خانه » ضعف در حفاظت از داده‌های کارکنان، متا را مجبور به توقف برنامه مانیتورینگ داخلی کرد

ضعف در حفاظت از داده‌های کارکنان، متا را مجبور به توقف برنامه مانیتورینگ داخلی کرد

توسط Vulnerbyte_News
26 بازدید

شرکت متا (Meta) پس از بروز ضعف جدی در حفاظت از داده‌های کارکنان، برنامه گسترده خود برای جمع‌آوری اطلاعات کارکنان و استفاده از آن‌ها جهت آموزش مدل‌های هوش مصنوعی (AI Model) را به‌طور موقت متوقف کرد. بررسی‌ها نشان می‌دهد ناکافی بودن سازوکارهای حفاظت از داده‌های کارکنان و ضعف در کنترل‌های دسترسی (Access Controls) باعث شد برخی کارکنان بتوانند به داده‌های حساسی دسترسی پیدا کنند که قرار بود محدود و محافظت‌شده باقی بمانند. این رخداد بار دیگر چالش‌های امنیت داده، مدیریت دسترسی و اعتماد سازمانی در پروژه‌های هوش مصنوعی را مطرح کرده است.

چگونه حفاظت از داده‌های کارکنان در برنامه MCI متا با چالش مواجه شد؟

بر اساس گزارشی از Wired، شرکت متا در ماه آوریل برنامه‌ای با نام ابتکار سازگاری مدل (Model Compatibility Initiative – MCI) راه‌اندازی کرد؛ پروژه‌ای که هدف آن جمع‌آوری طیف گسترده‌ای از داده‌های تعامل کارکنان با رایانه برای آموزش مدل‌های هوش مصنوعی بود. این برنامه اطلاعاتی مانند حرکت ماوس، محل کلیک‌ها، کلیدهای فشرده‌شده صفحه‌کلید (Keystrokes)، محتوای نمایشگر و سایر ورودی‌های کاربران را ثبت می‌کرد.

طبق این گزارش، کارکنان متا در ابتدا امکان انصراف (Opt Out) از مشارکت در این برنامه را نداشتند. داده‌های جمع‌آوری‌شده نیز تنها به اطلاعات فنی محدود نمی‌شد؛ بلکه شامل پرامپت‌های کامل (Full Prompts)، متن پیاده‌سازی‌شده مکالمات یا ترنسکریپت‌ها (Transcriptions)، گفت‌وگوهای خصوصی، داده‌های مربوط به افراد و اطلاعات عملکردی کارکنان نیز بود. همین گستردگی و حساسیت داده‌های جمع‌آوری‌شده نشان داد که حفاظت از داده‌های کارکنان در چنین پروژه‌هایی نیازمند سازوکارهای امنیتی دقیق‌تر و کنترل‌های دسترسی قدرتمندتری است.

مدیران متا بارها از این پروژه دفاع کرده و تأکید کرده بودند که جمع‌آوری این داده‌ها برای آموزش سیستم‌های هوش مصنوعی ضروری است؛ زیرا این مدل‌ها باید یاد بگیرند انسان‌ها چگونه با نرم‌افزارهای رایانه‌ای تعامل می‌کنند. به گفته آن‌ها، کارکنان متا به دلیل استفاده روزمره از این ابزارها، نمونه‌های مناسبی برای آموزش و بهبود عملکرد این سیستم‌های هوش مصنوعی هستند.

دسترسی غیرمجاز پس از اصلاح اولیه کنترل‌های امنیتی

بر اساس گزارش Wired و به نقل از استفان کاسریل (Stephane Kasriel)، معاون متا در حوزه تحقیقات هوش مصنوعی، این شرکت در تاریخ 18 ژوئن متوجه شد برخی کارکنان بدون مجوز توانسته‌اند به داده‌های برنامه MCI دسترسی پیدا کنند. کاسریل اعلام کرد این شکاف امنیتی (Security Gap) ظرف «چهار ساعت» برطرف شد؛ اما پس از آن مشخص شد اقدام اولیه برای رفع ضعف کافی نبوده است. به همین دلیل، متا مجبور شد دسترسی به داده‌ها را با محدودیت‌های بیشتری کنترل کند و لایه‌های حفاظتی جدیدی اعمال نماید.

این شرکت اعلام کرد که برنامه مذکور با در نظر گرفتن سازوکارهای محافظت از حریم خصوصی طراحی شده است و در حال حاضر هیچ شواهدی مبنی بر دسترسی نامناسب کارکنان متا به داده‌ها وجود ندارد. با این حال، متا تأکید کرد که اجرای این برنامه را تا زمان تکمیل بررسی‌های داخلی متوقف خواهد کرد.

با وجود این توضیحات، پژوهشگران معتقدند نگرانی اصلی تنها به دسترسی ایجادشده محدود نمی‌شود؛ بلکه مسئله مهم‌تر، ضعف کنترل‌های دسترسی (Access Controls) و ناکارآمدی سازوکارهای حفاظت از داده‌های کارکنان در پروژه‌ای با چنین حجم و سطحی از حساسیت است.

خطای کلاسیک در استراتژی داده

پژوهشگران امنیت سایبری این رخداد را نمونه‌ای از یک شکست کلاسیک در استراتژی داده در عصر هوش مصنوعی می‌دانند؛ جایی که سازمان‌ها حجم بالایی از داده‌های حساس را جمع‌آوری می‌کنند، اما کنترل‌های امنیتی لازم برای مدیریت و محافظت از این داده‌ها هم‌زمان با آن توسعه پیدا نمی‌کند.

به گفته کارشناسان، متا در این پروژه داده‌های تله‌متری پرریسک را جمع‌آوری کرده بود، اما کنترل‌های دسترسی به اندازه کافی پیشرفته و متناسب با سطح حساسیت این داده‌ها نبودند. در چنین مقیاسی، حتی یک پیکربندی نادرست می‌تواند داده‌های داخلی را از یک منبع اطلاعاتی سازمانی به یک ریسک امنیتی گسترده و سیستماتیک تبدیل کند.

همچنین پژوهشگران معتقدند این رخداد نشان می‌دهد میان تصمیم‌های سیاست‌گذاری و اجرای فنی در برخی سازمان‌ها ممکن است هماهنگی کافی وجود نداشته باشد؛ به‌ویژه زمانی که پروژه‌های هوش مصنوعی با سرعت توسعه پیدا می‌کنند، اما سازوکارهای امنیت داده و حاکمیت اطلاعات (Data Governance) هم‌زمان با آن رشد نمی‌کنند.

حفاظت از داده‌های کارکنان زمانی با شکست مواجه می‌شود که سازمان‌ها روی جمع‌آوری داده تمرکز می‌کنند، اما طبقه‌بندی ریسک، مدیریت دسترسی و چارچوب‌های امنیتی لازم برای محافظت از این اطلاعات، هم‌زمان با آن تقویت و توسعه پیدا نمی‌کنند.

PII نبودن داده‌ها، نباید معیار اصلی حفاظت از داده‌های کارکنان باشد

یکی از چالش‌های مهم در این ماجرا این است که داده‌های جمع‌آوری‌شده، با وجود حساسیت بسیار بالا، از نگاه برخی فریم‌ورک‌های سخت‌گیرانه انطباقی (Compliance Frameworks) لزوماً در دسته اطلاعات قابل شناسایی شخصی (Personally Identifiable Information – PII) قرار نمی‌گرفتند. همین تفاوت در تعریف داده‌ها ممکن است باعث ایجاد احساس امنیت کاذب در متا شده باشد؛ به این معنا که این تصور شکل گرفته باشد که اگر داده‌ای PII محسوب نشود، الزاماً ریسک پایینی داشته و به حفاظت ویژه‌ای نیاز ندارد.

پژوهشگران امنیت سایبری معتقدند سازمان‌ها گاهی بیش از حد به این استدلال تکیه می‌کنند که «این داده PII نیست»، در حالی که اطلاعاتی مانند پرامپت‌های داخلی، ترنسکریپت‌ها، چت‌ها، جدول‌های داده و یادداشت‌های عملکردی می‌توانند جزئیات ارزشمندی درباره نحوه فعالیت یک شرکت، محصولات و پروژه‌های در حال توسعه، نقاط ضعف داخلی و بخش‌های در معرض ریسک آن آشکار کنند.

به گفته کارشناسان، حساسیت یک داده تنها به قرار گرفتن آن در تعریف محدود PII وابسته نیست؛ بلکه ارزش عملیاتی و اطلاعاتی آن نیز باید در ارزیابی ریسک در نظر گرفته شود. در همین راستا، حفاظت از داده‌های کارکنان باید بر اساس میزان حساسیت واقعی داده‌ها، سطح دسترسی‌ها و پیامدهای احتمالی افشای آن‌ها طراحی شود، نه صرفاً بر مبنای اینکه این اطلاعات در دسته PII قرار می‌گیرند یا خیر.

از پلتفرم داده تا سطح ریسک و مسئولیت‌پذیری امنیتی

پژوهشگران امنیت سایبری تأکید می‌کنند داده‌های عملکردی کارکنان، از جمله کلیدهای فشرده‌شده صفحه‌کلید، اسکرین‌شات‌ها و الگوهای استفاده، باید به‌صورت پیش‌فرض داده‌هایی حساس در نظر گرفته شوند. به گفته پژوهشگران، اگر چنین داده‌هایی برای آموزش سیستم‌های هوش مصنوعی استفاده شوند، سازمان‌ها باید با آن‌ها مانند اطلاعات حساس محیط عملیاتی برخورد کنند، نه اینکه آن‌ها را صرفاً خروجی‌های جانبی تحلیل تلقی نمایند.

پژوهشگران هشدار می‌دهند زمانی که هزاران جدول داده داخلی بدون محدودیت‌های دسترسی مناسب در دسترس قرار می‌گیرد، سازمان دیگر با یک زیرساخت داده معمولی مواجه نیست؛ بلکه یک سطح گسترده از ریسک امنیتی و مسئولیت‌پذیری ایجاد می‌شود. به گفته پژوهشگران ، اعتماد کارکنان اکنون بخشی از کنترل‌های امنیتی محسوب می‌شود؛ زیرا کاهش اعتماد به نحوه مدیریت داده‌ها می‌تواند هم احتمال تهدیدات داخلی را افزایش دهد و هم به اعتبار سازمان لطمه وارد کند.

همچنین پژوهشگران امنیتی معتقدند مسئله اصلی تنها داده‌هایی نیست که ممکن است در معرض دسترسی قرار گرفته باشند؛ بلکه چالش مهم‌تر، از بین رفتن اعتماد کارکنان به سیاست‌ها و سازوکارهای امنیتی سازمان است. زمانی که کارکنان نسبت به نحوه مدیریت داده‌هایشان توسط سازمان دچار تردید شوند، این بی‌اعتمادی می‌تواند به سایر سیاست‌های امنیتی نیز سرایت کند و پیامدهایی مانند دور زدن فرآیندها ، بی‌توجهی تدریجی به الزامات امنیتی و کاهش تمایل کارکنان برای مطرح کردن هشدارها و نگرانی‌های امنیتی را به دنبال داشته باشد.

این پرونده نشان می‌دهد حفاظت از داده‌های کارکنان در پروژه‌های مبتنی بر هوش مصنوعی، صرفاً یک چالش فنی نیست؛ بلکه به حاکمیت داده (Data Governance)، اعتماد سازمانی، مدیریت ریسک و توانایی سازمان در توسعه کنترل‌های امنیتی متناسب با حساسیت داده‌ها وابسته است.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید