Pinterest'in, işten çıkarmalar sırasında hangi iş arkadaşlarının şirket içi araçlardan çıkarıldığını belirlemek için komut dosyaları yazan ve ardından bu listeyi daha geniş bir kitleyle paylaşan iki mühendisi işten çıkardığı bildirildi. Yüzeyde bu bir iş yeri draması hikayesi. Ancak altında, modern şirketlerin aslında nasıl işlediğine dair alışılmadık derecede açık bir vaka çalışması yatıyor: doğruluk kaynağı olarak kimlik sistemleri, fiili organizasyon şemaları olarak sohbet platformları ve sosyal olarak kabul edilebilir hale gelmeden çok önce teknik olarak erişilebilir olan "dahili veriler".
Bu olay Pinterest'in ötesinde de önem taşıyor çünkü neredeyse her teknoloji şirketinde aynı unsurlar mevcut: merkezi kimlik yönetimi, Slack veya Teams, İK sistemleri ve uzun bir iç kontrol paneli ve API zinciri. İşler sakin olduğunda, kimse gözlemlenebilirlik ve gözetim arasındaki çizgiyi fazla düşünmez. İşten çıkarmalar olduğunda ise bu çizgi belirginleşir.
Bu açıklamada, muhtemelen neler yaşandığına, bu tür izlemenin neden cazip geldiğine, etik ve politika sınırlarını nerede aştığına ve kuruluşların hem gizlilik zararlarını hem de gizli bilgi toplama dürtüsünü azaltmak için neler yapabileceğine bakacağız.
Neler oldu (ve burada "senaryo" muhtemelen ne anlama geliyor)
BBC'ye göre Pinterest, "iki mühendisin, işten çıkarılan tüm çalışanların konumlarını ve isimlerini belirlemek için gizli şirket bilgilerine usulsüz bir şekilde erişen özel komut dosyaları yazdığını ve ardından bunu daha geniş bir kitleyle paylaştığını" belirterek, bunun bir politika ihlali ve etkilenen personel için bir gizlilik sorunu olduğunu söyledi. Haberde ayrıca, mekanizmanın "Slack gibi" bir iç iletişim aracında çalışan isimlerinin kaldırılmasını veya devre dışı bırakılmasını izlemek olarak tanımlandığı belirtildi.
Birçok şirkette Slack (veya benzeri) doğrudan kimlik sağlayıcıya (Okta, Azure AD, Google Workspace vb.) bağlıdır. Bir hesap devre dışı bırakıldığında, bir dizi işlem gerçekleşir: erişim belirteçleri sona erer, gruplar değişir ve kullanıcı belirli dizin aramalarında, kanallarda ve entegrasyonlarda görünmez hale gelir. API erişiminiz varsa (sadece okuma erişimi bile olsa), durum değişikliklerini tespit ederek kimin hesabının kapatıldığını genellikle kolayca anlayabilirsiniz:
- Kullanıcı "aktif kullanıcılar" listesinden kayboluyor.
- Kullanıcının profili devre dışı bırakılır.
- Bir bot artık onlara özel mesaj gönderemez.
- Üyelikleri kanallar veya kullanıcı grupları arasında değişiklik gösterir.
Bu bağlamda bir "komut dosyası" karmaşık olmak zorunda değil. Birkaç düzine satırlık bir kod parçası, bir API'yi sorgulayabilir, dünkü kullanıcı listesini bugünküyle karşılaştırabilir ve bir uyarı verebilir. Tamamen teknik bir bakış açısından, mühendislerin meşru operasyonel görevler için kullandığı aynı kalıptır: Değişikliği tespit etmek için iki anlık görüntüyü karşılaştırmak.
Aradaki fark, neyin tespit edildiği (insanlar), neden tespit edildiği (işten çıkarmalar) ve sonuçların nereye gittiğidir (geniş çapta paylaşılması).
İşten çıkarmalar sırasında çalışanlar neden böyle yapıyor?
İşten çıkarmalarla ilgili rahatsız edici bir gerçek var: İnsanlar genellikle yönetim herhangi bir açıklama yapmadan önce olayın şeklini yan kanallardan öğreniyorlar. Bazen bunun nedeni yönetimin henüz ayrıntıları paylaşamamasıdır. Bazen de "ayrıntılar üzerinde çalışıyoruz" ifadesi "söylemek istemiyoruz" anlamına gelen bir örtmecedir.
Dolayısıyla çalışanlar var olan her türlü sinyale yönelirler:
- Arkadaşlar birdenbire sessizliğe büründüler.
- Takvim davetiyeleri kayboluyor.
- Depolara erişim iptal edildi.
- Slack'teki durum değişiyor veya kişi rehberden kayboluyor.
Bu sinyalleri takip etmek, bir tür öz savunma gibi hissettirebilir. İnsanlar şunları bilmek istiyor:
- Ekibim etkileniyor mu?
- Yöneticim işten mi çıkarıldı?
- En yakın çalışma arkadaşlarım hâlâ burada mı?
- Şirketin durumu iyi mi, yoksa daha büyük bir yeniden yapılanma mı söz konusu?
Bu motivasyon insana özgü ve tahmin edilebilir. Ancak tahmin edilebilir davranışlar yine de zararlı davranışlar olabilir.
Gizlilik sorunu: işten çıkarılma durumu hassas bir bilgidir.
İşten çıkarılma olayı sadece "işle ilgili önemsiz bir konu" değildir. Bu, bir kişinin iş durumuyla ilgili hassas kişisel bilgilerdir ve genellikle sosyal haklar, göçmenlik, sağlık sigortası ve gelecekteki iş olanaklarıyla bağlantılıdır.
Bir şirket personel sayısında azalma olacağını kamuoyuna duyurmayı planlasa bile, işten çıkarılacak kişilerin kimlikleri ve bulundukları yerler genellikle yalnızca bilmesi gereken kişilere açıklanır:
- İnsan kaynakları ve bordro departmanının detaylara ihtiyacı var.
- BT departmanının işten ayrılma sürecini yürütmesi gerekiyor.
- Yasal gerekliliklerin uyumluluğu sağlaması gerekiyor.
- Yöneticilerin ekipleriyle doğrudan iletişim kurmaları gerekir.
İşten çıkarılan çalışanların listesinin kurum içinde geniş çaplı paylaşımı farklı bir durumdur. Bu durum şunları içerebilir:
- Etkilenen kişinin anlatıyı kontrol etme yeteneğini ortadan kaldırın.
- Birinin konumunu veya bağlı olduğu takımı ifşa etmek.
- Dedikoduyu ve spekülasyonu teşvik edin ("Gösteri miydi?", "Siyasi miydi?").
- Şirket dışında hedefli taciz veya kişisel bilgilerin ifşa edilmesi riskini artırır.
Pinterest'in eski meslektaşlarının gizliliğini ihlal ettiği yönündeki açıklaması sadece bir halkla ilişkiler taktiği değil. Bu, gerçek bir zarar türüdür.
Güvenlik sorunu: erişim kontrolü, yetkilendirme ile aynı şey değildir.
Birçok dahili sistem kaba yetkilendirme esasına göre çalışır: eğer bir mühendisseniz, bir dizini sorgulayabilir veya dahili bir API'yi kullanabilirsiniz. Ancak bu, onu her amaç için kullanma yetkinizin olduğu anlamına gelmez.
İşte birçok kuruluşun zorlandığı nokta burası. Şu özelliklere sahip dahili araçlar geliştiriyorlar:
- Kullanımı kolay,
- Güçlü,
- Kötü yönetiliyor.
Ve sonra da temel güvenlik önlemi olarak politikalara ("bunu yapmayın") başvuruyorlar. Baskı yüksek olduğunda, yalnızca politikalara dayalı güvenlik önlemleri işe yaramaz.
NIST SP 800-53, kuruluşların erişim kontrolü ve denetim gibi kontrol ailelerini düşünmek için kullandığı standart kataloglardan biridir. Kontrol kimliklerine fazla takılmadan bile, temel fikir burada açıkça geçerlidir: veri erişimi kısıtlanmalı, izlenmeli ve özellikle hassas bilgi kategorileri için meşru iş amaçlarına atfedilmelidir.
Başka bir deyişle: "Teknik olarak bunu okuyabilirsiniz" ifadesi asla "Bunu okumanızda sakınca yok" şeklinde yorumlanmamalıdır.
Kültürel sorun: Slack, organizasyon şeması haline geldi.
Günümüzde çoğu şirketin iki paralel gerçekliği var:
- Resmi gerçeklik: İnsan kaynakları sistemleri, raporlama hatları, resmi duyurular.
- Yaşanan gerçeklik: Slack kanalları, grup mesajları, GitHub'daki bahsetmeler, nöbet rotasyonları.
Resmi sistemde bir değişiklik olduğunda (örneğin işten ayrılma süreci), bu durum canlı sistemde hemen gözle görülür sonuçlar doğurur. Çalışanlar bu sonuçları gerçek olarak yorumlarlar; bazen de liderlik iletişimlerine duydukları güvenden daha güçlü bir şekilde.
Bu uyumsuzluk ters bir teşvik yaratıyor:
- Eğer yönetim size neler olup bittiğini söylemiyorsa,
- Sızan telemetri verilerinden yola çıkarak onu yeniden oluşturacaksınız.
Bu olay, "iç şeffaflığın" sadece bir iletişim stratejisi değil, aynı zamanda bir bilgi güvenliği stratejisi olduğunu hatırlatıyor. İnsanlar gerçeği sızıntılardan yola çıkarak bir araya getirmek zorunda olduklarını hissederlerse, bunu yapacaklardır.
Mühendislerin çizgiyi geçtiği yer
Birinin neden böyle bir senaryo yazmış olabileceğini anlasanız bile, en az üç belirgin sınır aşılmaktadır:
1) Amaç sınırlaması
Veri kaynağı "gizli şirket bilgisi" ise, beklenti bunun işten çıkarma araştırması için değil, meşru bir iş fonksiyonu için kullanılmasıdır.
NIST'in Gizlilik Çerçevesi, gizlilik riskini yönetmeyi ve bireyleri koruyan uygulamaları kullanmayı vurgular. Pratik bir çeviriyle ifade etmek gerekirse, "verileri belirli, meşru amaçlar için toplayın ve kullanın ve yeni zararlar yaratan ikincil kullanımlardan kaçının."
İşten çıkarılan meslektaşları belirlemek için kullanılan bir komut dosyası neredeyse tanım gereği ikincil bir kullanım amacına hizmet eder: işten ayrılma sinyalleri, sistemleri korumak ve İK süreçlerini yürütmek içindir, dahili bir işten çıkarma listesi oluşturmak için değil.
2) Amplifikasyon
İnsanlar Slack'teki kaybolmaları kendiliğinden fark ederler; bu, ortam bilgi sızıntısıdır.
Bir komut dosyası, ortam sızıntısını yapılandırılmış bir veri kümesine (isimler, konumlar, muhtemel ekipler, işten çıkarılma zamanı) dönüştürür. Bu, güçlendirmedir: belirsiz sinyaller net bir listeye dönüştüğünde zarar potansiyeli hızla artar.
3) Yeniden Dağıtım
Elde edilen bilgilerin "daha geniş bir kitleyle" paylaşılması, bunun sadece bir merak ürünü olarak savunulmasını zorlaştıran adımdır. Hassas bilgiler için yeni bir dağıtım kanalı oluşturur ve yazarları, bilgilerin kötüye kullanılması durumunda sorumlu tutar.
Şirketlerin yapabilecekleri: sızıntıyı azaltmak, güveni artırmak ve kontrolleri sıkılaştırmak.
Çözümün "her şeyi kilitlemek" olduğu yönünde bir yanılgı var. Pratikte üç tamamlayıcı adıma ihtiyaç duyuluyor: yönetim, teknik kontroller ve iletişim.
1) İşten ayrılma süreçlerini hassas konular olarak ele alın ve gizliliğe önem vererek tasarım yapın.
İşten ayrılma süreci kaçınılmaz olarak sistemlerde değişikliklere yol açar, ancak bilgi kirliliğini azaltabilirsiniz:
- İletişim kurulana kadar, herkese açık dizin değişikliklerini en aza indirin.
- Kolayca ayırt edilebilen toplu kullanıcı silme işlemlerinden kaçının.
- Güvenlik açısından kritik olmayan bazı güncellemeleri saatlerce geciktirmeyi düşünün, böylece bunlar gerçek zamanlı işten çıkarma akışı görevi görmesin.
Amaç, gerçeği sonsuza dek gizlemek değil. Amaç, acı verici bir olayı bir bilgi avına dönüştürmekten kaçınmaktır.
2) Amaca yönelik erişim kontrolleri ve günlük kaydı ekleyin.
Eğer dahili API'ler çalışan durumundaki değişiklikleri büyük ölçekte ortaya çıkarabiliyorsa, o zaman:
- Erişim, yalnızca ihtiyaç duyan rollerle sınırlandırılmalıdır.
- Toplu ihracatın gerekçelendirilmesi gerekmektedir.
- Sorgular, kimlik ve amaç belirtilerek kaydedilmelidir.
- Otomatik anketler öne çıkmalıdır.
İşte burada “denetim ve hesap verebilirlik” zihniyeti önem kazanıyor: Eğer bir komut dosyası kullanıcıları listeliyor ve uyarılar veriyorsa, tespit mekanizmasını tetiklemelidir.
3) İşten çıkarmalar için insancıl bir iletişim planınız olsun.
Gölge izlemenin en büyük itici gücü belirsizliktir.
Şirketler, açık ve şeffaf davranarak dahili araçlardan veri çekme dürtüsünü azaltabilirler:
- Etkilenen çalışanlara ne zaman bilgi verilecek?
- Takımlar ne zaman bilgilendirilecek?
- Neler paylaşılabilir ve ne zaman?
- Doğrulanmış güncellemeler için insanlar nereye başvurmalı?
Liderlik ekibi zamanında ve spesifik bilgiler sağlarsa, kendin yap listelerine olan "ihtiyaç" ortadan kalkar.
4) Çalışanlara iş arkadaşlarını kontrol etmeleri için onaylanmış bir yöntem sağlayın.
Bu ince ama önemli bir nokta. İnsanlar sadece meraklı değil, aynı zamanda işlerini koordine etmeye ve arkadaşlarının durumunu kontrol etmeye çalışıyorlar.
Zaman damgası, konum veya liste içermeyen basit, onaylanmış bir dizin durumu mesajı ("bu hesap artık aktif değil") kitlesel yeniden yapılandırmaya olanak tanımadan temel ihtiyaçları karşılayabilir.
Daha geniş bir eğilim: işten çıkarmalar bir bilgi güvenliği stres testi olarak
İşten çıkarmalar, yönetimdeki zayıf noktaları ortaya çıkarır çünkü şu durumlara yol açarlar:
- Hassas olayların ani bir şekilde artması,
- yüksek duygusal sıcaklık,
- ve erişimde çok fazla değişiklik oluyor.
İşte tam da bu noktada uç durumlar ortaya çıkıyor: çalışanların sistemlerden veri çekmesi, yöneticilerin doğaçlama yapması ve araçların hiç kimsenin tasarlamadığı şekillerde kullanılması.
Layoffs.fyi gibi siteler, insanların sektördeki işten çıkarmaların boyutuna dair bağımsız bir sinyal almak istemeleri nedeniyle var. Şirket içinde de aynı ihtiyaç mevcut; ancak sinyaller daha doğrudan ve riskler daha kişisel.
Özetle
Pinterest'in işten çıkarma takibi için yazılım geliştiren mühendisleri işten çıkarması sadece "meraklı olmayın" demekle kalmıyor. Bu, kurumsal güvenin azaldığı anda iç gözlemin iç gözetime dönüşebileceğine dair bir uyarı niteliğinde.
Eğer kullandığınız araçlar, kimlik bilgilerinin işten çıkarılan iş arkadaşlarının listesine kolayca dönüştürülmesini sağlıyorsa, insanlar bunu yapacaklardır - özellikle de işten çıkarmalar sırasında. Çözüm sadece bu kodu yazanları cezalandırmak değil; işten ayrılma sürecini veri sızıntısına dönüştürmeyen ve istihdam durumunu hassas bir bilgi olarak ele alan sistemler ve iletişim uygulamaları oluşturmaktır.