Никого уже не удивляет большое количество камер видеонаблюдения в общественных местах. Но правомерно ли их наличие в офисах компаний или на производстве?
Многие работодатели даже не скрывают своих намерений понаблюдать за тем, чем занимаются сотрудники на рабочем месте. Основными мотивами нанимателей являются: проверка честности сотрудников, их стремления трудиться на благо компании.
Способы присмотра за специалистами могут быть весьма разнообразными: все зависит от фантазии и возможностей нанимателя, службы безопасности организации.
Наиболее распространенные методы надзора за кадрами:
- видеонаблюдение,
- прослушка офисных телефонов (а порой и мобильных…),
- отслеживание электронных данных (проверка почты, отслеживание действий с файлами, частота выхода в интернет, посещаемые странички и проч.),
- электронные пропускные системы.
Правомерно ли использование «шпионских инструментов»?
Как ни крути, работник все же обязан выполнять возложенные на него обязанности, соблюдать трудовую дисциплину, правила внутреннего распорядка и т.д. (ст. 21 ТК РФ).
В свою очередь, работодатель имеет право требовать от сотрудников исполнения ими трудовых обязанностей и бережного отношения к имуществу компании, соблюдения правил внутреннего распорядка (ст. 22 ТК РФ).
Но можно ли привлечь к ответственности работодателя, который тайно следит за сотрудниками в рабочее время? Этот вопрос мы задали эксперту.
Анастасия Фишкина, юрист юридической компании «ПРИОРИТЕТ» : «Да, можно. Негласное получение информации о лицах возможно только в случае прямого указания ФЗ «Об оперативно-розыскной деятельности». В иных ситуациях, за сбор сведений о частной жизни лица без его согласия работодатель может быть привлечен к:
- административной ответственности (ст. 13.11 КоАП РФ): предупреждение или наложение штрафа на юридических лиц – от 5 000 до 10 000 рублей .
-уголовной ответственности (ст. 137, 138 УК РФ): в частности, штраф в размере до 200 000 рублей или даже лишение свободы на срок до 2 лет с лишением права занимать определенные должности на срок до 3 лет .
Кроме того, ФЗ «О персональных данных» налагает обязанность возместить моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав.»
Чтобы «узаконить» надзор за сотрудниками иногда наниматели включают в трудовой договор пункт о том, что в компании практикуется надзор за деятельностью кадров в течение рабочего дня. Однако не все спешат предлагать сотрудникам подписывать подобные документы. Прежде всего, они опасаются негативной реакции со стороны претендентов на вакантные должности. Проще говоря, работодатели боятся распугать кандидатов.
Вместе с тем, есть мнения, что наличие подобного пункта в трудовом договоре может стимулировать сотрудника на более качественное выполнение функционала, а работодателя - оградить от возможных претензий.
Нужно лишь понимать разницу между служебной и личной информацией. Дело в том, что Конституцей каждому гражданину нашей страны гарантировано право на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, сообщений. Вместе с тем, сбор, использование частных данных без согласования с «первоисточником» запрещается. (ст. 23, 24 Конституции РФ). Нарушение последнего правила грозит предупреждением, наложением штрафа.
Анастасия Фишкина говорит по этому поводу следующее: «Работодатель может контролировать, чем именно занимаются сотрудники в рабочее время. Но для этого недостаточно просто внести соответствующий пункт в трудовой договор.
В российском законодательстве прямого запрета на «слежку» за сотрудниками нет. Однако Конституция РФ дает каждому право на неприкосновенность частной жизни. Поэтому, если работодатель хочет, например, установить в офисе видеонаблюдение, то делать это нужно «в открытую», с соблюдением требований законодательства.
В частности, для этого следует:
1. подготовить нужные документы;
2. получить согласие работников;
3. разместить информационные таблички (при необходимости);
4. подать уведомление в Роскомнадзор (при необходимости).»
Конечно, с психологической точки зрения сотрудникам тяжело работать в условиях постоянного контроля. Но, согласитесь, гораздо лучше, когда работодатель действует открыто (объясняет, что наблюдение осуществляется исключительно в интересах развития общего дела, предлагает «узаконить» проверки), а подчиненные понимают, какие конкретно методы контроля используются на предприятии. В такой ситуации стороны смогут направить все силы на выполнение производственных задач, а не ждать подвоха друг от друга.
Первое подобие программы для слежения за сотрудниками появилось аж в 1888 году . Прогресс не стоит на месте и сегодня, по статистике , каждая третья фирма контролирует деятельность персонала за рабочими ПК – от просмотра е-мейлов и установки тайм-трекеров до тотального прочесывания трафика.
И дело здесь не в паранойе. У работодателя есть реальные причины следить за своими тружениками.
Программа слежения за сотрудниками Kickidler
Имеет ли право работодатель следить за подчиненными?
Все мы хорошо знаем, что законодательство гарантирует неприкосновенность частной жизни. То есть, по идее, никто не вправе читать наши переписки. Но если мы пользуемся ими во время исполнения должностных обязанностей – возникает совсем другая ситуация.
Дело в том, что технически работодатель арендует наше личное время, и оно становится рабочим, а статус личного теряет. Следовательно, соответствующая конституционная статья на него уже не распространяется. Более того – корпоративный трафик не принадлежит сотруднику, и тут не важно – обычными мессенджерами он пользуется или корпоративными – всё, что через них проходит на рабочем месте, автоматически принадлежит компании.
Поэтому у контроля рабочего времени сотрудников на рабочем компьютере с буквой закона всё чинно. Что же касается морально-этической стороны вопроса, то мы, например, четко позиционируем себя – наше ПО предназначено для коммерческих нужд компаний и увеличения прибыли, а не для вуайеристов и прочих извратов.
Безусловно, грань тут довольно тонкая, но реальное вмешательство в частную жизнь (например – слежка за фрилансером в нерабочее время) – это уже уголовная ответственность и серьезные проблемы. Однако если спад производительности на лицо – с этим нужно что-то делать. Благо – решения по удаленному наблюдению за компьютером всегда представлены в широком ассортименте.
Отметим, что здесь главное – не доводить до фанатизма, ведь излишняя слежка приводит к повышению уровня стресса сотрудников и может даже мотивировать к смене места работы. Кроме того, творчество невозможно контролировать тайм-трекерами, а мониторить мыслительные процессы мы еще не научились.
Не стоит также воспринимать программы наблюдения в компании, как абсолютное зло для сотрудников. В нашей практике встречалось множество ситуаций, когда наша программа контроля персонала приходила на помощь самим специалистам, за которыми велось наблюдение.
К примеру, отчет по эффективности служил поводом к поощрению самых продуктивных работников. Запись видео с экрана в онлайн-режиме помогала и точно выявить инсайдера и снять подозрения с честных тружеников. Она же была полезна для налаживания . А если кто-то забывал пароль от важного сервиса – на помощь приходила функция кейлогера.
Какими бывают методы слежки за сотрудниками?
ПО для удаленного доступа
На заре рынка программ контроля ПО вроде TeamViewer использовалось работодателями для доступа к компьютерам своих работников, в том числе – на аутсорсе. Такие проги не заточены под слежку, тем не менее, основные функции они выполнить способны.
К примеру, тот же Тимвьюер предоставляет возможность онлайн просмотра рабочего стола сотрудников, соединяя два и более ПК, находящиеся на любом удалении друг от друга.
Еще одна подобная программа – Radmin. Функционал практически такой же, изначально прога разрабатывалась для удаленной технической поддержки. Еще есть Ammyy Admin, Supremo Remote Desktop, mRemoteNG, TightVNC, Remote Utilities.
Нюанс здесь только один – все эти программы не функционируют в скрытом режиме, и наемный специалист гарантированно знает, что нетленное око Саурона… простите, руководства, всегда рядом. То есть это НЕ скрытое наблюдение за удаленным компьютером.
Шпионские программы для скрытого слежения за компьютером
А теперь перейдем к скрытым методам слежки, ведь когда сотрудник не знает, что за ним наблюдают, он ведет себя естественно, совершая те действия, которые привык совершать. Именно поэтому программы-шпионы, имеющие скрытый режим, эффективнее.
Самые примитивные шпионские программы скрытого слежения за компьютерами сотрудников – это кейлогеры, по нашей информации, их до сих пор используют олдскульные сисадмины в небольших компаниях. Тут нет прямого контроля или мониторинга за ПК наемных тружеников, но есть кое-что не менее эффективное.
Кейлогеры (в народе – клавиатурные шпионы) – шпионские программы, фиксирующие все нажатия клавиш на компьютере. Данные о том, что сотрудник набирал в течение рабочего дня на клавиатуре, складируются в специальный log-файл, доступный наблюдающему. Такую программу для слежки за компьютером сисадмин может поместить в скрытые процессы, либо замаскировать под системную задачу. Среди топовых кейлогеров можно отметить ArdamaxKeylogger, Actual Spy, Spyrix Personal Monitor, SpytechSpyAgent, Refog Personal Monitor, All In One Keylogger, Elite Keylogger, Spytector.
Видеологеры (не путать с видеоблогерами) - работают по тому же принципу, но вместо действий с мышкой и клавиатурой просто фиксируют рабочий стол, делая скриншот или записывая видео. Могут активироваться с определенной периодичностью, реагируя на целевые действия. Также они имеют скрытый режим работы, а результаты своей шпионской деятельности могут отправлять на шефский ПК.
Программы-шпионы для компьютера – это уже инструмент для настоящего Шерлока. С помощью шпионских программ, в зависимости от модификации, можно не только перехватывать клавиатурный ввод пользователя и смотреть слайд-шоу с экрана, но и, например, получать отчет о посещаемых сайтах, перехватывать содержимое буфера обмена, e-mail, а также файлы, отправленные на печать или на флешку. Примеры популярных шпионских программ для ПК – NeoSpy, Real Spy Monitor, Spy Go.
Область применения шпионских программ программ довольно обширна: помимо контроля и наблюдения за сотрудниками на рабочем месте, их используют и в частных целях – для слежки за неверными супругами, родительского контроля детей за компьютером и т.д. Обратите внимание, что эти программы и их элементы часто используются хакерами и интернет-мошенниками с целью похищения паролей и прочих персональных сведений.
Главный минус всех вышеперечисленных программ в том, что они не поддерживают многопользовательский режим и поэтому не подходят средним и крупным компаниям.
Системы контроля и учета рабочего времени сотрудников за компьютером
Это уже не просто программы для удаленного слежения за компьютерами. Речь идет о тотальном наблюдении за рабочим ПК вашего менеджера, дизайнера, секретаря, да хоть админа службы информационной безопасности. Возможности таких решений действительно многообразны и лучше разобрать их на конкретном примере.
Итак, Kickidler – наша собственная разработка, созданная на основании многолетнего опыта зарубежных коллег и по ряду функций не имеющая аналогов в мире. Программа осуществляет комплексный контроль рабочего времени сотрудников, включая удаленных фрилансеров. Работает с Windows, Mac и Linux, может функционировать в открытом или скрытом режимах.
Принцип работы Kickidler прост – на главный компьютер устанавливается программа Сервер, на компьютеры руководителей (тех, кто будет осуществлять наблюдение) – программу Вьюер, на компьютеры сотрудников (за кем будет вестись слежка) – программу Граббер. Грабберов, Вьюеров и даже Серверов может быть столько, сколько необходимо. По желанию клиент может поместить Сервер на собственном облаке.
Граббер может работать, как в открытом, так и в скрытом режимах, при необходимости его можно сделать полностью невидимым для пользователя.
Возможностей у Kickidler немало, остановимся на ключевых.
Функция Кейлоггера
DLP-системы для защиты корпоративных данных
Шпионские программы безусловно выполняют много полезных функций, но они не имеют возможности глубокого анализа трафика на предмет информационных утечек. Здесь на сцену выходят DLP-системы.
DLP - сокращение от DataLeakPrevention, переводится как «Предотвращение утечек данных». Это мощные и дорогие решения, в полном смысле слова – Левиафаны IT-безопасности. Они могут включать в себя функции контроля времени за компьютером лишь как дополнительные компоненты, но в целом заточены не под слежку за конкретными рабочими местами, а под комплексный анализ входящих/исходящих потоков на предмет слива инсайдерской инфы, то есть, контроль трафика.
Сегодня ключевыми разработчиками DLP-систем выступают SymantecCorp., VerdasysInc и WebsenseInc. В России хорошо известны InfoWatch от «Лаборатории Касперского», Falcongaze со своим детищем «SecureTower», а также «МФИ Софт» и Trafica. Клиентская база этих компания состоит из крупных банков, госучреждений, промышленных и энергетических предприятий. К примеру, тем же SecureTower пользуется Газпромбанк.
DLP-системы анализируют данные двумя методами – формальным и контентным. К первому относится распознавание особых меток, грифов на документах и хэш-функций. Анализ контента мониторит всю внутреннюю и внешнюю пересылку, пропуская информацию по целому ряду фильтров. Комбинация этих методов дает высокую степень информационной безопасности, но 100% гарантии все же не даст. Мы рекомендуем клиентам использовать DLP в комплексе с системами мониторинга сотрудников.
GPS-браслеты и системы слежения
Цель таких систем – отслеживать перемещения персонала внутри рабочей зоны по GPS. Это позволяет предотвратить несанкционированное проникновение в локацию, если сотрудник не имеет надлежащего допуска.
GPS-маячки устанавливаются на служебные автомобили, что позволяет наблюдать за перемещениями транспорта. Это хорошая защита от простоев, халатностей и должностных нарушений. Так водителю Вите обязательно придется отчитаться перед руководством, если, находясь в командировке, он на служебном авто совершил экскурсию по местным увеселительным заведениям.
GPS-браслеты на территории РФ производит «Аргус-Спектр», нижегородская инновационная компания «Эффективные решения» и ряд других IT-предприятий. По сути, всё это аналоги культовых GPS-браслетов для детей KidSmartWatch, которые создавались, чтобы родители могли отслеживать перемещения своих ненаглядных чад. Сведения с таких браслетов могут поступать на центральный сервер, на ПК руководителя или на персональный смартфон.
Часто навигационные решения комбинируют с биометрическими сканерами или картами доступа, но это уже совсем другой уровень защиты, применяемый, в частности, на военных базах, атомных станциях и прочих объектах стратегического значения. На корпоративных объектах со статусом «попроще» используют систему Boss Control и аналогичные ей. Их функционал заключается в сканировании отпечатков пальцев сотрудников для фиксации прихода/ухода с работы. Конкретно Босс-контроль выделяется тем, что центр обработки данных находится в облаке.
Контроль сотрудников = эффективная производительность
Контролировать сотрудников можно по-разному и программ для отслеживания компьютеров множество. Закон дает такую возможность работодателям. Что выбрать для этих целей: бесплатную программу-шпион или мощную DLP-систему, решать самому владельцу бизнеса.
Последнее время появляется много публикаций, в которых перечисляются незаконные (но, тем не менее, часто практикующиеся) действия работодателей. В этой статье рассмотрим один из таких «скользких» моментов: ведение скрытого видеонаблюдения в офисе.
С одной стороны, установка камер видеонаблюдения давно стала неотъемлемой частью нашей жизни. Говоря о пользе установки видеонаблюдения в офисах, нередко приводят такой аргумент: установка скрытого видеонаблюдения поможет руководителю всегда быть в курсе того, чем занимаются сотрудники на рабочих местах. Возможно, прямо сейчас начальник следит за вами через скрытую камеру. Законно ли это? Как он еще может следить?
Думаете, что на рабочем месте вас видят и слышат только коллеги? Ошибаетесь. Даже если в офисе нет видимых камер, будьте готовы к тому, что стоят скрытые. И это еще не все. Велика вероятность, что телефоны прослушиваются, информация в компьютере просматривается, почта и аська читаются. Причем в режиме реального времени. Весь ваш рабочий день у начальства как на ладони.
Видеокамеры в офисе
« Не отлынивают ли сотрудники от работы? Не грубят ли клиентам?» — задаются вопросом начальники. И сажают офис под колпак — устанавливают видеокамеры. Так, в апреле этого года видеорегистраторы появились в кабинетах госслужащих города Шахты. Власти поставили чиновников перед фактом, что отныне каждая минута их рабочего времени будет под контролем, а все хамские выходки запишут на пленку и покажут по местному телевидению. Но на сотрудников появление всевидящего ока подействовало благотворно: на работу не опаздывают, с посетителями вежливы.
Еще один повод для видеонаблюдения — воровство. В офис приходят посторонние люди — клиенты, курьеры. Некоторые не прочь прибрать к рукам все, что плохо лежит. Да и свои несуны в компаниях встречаются. Практика показывает, что уже сам факт наличия в офисе камеры может остановить добытчика. Поэтому часто наряду с действующими камерами используют муляжи, которые внешне ничем не отличаются от настоящих камер.
Сотрудники реагируют на видеонаблюдение по-разному. Для одних камера — это гарант спокойствия в офисе. Другие сначала нервничают, потом привыкают. Одна из сотрудниц компании, практикующей видеонаблюдение, комментирует это так: «Это как житье в коммунальной квартире с любопытными соседями: поначалу неприятно, но вполне терпимо, со временем даже не замечаешь.»
Есть и те, для кого постоянное наблюдение являются источником беспокойства и раздражения. «Одна из камер в нашем офисе находилась в маленькой столовой. Есть на рабочем месте было нельзя, а в столовой перед камерой аппетит пропадал. Так и представлялось, как руководство смотрит, не слишком ли долго ты ешь, и насколько эстетично жуешь. Начальство говорило, что камера в столовой нужна, чтобы быстро найти сотрудника», — делится впечатлениями другая сотрудница.
Видеонаблюдение — не единственный способ слежки за сотрудниками
В некоторых компаниях в режиме реального времени отслеживается работа за компьютером. Например, с помощью программы StaffCop можно узнать, что у сотрудника сейчас на мониторе, на какие сайты он заходит, какие программы использует. Можно запросто читать on-line переписку в аське и сохранять ее.
Есть фирмы, где скрыто прослушиваются офисные телефоны и корпоративные мобильники. Начальники говорят, что борются с утечкой информации и следят, чтоб сотрудники не работали на другие компании. Но при этом зачастую поступают с полученной информацией неэтично. Например, цитируют в разговоре фразы из подслушанных переговоров, иронично посматривая на того, кто ранее их произнес.
Помните, что любые формы наблюдения за сотрудниками без их предварительного оповещения незаконны.
Скрытое видеонаблюдение
В некоторых организациях начальство предпочитает незаметно следить за персоналом. Как рассказал Работе.ру сотрудник службы безопасности одной компании, причин для тайного наблюдения несколько. Во-первых, чтобы лишний раз не волновать работников. Во-вторых, чтобы узнать, какие они на самом деле. В-третьих, чтобы вор не знал, откуда на него смотрят, и не сумел пронести добычу в обход камеры.
Но есть начальники, которыми движет не желание обезопасить бизнес-процесс, а элементарное любопытство. Причем слежение идет не только в кабинетах, но и в других принадлежащих компании помещениях, вплоть до туалетов. «У моего друга камера видеонаблюдения вмонтирована в раздевалке сауны. Причем директор настоятельно рекомендует всем сауну посещать», — рассказывает один из участник обсуждения.
Спрятать миниатюрную видеокамеру с объективом полтора миллиметра (pinhole, или «игольное ушко»), проще простого. Их замуровывают в стены, встраивают в охранные сигнализации и пожарные дымовые датчики, прячут за подшивным потолком, за картинами. Существуют камеры, закамуфлированные под какие-либо невинные на первый взгляд предметы — часы, картины, цветочные горшки.
Цифровые устройства для обработки видеосигнала (платы видеозахвата, видеорегистраторы) позволяют просматривать камеры по локальной компьютерной сети и через интернет. Платы видеозахвата встраиваются в компьютер, а видеорегистраторы могут работать автономно. Такая цифровая штука обычно стоит в комнате охраны, но при желании можно подключить ее к компьютеру руководителя. И тогда в его поле зрения окажется все, что происходит сейчас в офисе. А также видеозаписи, хранящиеся на жестком диске видеорегистратора.
При желании сотрудник может разузнать, следят за ним в офисе или нет. Достаточно лишь приобрести специальное устройство предназначенное для обнаружения скрытых видеокамер. Ими торгует множество интернет-магазинов, стоимость в пределах от 2500 до 20 000 рублей. Например, Spy Finder находит видеокамеру по свету, отраженному от ее объектива. «Антибаги» при поиске ориентируются на излучение, которое исходит от работающей по радиоканалу беспроводной камеры. Кстати, передачу сигнала некоторых беспроводных видеокамер можно блокировать с помощью подавителя сотовых телефонов.
Совет: если вам удалось обнаружить в офисе скрытую камеру, не стоит ломать ее в душевном порыве мести. Во-первых, это не будет способствовать дальнейшему продвижению по службе. Во-вторых, обиженный работодатель может потребовать возместить убытки. По этому поводу в Уголовном кодексе есть статья «Умышленная порча и уничтожение чужого имущества».
Законно ли видеонаблюдение?
Строго говоря, любые формы наблюдения за сотрудниками без их предварительного оповещения незаконны.
По закону (ч. 1 ст. 23 Конституции РФ) каждый из нас имеет право на неприкосновенность частной жизни. Информацию о ней нельзя собирать, хранить, использовать и распространять без согласия человека (ч. 1 ст. 24 конституции). Но многие руководители считают, что ничего личного на работе быть не может. Поэтому, устанавливая камеры в офисах, они часто не спрашивают согласия сотрудников, да и вообще не ставят их в известность о видеонаблюдении. Почему-то они забывают, что согласно статье 21 Трудового кодекса РФ работник имеет право на полную информацию об условиях и охране труда на рабочем месте.
Какие есть исключения? Право на скрытое видеонаблюдение в офисе имеют только оперативные подразделения госорганов (Федеральный закон от № 144-ФЗ «Об оперативно-розыскной деятельности»). Все остальные созерцатели, прежде чем устанавливать видеокамеры, обязаны сначала предупредить сотрудников. Причем не на словах, а в письменном виде — прописать в контракте. А в здании офиса разместить специальные таблички, извещающие посетителей о том, что за ними следят.
Право на просмотр видеоархива, то есть персональных данных сотрудников, имеют только специально уполномоченные лица. Чаще всего это руководитель компании и сотрудники службы безопасности. Вся информация конфиденциальна. Ее ни в коем случае нельзя распространять или демонстрировать коллегам в воспитательных целях.
Записи, сделанные в офисе скрытой камерой, нельзя использовать в суде как доказательство провинности сотрудника, ведь и сами они получены в обход закона.
В Мосгорсуде не смогли припомнить судебных разбирательств по поводу скрытого наблюдения за сотрудниками. Наверное, чаще всего недовольные либо утихомириваются, либо увольняются и ищут офис без камер. Но если вы все же решили поставить на место любопытного начальника, можете обратиться в УВД района, где находится организация, или в прокуратуру. Заявление о том, что в офисе ведется скрытое видеонаблюдение, рассмотрят, проведут проверку, и если наблюдение будет признано незаконным — работодатель ответит в суде.
Каждая третья российская компания читает электронные письма работников, каждая пятая следит за тем, какие они посещают сайты, каждая десятая мониторит переписку в мессенджерах. Даже не очень богатым организациям доступны инструменты, которые позволяют в реальном времени контролировать всё, что происходит в компьютерах и мобильных устройствах сотрудников. Неважно, служебные это гаджеты или личные. Есть только одно исключение - разговоры по мобильному телефону. Но технологии, которые позволят их перехватывать, уже тестируются . Авторы и лоббисты «пакета Яровой» о таком могут лишь мечтать. «Секрет» расспросил эксперта в области информационной безопасности о том, как работают средства корпоративной слежки и все ли они законны.
Как следят
Программное обеспечение, которое следит за сотрудниками и контролирует их действия, делает информацию доступной работодателю сразу - ни в каком зашифрованном виде она не хранится. Такой софт действует локально и никак не связан ни с операторами, ни с провайдерами.
Во-первых, это так называемые программы-агенты, которые устанавливаются на компьютеры и считывают нажатия клавиш, делают скриншоты, фиксируют весь интернет-трафик. Таких программ на рынке сотни, так как они относительно легко пишутся. Приведу несколько примеров.
PC Pandora - скрывается в системе и контролирует весь компьютер и весь интернет-трафик. Делает снимки экрана, фиксирует клавиатурный ввод, действия на посещаемых веб-сайтах, контролирует электронную почту, мгновенные сообщения мессенджеров и собирает ещё много другой информации о работе пользователя. У программы нет папки, в которой она хранит свои данные. Всё загружается в операционную систему, и каждая новая установка на один и тот же или другой компьютер производится с новыми названиями файлов.
SniperSpy - производит мониторинг удалённого компьютера в режиме реального времени, делает снимки пользователя с веб-камеры компьютера, записывает звуки в помещении, где установлен компьютер, просматривает файловую систему, удалённо загружает файлы, просматривает и удаляет процессы системы и выполняет другие стандартные для шпионской программы функции.
Micro Keylogger - шпионская программа, которую не видно в меню, в панели задач, панели управления программами, списке процессов и в других местах компьютера, где есть возможность отслеживать работающие приложения. Она не подаёт признаков присутствия и не влияет на производительность системы, скрытно отправляет отчёт на электронную почту или FTP-сервер.
Во-вторых, есть DLP (Data Leak Prevention) - технологии предотвращения утечек конфиденциальной информации из информационной системы во внешний мир (и технические устройства для осуществления этой задачи). DLP-системы анализируют потоки данных, пересекающих периметр защищаемой информационной системы. Если в потоке обнаруживается конфиденциальная информация, срабатывает активная компонента системы и передача сообщения (пакета, потока, сессии) блокируется.
Такие решения контролируют поток, который входит, выходит и циркулирует в периметре. Сейчас речь о пространстве офиса. Физически это обычный сервер (или группа серверов), который анализирует весь офисный трафик. DLP-системы с помощью технологий инспекции пакетов (DPI) читают не только заголовки сообщений, где написано, кому должно уйти письмо, но и вообще все передаваемые данные.
Такие системы обычно работают в двух режимах: мониторинг и блокирование. В первом случае система просто мониторит и скидывает подозрительные вещи сотруднику, отвечающему за безопасность, а он это читает и решает, хорошо это или плохо. Во втором случае система настроена так, чтобы блокировать определённые вещи. Например, все сообщения, в которых содержатся медицинские термины - для этого в систему загружаются медицинские словари. Или все сообщения, в которых содержатся паспортные данные, информация про кредитные карточки, любые условия, какие вы можете вообразить. Вы пытаетесь отправить сообщение со словами, которые политика безопасности не пропускает, и у вас это сообщение просто не отправляется.
Наконец, есть специальные программы, которые предотвращают перемещение файлов на любой носитель, будь то флешка, жёсткий диск или что угодно ещё. Чаще всего такие программы являются частью большой системы безопасности и современных решений DLP. Обычно средства защиты комбинируют, потому что ни одно не защищает от всех угроз.
Что касается личных устройств в офисе, то домашние ноутбуки часто стараются запретить, их можно обнаружить с помощью программно-аппаратного комплекса класса Network Admisson Control (например, Cisco ISE). NAC - комплекс технических средств и мер, обеспечивающих контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть. Такие системы сразу видят и блокируют «чужой» компьютер. Даже если такой системы нет, с помощью системы DLP всё равно можно отследить, что с любого компьютера в сети офиса ушло за периметр.
Если человек всё время работает удалённо, на его личный компьютер ничего поставить невозможно. Другое дело, если работник что-то делает на своём домашнем компьютере, а затем подключается к корпоративной системе из дома. Для таких случаев есть решения по контролю привилегированных пользователей (CyberArk, Wallix). Они позволяют следить, что делает пользователь, работая из дома, записывая сессию на оборудовании в пределах контролируемой зоны. Речь, разумеется, только о компьютерах, которые удалённо взаимодействуют с сетью предприятия.
Если взять рабочий ноутбук домой, информация тоже будет считываться. Можно поставить такую систему, которая локально сохранит все данные и потом, как только человек придёт на работу и подключит компьютер к системе, они тут же считаются.
Слежка распространяется не только на компьютеры. Если вы сидите в интернете с телефона через рабочий Wi-Fi, система воспринимает его как обычный компьютер, ещё один узел. Всё, что вы посылаете через WhatsApp или через любое самое защищённое приложение, может быть прочитано. Раньше DLP-решения плохо справлялись с шифрованным трафиком, но современные системы могут прочитать практически всё.
Что касается мобильной связи, то пока звонки никак не отслеживаются. Но вот Наталья Касперская выступила инноватором и предлагает прослушивать разговоры работников в периметре компании. C появлением такой системы с любым телефоном, который попадает в периметр, можно будет сделать всё что угодно. Касперская говорит, что работодатели будут следить только за служебными телефонами. Но кто может это гарантировать? И сейчас компании рассказывают, что следят только за служебной перепиской, но на самом деле часто контролируется всё. Мне кажется, предложение Касперской - это очевидный перебор. С другой стороны, мы видим, что мир движется к максимальному ограничению личных свобод - и с этим, по-моему, уже ничего сделать невозможно.
Законные основания
Наше законодательство вроде бы не даёт никому права читать чужую переписку. Согласно статье №23 Конституции РФ гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а ограничение этого права допускается только на основании судебного решения. К тому же существует 138-я статья Уголовного кодекса РФ, которая вводит уголовную ответственность за нарушение этой тайны (штраф или исправительные работы).
Тем не менее, работодатели считают, что слежка за работниками законна и даже необходима. Они исходят из того, что корпоративная почта принадлежит компании и должна использоваться только для выполнения служебных обязанностей (выплачивая работнику зарплату, работодатель, по сути, арендует его время).
Компания оплачивает интернет-трафик, используемый работником в личных целях в рабочее время. То есть, даже если человек переписывается по личной почте или в мессенджерах с помощью рабочего ноутбука или через рабочий Wi-Fi, подобные действия рассматриваются как удовлетворение личных потребностей за счёт организации.
Работодатель понесёт убытки в случае утечки данных, поэтому, объясняя необходимость слежки, компании ссылаются на закон «О коммерческой тайне» и, в частности, статью 10, которая регулирует меры по охране конфиденциальной информации.
Как регулируется слежка
Если грубо, вся переписка, осуществляемая при помощи средств, принадлежащих организации и по оплаченным ею каналам связи, является служебной - даже если она ведётся в нерабочее время. Поэтому если вы пользуетесь рабочим компьютером или рабочим Wi-Fi (даже через личный компьютер) - это уже и есть необходимое условие для слежки.
Рабочее время никак не регламентируется, обычно систему мониторинга никогда не выключают. Ведь любой более-менее грамотный работник может настроить систему так, что после того, как он уйдёт с работы, отправится письмо на почту, где он сольёт всё, что хотел слить. Зачем нужна система, если в ней есть такая огромная дыра?
Согласие работника
По закону работник не может не знать, что за ним ведётся слежка. Юристы считают, что использование программ контроля законно только при условии наличия соответствующего соглашения между работником и работодателем. Обычно при устройстве на работу подписывают трудовой договор, где написано, что служебная переписка будет контролироваться: юристы включают в договор пункт, согласно которому работодатель оставляет за собой право контроля деятельности работников в рабочее время. Есть отдельные соглашения NDA, где даётся определение конфиденциальной информации.
В уставах организаций, как правило, указано, что компания является собственником всех материальных, технических, информационных и интеллектуальных ресурсов, в том числе и служебной переписки, которая осуществляется работниками организации с помощью всех этих средств. Кроме того, в организациях обычно действует режим коммерческой тайны. Если система безопасности вводится на уже существующем предприятии, всем работникам дают на подпись соответствующие документы.
Если работник - фрилансер, с ним заключается договор подряда и в нём прописывают соответствующий пункт. Если договор не заключается, что у нас происходит часто, и слежка ведётся, то закон при этом, конечно, нарушается. Есть ещё фрилансеры, которые работают на почасовой оплате на фриланс-биржах вроде Odesk и Elance. Эти биржи обязывает фрилансеров устанавливать софт, которые делает скриншоты экрана каждые 5–10 минут. Это позволяет работодателю понимать, что оплаченное время было потрачено на работу, а не на что-то ещё.
Работнику сообщают о слежке, но подробно разъяснять механизмы никто не обязан. «Дорогой, твою почту, твои сообщения, твои походы на сайты контролирует система, поэтому будь аккуратнее» - так никто никогда не скажет. Даже если с офицером безопасности выпить пива, он не раскроет схему, потому что это будет нарушением его служебных обязанностей.
Ещё иногда оформляют поручительство, причём не в лоб говорят: «Давай ты дашь согласие на просмотр всей твой переписки», а по-другому: «Давай ты подпишешь поручительство, что компания будет проверять электронную почту на наличие всяких вредоносных программ, порнографии, сообщений, раскрывающих коммерческую тайну. Просто чтобы ты не попал в какую-нибудь неприятную ситуацию не по своей вине». Но так грамотно у нас редко кто поступает.
У человека всегда есть выбор: он может дать согласие быть под присмотром или поискать себе другую работу. Без ведома работника за ним будут следить, только если в чём-то подозревают, но это уже незаконно.
Что компания делает с полученными данными
Компании не читают всю переписку работников ежедневно. Да, в маленькой фирме директор может видеть и читать всё, но в больших компаниях систему настраивают на критичные вещи: ключевые слова, типы файлов, виды информации.
Обычно эксперт по безопасности сразу видит критические угрозы: у него бежит лента всего, что происходит, и в этой ленте обычные сообщения подсвечиваются зелёным, а когда загорается красный, он сразу обращает внимание и начинает проверять. То есть, если вы сидите в Facebook во время работы, вероятность того, что работник безопасности прочитает вашу переписку, не очень велика. Конечно, если в компании общение в Facebook не считается критической угрозой.
Как долго хранится собранная информация, зависит от политики безопасности и мощности оборудования. Маленькие компании могут хранить информацию на сервере годами, но более крупные - обычно несколько месяцев. Хотя это зависит даже не от числа работников, а скорее от объёма трафика. В одной компании много работников-бухгалтеров, и в Сеть они вылезают раз в день. В другой люди постоянно работают в интернете: ведут переписку, мониторят сайты.
На основе полученных данных работодатель может и уволить. Но обычно заканчивается увольнением по собственному желанию или по соглашению сторон. Работника мягко шантажируют: «Давай ты лучше уйдёшь по-хорошему, потому что мы можем и в суд подать».
Может ли сотрудник обнаружить слежку
При достаточной квалификации работник может обнаружить шпионские программы-агенты или программы по предотвращению переноса на носители, которые установлены на компьютер. Они, конечно, не лежат в тех папках, где находятся программы. Но если работник грамотный, он может их найти.
А вот DLP работники обнаружить не могут никак, потому что системы не установлены на компьютерах, они стоят на периметре. Если захочется приватности, единственный вариант - пользоваться в офисе для личных переписок телефоном и не подключать его к сети компании.
Можно ли оспорить слежку
Как я уже сказал, обычно работодатели приводят следующие аргументы в пользу слежки: это служебная переписка, и она никак не связана с 23-ей статьёй Конституции; если работник дал согласие, нет никаких нарушений; вся переписка работника - собственность предприятия; закон о коммерческой тайне позволяет делать вообще всё. На самом деле все эти утверждения можно оспорить в суде.
Во-первых, тайна переписки распространяется как на частную, так и на служебную переписку, и работодатель не может прямо получить от работника разрешение на чтение всей переписки, не ограниченное ни временем, ни другими факторами.
Во-вторых, нельзя просто заставить работников написать расписку о том, что они ознакомлены с тем, что вся их почта, в том числе личная, будет прочитана и последуют санкции вплоть до увольнения.
В-третьих, нельзя признать всю переписку работника собственностью предприятия, потому что есть право на электронное письмо - это авторское право. Грамотный работник может нанять юриста и сказать: «А это литературное произведение, на него распространяются авторские права, это результат моей интеллектуальной деятельности, он принадлежит мне». Суд вполне может встать на его сторону, если с ним работает хороший адвокат.
Наконец, нельзя всю личную переписку признать содержащей коммерческую тайну.
В идеальной ситуации работник и работодатель понимают, что делают общее дело, находят правильные решения и закрепляют их во взаимовыгодных соглашениях. Но в жизни, конечно, бывает по-разному.
Чья слежка эффективнее - бизнеса или государства
Сейчас компании следят за сотрудниками так, что государство о таком контроле только мечтает, а осуществить на практике не может. Государство не будет вставлять шпионские программы в каждый компьютер и вообще вряд ли справится с таким объёмом информации.
Когда какое-то предприятие защищает свой периметр, понятно, чего оно добивается - ограничивает распространение информации, которая для него критически важна. У государства эта задача не сформулирована, государство говорит: «А мы просто хотим знать и читать вообще всё». Как это сделать, государство не знает, потому что интеллектуальных систем, которые ему нужны, оно построить не может.
Тогда государство заходит с другой стороны - и появляется «пакет Яровой». Государство как бы говорит операторам связи: «Нужную систему мы построить не можем, поэтому давайте-ка вы будете хранить все данные, чтобы мы могли в случае чего прийти к вам, всё скачать и посмотреть, что там у вас происходило в течение длительного времени». На это нужно огромное количество денег. Это действительно очень сильно бьёт по личной безопасности граждан.
Если сопоставить системы, которые нужно построить в масштабах государства, с системами, которые сегодня есть у бизнеса, получится, что власти пытаются построить гигантский самолёт на 100 000 пассажиров вместо обычного. То, что сегодня есть у бизнеса, летает прекрасно, но перевозит при этом 100, 200, 500 или несколько тысяч человек. Как должен выглядеть самолёт на 100 000 человек? С какого аэродрома он сможет взлететь? На эти вопросы никто не отвечает. По моему мнению, это ещё один ненужный проект.
Если заниматься этим всерьёз, нужно строить интеллектуальную систему, которая будет указывать на критические действия, причём в режиме реального времени, а не хранить огромный массив данных, который никто не сможет обработать. Но лучше бы, конечно, государство совсем не читало нашу переписку без решения суда. Компании работник разрешает мониторить его письма и сообщения, потому что компания платит ему деньги. А государству, наоборот, платит гражданин. Так что это государство должно перед нами отчитываться, вместо того чтобы воровать и следить, как бы кто лодку не раскачал.
Фотография на обложке: Tim Taddler / Getty Images