dikkate alınmalıdır.

“Zor olması onu düşünmememiz gerektiği anlamına gelmez” dedi Bay Luckey. “Bireylerin mahremiyetini ve bu tür şeyleri korumaya devam ederken bunu nasıl dikkate alacağımızı bulmamız gerekiyor.”

Bu çok devam eden bir çalışma. Bay Luckey’nin raporu, “etkili ve tahmine dayalı bir sürekli değerlendirme aracı geliştirmek ve uygulamak için sınırlı davranışsal veya teknik veri bulunduğunu” ortaya koydu.

Başka bir deyişle, güvenilirlik hakkında sıfırdan algoritmalar oluşturmak için yeterli bilgi yok. Ve bu ya özel sektörde ya da kamu sektöründe geçerli olacaktır. Sebebin bir kısmı iyi: gizlilik koruması. Bay Luckey, “En azından henüz ve umarım hiçbir zaman bir ‘Azınlık Raporu’ filminde yaşamıyoruz” dedi. Bu filmin konusunun aksine, birçok izleme ve davranışsal analiz programının amacı, insanları önceden cezalandırmak değil, kötü bir şey olmadan önce müdahalede bulunmaktır.

ClearanceJobs’tan Bayan Kyzer, “İdeal bir dünyada, alkol danışmanlığı veya aile sorunları için çalışan-kaynak grubu olsun, bir çalışana yardımcı olacak araçlar ve kaynaklarla herhangi bir bayrak takip edilir” dedi.

Tüm bu distopik veriler mevcut olsa bile, hangi davranışsal göstergelerin potansiyel olarak kötü eylemleri önceden haber verdiği hakkında – sadece toplu olmaktan ziyade – bireysel sonuçlar çıkarmak hala zor olurdu. Bay Luckey, “Davranış bilimleri, fizik bilimleri kadar net değildir,” dedi.

Bu yumuşaklığın yanı sıra, sözde kötü aktörler hakkında tüm veriler toplanabilse bile, bu çok fazla bir şey ifade etmeyecektir. Bay Luckey, “İçeriden gelen tehditlerin sayısı gerçekten çok az,” dedi. “Ve bu çok küçük olayları veya olayları anlamaya çalışmak ve modellemek çok zor.” Davranış özelliklerini az sayıdaki istatistiklere etiketlemeye başladığınızda, bilimsel sıcak suya girersiniz.

“Çok, çok belirsiz bir matematiğe girmeye başlıyorsunuz,” dedi.

Bir de yakın zamana kadar özel şirketlere içeriden tehdit analizi sağlayan firmalardan biri olan Forcepoint’te çalışan davranış bilimci Margaret Cunningham’ı ilgilendiren kişisel faktörlerin belirsizliği var.

Kronik veya zihinsel sağlık sorunları ve aile geçmişi gibi faktörleri içeriden gelen tehdit davranışsal analitiğine dahil etmek, yanlış kullanılırsa şu eski ifadeyi çağıran modellere yol açabilir: “Çöp içeri, çöp dışarı”.

“Yazılım çözümleri kullanılarak belirlenen kişisel faktörlere çok fazla bağlı kalmak bir hatadır, çünkü bunların gelecekteki kötü niyetli davranışlara girme olasılığını ne kadar etkileyeceğini belirleyemiyoruz,” dedi Dr. Cunningham.

Bu tür sistemlerin yanlış uygulanması işçi-işveren ilişkisini de bozabilir. Bu tür Big-Brother bölgesinin etrafından dolaşmanın bir kısmı, makul olmayan gözetimden kaçınmaktır: kanıtlanmış faydasına bakılmaksızın, mevcut ve yasal olan tüm verileri almak değil.

Bunun bir örneği olarak, Endera’nın CEO’su Raj Ananthanpillai bir kamyon taşımacılığı şirketi yönetmeyi hayal ediyor. “Bu finansal stres göstergelerinden bazılarını daha az önemseyebilirim, çünkü bu bazen mavi yakalı iş gücünün bir parçası” dedi.

“Ama bir DUI’leri olup olmadığını bilmek isterdim” dedi. “Kesinlikle.”

Eğer işçiler, gerekli veya faydalı olanın ötesinde bir gözetim olduğunu bilir veya öğrenirlerse, bu, işvereni bir düşmana dönüştürebilir.

“Açıkçası, çok fazla kırgınlık yaratıyor,” dedi Dr. Cunningham. “Bunu yaparak, aslında içeriden gelen tehdit vakanıza yardım etmiyorsunuz. Durumu daha da kötüleştiriyorsun.”

Bayan Kyzer’e göre, özel şirketler federal hükümetten şeffaflık konusunda bir ipucu alabilir. “Açıklanan tüm çalışanlar, bir güvenlik izni için başvurduklarında bilgilerin serbest bırakılması için çeşitli yetkilendirmeler imzalar” dedi. “Bugün işe alınan standart çalışan, cihazlarının, iletişimlerinin veya finansal ve sabıka kayıtlarının nasıl izlendiğine dair bir tür benzer onay içermelidir.”

Dr. Cunningham, Forcepoint’in özel şirketlerde minimal ve odaklı bir yaklaşım kullanmaya çalıştığını söyledi. Yaklaşım, “bu analiz düzeyi için ihtiyaç ve gerekçeye” sahip müşteriler için çalışanın mali sıkıntısı veya işteki hoşnutsuzluk gibi faktörleri dikkate alırken, birçok durumda normal çalışma davranışından sapmalara odaklanmayı tercih eder.

Bu, bağlamda olağandışı görünen kural çiğneyen davranışları içerebilir: örneğin, dahili Zoom toplantıları sırasında gizli belgelerin ekran görüntüsünü alma veya her şeyi özel bir Yahoo hesabına otomatik iletmek için bir iş e-postası ayarlama.

Vurgu, çalışanın kişisel hayatı hakkında bir anlayış oluşturmak veya ölçülmesi zor davranışsal göstergeler kullanmak değil, çalışanın işe ait ekipmanla işte ne yaptığı üzerindedir.

“Çok fazla yorum gerektirenlere karşı gerçekten ölçebileceğiniz göstergeleri belirlemeye çok odaklandım” dedi Dr. Cunningham. “Özellikle uzman psikologlar veya uzman falancalar tarafından yorumlanması gereken göstergeler. Çünkü bunun biraz fazla tehlikeli olduğunu düşünüyorum ve bunun her zaman etik olduğunu bilmiyorum.”