考试监督公司Proctorio的首席执行官说：“学生们假装关心他们的数据到哪里去了，这太滑稽了。”

封锁使得考试季节对教师和学生来说都是一个学习曲线。在没有真正通知的情况下，寻找新的考试方式的任务被强加给了机构，导致一些机构在海外寻找解决方案。因此，数以千计的英国学生被指示向美国技术开放他们的计算机，这些技术要求记录你的屏幕，管理你的下载，甚至可以跟踪你的眼球运动…。

自从在家工作成为现状以来，这种类型的技术一直登上新闻头条，普华永道(PwC)等公司选择了远程工作软件，不仅可以追踪员工的脸，还可以追踪他们的厕所。但是，当涉及到考试时，远程监考开始看起来像是“新常态”。

我采访了美国Proctorio公司的首席执行官迈克·奥尔森(Mike Olsen)，根据Google Chrome的数据，该公司提供远程监考服务，用户超过90万。他解释了这个看似陌生的侵入性软件的幕后真实情况。

在添加扩展之前，Proctorio要求广泛的权限，使其能够“锁定”考生的计算机，防止作弊和检测抄袭。意识到这会吓到一些学生，该公司在其Google Web Store页面上解释了自己的理由。在谈到“阅读和更改你访问的网站上的所有数据”的能力时，他们向用户保证：“听起来像…这样可怕得多。”

学生们当然已经注意到了你必须授予这款应用程序的权限的广度，甚至有4000多名学生在澳大利亚国立大学(Australian National University)签署了一份请愿书，要求放弃这款软件。迈克开玩笑说，公司面临着学生的强烈反对，他们不知道自己在说什么。“学生们假装关心他们的数据到哪里去了，这太滑稽了。不管他们是不是作弊，我并不真的在乎，但他们出去后就会说些什么。他们不做任何研究，他们只是编造一些东西，然后它被放大了，这在过去的几个月里非常令人沮丧。“。

他将此归咎于糟糕的营销策略：“我认为这是我们目前最大的问题，我们的营销部门在沟通方面做得太差了，特别是对最终用户和学生。”

他还强调，严格来说，Proctorio并不是要求使用这些权限。相反，教育机构自己决定他们希望如何监控他们的学生。关于通过网络摄像头扫描学生房间的能力，迈克说：“嗯，这是学校开启的一种设置。默认情况下，它不会打开。我们实际上没有任何违约情况。这是他们想要的。如果有问题，我们只是提供者，你需要和机构谈谈。“。

其中一个这样的机构是国家记者培训委员会(NCTJ)，他们提供在线评估，作为一种替代方案，可以推迟考试，直到有可能亲自参加考试。他们的质量和评估负责人雷切尔·曼比(Rachel Manby)告诉我，他们为什么选择使用屏幕录制和网络摄像头监控，以及为什么不选择开卷考试。

我们已经在Proctorio软件中启用了网络摄像头监控，以便我们能够识别考试期间可能发生的任何可疑或实际的不当行为。我们已经启用了屏幕锁定，因此考生在考试期间无法访问互联网，例如查找答案或与其他考生交流。这使我们能够保护我们评估的安全性和评估结果的可靠性和有效性。

“NCTJ文凭级别的考试，无论是远程授课还是中心授课，都是闭卷评估，以保持文凭资格的完整性，并确保所有考生的授课方式一致和公平。根据数据保护要求(包括遗忘权)，Proctorio在我们考试期间捕获的数据安全地存储在NCTJ中，NCTJ工作人员仅出于质量保证的目的对其进行审查。“。

迈克说，在大流行之前，普罗科托里奥主要是一家总部设在美国的公司，但现在更多地是欧洲人：“我们真的看到这种集中在美国，现在它刚刚在全球范围内爆炸式增长，甚至在欧洲也是如此。欧洲人更传统，是教室，是校园，是铅笔和纸。几乎必须在一夜之间发生的事情是，他们必须向数字化转型，他们必须以新的格式转型为新的考试。“。

封锁肯定让他们的生意蒸蒸日上。他说：“我们的系统是为负荷而设计的，而且做得很好。但作为一家公司，我们还没有做好应对需求的准备。举个例子，在三周的时间里，我们得到了1900条线索。我们没有销售团队让他们加入-这是我们遇到的规模问题。我们正在走出困境，但需求并没有放缓。“。

该应用程序的主页上印有一系列徽标，并引用了亚马逊、杜克大学和华盛顿大学的客户。目前，他们的网站上写着：“我们与400多所大学、机构和公司合作，提供安全、可靠、经济实惠的远程监督、身份验证和原创认证”。

在5月下旬接受采访时，这些机构中有15家在英国，包括皇家兽医学院(Royal Veterinary College)、霍特国际商学院(Hult International Business School)和NCTJ，在接下来的两周内还将成立另外10家机构。

启用了这么多权限后，我告诉Mike，学生们可能会担心Proctorio是数据窃取和欺诈的金矿，他们想知道为什么它需要所有这些功能。“我们基本上要求了我们需要的一切。因此，假设考试具有所有安全功能、所有录制功能、所有功能都已启用，我们请求所有权限并使用这些权限。

“那是个错误，我认为那是懒惰的。当涉及到工程时，这是一个懒惰的错误，更容易预先要求所有的东西，而现在我们没有使用它。但是，再说一次，从你的角度来看，你不知道，你怎么能相信这一点。因此，我们将转向不同的模式。“

这款新机型计划于今年夏天发布，它将要求“所需的最低权限”，并使用一个名为“沙箱”的概念，通过网页作为浏览器扩展进行操作。

他说：“网站运行一种沙盒概念，这意味着它们不能访问个人文件，所有这些文件都不能被触及。因此，如果我们以浏览器扩展的方式操作，我们也可以在沙箱中操作，这给了我们足够的访问权限来保护内容，但它没有给我们任何大多数人关心的访问权限：个人文件，能够在我们想打开的时候打开，在你的系统上安装东西。它只是一个浏览器扩展。“。

在远程监管界，这是新奇的，Mike很高兴他的竞争对手正在复制它们：“不幸的是，竞争对手仍然使用远程控制软件。你在你的电脑上安装一些东西，他们会控制你，他们会移动你的鼠标，点击你的键盘。但我们不想这样运作。“。

迈克表示，普罗科托里奥的模式为隐私和效率带来了奖金。与一些竞争对手使用人工(他说是在印度的呼叫中心)通过网络摄像头监控学生不同，普罗科托里奥使用人工智能来保护隐私。因此，他说，授权一名学生使用这款应用程序一整年的费用相当于与使用人工监考的竞争对手进行1-1.5次考试的费用。

客户可以选择其数据的存储位置。Mike说，当客户入驻时，他们会选择一个区域，所有数据都会流经该区域并存储在该区域中，而不需要离开。他们提供专门针对美国、英国和德国的存储，以及一般的欧盟地区空间和印度、加拿大和澳大利亚的存储。遵守的隐私法还将取决于与之签约的地区。

然而，Proctorio确实使用微软数据中心，由于担心美国爱国者法案可能使美国政府能够收集恐怖主义或间谍调查的信息材料，微软数据中心多年来一直是一些审查的对象。

但迈克认为，微软的问题现在基本上已经得到解决。“我知道很早就有人担心，因为美国”爱国者法案“(US Patriot Act)实际上会允许美国政府获取数据。我知道微软已经找到了绕过这一问题的方法，他们并不拥有数据中心。它们总部设在德国，但授权给微软。他们只是让他们的客户访问它。这有效地消除了美国爱国者法案生效的能力。“。

数据本身使用零知识加密进行存储。迈克说，这意味着即使数据流经美国也无关紧要，因为对于任何窥探它的人来说，它“基本上都是无用的”。为了解释这种加密技术是如何工作的，他打了个比方。

“比方说，我是一家为一家律师事务所保存文件的公司，在他们把文件寄给我之前，他们把它撕碎了。我把粉碎的文件储存起来，然后当他们需要的时候，他们会有一些神奇的方法把它们变成纸。这会阻止我进行数据挖掘或训练算法，因为我存储的数据毫无用处。这就是为什么你不会看到很多公司这样做的原因。

他说，事实上，世界上只有大约六家公司在尝试使用这种形式的加密，因为想要利用数据从公司中榨取额外资金的投资者是不受欢迎的。他表示：“其中一个不同之处在于，我没有风险投资。”“你在任何地方都看不到零知识加密的原因，是因为我无法从我们存储的数据中挤出数据。这让我不能投资，对一家公司来说，这不会让我成为一个非常有吸引力的销售对象。“。

我采访了DataSecurityExpert.co.uk的创始人格雷姆·巴茨曼(Graeme Batsman)，了解他对这种存储方法的看法。他警告说，“如果老师声称可以解锁，那么零加密就会变得毫无用处”，如果没有双因素认证，钓鱼就更容易了。

我问Mike，这是否意味着链中最薄弱的一环是机构本身，以及他们是否使用双因素身份验证来解决这一问题。“我们已经在内部讨论过了。但目前还没有强制执行，所以这是该机构为获取学生成绩而制定的任何安全政策和程序。“。

迈克说，他很愿意引入双因素，尽管这将是一项巨大的投资，他正在努力设计这一点。

“Proctorio进行日常安全审计，包括渗透测试和漏洞评估”，其隐私和Cookies页面声称。但是，格雷姆告诉我，一个人做这件事会花费一大笔钱，所以如果这些测试是由脚本进行的，它们的价值将是有限的，因为脚本只能找到“世界上已知的东西”，而人类可以检测到未知的问题。

迈克承认，普罗科托里奥从未进行过人体测试，尽管6月1日开始的合同将引入人体审计师。“我们一直都有自动化测试。我们刚刚聘请了一家白帽保安公司，它将非常积极地进入，而不仅仅是使用自动化模型，实际上是人类。这是我们第一次这么做。“。

他说，这样做的目的将是通过三种方式“证明他们在做他们所说的事情”，以及他们做这件事的安全性：1)测试零知识加密，包括所使用的算法；2)分析数据流；3)积极攻击，试图窃取数据。

这将是他们第一次企图入侵。迈克说，该公司从未经历过企图入侵的事件，尽管他们曾面临过拒绝服务攻击，学生们试图让系统过载。

“通常情况下，如果一个学生不想参加期末考试。我们在期末考试中最脆弱，因为我们的系统太紧张了。我们有数以万计的用户同时参加考试。因此，我们的正常模式就像是一次攻击；我们的系统通常只受到学生数据的攻击。“。

至于符合英国的安全标准，格雷姆警告说，美国的认证在英国没有太大的可信度。普罗科托里奥拥有国际标准化组织27001认证，根据itGovernment ance.co.uk的说法，这是“现有的最受欢迎的信息安全标准之一”，并得到了国际认可。

当被问及认证的范围时，Mike告诉我，ISO涵盖了所有三个实体，它主要关注技术认证：它涵盖了流程、数据流，以及连接和服务之间是否存在限制。

迈克希望他的下一次更新能消除一些学生的担忧，并想强调，由于植树抵消计划和考生不必使用燃料前往考试中心的事实，该公司是碳中性的。希望这能给环境科学专业的学生带来些许安慰。

我使用Proctorio是因为我正在参加NCTJ的考试，当我在推特上说下载这款应用感觉就像“出卖了我的童贞”时，当迈克亲自回复说他很高兴为我的故事做贡献时，我感到很惊讶！

迈克的坦率和透明度在相当晦涩深奥的科技世界中是不同寻常的，这本身就让我相信了他的意图。在搜索了Proctorio的网站后，我可以看到他们已经尽了最大努力来缓解用户的恐惧，尽管Mike认为他们的营销策略很糟糕，但我很同情。无论你怎么解释，一款控制你的电脑并扫描你卧室的应用程序本质上都很难推销。

使用这款应用程序的体验很简单，但下载它却让人伤脑筋：我坚持我的笑话，点击“添加扩展”按钮感觉像是违反了规定。因此，我很高兴普罗科托里奥的新模型将需要更少的权限，并希望它们能向学生传达他们使用的零知识加密的完整性。

我也很高兴Proctorio将开始使用人工审核员，但令我震惊的是，考虑到授予的权限是如此全面，他们花了6年时间才达到这一点。我也很惊讶他们没有在很久以前引入双因素身份验证；仅仅输入电子邮件地址和密码就让老师可以访问学生数据似乎是不负责任的，这显然容易受到黑客的攻击。

然而，为Proctorio辩护，我很欣赏冠状病毒带来的需求激增，在这款应用程序仍在发展的时候，该公司受到了意想不到的关注。此外，我更喜欢能够在舒适的家里参加考试，而不需要花几个小时的时间旅行和坐在临床检查厅里。我希望Proctorio解决它的问题，这样学生就可以继续他们的教育，而不会增加数据安全的担忧，也不会觉得有义务发布讽刺的推文。

感谢Proctorio首席执行官Mike Olsen同意接受采访，感谢Graeme Batsman在数据安全标准方面的真知灼见。