ملخص

  • حادثة PageUp لعام 2018 مهمة لأن منصة التوظيف كخدمة (SaaS) كانت وسيطًا بين أرباب العمل الذين اشتروا الخدمة والمتقدمين الذين تمت معالجة سجلاتهم الشخصية والتوظيفية والفحصية من خلالها.
  • سؤال المساءلة هو من كان لديه السيطرة العملية على حفظ بيانات المتقدمين وحدود المستأجرين لأرباب العمل ونطاق الخرق وإخطار العملاء والعملية البديلة لسير عمل التوظيف وإثبات أن ادعاءات الإصلاح للمنصة كانت أكثر من مجرد طمأنة.
  • السجل العام يدعم الحذر: وصفت PageUp والتقارير العامة نشاطًا غير مصرح به واحتمالية خطر الوصول، بينما أكدت التقارير اللاحقة أن المحققين لم يعثروا على أدلة محددة على تسريب البيانات. هذان بيانان مختلفان ولا ينبغي الخلط بينهما.
  • أجبر الحادث الجامعات والشركات وأرباب العمل في القطاع العام والمتقدمين ومسؤولي التوظيف والجهات التنظيمية على الاعتماد على النطاق الجنائي لمنصة واحدة وسلسلة الاتصالات حتى عندما لم يكن لديهم وصول مباشر إلى سجلات المنصة.
  • تتعامل هذه المقالة مع تقارير مكتب مفوض المعلومات الأسترالي (OAIC) عن خرق البيانات القابل للإبلاغ وإشعارات العملاء العامة ومواد الأمان والخصوصية الحالية لـ PageUp والتقارير المعاصرة كأدلة عامة. وهي لا تدعي الوصول إلى سجلات PageUp الخاصة أو سجلات المستأجرين للعملاء أو الصور الجنائية أو بيانات التعرض لكل متقدم على حدة.

لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة

ينتمي PageUp إلى ملف المخاطر والمساءلة لأن برامج التوظيف ليست مجرد وسيلة راحة خلفية عادية. إنها نظام حفظ بيانات للأشخاص الذين غالبًا ما يكونون في وضع تفاوض ضعيف. الشخص الذي يتقدم لوظيفة في جامعة أو هيئة عامة أو متجر بيع بالتجزئة أو شركة طاقة أو مؤسسة قد لا يعرف PageUp بالاسم. يرى المتقدم العلامة التجارية لصاحب العمل، ويحمل سيرته الذاتية، ويكتب رسائل التغطية، ويدخل بيانات الاتصال، ويسرد تاريخ التوظيف، ويجيب على أسئلة الفحص، وأحيانًا يقدم معلومات الهوية أو المراجع أو التأشيرة أو فحص الخلفية. اختار صاحب العمل المنصة. قدم المتقدم البيانات لأن سير عمل التوظيف لصاحب العمل تطلب ذلك.

هذا الهيكل يغير سؤال المساءلة. في العديد من حوادث الخدمات السحابية، يكون لدى العميل الدافع على الأقل بعض الوسائل التعاقدية لطلب دليل من البائع. عادةً لا يكون لدى المتقدمين ذلك. قد يكون أول إشعار لهم من صاحب العمل، أو صفحة ويب جامعية، أو تقرير خرق عام، أو قصة إعلامية. لا يمكنهم فحص عزل المستأجرين للبائع أو بنية قاعدة البيانات أو الاحتفاظ بالسجلات أو الجدول الزمني للحادث أو نتائج الطب الشرعي. لا يمكنهم اختيار معالج توظيف مختلف لطلب وظيفة سابق. لا يمكنهم بسهولة معرفة ما إذا كانت سيرتهم الذاتية القديمة أو عنوانهم أو رقم هاتفهم أو جدولهم الزمني للتوظيف أو إجابة الفحص أصبحت الآن جزءًا من سطح التصيد أو خطر سرقة الهوية.

يبدأ الدليل العام بحقيقة أن PageUp كشفت عن حادث أمني يؤثر على منصة التوظيف الخاصة بها في عام 2018. وصفت التقارير المعاصرة فيhttps://www.securityweek.com/hr-software-firm-pageup-suffers-data-breach/أن PageUp حذرت العملاء بعد اكتشاف نشاط غير مصرح به. أظهرت التقارير العامة الأسترالية فيhttps://www.abc.net.au/news/2018-06-06/australian-data-may-be-compromised-in-pageup-security-breach/9840048وhttps://www.theguardian.com/technology/2018/jun/07/thousands-of-job-seekers-details-potentially-exposed-in-hackلماذا أصبح الحدث بسرعة أكثر من مجرد حادث بائع: كان على أرباب العمل الرئيسيين والجامعات شرح المخاطر المحتملة للمتقدمين للوظائف ومرشحي الموظفين.

تقرير مكتب مفوض المعلومات الأسترالي لمدة 12 شهرًا حول رؤى خروقات البيانات القابلة للإبلاغ فيhttps://www.oaic.gov.au/privacy/notifiable-data-breaches/notifiable-data-breaches-publications/notifiable-data-breaches-scheme-12-month-insights-reportمهم لأنه أطر السنة الأولى من نظام الإخطار الإلزامي الأسترالي وناقش ظروف الخرق متعدد الأطراف. نسخة PDF فيhttps://www.oaic.gov.au/__data/assets/pdf_file/0016/2356/ndb-scheme-12month-insights-report.pdfمفيدة كسجل ثابت. كان PageUp هو نوع الحدث الذي يختبر ما إذا كان نظام الخرق يمكنه التعامل مع موفري الخدمات السحابية الذين يعالجون المعلومات للعديد من كيانات العملاء في وقت واحد. يمكن لحادث منصة واحدة أن ينتج العديد من الإخطارات النهائية والعديد من الأشخاص المتأثرين المشوشين والعديد من الواجبات المتداخلة.

لذلك فإن السؤال الأساسي ليس "هل سُرقت بيانات كل متقدم؟" الدليل العام لا يدعم هذا الادعاء الصريح. السؤال الأقوى هو: من الذي سيطر على الدليل اللازم لتحديد من كان معرضًا للخطر؟ PageUp سيطرت على المنصة والمشاركة الجنائية وقناة اتصال العملاء والقدرة على قول ما هي الأنظمة المعنية والدليل الفني على الاحتواء. سيطر العملاء على علاقاتهم مع المتقدمين والإشعارات العامة وقرارات سير عمل التوظيف. لم يتحكم المتقدمون في أي من الحقائق تقريبًا.

هذا هو السبب في أن القضية تناسب موضوعات الاعتماد على الخدمات السحابية وسيادة البيانات والمحلية وأتمتة برمجيات المؤسسات. أصبحت وظيفة التوظيف اعتمادًا على السحابة. كانت البيانات في علاقة معالج مع التزامات قضائية وخصوصية. كان سير العمل مؤتمتًا بما يكفي لدرجة أن انقطاع المنصة أو تعليقها يمكن أن يعطل التوظيف. تظهر مشكلة المساءلة من هذا المزيج.