Компания разработала программу, которая позволит работодателям прослушивать и анализировать разговоры сотрудников по мобильному телефону. Появление подобного инструмента уже обеспокоило тех, кто посчитал его вторжением в частную жизнь. Насколько уместно существование личной жизни в рабочее время - вопрос отдельный. Но инструменты, позволяющие работодателям контролировать работу сотрудников, существуют уже не первый год и даже век. Они всегда в той или иной степени ограничивали свободу работников.
Сначала, например, для контроля рабочего времени были введены журналы регистрации, затем им на смену пришли системы электронных пропусков, позволяющие понять, кто опаздывает или слишком часто отлучается, и видеокамеры, фиксирующие то, чем заняты сотрудники в рабочее время. В наши дни они уже никого не удивляют.
"Сейчас средства видеонаблюдения и контроля доступа уже фактически стали нормой, сотрудники воспринимают их как должное, практически не задумываясь", - отмечает Михаил Самошкин, ведущий специалист по информационной безопасности группы компаний .
Отследить причину
Он также объясняет, что работодатели, которые устанавливают наблюдение за персоналом, как правило, преследуют две цели. Во-первых, обеспечение безопасности, в основном экономической и информационной, иногда и физической (например охраны труда на производстве), и во-вторых - повышение эффективности работы сотрудников.
Причем чаще всего следят именно ради эффективности. А для предотвращения утечки важной информации используют запретительные меры. Например, специальные программы, просто не позволяющие сотрудникам использовать личную флешку.
Что касается эффективности, то здесь, считает доцент Санкт-Петербургской школы экономики и менеджмента НИУ ВШЭ - Санкт-Петербург Елена Кудрявцева, работодателю прежде всего интересны следующие вещи: структура рабочего времени, то есть то, чем в течение дня занят сотрудник, и то, насколько адекватно сотрудник использует то или иное программное обеспечение (нередко дорогостоящее). В решении этих вопросов, если речь идет об офисе, уже могут помочь только современные программы: при помощи обычного видеонаблюдения определить, чем именно занят сотрудник, сидящий за компьютером, достаточно сложно.
Оставить отпечаток
Разработки же последних лет решают эти и многие другие задачи. Сейчас набирает популярность контроль сотрудников при помощи специальных программ - их используют около 10-15% российских компаний. В Европе таким образом за сотрудниками следят около 70% компаний, в США - более 80%.
Прежде всего работодателей привлекает стоимость таких программ, она начинается от 1 тыс. рублей. Кроме того, установить программное обеспечение проще, чем поставить в офисе несколько видеокамер, а спектр применения гораздо шире.
Например, программа Mipko Employee Monitor, которую можно установить на любой компьютер, позволяет записывать общение сотрудников в социальных сетях и мессенджерах, делать снимки экрана и рабочего места (при помощи веб-камеры) и фиксировать нажатие каждой клавиши. Все это позволяет определить, действительно ли сотрудники работают или просто создают видимость. Кроме того, при утечке тех или иных данных фотографии монитора послужат доказательствами того, что к этому причастен кто-то из компании. Правда, отмечают в "Мипко", чаще всего работодатели начинают интересоваться приобретением программы уже после того, как слив информации однажды произошел.
Система "Стахановец", кроме прочего, может распознать "клавиатурный почерк" того или иного сотрудника и определить, кто создал определенный документ, даже если работник схитрил и использовал чужой компьютер. Перехват телефонных разговоров с помощью "Стахановца", кстати, тоже возможен. Кроме того, система может вычислить, не печатает ли сотрудник доклад для племянницы на рабочем офисном принтере.
Иначе работает система "БОСС Контроль" , которая в каком-то смысле является своеобразной альтернативой электронной системы пропусков. Состоит она из двух частей - сервиса обработки данных и специальных терминалов. Последние, сканируя отпечатки пальцев, фиксируют время прихода и ухода сотрудников, а также делают фотографию работника. Затем сервис получает данные и формирует соответствующие отчеты для руководителей и бухгалтерии.
"Фотография нужна для того, чтобы застраховаться от сбоев системы, собирающей биометрические данные (отпечатки), которых трудно избежать в любых подобных системах. Если отпечатки по какой-то причине не будут считаны, то фотография все равно сможет доказать, что тот или иной сотрудник явился на работу", - поясняет директор по развитию бизнеса ООО "Биометрические технологии" Григорий Улькин.
В компании также рассказывают, что отличие "БОСС Контроля" от обычной системы электронных пропусков в том, что она помогает выстроить процесс учета рабочего времени в соответствии с нуждами конкретной компании. Григорий Улькин рассказывает, что чаще всего подобной системой пользуются работодатели из сферы услуг. Например, ее применяют в ресторанах, где важно не запутаться, кто кого подменил во время той или иной смены. Также систему используют строительные компании, которым необходимо учесть, что за сотрудники работали на определенном объекте. А вот производственные предприятия к таким услугам прибегают редко.
Программа CrocoTime также помогает вести учет рабочего времени. Но ее цель - не отслеживание присутствия сотрудника на рабочем месте, а мониторинг использования им различных программ и сайтов. Такая система помогает понять, кто проводит все рабочее время в социальных сетях, а кому необходимо дополнительное обучение, так как он не умеет пользоваться необходимыми программами.
"Один из наших клиентов обнаружил у себя сотрудника, который играл в “шарики” по 5-6 часов в день. В другой компании в офисе любили смотреть фильмы (те же 5-6 часов). Если не учитывать такие “вопиющие случаи”, то среднее количество времени, которое сотрудники тратят на работе впустую, варьируется от 15% до 30%", - рассказывает основатель и генеральный директор CrocoTime Александр Бочкин.
Тем не менее, в CrocoTime отмечают, что они решительно против контроля за личной жизнью сотрудников и сама система не может просматривать ни личную переписку, ни пароли от сайтов. Верхний предел наблюдения – заголовок активного окна.
Сами не рады
Отношение сотрудников к появлению в офисе тех или иных программ контроля обычно колеблется от безразличия до резкого неприятия. Некоторые производители программ для контроля за персоналом могут заверять, что сотрудники бывают даже рады введению таковых, например, в тех случаях, когда работник чувствует, что его труд недооценен, а коллега, выполняющий меньше работы, получает завышенную зарплату. Но рекрутеры признаются, что о таких случаях они не слышали.
"Я бы не стала говорить о радости со стороны сотрудников. Радоваться таким вещам для нашей культуры совершенно не характерно. Возможно, где-то в Европе, особенно в северной, сотрудники могут с радостью отнестись к введению системы слежения, но у нас речь в основном идет о понимании. Если человек понимает необходимость введения данных мер, тогда он спокойно относится к происходящему", - говорит Елена Кудрявцева.
Генеральный директор кадрового агентства iChar Иван Осипов также рассказывает, что ни разу не сталкивался с ситуацией, когда бы сотрудники были рады установленному за ними наблюдению. "В нашей практике даже были случаи, когда кандидаты, прошедшие все этапы длинного пути собеседований, отказывались работать на очень лакомых должностях из-за того, что оказывалось, что за ними следят. Тем не менее эти вакансии довольно быстро закрывались менее щепетильными кандидатами", - поясняет он.
Наблюдательное право
Часто сотрудникам подобные меры кажутся неправомерными, особенно если последние приводят к их увольнению. В начале этого года Европейский суд по правам человека вынес решение по делу, широко известному как Барбулеску против Румынии. Началось оно с того, что инженер из Бухареста Богдан Барбулеску в 2007 году был уволен за нарушение правил внутреннего распорядка. По факту причиной увольнения стало то, что инженер использовал установленный на рабочем компьютере мессенджер для переписки с невестой и братом. Когда Барбулеску начал отрицать ведение личной переписки, работодатель продемонстрировал ему распечатки всех сообщений за последние 8 дней. Тогда инженер решил, что его право на тайну переписки было нарушено, и обратился в суд. Румынские суды жалобу сотрудника несколько раз отклоняли, и он в итоге дошел до , где ему разъяснили, что раз истец был предупрежден о возможности проверки и был знаком с правилами компании, не допускающими ведения личной переписки, то увольнение следует признать законным.
В российском судопроизводстве подобные процессы также встречаются нередко. В большинстве случаев суды спокойно относятся к чтению переписки работодателями, даже если письма отправляются не с корпоративного, а с личного рабочего ящика, но с рабочего компьютера. У работодателя действительно есть право контролировать то, как сотрудник исполняет свои обязанности. Более того, рабочий компьютер считается оборудованием, предназначенным исключительно для выполнения трудовых обязанностей, в связи с чем вопросы о неприкосновенности личной переписки отпадают. А ссылка на 23 статью Конституции, в которой говорится о неприкосновенности частной жизни, становится бессмысленной. Тем не менее работник в соответствии с ч. 1 ст. 21 ТК РФ имеет право на получение полной информации об условиях труда. То есть все, что необходимо сделать работодателю, - просто предупредить о возможных проверках. Для этого достаточно внести соответствующие изменения в трудовой договор или выпустить отдельный приказ под подпись каждого сотрудника.
Как правило, о необходимости предупредить сотрудника о наблюдении напоминают и сами производители соответствующих программ. В ООО " " даже объясняют, что настаивают на том, чтобы работодатель структурировал работу по информированию сотрудников о сборе биометрических данных.
Представитель компании "Мипко" Владимир Жилинский объясняет, что иногда сам факт предупреждения уже мотивирует работников не отвлекаться от непосредственных обязанностей. "Вот появилось у бухгалтера на мониторе окно, что за его компьютером ведется наблюдение, и тот уже не открывает "Косынку", а продолжает работать", - иронизирует он.
Выделите фрагмент с текстом ошибки и нажмите Ctrl+Enter
Верный признак наступления трудных времён - попытки компаний навести порядок в коллективе и закрутить гайки. Как правило, это выражается в более тщательном контроле опозданий, блокировке соцсетей на рабочих компьютерах, а также установке специальных программ, позволяющих отследить, чем занимается человек в офисе. Предполагается, что эти методы помогут повысить результаты работы и узнать наконец, кто из сотрудников больше всех бездельничает. The Village выяснил, какие сервисы используют компании для контролирования работников и к чему это может привести.
Всё под контролем
За первый рабочий день 2015 года сервис «Стахановец» зарегистрировал больше десяти обращений на развёртывание пилотных проектов. Его директор Андрей Игнатов объясняет это тем, что сейчас компании прощаются с неэффективными кадрами и оставляют сильнейших. Чтобы выявить таких, им нужен инструмент для объективной оценки каждого сотрудника.
С помощью «Стахановца» собственник может узнать, какие программы используют сотрудники и как расходуют своё рабочее время. Отслеживая действия на рабочем компьютере, сервис может заметить утечку данных и предупредить о возможном увольнении. Если, например, сотрудник забивает в поисковике фразу «поиск работы», а затем проводит какое-то время на рекрутинговых сайтах, «Стахановец» сообщает об этом руководителю. То же самое происходит, если же в мессенджере или почтовом клиенте работник пишет слова «база», «откат», а затем заходит в облачные хранилища или файлообменники. Система также может узнать, не использует ли человек рабочий принтер для личных целей, перехватывает сообщения в Lync, записывает звук с микрофона, колонок и пишет видео рабочего стола.
Система также может узнать,
не использует ли человек рабочий принтер для личных целей,
перехватывает сообщения в Lync
и пишет видео рабочего стола
По умолчанию детализированная информация о переписке сотрудника не выдаётся - для её просмотра нужно совершить специальные действия. Создатели сервиса предполагают, что работодатель будет прибегать к этому лишь в крайних случаях, когда есть риск утечки, а в остальное время довольствоваться отчётами программы. «Нужно понимать, что она (информация о личной переписке) в любом случае собирается браузером, почтовыми клиентами и операционной системой. Даже у сисадмина в компании есть возможность просмотреть весь архив», - говорит сооснователь компании Михаил Яхимович. Клиенты порой сообщают ему, что решение помогло найти сотрудников, которые сливали базы данных и условия сделок третьим лицам.
Возможно и скрытое, и открытое использование решения. Во втором случае сотрудник сам выбирает время, когда его работа будет контролироваться. «Мы всегда рассылаем клиентам шаблоны приказов - документов о том, что сотрудник согласен на сбор информации с его рабочего компьютера, - говорит Яхимович. - Мы считаем, что все сотрудники должны быть оповещены о том, что происходит». Иногда сами работники приветствуют установку программы. Многие сталкиваются с тем, что их коллеги работают меньше на работе, а получают такую же зарплату.
Однажды после установки «Стахановца» компания выяснила, что их сотрудники вообще ничего не делают по работе. Одно подразделение расформировали, перебросили людей в другой отдел. Три месяца они ходили на работу, ничего не делали и получали зарплату. Другой случай - дизайнер систематически не выполнял работу вовремя, но шесть часов в день учился играть на гитаре. Установка решения на одно рабочее место стоит примерно тысячу рублей. Сейчас выручка компании в России составляет 1,5 миллиона рублей в месяц. Она также работает в Беларуси, Казахстане, Кыргызстане, Узбекистане и на Украине. Число её клиентов перевалило за тысячу.
Фото: shutterstock.com
Проблемы с законом
Но пользоваться подобными сервисами компаниям стоит очень осторожно: вместо повышения эффективности они могут привести к проблемам с законом. Директор юридической фирмы «Интернет и право» Антон Серго говорит, что существует тонкая грань между контролем работодателя за выполнением работником своих должностных обязанностей и сбором сведений о частной жизни лица (последнее недопустимо). По его словам, защита частной жизни является более приоритетной, поэтому в случае привлечения к конфликту правоохранительных органов работодатель окажется в менее выгодном положении.
Если человек ведёт личную переписку с рабочего компьютера,
а работодатель её читает, ответить
за это могут оба
Рискуют обе стороны: работник может быть уличён в непорядочности, а работодатель - в незаконной деятельности с ответственностью вплоть до уголовной (нарушение неприкосновенности частной жизни, нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Иными словами, если человек ведёт личную переписку с рабочего компьютера, а работодатель её читает, ответить за это могут оба (сотрудник - за безделье, а собственник - по ст. 137–138 УК РФ).
Эффект присутствия
Чтобы избежать неловких ситуаций, создатели сервиса CrocoTime не дают начальникам возможности читать личные письма и следить за сотрудниками через веб-камеры и аудиовыходы. По мнению основателя компании Александра Бочкина, такие функции нарушают права работников и деморализуют коллектив. Начальник может узнать об эффективности работы каждого подчинённого, а при необходимости сможет посмотреть документы и программы, которые использовал сотрудник. «Нам кажется, что в таком ритме сотрудникам работается гораздо комфортнее, а руководитель получает достаточно информации, чтобы делать выводы о работе коллектива», - говорит Бочкин.
Один из клиентов сервиса, начальник отдела кадров B2B-Center Алина Искендерова, говорит, что программа используется для корректного расчёта заработной платы в случае отсутствия работника. «Теперь, если кто-либо из сотрудников не выходит на работу, система учёта рабочего времени фиксирует это, - рассказывает она на сайте компании. - Статистика CrocoTime обновляется раз в пять минут, и мы можем оперативно связаться с руководителем отдела и выяснить причину отсутствия подчинённого».
Есть и другие способы отследить присутствие человека в офисе. Сервис «Босс Контроль» подключается к турникетам на входе и предоставляет начальству подробные отчёты о том, когда сотрудники были на месте, пришли ли они вовремя, не отлучались ли слишком часто на перекуры и не сбежали ли из офиса раньше времени.
Фото: shutterstock.com
Выполнение плана
Однако наличие человека на рабочем месте вовсе не означает, что он занят делом. Программы управления проектами помогают отследить, насколько эффективно человек справляется с поставленными задачами.
На рынке есть множество систем, позволяющих узнать, кто из сотрудников не успевает сделать работу вовремя. К примеру, Максим Нальский в 2010 году создал программу Pyrus для управления проектами своей IT-компании. Её интерфейс похож на электронную почту, но вместо писем он отправляет задачи сотрудникам. «Для нас это форум для внутреннего общения, который позволяет сфокусироваться на работе. В социальных сетях много внешних раздражителей, в почте - спама», - говорит заместитель финансового директора компании «Стильные кухни» Ирина Молчанова, которая использует сервис.Программа позволяет упорядочить рабочую переписку и расставить приоритеты в процессе выполнения разных задач. Эту систему уже используют около 100 тысяч пользователей.
В крупных компаниях
работники срывают дедлайны
45 % задач,
в компаниях поменьше -
около 70 %
Pyrus также позволяет отслеживать, выполнили ли сотрудники поставленные задачи в срок. Статистика неутешительная: в крупных компаниях работники срывают дедлайны 45 % задач, в компаниях поменьше около 70 % работы выполняется позже, чем нужно.
Результат
По словам бизнес-консультанта Игоря Рызова, в использовании таких программ есть и положительная, и отрицательная сторона. Благодаря им начальник видит более-менее реальную картину того, как работают его сотрудники. При этом тотальный контроль порождает обман. «Нужно понять, что человек не робот. Он не может весь день заниматься одним и тем же, потому что есть такие факторы, как переключение внимания и утомляемость», - говорит эксперт.
По его мнению, при использовании подобных сервисов, во-первых, необходимо предупредить людей об этом, чтобы не нарушать личных прав подчинённых. Во-вторых, вместо того, чтобы бороться с современными коммуникативными инструментами, нужно научить людей использовать их для работы. Например, соцсети позволяют получать информацию от своих контрагентов и налаживать переговорные процессы. Рызов предлагает вспомнить опыт советских НИИ, где стояли теннисные столы и висели мишени для игры в дартс. «Если сотрудники будут отвлекаться на такие активности раз в полтора часа, это обеспечит эффективную командную работу и в разы повысит работоспособность, - говорит он. - Потому что такие вещи, а вовсе не тотальный контроль, повышают мотивацию».
В российском законодательстве больше 60 видов тайн и иной информации ограниченного доступа - начиная от пресловутых персональных данных и тайны связи и заканчивая банковской тайной и инсайдерской информацией. Все эти тайны принадлежат либо обычным людям (например, тайна переписки или тайна исповеди), либо предприятиям (например, коммерческая или служебная тайна).
Но причастность к тайне накладывает ответственность - её обладатель должен сделать так, чтобы тайна не попала в посторонние руки. В одних случаях (например, в отношении персональных данных или банковской и служебной тайны) за соблюдением защиты информации следит государство, в других - защиту обеспечивает непосредственный владелец.
Чем защищают тайны
Итак, оставим в стороне частные тайны. Вы работаете в обычной компании, всё идет своим чередом, но коллеги иногда в шутку рассказывают, что все сотрудники под колпаком. Что рабочую почту не стоит использовать для романтических переписок, что все посещённые сайты, а также остальная ваша рабочая активность за компьютером проверяются и анализируются неразговорчивыми людьми из отдела информационной безопасности. Что происходит на самом деле?
Одним из основных средств по предотвращению утечек в компаниях являются программы класса DLP (Data Leak Prevention, "Предотвращение утечки данных" в пер. с англ.).
Задача DLP - контролировать обмен информации работниками по электронной почте (в том числе через браузер), переписку в чатах, посты в соцсетях и блогах, а также сетевые принтеры и всевозможные внешние устройства хранения, будь то USB-диски или карты памяти.
Конечно, это далеко не все каналы, которые могут быть использованы для случайной или целенаправленной утечки данных, но они являются самыми распространёнными. По мере развития технологий некоторые системы DLP уже обучились отслеживать IP-телефонию или даже корпоративные сотовые телефоны, но пока такие "универсальные солдаты" скорее исключение, чем правило.
Как DLP-системы ловят за руку
Самой очевидной разновидностью средств по предотвращению утечек являются сетевые решения. Такие DLP называются in motion , в их задачу входит анализирование данных, которые передаются внутри сети. К примеру, такие системы пристально наблюдают, какой информацией обмениваются друг с другом сотрудники, но доступа непосредственно к компьютерам и другим оконечным устройствам они не имеют. А значит, шифрование легко собьёт их с толку.
Так что же, достаточно включить Skype и вы неуловимы? Конечно, нет. На сцену выходит ваш личный кибернадсмотрщик типа in use . Он устанавливается непосредственно на рабочий компьютер, ноутбук или смартфон. Ему подвластны практически все каналы взаимодействия - от Bluetooth до портов USB и набираемого на клавиатуре текста.
От такого DLP-инструмента не спасёт ни мессенджер со сквозным шифрованием, ни браузер Tor, а обнаружить сам факт его присутствия практически невозможно, если ваши специалисты по информационной безопасности знают свое дело. Они просто не имеют права предоставить вам, к примеру, корпоративный ноутбук, не подготовив его к работе должным образом.
Конечно, мессенджерами и поиском в сети работа in use не ограничивается. Хороший DLP-инструмент этого типа в курсе практически всего, что происходит с компьютером. Какие файлы были записаны на флешку? Какой документ вы послали на печать? Правильно настроенная программа без лишнего шума перехватит данные и заблокирует подозрительную операцию или, наоборот, даст добро и пропустит до адресата.
Третий тип - это DLP-программы дляконтроля сохранённых данных или at rest . Такие "антишпионы" анализируют информацию на локальных и внешних (на USB-носителях или CD), а также удалённых хранилищах (например, на файловых серверах или облачных платформах).
Общую ситуацию, когда с вами начинает работать инструмент at rest , можно описать так: вы приходите на рабочее место с личным ноутбуком, включаетесь в общую сеть, а специалисты по безопасности не могут получить полный доступ к вашему гаджету.
Такая система регулярно будет сканировать все доступные папки и файлы в дистанционном режиме в поисках следов защищаемой информации. Например, только так можно следить за тем, что ваши коллеги выкладывают в Facebook или загружают на Dropbox и "Яндекс.Диск".
Как обмануть систему?
Гарантированно ли поймают вас DLP- программы, если вы захотите "слить" ценные данные конкурентам? Как показывают исследования, нет.
Дело в том, что их цель - случайные утечки. Именно на них по статистике приходится до 90 - 95% нарушений конфиденциальности данных. В то же время более-менее подкованный в сфере ИТ пользователь вполне способен обойти все системы DLP.
Шифрование. Как мы уже рассказали, для большинства инструментов DLP-шифрование становится непреодолимой преградой. Шифровать можно что угодно - от сообщений в чатах, до файлов и электронных писем.
Фото- и видеосъёмка. Нет ни одного инструмента против съёмки экрана монитора, кроме, разве что, постоянного наблюдения за работником. Да и то, обычно в таких случаях факт утечки можно установить только постфактум, когда чёрное дело уже будет сделано, а вы получите 30 серебряников.
Маскировка. Ещё одним очень эффективным методом сокрытия факта передачи конфиденциальной информации является стеганография (тайнопись). Она основана на маскировке - нужная информация прячется, на первый взгляд, в ничем не примечательных документах, например, в картинках или музыкальных файлах. Большинство DLP-решений просто не умеют работать со стеганографическими методами, ведь в отличие от зашифрованных данных информация после стеганографической обработки не вызывает подозрений.
Какое они имеют право?
Действительно, гражданское право на тайну переписки и телефонных переговоров закреплено законом, а нарушить его можно только по решению суда. Получается, что некоторые DLP-системы если и не вне закона, то как минимум балансируют на грани его нарушения? Не совсем так.
В качестве защиты производители DLP-систем заявляют, что их программы ничего не нарушают, и они правы - само программное обеспечение не является субъектом права и не может ничего нарушать. Зато нарушает человек, например, сотрудник службы информационной безопасности, который использует результаты работы DLP.
Сейчас в России сложился определённый баланс между интересами работодателей и конституционными правами граждан. С одной стороны организации обязаны по закону защищать информацию и предотвращать утечки собственных данных и принадлежащих государству. С другой стороны, у граждан есть вполне разумное желание знать, когда их контролируют и является ли данная деятельность законной, а отстаивать свои интересы в суде они пока не научились.
Среди участников процесса нет единства. Одни считают, что "слушать" коммуникации сотрудников нельзя ни при каких условиях. Другие рассматривают возможность читать чужую переписку при условии, что она ведётся на служебных компьютерах и мобильных устройствах. Третьи ставят обязательное условие - получить согласие работника на мониторинг его активности. Четвёртые же и вовсе говорят, что работодатель имеет право защищать свои права и законные интересы, применяя любые официально продаваемые в России средства.
Но в любом случае не лишним будет напомнить, что в переписке или телефонных разговорах обычно участвуют два человека и конституционные права должны быть соблюдены для обоих, а не только для своих сотрудников.
В любой организации рано или поздно наступает такой момент, когда интуитивно работать с персоналом перестает быть возможным. Чаще всего это связано с ростом организации - в компании в 10-15 человек еще можно контролировать ситуацию в компании в ручном режиме, однако с большим количеством сотрудников руководитель начинает «тонуть».
Одновременно с этим возрастает риск инцидентов, связанных с безопасностью. Когда организация перестает быть небольшой группой друзей-единомышленников, а это неизбежно происходит вследствие роста, появляются задачи, связанные с уменьшением рисков от недобросовестного поведения работников.
Для получения объективной картины происходящего в компании, и, в частности, для обеспечения безопасности, применяются различные методы контроля персонала. Об организационных мерах в другой раз, я хочу поговорить сегодня о технической стороне вопроса и насколько разные методы эффективны.
СКУД + Видеонаблюдение
На классических производствах для контроля сотрудников службой безопасности обычно применяется связка СКУД + видеонаблюдение. СКУД (система контроля и управления доступом) чаще всего представляет собой следующее: у каждого сотрудника есть пропуск, который он прикладывает к считывателю у входа, - время прихода и ухода с работы логируется и контролируется. В качестве второго рубежа защиты используются записи с камер.
В случае с большими заводами и предприятиями часто находятся некоторые сотрудники, не испытывающие особенно теплые чувства к работодателю, зато обладающие достаточной «смекалочкой» - кто-то на входе «пробивает» пропуск не только за себя, кто-то пытается вынести продукцию с предприятия. Из-за этого иногда работа охраны на таких предприятиях превращается в бесконечные кошки-мышки с работниками.
В случае возникновения подозрений - охрана предприятия берет на контроль сотрудника, просматривает видеозаписи или может обыскать его на выходе. Для защиты от выноса продукции такой метод защиты более-менее эффективен, однако в контексте информационной безопасности он беспомощен - для этого уже требуются программные средства.
Бесплатные и системные средства
В случае с контролем работы персонала в современных офисах ситуация становится сложнее - рабочий день чаще всего не нормирован, да и контролировать в компаниях нужно далеко не только физическое присутствие.
Для контроля рабочего времени можно применять тот же СКУД или выгружать данные из Active Directory. Иногда контроль рабочего времени интегрирован в CRM-системы. Проблема в таком случае очевидна - все, что находится за пределами CRM-системы, контролю не поддается.
Почту и месенджеры можно контролировать с помощью снифферов (модулей, перехватывающих сообщения) - проблема лишь в том, что тогда придется пожертвовать антивирусной защитой рабочих компьютеров. Подавляющее число антивирусов не даст запустить такие программы на компьютере.
В облачных продуктах для бизнеса от Google и Microsoft (Google Apps Unlimited и Office 365 Business, соответственно) есть возможность настраивать правила, которые проверяют почту и документы сотрудников на наличие ключевых слов или типов данных. Это, конечно, не замена полноценной системы безопасности, однако применение может найти. А для контроля отдельных аспектов работы сотрудников можно использовать и бесплатные средства удаленного доступа.
Силами системных администраторов со всеми перечисленными средствами можно получить какую-то систему контроля персонала. Однако контроль таким способом будет как минимум неполным, а систематизация и учет получаемых данных сведет с ума ответственного за это работника.
Примерно такой же итог ждет безопасника, который попробует решить вопросы безопасности без специального программного обеспечения- для этого понадобится несовместимое с эффективной работой количество «костылей».
Системы учета рабочего времени и контроля сотрудников
Этика анализа переписки сотрудников вызывает вопросы и споры - однако перехват применяется повсеместно, особенно в крупных компаниях. Основная задача - защита конфиденциальных данных компании от инсайдерских угроз. Также анализ внутренних коммуникаций часто используется и для выявления нелояльных сотрудников. Яркий пример - громкое увольнение «Яндексом» ряда сотрудников купленного им сервиса «Кинопоиск». По мнению уволенных, причина в острой критике перезапуска сервиса во внутреннем чате сотрудников. Согласно заявлению «Яндекса» - сотрудники в этом чате разглашали коммерческую тайну третьим лицам (бывшим коллегам). Как бы то ни было, неприятная для компании ситуация была обнаружена сотрудниками безопасности, причем наверняка вследствие использования DLP-системы (от англ. Data Leak Prevention - предотвращение утечек данных) или аналогичного продукта.
Кастрированным вариантом DLP-систем являются так называемые системы контроля персонала. Чаще всего они представляют собой «упакованный» пакет снифферов для какого-то количества популярных каналов коммуникации, вроде Skype, электронной почты или социальных сетей, дополненный возможностью удаленного подключения к рабочему столу сотрудника и кейлогером.
С помощью такого инструмента можно видеть время работы сотрудников, контролировать их действия за рабочими и компьютерами и вести частичный мониторинг переписки. В принципе для совсем небольшой компании этого может быть достаточно, однако для качественной работы нужны более комплексные решения.
DLP-системы
Более технологически изощренными являются DLP-системы. Если снифферы и «средства контроля сотрудников» просто перехватывают информацию, то DLP-системы идут дальше - вместе с перехватов еще и автоматически анализируют перехваченную информацию. Таким образом задача по поиску «вредной» информации перекладывается с плеч сотрудника безопасности на машину. Ему нужно лишь грамотно настроить правила и обращать внимание на сообщения системы о инцидентах.
Вариантов этих правил и методов анализа очень много - можно сделать уведомление о запуске на рабочей станции какого-либо процесса, проверять переписку на регулярные выражения (например, ИНН или паспортные данные) или настроить уведомление и блокировку передачи на USB-носитель определенного формата файлов - в общем, можно автоматизировать все и вся.
Большинство таких систем также умеют распознавать транслитерованный текст (napisannyi latinskimi bukvami), изменения в расширении файлов и прочие возможные ухищрения потенциальных злоумышленников.
При всем при этом стоит помнить, что насколько бы эффективный метод контроля не использовался - он окажется беспомощен при отсутствии в компании адекватного менеджмента и корпоративной культуры. С другой стороны, даже в самой лояльной по отношении к работникам организации всегда есть вероятность появления «слабого звена» и в отсутствии контроля это звено может причинить немалый ущерб. Поиск баланса между этими двумя крайностями и есть самая главная задача для службы безопасности и руководства.
Никого уже не удивляет большое количество камер видеонаблюдения в общественных местах. Но правомерно ли их наличие в офисах компаний или на производстве?
Многие работодатели даже не скрывают своих намерений понаблюдать за тем, чем занимаются сотрудники на рабочем месте. Основными мотивами нанимателей являются: проверка честности сотрудников, их стремления трудиться на благо компании.
Способы присмотра за специалистами могут быть весьма разнообразными: все зависит от фантазии и возможностей нанимателя, службы безопасности организации.
Наиболее распространенные методы надзора за кадрами:
- видеонаблюдение,
- прослушка офисных телефонов (а порой и мобильных…),
- отслеживание электронных данных (проверка почты, отслеживание действий с файлами, частота выхода в интернет, посещаемые странички и проч.),
- электронные пропускные системы.
Правомерно ли использование «шпионских инструментов»?
Как ни крути, работник все же обязан выполнять возложенные на него обязанности, соблюдать трудовую дисциплину, правила внутреннего распорядка и т.д. (ст. 21 ТК РФ).
В свою очередь, работодатель имеет право требовать от сотрудников исполнения ими трудовых обязанностей и бережного отношения к имуществу компании, соблюдения правил внутреннего распорядка (ст. 22 ТК РФ).
Но можно ли привлечь к ответственности работодателя, который тайно следит за сотрудниками в рабочее время? Этот вопрос мы задали эксперту.
Анастасия Фишкина, юрист юридической компании «ПРИОРИТЕТ» : «Да, можно. Негласное получение информации о лицах возможно только в случае прямого указания ФЗ «Об оперативно-розыскной деятельности». В иных ситуациях, за сбор сведений о частной жизни лица без его согласия работодатель может быть привлечен к:
- административной ответственности (ст. 13.11 КоАП РФ): предупреждение или наложение штрафа на юридических лиц – от 5 000 до 10 000 рублей .
-уголовной ответственности (ст. 137, 138 УК РФ): в частности, штраф в размере до 200 000 рублей или даже лишение свободы на срок до 2 лет с лишением права занимать определенные должности на срок до 3 лет .
Кроме того, ФЗ «О персональных данных» налагает обязанность возместить моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав.»
Чтобы «узаконить» надзор за сотрудниками иногда наниматели включают в трудовой договор пункт о том, что в компании практикуется надзор за деятельностью кадров в течение рабочего дня. Однако не все спешат предлагать сотрудникам подписывать подобные документы. Прежде всего, они опасаются негативной реакции со стороны претендентов на вакантные должности. Проще говоря, работодатели боятся распугать кандидатов.
Вместе с тем, есть мнения, что наличие подобного пункта в трудовом договоре может стимулировать сотрудника на более качественное выполнение функционала, а работодателя - оградить от возможных претензий.
Нужно лишь понимать разницу между служебной и личной информацией. Дело в том, что Конституцей каждому гражданину нашей страны гарантировано право на неприкосновенность частной жизни, на тайну переписки, телефонных переговоров, сообщений. Вместе с тем, сбор, использование частных данных без согласования с «первоисточником» запрещается. (ст. 23, 24 Конституции РФ). Нарушение последнего правила грозит предупреждением, наложением штрафа.
Анастасия Фишкина говорит по этому поводу следующее: «Работодатель может контролировать, чем именно занимаются сотрудники в рабочее время. Но для этого недостаточно просто внести соответствующий пункт в трудовой договор.
В российском законодательстве прямого запрета на «слежку» за сотрудниками нет. Однако Конституция РФ дает каждому право на неприкосновенность частной жизни. Поэтому, если работодатель хочет, например, установить в офисе видеонаблюдение, то делать это нужно «в открытую», с соблюдением требований законодательства.
В частности, для этого следует:
1. подготовить нужные документы;
2. получить согласие работников;
3. разместить информационные таблички (при необходимости);
4. подать уведомление в Роскомнадзор (при необходимости).»
Конечно, с психологической точки зрения сотрудникам тяжело работать в условиях постоянного контроля. Но, согласитесь, гораздо лучше, когда работодатель действует открыто (объясняет, что наблюдение осуществляется исключительно в интересах развития общего дела, предлагает «узаконить» проверки), а подчиненные понимают, какие конкретно методы контроля используются на предприятии. В такой ситуации стороны смогут направить все силы на выполнение производственных задач, а не ждать подвоха друг от друга.
