रिमोट हायरिंग में बाइंडिंग की समस्या

हायरिंग पहचान सत्यापन प्रक्रिया मूल रूप से दो संकीर्ण प्रश्नों का उत्तर देने के लिए डिज़ाइन की गई थी: क्या इस व्यक्ति ने कोई अपराध किया है, और क्या उन्हें यहाँ काम करने की कानूनी अनुमति है? I-9 फॉर्म उस उद्देश्य को सटीक रूप से दर्शाता है। इसका मूल कार्य नियोक्ता और कर्मचारी के बीच आयकर संबंध स्थापित करना है। आपराधिक बैकग्राउंड जाँच बाद में सामान्य हुई, और दोनों में से किसी को भी बहु-सिस्टम हायरिंग पाइपलाइन को ध्यान में रखकर डिज़ाइन नहीं किया गया था... क्योंकि बहु-सिस्टम हायरिंग पाइपलाइन तब अभी तक मौजूद नहीं थी। जब हायरिंग भौतिक कार्यालयों में होती थी, तो पहचान सत्यापन काफी हद तक एक अनुपालन चरण था। रिमोट भूमिकाओं के लिए रिमोट हायरिंग ने एक अलग प्रकार के जोखिम को पेश किया, और समस्या तब और बढ़ गई जब AI टूल ने प्रतिरूपण को आसान बना दिया।

जो अब मौजूद है वह एक हायरिंग वर्कफ़्लो है जो आमतौर पर छह या अधिक स्वतंत्र सिस्टम में फैला हुआ है: एक ATS, एक बैकग्राउंड चेक विक्रेता, एक कौशल मूल्यांकन प्लेटफ़ॉर्म, एक वीडियो साक्षात्कार टूल, एक HRIS, और एक IdP। प्रत्येक अपने स्वयं के विश्वास दायरे में काम करता है, प्रत्येक अपनी स्वयं की विशिष्टता को संतुष्ट करता है। उस श्रृंखला में कोई भी सिस्टम उनके बीच हैंडऑफ पर क्या होता है इसके लिए जिम्मेदार नहीं है। वह अंतर एक कॉन्फ़िगरेशन समस्या नहीं है; यह आर्किटेक्चरल है।

यह अभी क्यों महत्वपूर्ण है

प्रतिरूपण धोखाधड़ी में तेज़ी से वृद्धि ने "क्या यह उम्मीदवार वही है जो वे होने का दावा करते हैं" प्रश्न को महत्वपूर्ण बना दिया, और फिर DPRK IT कर्मचारी अभियानों ने इसे बड़े पैमाने पर दृश्यमान किया। जैसा कि इन योजनाओं के संचालन के हमारे विश्लेषण में कवर किया गया है, वीडियो कॉल पर व्यक्ति, काम करने वाला व्यक्ति, और भुगतान प्राप्त करने वाला व्यक्ति तीन अलग-अलग व्यक्ति हो सकते हैं। तो जबकि हायरिंग पाइपलाइन में प्रत्येक चरण स्वतंत्र रूप से पास हो गया — प्रत्येक सिस्टम ने अपनी निर्धारित जाँच पूरी की — किसी ने यह पुष्टि नहीं की कि पूरी प्रक्रिया में वही व्यक्ति उपस्थित रहा।

क्या यह वही नहीं है जिसके लिए फ्रेमवर्क बनाए गए थे?

अधिकांश संगठन जिन फ्रेमवर्क को पहचान आश्वासन के बारे में सोचते समय संदर्भित करते हैं (NIST SP 800-63, FATF मार्गदर्शन, FINTRAC) एक अलग समस्या के लिए डिज़ाइन किए गए थे। NIST SP 800-63 पहचान प्रमाण को प्रमाणीकरण से अलग करता है, और व्यक्तिगत निर्भर पक्षों के लिए परिभाषित सत्रों या लेनदेन के भीतर आश्वासन स्तरों को सीमित करता है। FATF और FINTRAC विनियमित संस्थागत संदर्भों के भीतर पहचान, पते सत्यापन, और निगरानी दायित्वों को परिभाषित करते हैं। ये फ्रेमवर्क जो करने के लिए बनाए गए हैं उसके लिए सुसंगत और अच्छी तरह से निर्मित हैं: एक संस्था एक विषय को, एक बार सत्यापित करती है।

हायरिंग पाइपलाइन में क्रमिक रूप से कई उत्पत्ति और निर्भर पक्ष शामिल होते हैं: ATS से कौशल मूल्यांकन प्लेटफ़ॉर्म तक, वीडियो साक्षात्कार के माध्यम से बैकग्राउंड चेक प्लेटफ़ॉर्म तक, ऑनबोर्डिंग के माध्यम से और अंत में HRIS तक। कोई मानक यह परिभाषित नहीं करता कि एक द्वारा स्थापित आश्वासन अगले तक कैसे आगे ले जाया जाए।

पाइपलाइन कहाँ टूटती है

व्यावहारिक परिणाम यह है: प्रत्येक सिस्टम हैंडऑफ एक विश्वास सीमा का प्रतिनिधित्व करता है जहाँ पूर्व दावे सत्यापन से नहीं, बल्कि परंपरा से स्वीकार किए जाते हैं। एक कौशल मूल्यांकन के पास यह पुष्टि करने का कोई तंत्र नहीं है कि परीक्षण देने वाला वही विषय है जिसका बैकग्राउंड विक्रेता ने मूल्यांकन किया था। HRIS वर्कफ़्लो पूरा होने पर एक्सेस प्रावधान करता है, हर पूर्व दावे को बिना किसी पुनः सत्यापन के विरासत में लेता है। परिणाम एक अपुष्ट विषय से जुड़ी एक अनुपालन ऑडिट ट्रेल है।

कंपनियाँ स्वाभाविक रूप से अपने पहचान प्लेटफ़ॉर्म को उस सिस्टम के रूप में सोचती हैं जो उनके कर्मचारियों को समाहित करता है। यह फ्रेमिंग हायर के बाद एक्सेस प्रबंधन के लिए सटीक है। इसका अर्थ यह भी है कि उम्मीदवार हायर होने तक पूरी तरह पहचान टीम के डोमेन से बाहर रहते हैं, जो बाकी संगठन को ठीक तब कमज़ोर छोड़ देता है जब प्रतिरूपण जोखिम सबसे अधिक होता है। व्यवहार में, एकमात्र बाइंडिंग दावा जो पूरी पाइपलाइन में उम्मीदवार को जोड़ता है, वह आमतौर पर उनका नाम है।

"शौकिया सिस्टम को हैक करते हैं, पेशेवर लोगों को हैक करते हैं।" - Bruce Schneier

स्थान समाधान

सत्य स्थान, जब सही ढंग से लागू किया जाता है, इस समस्या को एक विशिष्ट तरीके से संबोधित करता है। अधिकांश हायरिंग स्टैक में, स्थान एक संबद्ध विश्वास स्तर के साथ एक मानकीकृत आश्वासन दावे के बजाय एक सादे फॉर्म फ़ील्ड के रूप में कैप्चर किया जाता है। स्व-रिपोर्ट किया गया पता सत्यापित स्थान के समान श्रेणी का दावा नहीं है। और स्थान परंपरागत रूप से एक कमज़ोर आश्वासन संकेत रहा है, क्योंकि एक लैपटॉप फार्म प्रभावी रूप से किसी भी अधिकार क्षेत्र में एक डिवाइस दिखा सकता है। जहाँ स्थान अर्थपूर्ण बन जाता है वह है जब इसे भौतिक उपस्थिति के प्रमाण के साथ जोड़ा जाता है।

कोई फ्रेमवर्क जो अंतर बंद नहीं करता

रोजगार वर्कफ़्लो को नियंत्रित करने वाला कोई व्यापक रूप से अपनाया गया नियामक ढाँचा नहीं है जो क्रॉस-सिस्टम विषय-निरंतरता आवश्यकता को परिभाषित करता हो। वह अनुपस्थिति का मतलब यह नहीं है कि आवश्यकता मौजूद नहीं है, बल्कि यह है कि संगठन वर्तमान में बाहरी मार्गदर्शन के बिना इसे पूरा करने के लिए जिम्मेदार हैं। घटक-स्तरीय अनुपालन पाइपलाइन-स्तरीय आश्वासन नहीं देता।

इसके बारे में क्या करें

रिमोट कर्मचारियों के लिए हायरिंग पाइपलाइन चलाने वाले किसी भी संगठन के लिए तत्काल प्रश्न यह है कि क्या उस पाइपलाइन का कोई सिस्टम क्रॉस-सिस्टम विषय-निरंतरता दावा उत्पन्न करता है; व्यावहारिक कदम उस ऑडिट से निकलते हैं। प्रत्येक सिस्टम का मानचित्र बनाएं और प्रत्येक विश्वास सीमा को स्पष्ट रूप से पहचानें। प्रत्येक नियंत्रण को पहचान-सत्यापित, स्थान-सत्यापित, या कौशल-सत्यापित के रूप में वर्गीकृत करें। पहचानें कि कौन से नियंत्रण — यदि कोई हो — उन दावों को पूरे अनुक्रम में एकल पुष्टि विषय से जोड़ते हैं। और फिर प्रत्येक सिस्टम विक्रेता से सीधे पूछें: क्या आपका आउटपुट एक विषय-बाइंडिंग दावा या एक बिंदु-समय कलाकृति मूल्यांकन शामिल करता है?

स्रोत

• NIST SP 800-63 Digital Identity Guidelines
• FINTRAC: Methods to Verify the Identity of Persons and Entities
• U.S. Department of State / Treasury / FBI Advisory on DPRK IT Workers (May 2022)