Σύμφωνα με πληροφορίες, το Pinterest απέλυσε δύο μηχανικούς, οι οποίοι έγραψαν σενάρια για να εντοπίσουν ποιοι συνάδελφοι αφαιρούνταν από τα εσωτερικά εργαλεία κατά τη διάρκεια μιας απόλυσης — και στη συνέχεια μοιράστηκαν αυτήν τη λίστα ευρύτερα. Επιφανειακά, πρόκειται για μια ιστορία δράματος στον χώρο εργασίας. Κάτω από αυτό, υπάρχει μια ασυνήθιστα σαφής μελέτη περίπτωσης για το πώς λειτουργούν στην πραγματικότητα οι σύγχρονες εταιρείες: συστήματα ταυτότητας ως πηγή αλήθειας, πλατφόρμες συνομιλίας ως de facto οργανογράμματα και «εσωτερικά δεδομένα» που είναι τεχνικά προσβάσιμα πολύ πριν γίνουν κοινωνικά αποδεκτά.
Το περιστατικό έχει σημασία πέρα από το Pinterest, επειδή τα ίδια συστατικά υπάρχουν σχεδόν σε κάθε εταιρεία τεχνολογίας: κεντρική ταυτότητα, Slack ή Teams, συστήματα HR και μια μακρά σειρά εσωτερικών dashboards και API. Όταν οι καιροί είναι ήρεμοι, κανείς δεν σκέφτεται πολύ τη γραμμή μεταξύ παρατηρησιμότητας και επιτήρησης. Όταν συμβαίνουν απολύσεις, αυτή η γραμμή φωτίζεται.
Σε αυτήν την επεξήγηση, θα εξετάσουμε τι πιθανόν συνέβη, γιατί είναι δελεαστικό να κάνουμε αυτό το είδος παρακολούθησης, πού υπερβαίνει τα ηθικά και πολιτικά όρια και τι μπορούν να κάνουν οι οργανισμοί για να μειώσουν τόσο την βλάβη στην ιδιωτικότητα όσο και την επιθυμία για σκιώδη συλλογή πληροφοριών.
Τι συνέβη (και τι πιθανώς σημαίνει εδώ «ένα σενάριο»)
Σύμφωνα με το BBC, το Pinterest ανέφερε ότι «δύο μηχανικοί έγραψαν προσαρμοσμένα σενάρια, αποκτώντας πρόσβαση σε εμπιστευτικές πληροφορίες της εταιρείας για να εντοπίσουν τις τοποθεσίες και τα ονόματα όλων των απολυμένων υπαλλήλων και στη συνέχεια τα κοινοποίησαν ευρύτερα», χαρακτηρίζοντας το γεγονός παραβίαση πολιτικής και ζήτημα απορρήτου για το επηρεαζόμενο προσωπικό. Η αναφορά περιγράφει επίσης τον μηχανισμό ως παρακολούθηση για την αφαίρεση ή την απενεργοποίηση ονομάτων υπαλλήλων μέσα σε ένα εσωτερικό εργαλείο επικοινωνίας «όπως το Slack».
Σε πολλές εταιρείες, το Slack (ή παρόμοιο) συνδέεται απευθείας με τον πάροχο ταυτότητας (Okta, Azure AD, Google Workspace, κ.λπ.). Όταν ένας λογαριασμός απενεργοποιείται, ακολουθεί μια σειρά από αλυσίδες: τα διακριτικά πρόσβασης λήγουν, οι ομάδες αλλάζουν και ο χρήστης σταματά να εμφανίζεται σε συγκεκριμένες αναζητήσεις καταλόγων, κανάλια και ενσωματώσεις. Εάν έχετε πρόσβαση API (ακόμα και μόνο για ανάγνωση), μπορείτε συχνά να συμπεράνετε ποιος τερματίστηκε απλώς ανιχνεύοντας αλλαγές κατάστασης:
- Ένας χρήστης εξαφανίζεται από τη λίστα "ενεργοί χρήστες".
- Το προφίλ ενός χρήστη απενεργοποιείται.
- Ένα bot δεν μπορεί πλέον να τους στείλει μήνυμα.
- Η ιδιότητά τους ως μέλους αλλάζει μεταξύ καναλιών ή ομάδων χρηστών.
Ένα «script» σε αυτό το πλαίσιο δεν χρειάζεται να είναι περίπλοκο. Θα μπορούσε να είναι μερικές δεκάδες γραμμές κώδικα που εξετάζουν ένα API, συγκρίνουν τη λίστα χρηστών του χθες με τη σημερινή και εκπέμπουν μια ειδοποίηση. Από καθαρά τεχνική άποψη, είναι το ίδιο μοτίβο που χρησιμοποιούν οι μηχανικοί για νόμιμες λειτουργικές εργασίες: διαφοροποίηση δύο στιγμιότυπων για την ανίχνευση αλλαγών.
Η διαφορά είναι τι ανιχνεύεται (άτομα), γιατί ανιχνεύεται (απολύσεις) και πού καταλήγουν τα αποτελέσματα (κοινοποιούνται ευρέως).
Γιατί οι εργαζόμενοι το κάνουν αυτό κατά τη διάρκεια των απολύσεων
Υπάρχει μια δυσάρεστη αλήθεια για τις απολύσεις: οι άνθρωποι συνήθως μαθαίνουν τη μορφή του γεγονότος μέσω παράπλευρων καναλιών προτού η ηγεσία διευκρινίσει οτιδήποτε. Μερικές φορές αυτό συμβαίνει επειδή η ηγεσία δεν μπορεί να μοιραστεί ακόμη λεπτομέρειες. Μερικές φορές συμβαίνει επειδή η φράση «ακόμα επεξεργαζόμαστε τις λεπτομέρειες» είναι ευφημισμός για το «δεν θέλουμε να πούμε».
Έτσι, οι εργαζόμενοι αναζητούν όποια σήματα υπάρχουν:
- Οι φίλοι ξαφνικά σωπαίνουν.
- Οι προσκλήσεις ημερολογίου εξαφανίζονται.
- Η πρόσβαση στα αποθετήρια ανακαλείται.
- Η κατάσταση Slack αλλάζει ή το άτομο εξαφανίζεται από τον κατάλογο.
Η παρακολούθηση αυτών των σημάτων μπορεί να μοιάζει με αυτοάμυνα. Οι άνθρωποι θέλουν να μάθουν:
- Επηρεάζεται η ομάδα μου;
- Απολύθηκε ο διευθυντής μου;
- Είναι ακόμα εδώ οι πιο στενοί μου συνεργάτες;
- Είναι η εταιρεία εντάξει ή πρόκειται για μεγαλύτερη αναδιάρθρωση;
Αυτό το κίνητρο είναι ανθρώπινο και προβλέψιμο. Αλλά η προβλέψιμη συμπεριφορά μπορεί να είναι επιβλαβής συμπεριφορά.
Το πρόβλημα απορρήτου: η κατάσταση απόλυσης είναι ευαίσθητη πληροφορία
Ένα συμβάν απόλυσης δεν είναι απλώς «εργασιακά ερωτήματα». Είναι ευαίσθητες προσωπικές πληροφορίες σχετικά με την εργασιακή κατάσταση κάποιου, που συχνά συνδέονται με παροχές, μετανάστευση, ασφάλιση υγείας και μελλοντικές επαγγελματικές προοπτικές.
Ακόμα κι αν μια εταιρεία σχεδιάζει να ανακοινώσει δημόσια μείωση του προσωπικού, η ταυτότητα των ατόμων και η τοποθεσία τους συνήθως πρέπει να αποκαλύπτεται με βάση την αρχή της «ανάγκης γνώσης»:
- Το τμήμα ανθρώπινου δυναμικού και μισθοδοσίας χρειάζεται λεπτομέρειες.
- Το τμήμα IT πρέπει να εκτελέσει την αποεπιβίβαση.
- Νομικές ανάγκες για τη διασφάλιση της συμμόρφωσης.
- Οι διευθυντές πρέπει να επικοινωνούν απευθείας με τις ομάδες τους.
Η ευρεία εσωτερική κοινοποίηση μιας λίστας απολυμένων υπαλλήλων είναι διαφορετική. Μπορεί:
- Αφαιρέστε την ικανότητα του επηρεαζόμενου ατόμου να ελέγχει την αφήγηση.
- Αποκαλύψτε την τοποθεσία ή την ομάδα κάποιου.
- Ενθαρρύνετε τα κουτσομπολιά και τις εικασίες («ήταν παράσταση;» «ήταν πολιτικό;»).
- Αύξηση του κινδύνου στοχευμένης παρενόχλησης ή doxxing εκτός της εταιρείας.
Το πλαίσιο του Pinterest — ότι παραβίασε το απόρρητο πρώην συναδέλφων — δεν είναι απλώς δημόσιες σχέσεις. Είναι μια πραγματική κατηγορία βλάβης.
Το πρόβλημα ασφάλειας: ο έλεγχος πρόσβασης δεν είναι το ίδιο με την εξουσιοδότηση
Πολλά εσωτερικά συστήματα λειτουργούν με χονδρικά δικαιώματα: αν είστε μηχανικός, ίσως μπορείτε να υποβάλετε ερώτημα σε έναν κατάλογο ή να χρησιμοποιήσετε ένα εσωτερικό API. Αυτό δεν σημαίνει ότι έχετε εξουσιοδότηση να το χρησιμοποιείτε για κάθε σκοπό.
Εδώ είναι που πολλές οργανώσεις δυσκολεύονται. Δημιουργούν εσωτερικά εργαλεία που είναι:
- Εύχρηστος,
- Ισχυρός,
- Κακοδιοικούμενο.
Και στη συνέχεια βασίζονται στην πολιτική («μην το κάνετε αυτό») ως το κύριο προστατευτικό κιγκλίδωμα. Όταν η πίεση είναι υψηλή, τα προστατευτικά κιγκλιδώματα που βασίζονται μόνο στην πολιτική αποτυγχάνουν.
Το NIST SP 800-53 είναι ένας από τους τυπικούς καταλόγους που χρησιμοποιούν οι οργανισμοί για να σκεφτούν τις οικογένειες ελέγχου, όπως ο έλεγχος πρόσβασης και ο έλεγχος. Ακόμα και χωρίς να χαθούμε στα αναγνωριστικά ελέγχου, η βασική ιδέα εφαρμόζεται άψογα εδώ: η πρόσβαση στα δεδομένα θα πρέπει να περιορίζεται, να παρακολουθείται και να αποδίδεται σε νόμιμους επιχειρηματικούς σκοπούς — ειδικά για ευαίσθητες κατηγορίες πληροφοριών.
Με άλλα λόγια: η φράση «τεχνικά μπορείτε να το διαβάσετε αυτό» δεν πρέπει ποτέ να εκλαμβάνεται ως «μπορείτε να το διαβάσετε αυτό».
Το πολιτισμικό πρόβλημα: Το Slack έχει γίνει το οργανόγραμμα
Οι περισσότερες εταιρείες αντιμετωπίζουν πλέον δύο παράλληλες πραγματικότητες:
- Η επίσημη πραγματικότητα: συστήματα ανθρώπινου δυναμικού, γραμμές αναφοράς, επίσημες ανακοινώσεις.
- Η βιωμένη πραγματικότητα: Κανάλια Slack, ομαδικά DM, αναφορές στο GitHub, εναλλαγές εφημεριών.
Όταν κάτι αλλάζει στο επίσημο σύστημα (όπως η απομάκρυνση από την ομάδα), παράγει αμέσως ορατά τεχνουργήματα στο βιωμένο σύστημα. Οι εργαζόμενοι ερμηνεύουν αυτά τα τεχνουργήματα ως αλήθεια — μερικές φορές πιο έντονα από ό,τι εμπιστεύονται τις επικοινωνίες της ηγεσίας.
Αυτή η αναντιστοιχία δημιουργεί ένα στρεβλό κίνητρο:
- Αν η ηγεσία δεν σου πει τι συμβαίνει,
- θα το ανακατασκευάσεις από όποιες διαρροές τηλεμετρίας.
Αυτό το περιστατικό αποτελεί υπενθύμιση ότι η «εσωτερική διαφάνεια» δεν είναι απλώς μια στρατηγική επικοινωνίας — είναι επίσης μια στρατηγική ασφάλειας πληροφοριών. Αν οι άνθρωποι αισθάνονται ότι πρέπει να συνδυάσουν την πραγματικότητα από τις διαρροές, θα το κάνουν.
Όπου οι μηχανικοί πέρασαν τα όρια
Ακόμα κι αν κατανοήσετε το γιατί κάποιος μπορεί να δημιουργήσει ένα τέτοιο σενάριο, υπάρχουν τουλάχιστον τρεις φωτεινές γραμμές που διασταυρώνονται:
1) Περιορισμός σκοπού
Εάν η πηγή δεδομένων είναι «εμπιστευτικές πληροφορίες της εταιρείας», η προσδοκία είναι ότι θα χρησιμοποιηθεί για μια νόμιμη επιχειρηματική λειτουργία και όχι για αναγνώριση απολύσεων.
Το Πλαίσιο Απορρήτου του NIST δίνει έμφαση στη διαχείριση του κινδύνου απορρήτου και στη χρήση πρακτικών που προστατεύουν τα άτομα. Μια πρακτική μετάφραση είναι «συλλογή και χρήση δεδομένων για συγκεκριμένους, νόμιμους σκοπούς και αποφυγή δευτερογενών χρήσεων που δημιουργούν νέες βλάβες».
Ένα σενάριο για τον εντοπισμό συναδέλφων που έχουν απολυθεί είναι σχεδόν οριστικά μια δευτερεύουσα χρήση: τα σήματα αποχώρησης υπάρχουν για την προστασία των συστημάτων και την εκτέλεση διαδικασιών ανθρώπινου δυναμικού, όχι για τη δημιουργία μιας εσωτερικής λίστας απολύσεων.
2) Ενίσχυση
Οι άνθρωποι παρατηρούν τις εξαφανίσεις στο Slack οργανικά — αυτή είναι η διαρροή πληροφοριών από το περιβάλλον.
Ένα σενάριο μετατρέπει την περιβαλλοντική διαρροή σε ένα δομημένο σύνολο δεδομένων (ονόματα, τοποθεσίες, πιθανές ομάδες, χρόνος τερματισμού). Αυτό είναι ενίσχυση: η πιθανότητα βλάβης αυξάνεται απότομα όταν τα ασαφή σήματα μετατρέπονται σε μια καθαρή λίστα.
3) Αναδιανομή
Η «ευρεία» κοινοποίηση των αποτελεσμάτων είναι το βήμα που δυσκολεύει την υπεράσπισή τους ως απλή περιέργεια. Δημιουργεί ένα νέο κανάλι διανομής για ευαίσθητες πληροφορίες και καθιστά τους συγγραφείς υπόλογους για κατάντη κακή χρήση.
Τι μπορούν να κάνουν οι εταιρείες: να μειώσουν τις διαρροές, να αυξήσουν την εμπιστοσύνη και να αυστηροποιήσουν τους ελέγχους
Υπάρχει η εσφαλμένη αντίληψη ότι η λύση είναι «να κλειδώσουμε τα πάντα». Στην πράξη, χρειάζονται τρεις συμπληρωματικές κινήσεις: διακυβέρνηση, τεχνικοί έλεγχοι και επικοινωνία.
1) Αντιμετωπίστε τα γεγονότα αποβίβασης ως ευαίσθητα και σχεδιάστε με γνώμονα την ιδιωτικότητα
Η αποβίβαση αναπόφευκτα αλλάζει τα συστήματα, αλλά μπορείτε να μειώσετε την εξάτμιση πληροφοριών:
- Ελαχιστοποιήστε τις αλλαγές στον δημόσιο κατάλογο μέχρι να πραγματοποιηθούν επικοινωνίες.
- Αποφύγετε τις μαζικές αφαιρέσεις χρηστών που είναι εύκολο να διαφοροποιηθούν.
- Εξετάστε το ενδεχόμενο να καθυστερήσετε ορισμένες ενημερώσεις που δεν είναι κρίσιμες για την ασφάλεια κατά ώρες, ώστε να μην λειτουργούν ως ροή προσωρινής διακοπής σε πραγματικό χρόνο.
Ο στόχος δεν είναι να κρύψουμε την πραγματικότητα για πάντα. Είναι να αποφύγουμε να μετατρέψουμε ένα οδυνηρό γεγονός σε κυνήγι θησαυρού.
2) Προσθέστε ελέγχους πρόσβασης και καταγραφή βάσει σκοπού
Εάν τα εσωτερικά API μπορούν να αποκαλύψουν αλλαγές στην κατάσταση των εργαζομένων σε μεγάλη κλίμακα, τότε:
- Η πρόσβαση θα πρέπει να περιορίζεται στους ρόλους που την χρειάζονται.
- Οι μαζικές εξαγωγές θα πρέπει να απαιτούν αιτιολόγηση.
- Τα ερωτήματα θα πρέπει να καταγράφονται με ταυτότητα και πρόθεση.
- Η αυτοματοποιημένη δημοσκόπηση θα πρέπει να ξεχωρίζει.
Εδώ ακριβώς έχει σημασία η νοοτροπία του «ελέγχου και της λογοδοσίας»: εάν ένα σενάριο απαριθμεί χρήστες και εκπέμπει ειδοποιήσεις, θα πρέπει να ενεργοποιεί την ανίχνευση.
3) Να υπάρχει ένα ανθρώπινο σχέδιο επικοινωνίας για τις απολύσεις
Ο μεγαλύτερος παράγοντας που επηρεάζει την παρακολούθηση της σκιάς είναι η αβεβαιότητα.
Οι εταιρείες μπορούν να μειώσουν την παρόρμηση για την απόκρυψη εσωτερικών εργαλείων όντας σαφείς:
- Πότε θα ενημερωθούν οι εργαζόμενοι που επηρεάζονται;
- Πότε θα ενημερωθούν οι ομάδες;
- Τι μπορεί να μοιραστεί και πότε;
- Πού πρέπει να απευθύνονται οι χρήστες για επαληθευμένες ενημερώσεις;
Εάν η ηγεσία παρέχει έγκαιρες, συγκεκριμένες πληροφορίες, η «ανάγκη» για λίστες DIY μειώνεται.
4) Δώστε στους υπαλλήλους έναν εγκεκριμένο τρόπο ελέγχου των συνεργατών
Αυτό είναι διακριτικό αλλά σημαντικό. Οι άνθρωποι δεν είναι μόνο περίεργοι — προσπαθούν να συντονίσουν την εργασία τους και να ελέγξουν τους φίλους τους.
Ένα απλό, εγκεκριμένο μήνυμα κατάστασης καταλόγου («αυτός ο λογαριασμός δεν είναι πλέον ενεργός») χωρίς χρονικές σημάνσεις, τοποθεσία ή λίστες θα μπορούσε να ικανοποιήσει βασικές ανάγκες χωρίς να επιτρέψει τη μαζική ανακατασκευή.
Μια ευρύτερη τάση: οι απολύσεις ως τεστ αντοχής στην ασφάλεια των πληροφοριών
Οι απολύσεις αποκαλύπτουν αδύναμα σημεία στη διακυβέρνηση επειδή δημιουργούν:
- μια έκρηξη ευαίσθητων γεγονότων,
- υψηλή συναισθηματική θερμοκρασία,
- και πολλή απώλεια πρόσβασης.
Τότε ακριβώς βλέπετε ακραίες περιπτώσεις: εργαζόμενοι που καταστρέφουν συστήματα, διευθυντές που αυτοσχεδιάζουν και εργαλεία που χρησιμοποιούνται με τρόπους που κανείς δεν έχει σχεδιάσει.
Ιστότοποι όπως το Layoffs.fyi υπάρχουν επειδή οι άνθρωποι θέλουν ένα ανεξάρτητο μήνυμα σχετικά με την κλίμακα των περικοπών στον κλάδο. Μέσα σε μια εταιρεία, η ίδια ανάγκη υπάρχει — εκτός από το ότι τα μηνύματα είναι πιο άμεσα και τα διακυβεύματα είναι προσωπικά.
Συμπέρασμα
Η απόλυση μηχανικών από το Pinterest επειδή καταγράφουν σενάρια παρακολούθησης απολύσεων δεν είναι απλώς μια φράση «μην είστε αδιάκριτοι». Είναι μια προειδοποίηση ότι η εσωτερική παρατηρησιμότητα μπορεί να μετατραπεί σε εσωτερική επιτήρηση τη στιγμή που η εμπιστοσύνη στον οργανισμό μειώνεται.
Αν τα εργαλεία σας διευκολύνουν τη μετατροπή της αλλαγής ταυτότητας σε μια λίστα απολυμένων συναδέλφων, οι άνθρωποι θα το κάνουν - ειδικά κατά τη διάρκεια των απολύσεων. Η λύση δεν είναι μόνο η τιμωρία των ανθρώπων που έγραψαν το σενάριο. Είναι η δημιουργία συστημάτων και πρακτικών επικοινωνίας που δεν μετατρέπουν την αποχώρηση από την εταιρεία σε διαρροή δεδομένων και που αντιμετωπίζουν την κατάσταση απασχόλησης ως την ευαίσθητη πληροφορία που είναι.