Meta приостановила программу мониторинга сотрудников после сбоев в защите данных
Плохая защита данных позволила сотрудникам видеть данные всех, что создало проблему доверия.
Масштабная программа Meta по сбору широкого спектра данных о сотрудниках для обучения своей модели ИИ была заморожена после того, как сотрудники, по сообщениям, обошли ограничения и получили доступ к закрытым данным, а затем сделали это снова после того, как Meta заявила, что устранила уязвимость.
Был ли сбор данных, который проводил владелец Facebook стоимостью 201 млрд долларов, хорошей идеей или нет, аналитики считают, что внедрённые средства защиты были крайне недостаточными с учётом исключительно чувствительного характера собираемых данных.
«У Meta были ресурсы, чтобы сделать всё правильно, и всё же они провалились с большим запасом», — сказала Karianne Michelle, директор консалтинговой компании Acceligence. «Это выглядит так, когда решение по политике и техническая реализация происходят в двух разных комнатах, которые не полностью согласованы. Такой разрыв часто встречается в организациях, испытывающих структурное напряжение».
Fritz Jean-Louis, главный консультант по кибербезопасности в Info-Tech Research Group, согласился.
«То, что мы наблюдаем в истории Meta, — классический сбой в стратегии данных в эпоху ИИ: сбор высокорисковой телеметрии без столь же зрелого контроля доступа», — сказал Jean-Louis. «На таком масштабе одна ошибка конфигурации превращает внутренние данные в системную уязвимость».
Как следует из материала Wired, речь шла о программе, запущенной Meta в апреле под названием Model Compatibility Initiative (MCI), которая собирает компьютерные вводы, такие как движения мыши, координаты кликов и нажатия клавиш, а также содержимое экрана. Сотрудникам Meta изначально не разрешалось отказаться от участия.
Собранные данные включали полные промпты и транскрипции, личные разговоры, данные о людях и показатели эффективности, писал Wired, добавляя: «Руководители Meta неоднократно защищали этот проект сбора данных, заявляя, что он необходим для обучения ИИ-систем работать с компьютерным ПО так же, как это делают люди, и что сотрудники — лучшие примеры для обучения искусственного интеллекта».
Wired также приводит слова Стефана Касриэля, вице-президента Meta, курирующего исследования ИИ, который сказал, что компания обнаружила: неуполномоченные сотрудники получили доступ к данным MCI 18 июня, а брешь закрыли «в течение четырёх часов». Однако, добавил он, «первичное исправление не сработало, и доступ к данным пришлось дополнительно ограничить».
В письме Meta подтвердила, что программа на время приостанавливается. «Мы тщательно спроектировали эту программу с защитой конфиденциальности, и хотя сейчас у нас нет признаков того, что какие-либо данные были неправомерно доступны сотрудникам Meta, мы приостанавливаем её, пока проводим расследование», — заявила компания.
A ‘liability surface’
Аналитики, консультанты и практики отрасли сказали, что их больше беспокоят слабые меры защиты, чем сама утечка данных.
Carmi Levy, независимый технологический аналитик, сказал, что, хотя есть основания беспокоиться об «орвелловском надзоре Meta за нажатиями клавиш и движениями мыши сотрудников», куда более серьёзная проблема — это тонкая, как бумага, защита, использованная для охраны этих данных.
«Как бы жуткой MCI ни была и ни остаётся, причина, по которой Meta нажала паузу, не имеет отношения к моральной и этической расплывчатости повседневного наблюдения за сотрудниками, а связана с тем, что компания не смогла защитить данные, которые собрала в процессе», — сказал Levy. «Вполне возможно, мониторинг и сбор данных возобновятся, когда Meta полностью разберётся, как получилось, что крайне чувствительные данные, такие как личные разговоры сотрудников, данные об эффективности и транскрипции, были непреднамеренно доступны всему персоналу».
Один из ключевых фоновых вопросов заключается в том, что, хотя собранные данные были очень чувствительными, с точки зрения строгого закона о соблюдении требований это не было PII (personally identifiable information). Это различие могло усыпить бдительность Meta и убедить компанию в том, что этим данным не нужны серьёзные меры защиты.
«Мне кажется, компании слишком легко говорят: “Ну, это же не PII”, как будто это автоматически делает данные низкорисковыми», — сказал Tom Findling, CEO компании Conifers.ai. «Но внутренние промпты, транскрипции, чаты, таблицы данных и заметки по производительности могут многое рассказать о том, как работает компания, что она строит и где у неё есть слабые места или уязвимости. Это чувствительные данные, даже если это не номер социального страхования».
Findling утверждал, что руководители Meta «хотели сделать вид, будто не понимают», насколько чувствительными были собранные данные, и это стало их оправданием того, почему они якобы не должны были защищать их должным образом. «Нет сомнений, что Meta не отнесла это к надлежащему уровню риска», — сказал он.
Jean-Louis из Info-Tech особо резко отреагировал на характер собранных данных.
«Поведенческие данные сотрудников, такие как нажатия клавиш, скриншоты и шаблоны использования, по умолчанию являются чувствительными. Если вы используете их для обучения ИИ, к ним нужно относиться как к производственным секретам, а не как к отходам аналитики», — сказал Jean-Louis. «Когда тысячи внутренних таблиц широко доступны, у вас получается не data platform, а liability surface. Доверие сегодня — это механизм безопасности. Как только сотрудники начинают считать, что их данные собирают слишком активно или защищают недостаточно, вы одновременно создаёте внутренний риск и репутационный ущерб».
Michelle из Acceligence поддержала опасения Jean-Louis.
«Данные, которые раскрыла Meta, — не главный риск. Политика безопасности работает только тогда, когда люди в неё верят, а именно это сейчас и поставлено под сомнение», — сказала Michelle. «Именно в этом разрыве такие инциденты наносят ущерб: как только сотрудники перестают доверять тому, что руководство говорит об их собственных данных, сомнение переходит на каждую следующую политику, порождая обходные пути, тихое несоблюдение правил и сотрудников, которые перестают поднимать тревогу».
Эта статья первоначально появилась на CSOonline.
Материал — перевод статьи с английского.
Оригинал: Meta pauses employee monitoring program after data protections fail