Beykozlu
New member
“İçeriden tehdit” misiniz?
Çalıştığınız şirket bilmek isteyebilir. Bazı kurumsal işverenler, çalışanların bilgi sızdırabileceğinden, gizli dosyalara erişime izin verebileceğinden, müşterilerle uygunsuz bir şekilde iletişim kurabileceğinden veya aşırı derecede ofise silah getirebileceğinden korkuyor.
Bu korkuları gidermek için bazı şirketler, çalışanları zaman zaman psikoloji gibi davranış bilimi araçlarını kullanarak yarı otomatik, neredeyse sürekli algılanan güvenilirlik değerlendirmelerine tabi tutar. Artık birçok işveren, Büyük İstifa olarak adlandırılan durum karşısında işçileri elde tutmaktan endişe duyuyor. Ancak, teknolojinin ve gözetimin hayatlarının başka bir alanını işgal ettiği duygusuyla işçilerin makul bir şekilde ertelenebileceği endişelerine rağmen, işverenler hangi saat delicilerinin kuruluşlarına zarar verebileceğini bilmek istiyor.
Bu tür işçi izlemenin etrafındaki dil, genellikle, kamu kurumlarının istihbarat toplama veya ulusal güvenlikle ilgili hassas bilgileri işlemek için güvenlik izni alan işçileri değerlendirdiği hükümet içinde kullanılan dili yansıtır. Federaller için izleme yazılımı ve davranış analizi üreten kuruluşlar da kavramsal olarak benzer araçları özel şirketlere bağımsız olarak veya daha geniş siber güvenlik araçlarıyla paketlenmiş olarak sunabilir.
Özel müşterilere içeriden tehdit hizmetleri satan Clearforce’un CEO’su Tom Miller, “Genel olarak içeriden öğrenenlerin riskini düşündüğünüzde, muhtemelen hükümetten çıkıyor ve ardından özel sektöre ve ticari sektöre giriyor” dedi.
Bazı özel şirketler, çalışanların aynı veri kaynaklarına erişimleri olmamasına rağmen, bir istihbarat teşkilatının analistleri ve casusları takip edebilmesi gibi çalışanları incelemeye ilgi duyabilir. Bu hizmetleri sunan şirketlerin bazılarının sözcüleri, müşterilerinin ismini vermek istemediklerini, ancak Fortune 500 şirketlerini ve kritik altyapı, finansal hizmetler, ulaşım, sağlık devası ve eğlence gibi sektörlerdeki işverenleri içerdiğini söylüyor. Şu anda biri için çalışıyor olabilirsin.
Yazılım, şüpheli bilgisayar davranışlarını izleyebilir veya bir çalışanın kredi raporlarını, tutuklama kayıtlarını ve medeni durum güncellemelerini inceleyebilir. Cheryl’in toplu bulut veri indirip indirmediğini kontrol edebilir veya zaman içinde tester olup olmadığını görmek için Tom’un e-postalarında bir duygu analizi çalıştırabilir. Bu verinin analizi, içeriden öğrenenlerin riskini izleyen şirketlerin, işyerindeki olası sorunlara işaret edebileceğini söylüyor.
Kâr amacı gütmeyen bir kuruluş olan Workplace Fairness’ın yönetici direktörü Edgar Ndjatou, “İşverenlerin deney yaptığı veya yatırım yaptığı çok fazla teknoloji var” dedi. Bir noktada, bu teknolojinin istenmeyen sonuçlarıyla ilgili bir hesaplaşma olacağını tahmin ediyor. “İşçi hakları topluluğu açısından kesinlikle umduğumuz şey, işverenlerin neler yapabileceği ve yapamayacağı konusunda daha fazla denetimdir – yalnızca işyerinde değil, evde de.”
Ancak özel sektördeki içeriden gelen tehditleri tahmin etmeye olan ilgi, sivil toplum çalışanlarının hangi düzeyde izlemeye tabi olması gerektiği konusunda etik soruları gündeme getiriyor. Ve içeriden bilgi edinmeyle ilgili başka bir konu daha var: Her zaman yerleşik bilime dayanmaz.
On yıllardır, federal hükümetin güvenlik izni verme sürecinin çoğu, yirminci yüzyılın ortalarında ortaya çıkan tekniklere dayanıyordu.
Güvenlik izinlerini içeren pozisyonlar için bir web sitesi ilanı, işler, haberler ve tavsiyeler olan ClearanceJobs başkanı Evan Lesser, “Bu çok manuel” dedi. “İnsanlarla tanışmak için arabalarda dolaşmak. Çok eski ve çok zaman alıyor.”
2018’de başlayan Trusted Workforce 2.0 adlı federal bir girişim, federal çalışanların neredeyse gerçek zamanlı olarak gerçekleşen yarı otomatik analizini resmen başlattı. Bu program, hükümetin, güvenlik izinleri arayan veya halihazırda güvenlik izinleri olan çalışanları “sürekli inceleme ve değerlendirmeye” tabi tutmak için yapay zeka kullanmasına izin verecek – temel olarak, sürekli bilgi alan, kırmızı bayraklar fırlatan ve kendi kendine raporlama ve insan analizini içeren yuvarlanan değerlendirme .
“Birini kontrol eden ve sürekli kontrol eden ve sürekli olarak yasal sistemlerde ve kamuya açık kayıt sistemlerinde var olduğu için o kişinin eğiliminin farkında olan bir sistem kurabilir miyiz?” İçeriden öğrenenlerin analizinin hükümet tarafına odaklanan bir şirket olan Peraton’un kıdemli teknik direktörü Chris Grijalva, şunları söyledi: “Ve bu fikirden sürekli değerlendirmeler kavramı doğdu.”
Bu tür çabalar, hükümette 1980’lerden beri daha isimsiz şekillerde kullanılmıştır. Ancak 2018 duyurusu, çalışanları genellikle her beş veya 10 yılda bir yeniden değerlendiren hükümet politikalarını modernleştirmeyi amaçlıyordu. Politika ve uygulamadaki ayarlamanın motivasyonu, kısmen, gerekli soruşturmaların birikmiş yığını ve koşulların ve insanların değiştiği fikriydi.
“Sistemi Taramak: Güvenlik Açıklığı Tehlikelerini Ortaya Çıkarmak” kitabının yazarı Martha Louise Deutscher, “İşte bu yüzden insanları bir tür sürekli, sürekli gelişen bir gözetim süreci altında tutmak çok çekici” dedi. “Her gün kredi kontrolü yapacaksınız ve her gün ceza kontrolü yapacaksınız – ve banka hesapları, medeni durum – ve insanların karşılaşacakları durumlarla karşılaşmamalarını mühlet yapacaksınız. dün olmasaydı bir risk haline gelirdi.”
Programın, tam uygulamadan önceki bir geçiş dönemi olan ilk aşaması, 2021 sonbaharında sona erdi. Aralık ayında, ABD Devlet Hesap Verebilirlik Ofisi, otomasyonun etkinliğinin değerlendirilmesini tavsiye etti (ancak, bilirsiniz, sürekli olarak değil).
Ancak şirketler, kendi yazılımla geliştirilmiş gözetimleriyle ilerliyorlar. ClearanceJobs’tan Lindy Kyzer, özel sektör çalışanları 136 sayfalık bir izin formunun zorluklarına maruz kalmayabilirken, özel şirketler federal hükümet için bu “sürekli inceleme” teknolojilerinin oluşturulmasına yardımcı oluyor, dedi. Ardından, “Her çözümün özel sektör uygulamaları olur” diye ekliyor.
Devletin sürekli değerlendirmesine ilişkin 2019 RAND Corporation araştırması, potansiyel devlet içi tehditlerin belirlenmesine yardımcı olan bilgiler sağlayan üç büyük şirketi vurguladı: Thomson Reuters Özel Hizmetleri, LexisNexis ve TransUnion. Ancak Forcepoint, Clearforce, Peraton ve Endera gibi tanınmayan şirketler de yarı otomatik içeriden tehdit analizi hizmetleri sunuyor ve bazıları müşteri olarak özel şirketler arıyor.
Kredi… Daniel Zender
Bay Grijalva, “İnsanlar içeriden gelen tehdidin bir iş sorunu olduğunu ve buna göre ele alınması gerektiğini anlamaya başlıyor” dedi.
Ve bir şirketin çalışanlarını izleme yeteneğinin birkaç sınırı olabilir.
Bay Ndjatou, “Yasa, işverenlere yalnızca işyerinde değil, işyeri dışında da gözetleme yapmak için bir düzeyde özgürlük – oldukça yüksek bir özgürlük düzeyi – veriyor. Çalışanların bu tür bir izleme hakkında bilgilendirilmesindeki dürüstlük değişiklik gösterir.
İçeriden gelen tehditleri değerlendirmek için bir dizi davranışsal çerçeve vardır, ancak uzmanlar arasında en iyi bilinenlerden birine “kritik yol” denir. Kavramı geniş çapta duyuran ve 2015 yılında Studies in Intelligence dergisinde yayınlanan bir makaleye göre, “kişisel yatkınlıkların, stresörlerin, ilgili davranışlar ve sorunlu örgütsel tepkilerin” nasıl toplu olarak “düşmanca bir eyleme” yol açabileceğini ortaya koyuyor.
Klinik psikolog ve 2015 çalışmasının ortak yazarı Eric Shaw, modelin genel olarak ülkü, tam kontrol grubu olmaması da dahil olmak üzere zayıf yönleri olduğunu kabul etti. Aynı zamanda risk faktörlerini de tanımladı, ancak kimin tehdit oluşturacağını tam olarak tahmin etmiyor.
“Peki ya tüm bu risk göstergelerine sahip oldukları ancak hiçbir zaman içeriden öğrenilen bir risk haline gelmedikleri durumlar?” dedi.
Eski bir FBI özel ajanı olan Dr. Shaw’ın meslektaşı Edward Stroz, çalışanlar arasındaki e-postalar ve mesajlar gibi metin iletişimlerinin analizine kritik yol ilkelerinin uygulanmasına yardımcı oldu. Bay Stroz, Dr. Shaw’ın önce bir psikolog psikolog olduğu siber adli tıp firması Stroz Friedberg’i kurdu. Her ikisi de şu anda Dr. Shaw’ın CEO’su olduğu Insider Risk Group’un bir parçası. SCOUT adı verilen dilbilimsel yazılım paketi, diğer şeylerin yanı sıra mağduriyet, öfke ve suçlama gibi hoşnutsuzluk duygularını gösteren işaretler aramak için psikodilbilimsel analiz kullanır.
Bay Stroz, “Dil, sizin farkında olmadığınız incelikli şekillerde değişiyor,” dedi.
Yaklaşık 69.000 göndericiden 50 milyon mesaj üzerinde çalışan yazılımın en son yayınlanan testinde, 137 göndericiden 383 mesaj, filtrelemeden sonra incelenmek üzere eğitimli bir klinisyene gönderildi. Bay Stroz, küçük sayının, bu sistemin bireysel gizliliği koruyabileceğini gösterdiğini, çünkü yalnızca ilgili mesajların bir insan tarafından görülebileceğini söyledi.
“Bunun için tanımlanan e-postanın küçük bir miktarı insanlara çok fazla rahatlık vermeli” dedi.
Deneyde, yazılım yaklaşık üçte bir yanlış pozitif oran gösterdi: tehdit olarak görünmeyen birini tehdit olarak etiketlemek.
Bay Stroz, bu tür bir izlemeyi etik olarak uygulamanın yolları olduğunu söyledi – şeffaf olmak, fikri aşamalar halinde tanıtmak ve bir sorun ortaya çıkmadıkça analizi kilit altında tutmak gibi.
“Toplumumuzu, kurumlarımızı korumak için ne yaptığımız hakkında daha iyi sorular sormamız gerekiyor” dedi, “sadece ‘Bu Büyük Birader’ demeyin; defol buradan.'”
2019’dan itibaren sürekli değerlendirmeye ilişkin RAND raporunun yazarlarından biri olan David Luckey, hükümet veya özel sektör kullanımında içeriden gelen tehdit programları fikrini ve bu tür göstergeler kusursuz olmasa bile davranışsal psikolojiyi hesaba katmayı desteklemektedir.
Bay Luckey, “Zor olması, onu düşünmememiz gerektiği anlamına gelmez,” dedi. “Bireylerin mahremiyetini ve bu tür şeyleri korumaya devam ederken bunu nasıl dikkate alacağımızı bulmamız gerekiyor.”
Bu çok devam eden bir çalışma. Bay Luckey’nin raporu, “etkili ve tahmine dayalı bir sürekli değerlendirme aracı geliştirmek ve uygulamak için mevcut sınırlı davranışsal veya teknik veri olduğunu” tespit etti.
Başka bir deyişle, güvenilirlik hakkında sıfırdan algoritmalar oluşturmak için yeterli bilgi yok. Ve bu ya özel sektörde ya da kamu sektöründe geçerli olacaktır. Sebebin bir kısmı iyi: gizlilik koruması. Bay Luckey, “En azından henüz ve umarım hiçbir zaman bir ‘Azınlık Raporu’ filminde yaşamıyoruz” dedi. Bu filmin konusunun aksine, birçok izleme ve davranışsal analiz programının amacı, insanları önceden cezalandırmak değil, kötü bir şey olmadan önce müdahalede bulunmaktır.
ClearanceJobs’tan Bayan Kyzer, “Ülkü dünyasında, alkol danışmanlığı veya aile sorunları için bir çalışan-kaynak grubu olsun, bir çalışana yardımcı olacak araçlar ve kaynaklarla herhangi bir bayrak takip edilir” dedi.
Tüm bu distopik veriler var olsa bile, hangi davranışsal göstergelerin potansiyel olarak kötü eylemleri önceden haber verdiğine dair – sadece toplu olmaktan ziyade – bireysel sonuçlar çıkarmak zor olurdu. Bay Luckey, “Davranış bilimleri, fizik bilimleri kadar net değildir,” dedi.
Bu yumuşacıklığın üzerine, sözde kötü oyuncularla ilgili tüm verileri toplayabilsek bile, çok fazla bir şey olmazdı. Bay Luckey, “İçeriden gelen tehditlerin sayısı gerçekten çok az,” dedi. “Ve bu çok küçük olayları veya olayları anlamaya çalışmak ve modellemek çok zor.” Davranışsal özellikleri az sayıdaki istatistiklere etiketlemeye başladığınızda, bilimsel sıcak suya dalmış olursunuz.
“Çok ama çok şüpheli bir matematiğe girmeye başlıyorsun,” dedi.
Sonra, yakın zamana kadar özel şirketlere içeriden tehdit analizi sağlayan firmalardan biri olan Forcepoint’te çalışan davranış bilimci Margaret Cunningham’ı ilgilendiren kişisel faktörlerin belirsizliği var.
Kronik veya zihinsel sağlık sorunları ve aile geçmişi gibi faktörleri içeriden tehdit davranışsal analizine dahil etmek, yanlış kullanılırsa, şu eski ifadeyi çağıran modellere yol açabilir: “Çöp içeri, çöp dışarı”.
Dr. Cunningham, “Yazılım çözümleri kullanılarak tanımlanan kişisel faktörlere çok fazla bağlı olmak bir hatadır, çünkü bunların gelecekteki kötü niyetli davranışlara girme olasılığını ne kadar etkileyeceğini belirleyemiyoruz.”
Bu tür sistemlerin yanlış uygulanması işçi-işveren ilişkisini de bozabilir. Bu tür Büyük Birader topraklarının yanından geçmenin bir kısmı, makul olmayan gözetimden kaçınmaktır: kanıtlanmış faydası ne olursa olsun, mevcut tüm verileri ve kanuni’yi basitçe sindirmek değil.
Bunun bir örneği olarak, Endera’nın CEO’su Raj Ananthanpillai bir kamyon taşımacılığı şirketi yönetmeyi hayal ediyor. “Bu finansal stres göstergelerinden bazılarını daha az geliştirebilirim, çünkü bu bazen mavi yakalı işgücünün bir parçasıdır” dedi.
“Ama bir DUI’leri olup olmadığını bilmek isterdim” dedi. “Kesinlikle.”
İşçiler, gerekli veya faydalı olanın ötesinde bir gözetim olduğunu bilir veya öğrenirlerse, bu, işvereni bir düşmana dönüştürebilir.
Dr. Cunningham, “Açıkçası, çok fazla kızgınlık yaratıyor,” dedi. “Bunu yaparak, aslında içeriden gelen tehdit vakanıza yardım etmiyorsunuz. Durumu daha da kötüleştiriyorsun.”
Bayan Kyzer’e göre, özel şirketler federal hükümetten şeffaflık konusunda bir ipucu alabilir. “Açıklanan tüm çalışanlar, bir güvenlik izni için başvurduklarında bilgilerin serbest bırakılması için çeşitli yetkilendirmeler imzalar” dedi. “Bugün işe alınan standart çalışan, cihazlarının, iletişimlerinin veya finansal ve sabıka kayıtlarının nasıl izlendiğine dair bir tür benzer onay içermelidir.”
Dr. Cunningham, Forcepoint’in özel şirketlerde minimal ve odaklı bir yaklaşım kullanmaya çalıştığını söyledi. Yaklaşım, “analiz düzeyi için ihtiyaç ve gerekçesi” olan müşteriler için işteki çalışanların finansal sıkıntısı gibi faktörler, çoğu durumda o iş davranışından sapmalara veya iş davranışından sapmalara odaklanmayı tercih eder.
Bu, bağlamda olağandışı görünen kural çiğneyen davranışları içerebilir: örneğin, dahili Zoom toplantıları sırasında gizli belgelerin ekran görüntüsünü alma veya her şeyi özel bir Yahoo hesabına otomatik olarak iletmek için bir iş e-postası ayarlama.
Vurgu, çalışanın kişisel hayatı hakkında bir anlayış oluşturmak veya ölçülmesi zor davranışsal göstergeler kullanmak değil, çalışanın işe ait ekipmanla işte ne yaptığı üzerindedir.
Dr. Cunningham, “Çok fazla yorum gerektirenlere karşı gerçekten ölçebileceğiniz göstergeleri belirlemeye çok odaklandım” dedi. “Özellikle uzman psikologlar veya uzman falancalar tarafından yorumlanması gereken göstergeler. Çünkü bunun biraz fazla tehlikeli olduğunu düşünüyorum ve bunun her zaman etik olduğunu bilmiyorum.”
Çalıştığınız şirket bilmek isteyebilir. Bazı kurumsal işverenler, çalışanların bilgi sızdırabileceğinden, gizli dosyalara erişime izin verebileceğinden, müşterilerle uygunsuz bir şekilde iletişim kurabileceğinden veya aşırı derecede ofise silah getirebileceğinden korkuyor.
Bu korkuları gidermek için bazı şirketler, çalışanları zaman zaman psikoloji gibi davranış bilimi araçlarını kullanarak yarı otomatik, neredeyse sürekli algılanan güvenilirlik değerlendirmelerine tabi tutar. Artık birçok işveren, Büyük İstifa olarak adlandırılan durum karşısında işçileri elde tutmaktan endişe duyuyor. Ancak, teknolojinin ve gözetimin hayatlarının başka bir alanını işgal ettiği duygusuyla işçilerin makul bir şekilde ertelenebileceği endişelerine rağmen, işverenler hangi saat delicilerinin kuruluşlarına zarar verebileceğini bilmek istiyor.
Bu tür işçi izlemenin etrafındaki dil, genellikle, kamu kurumlarının istihbarat toplama veya ulusal güvenlikle ilgili hassas bilgileri işlemek için güvenlik izni alan işçileri değerlendirdiği hükümet içinde kullanılan dili yansıtır. Federaller için izleme yazılımı ve davranış analizi üreten kuruluşlar da kavramsal olarak benzer araçları özel şirketlere bağımsız olarak veya daha geniş siber güvenlik araçlarıyla paketlenmiş olarak sunabilir.
Özel müşterilere içeriden tehdit hizmetleri satan Clearforce’un CEO’su Tom Miller, “Genel olarak içeriden öğrenenlerin riskini düşündüğünüzde, muhtemelen hükümetten çıkıyor ve ardından özel sektöre ve ticari sektöre giriyor” dedi.
Bazı özel şirketler, çalışanların aynı veri kaynaklarına erişimleri olmamasına rağmen, bir istihbarat teşkilatının analistleri ve casusları takip edebilmesi gibi çalışanları incelemeye ilgi duyabilir. Bu hizmetleri sunan şirketlerin bazılarının sözcüleri, müşterilerinin ismini vermek istemediklerini, ancak Fortune 500 şirketlerini ve kritik altyapı, finansal hizmetler, ulaşım, sağlık devası ve eğlence gibi sektörlerdeki işverenleri içerdiğini söylüyor. Şu anda biri için çalışıyor olabilirsin.
Yazılım, şüpheli bilgisayar davranışlarını izleyebilir veya bir çalışanın kredi raporlarını, tutuklama kayıtlarını ve medeni durum güncellemelerini inceleyebilir. Cheryl’in toplu bulut veri indirip indirmediğini kontrol edebilir veya zaman içinde tester olup olmadığını görmek için Tom’un e-postalarında bir duygu analizi çalıştırabilir. Bu verinin analizi, içeriden öğrenenlerin riskini izleyen şirketlerin, işyerindeki olası sorunlara işaret edebileceğini söylüyor.
Kâr amacı gütmeyen bir kuruluş olan Workplace Fairness’ın yönetici direktörü Edgar Ndjatou, “İşverenlerin deney yaptığı veya yatırım yaptığı çok fazla teknoloji var” dedi. Bir noktada, bu teknolojinin istenmeyen sonuçlarıyla ilgili bir hesaplaşma olacağını tahmin ediyor. “İşçi hakları topluluğu açısından kesinlikle umduğumuz şey, işverenlerin neler yapabileceği ve yapamayacağı konusunda daha fazla denetimdir – yalnızca işyerinde değil, evde de.”
Ancak özel sektördeki içeriden gelen tehditleri tahmin etmeye olan ilgi, sivil toplum çalışanlarının hangi düzeyde izlemeye tabi olması gerektiği konusunda etik soruları gündeme getiriyor. Ve içeriden bilgi edinmeyle ilgili başka bir konu daha var: Her zaman yerleşik bilime dayanmaz.
On yıllardır, federal hükümetin güvenlik izni verme sürecinin çoğu, yirminci yüzyılın ortalarında ortaya çıkan tekniklere dayanıyordu.
Güvenlik izinlerini içeren pozisyonlar için bir web sitesi ilanı, işler, haberler ve tavsiyeler olan ClearanceJobs başkanı Evan Lesser, “Bu çok manuel” dedi. “İnsanlarla tanışmak için arabalarda dolaşmak. Çok eski ve çok zaman alıyor.”
2018’de başlayan Trusted Workforce 2.0 adlı federal bir girişim, federal çalışanların neredeyse gerçek zamanlı olarak gerçekleşen yarı otomatik analizini resmen başlattı. Bu program, hükümetin, güvenlik izinleri arayan veya halihazırda güvenlik izinleri olan çalışanları “sürekli inceleme ve değerlendirmeye” tabi tutmak için yapay zeka kullanmasına izin verecek – temel olarak, sürekli bilgi alan, kırmızı bayraklar fırlatan ve kendi kendine raporlama ve insan analizini içeren yuvarlanan değerlendirme .
“Birini kontrol eden ve sürekli kontrol eden ve sürekli olarak yasal sistemlerde ve kamuya açık kayıt sistemlerinde var olduğu için o kişinin eğiliminin farkında olan bir sistem kurabilir miyiz?” İçeriden öğrenenlerin analizinin hükümet tarafına odaklanan bir şirket olan Peraton’un kıdemli teknik direktörü Chris Grijalva, şunları söyledi: “Ve bu fikirden sürekli değerlendirmeler kavramı doğdu.”
Bu tür çabalar, hükümette 1980’lerden beri daha isimsiz şekillerde kullanılmıştır. Ancak 2018 duyurusu, çalışanları genellikle her beş veya 10 yılda bir yeniden değerlendiren hükümet politikalarını modernleştirmeyi amaçlıyordu. Politika ve uygulamadaki ayarlamanın motivasyonu, kısmen, gerekli soruşturmaların birikmiş yığını ve koşulların ve insanların değiştiği fikriydi.
“Sistemi Taramak: Güvenlik Açıklığı Tehlikelerini Ortaya Çıkarmak” kitabının yazarı Martha Louise Deutscher, “İşte bu yüzden insanları bir tür sürekli, sürekli gelişen bir gözetim süreci altında tutmak çok çekici” dedi. “Her gün kredi kontrolü yapacaksınız ve her gün ceza kontrolü yapacaksınız – ve banka hesapları, medeni durum – ve insanların karşılaşacakları durumlarla karşılaşmamalarını mühlet yapacaksınız. dün olmasaydı bir risk haline gelirdi.”
Programın, tam uygulamadan önceki bir geçiş dönemi olan ilk aşaması, 2021 sonbaharında sona erdi. Aralık ayında, ABD Devlet Hesap Verebilirlik Ofisi, otomasyonun etkinliğinin değerlendirilmesini tavsiye etti (ancak, bilirsiniz, sürekli olarak değil).
Ancak şirketler, kendi yazılımla geliştirilmiş gözetimleriyle ilerliyorlar. ClearanceJobs’tan Lindy Kyzer, özel sektör çalışanları 136 sayfalık bir izin formunun zorluklarına maruz kalmayabilirken, özel şirketler federal hükümet için bu “sürekli inceleme” teknolojilerinin oluşturulmasına yardımcı oluyor, dedi. Ardından, “Her çözümün özel sektör uygulamaları olur” diye ekliyor.
Devletin sürekli değerlendirmesine ilişkin 2019 RAND Corporation araştırması, potansiyel devlet içi tehditlerin belirlenmesine yardımcı olan bilgiler sağlayan üç büyük şirketi vurguladı: Thomson Reuters Özel Hizmetleri, LexisNexis ve TransUnion. Ancak Forcepoint, Clearforce, Peraton ve Endera gibi tanınmayan şirketler de yarı otomatik içeriden tehdit analizi hizmetleri sunuyor ve bazıları müşteri olarak özel şirketler arıyor.
Kredi… Daniel Zender
Bay Grijalva, “İnsanlar içeriden gelen tehdidin bir iş sorunu olduğunu ve buna göre ele alınması gerektiğini anlamaya başlıyor” dedi.
Ve bir şirketin çalışanlarını izleme yeteneğinin birkaç sınırı olabilir.
Bay Ndjatou, “Yasa, işverenlere yalnızca işyerinde değil, işyeri dışında da gözetleme yapmak için bir düzeyde özgürlük – oldukça yüksek bir özgürlük düzeyi – veriyor. Çalışanların bu tür bir izleme hakkında bilgilendirilmesindeki dürüstlük değişiklik gösterir.
İçeriden gelen tehditleri değerlendirmek için bir dizi davranışsal çerçeve vardır, ancak uzmanlar arasında en iyi bilinenlerden birine “kritik yol” denir. Kavramı geniş çapta duyuran ve 2015 yılında Studies in Intelligence dergisinde yayınlanan bir makaleye göre, “kişisel yatkınlıkların, stresörlerin, ilgili davranışlar ve sorunlu örgütsel tepkilerin” nasıl toplu olarak “düşmanca bir eyleme” yol açabileceğini ortaya koyuyor.
Klinik psikolog ve 2015 çalışmasının ortak yazarı Eric Shaw, modelin genel olarak ülkü, tam kontrol grubu olmaması da dahil olmak üzere zayıf yönleri olduğunu kabul etti. Aynı zamanda risk faktörlerini de tanımladı, ancak kimin tehdit oluşturacağını tam olarak tahmin etmiyor.
“Peki ya tüm bu risk göstergelerine sahip oldukları ancak hiçbir zaman içeriden öğrenilen bir risk haline gelmedikleri durumlar?” dedi.
Eski bir FBI özel ajanı olan Dr. Shaw’ın meslektaşı Edward Stroz, çalışanlar arasındaki e-postalar ve mesajlar gibi metin iletişimlerinin analizine kritik yol ilkelerinin uygulanmasına yardımcı oldu. Bay Stroz, Dr. Shaw’ın önce bir psikolog psikolog olduğu siber adli tıp firması Stroz Friedberg’i kurdu. Her ikisi de şu anda Dr. Shaw’ın CEO’su olduğu Insider Risk Group’un bir parçası. SCOUT adı verilen dilbilimsel yazılım paketi, diğer şeylerin yanı sıra mağduriyet, öfke ve suçlama gibi hoşnutsuzluk duygularını gösteren işaretler aramak için psikodilbilimsel analiz kullanır.
Bay Stroz, “Dil, sizin farkında olmadığınız incelikli şekillerde değişiyor,” dedi.
Yaklaşık 69.000 göndericiden 50 milyon mesaj üzerinde çalışan yazılımın en son yayınlanan testinde, 137 göndericiden 383 mesaj, filtrelemeden sonra incelenmek üzere eğitimli bir klinisyene gönderildi. Bay Stroz, küçük sayının, bu sistemin bireysel gizliliği koruyabileceğini gösterdiğini, çünkü yalnızca ilgili mesajların bir insan tarafından görülebileceğini söyledi.
“Bunun için tanımlanan e-postanın küçük bir miktarı insanlara çok fazla rahatlık vermeli” dedi.
Deneyde, yazılım yaklaşık üçte bir yanlış pozitif oran gösterdi: tehdit olarak görünmeyen birini tehdit olarak etiketlemek.
Bay Stroz, bu tür bir izlemeyi etik olarak uygulamanın yolları olduğunu söyledi – şeffaf olmak, fikri aşamalar halinde tanıtmak ve bir sorun ortaya çıkmadıkça analizi kilit altında tutmak gibi.
“Toplumumuzu, kurumlarımızı korumak için ne yaptığımız hakkında daha iyi sorular sormamız gerekiyor” dedi, “sadece ‘Bu Büyük Birader’ demeyin; defol buradan.'”
2019’dan itibaren sürekli değerlendirmeye ilişkin RAND raporunun yazarlarından biri olan David Luckey, hükümet veya özel sektör kullanımında içeriden gelen tehdit programları fikrini ve bu tür göstergeler kusursuz olmasa bile davranışsal psikolojiyi hesaba katmayı desteklemektedir.
Bay Luckey, “Zor olması, onu düşünmememiz gerektiği anlamına gelmez,” dedi. “Bireylerin mahremiyetini ve bu tür şeyleri korumaya devam ederken bunu nasıl dikkate alacağımızı bulmamız gerekiyor.”
Bu çok devam eden bir çalışma. Bay Luckey’nin raporu, “etkili ve tahmine dayalı bir sürekli değerlendirme aracı geliştirmek ve uygulamak için mevcut sınırlı davranışsal veya teknik veri olduğunu” tespit etti.
Başka bir deyişle, güvenilirlik hakkında sıfırdan algoritmalar oluşturmak için yeterli bilgi yok. Ve bu ya özel sektörde ya da kamu sektöründe geçerli olacaktır. Sebebin bir kısmı iyi: gizlilik koruması. Bay Luckey, “En azından henüz ve umarım hiçbir zaman bir ‘Azınlık Raporu’ filminde yaşamıyoruz” dedi. Bu filmin konusunun aksine, birçok izleme ve davranışsal analiz programının amacı, insanları önceden cezalandırmak değil, kötü bir şey olmadan önce müdahalede bulunmaktır.
ClearanceJobs’tan Bayan Kyzer, “Ülkü dünyasında, alkol danışmanlığı veya aile sorunları için bir çalışan-kaynak grubu olsun, bir çalışana yardımcı olacak araçlar ve kaynaklarla herhangi bir bayrak takip edilir” dedi.
Tüm bu distopik veriler var olsa bile, hangi davranışsal göstergelerin potansiyel olarak kötü eylemleri önceden haber verdiğine dair – sadece toplu olmaktan ziyade – bireysel sonuçlar çıkarmak zor olurdu. Bay Luckey, “Davranış bilimleri, fizik bilimleri kadar net değildir,” dedi.
Bu yumuşacıklığın üzerine, sözde kötü oyuncularla ilgili tüm verileri toplayabilsek bile, çok fazla bir şey olmazdı. Bay Luckey, “İçeriden gelen tehditlerin sayısı gerçekten çok az,” dedi. “Ve bu çok küçük olayları veya olayları anlamaya çalışmak ve modellemek çok zor.” Davranışsal özellikleri az sayıdaki istatistiklere etiketlemeye başladığınızda, bilimsel sıcak suya dalmış olursunuz.
“Çok ama çok şüpheli bir matematiğe girmeye başlıyorsun,” dedi.
Sonra, yakın zamana kadar özel şirketlere içeriden tehdit analizi sağlayan firmalardan biri olan Forcepoint’te çalışan davranış bilimci Margaret Cunningham’ı ilgilendiren kişisel faktörlerin belirsizliği var.
Kronik veya zihinsel sağlık sorunları ve aile geçmişi gibi faktörleri içeriden tehdit davranışsal analizine dahil etmek, yanlış kullanılırsa, şu eski ifadeyi çağıran modellere yol açabilir: “Çöp içeri, çöp dışarı”.
Dr. Cunningham, “Yazılım çözümleri kullanılarak tanımlanan kişisel faktörlere çok fazla bağlı olmak bir hatadır, çünkü bunların gelecekteki kötü niyetli davranışlara girme olasılığını ne kadar etkileyeceğini belirleyemiyoruz.”
Bu tür sistemlerin yanlış uygulanması işçi-işveren ilişkisini de bozabilir. Bu tür Büyük Birader topraklarının yanından geçmenin bir kısmı, makul olmayan gözetimden kaçınmaktır: kanıtlanmış faydası ne olursa olsun, mevcut tüm verileri ve kanuni’yi basitçe sindirmek değil.
Bunun bir örneği olarak, Endera’nın CEO’su Raj Ananthanpillai bir kamyon taşımacılığı şirketi yönetmeyi hayal ediyor. “Bu finansal stres göstergelerinden bazılarını daha az geliştirebilirim, çünkü bu bazen mavi yakalı işgücünün bir parçasıdır” dedi.
“Ama bir DUI’leri olup olmadığını bilmek isterdim” dedi. “Kesinlikle.”
İşçiler, gerekli veya faydalı olanın ötesinde bir gözetim olduğunu bilir veya öğrenirlerse, bu, işvereni bir düşmana dönüştürebilir.
Dr. Cunningham, “Açıkçası, çok fazla kızgınlık yaratıyor,” dedi. “Bunu yaparak, aslında içeriden gelen tehdit vakanıza yardım etmiyorsunuz. Durumu daha da kötüleştiriyorsun.”
Bayan Kyzer’e göre, özel şirketler federal hükümetten şeffaflık konusunda bir ipucu alabilir. “Açıklanan tüm çalışanlar, bir güvenlik izni için başvurduklarında bilgilerin serbest bırakılması için çeşitli yetkilendirmeler imzalar” dedi. “Bugün işe alınan standart çalışan, cihazlarının, iletişimlerinin veya finansal ve sabıka kayıtlarının nasıl izlendiğine dair bir tür benzer onay içermelidir.”
Dr. Cunningham, Forcepoint’in özel şirketlerde minimal ve odaklı bir yaklaşım kullanmaya çalıştığını söyledi. Yaklaşım, “analiz düzeyi için ihtiyaç ve gerekçesi” olan müşteriler için işteki çalışanların finansal sıkıntısı gibi faktörler, çoğu durumda o iş davranışından sapmalara veya iş davranışından sapmalara odaklanmayı tercih eder.
Bu, bağlamda olağandışı görünen kural çiğneyen davranışları içerebilir: örneğin, dahili Zoom toplantıları sırasında gizli belgelerin ekran görüntüsünü alma veya her şeyi özel bir Yahoo hesabına otomatik olarak iletmek için bir iş e-postası ayarlama.
Vurgu, çalışanın kişisel hayatı hakkında bir anlayış oluşturmak veya ölçülmesi zor davranışsal göstergeler kullanmak değil, çalışanın işe ait ekipmanla işte ne yaptığı üzerindedir.
Dr. Cunningham, “Çok fazla yorum gerektirenlere karşı gerçekten ölçebileceğiniz göstergeleri belirlemeye çok odaklandım” dedi. “Özellikle uzman psikologlar veya uzman falancalar tarafından yorumlanması gereken göstergeler. Çünkü bunun biraz fazla tehlikeli olduğunu düşünüyorum ve bunun her zaman etik olduğunu bilmiyorum.”