По данным American Management Association и The ePolicy Institute, в 2003 году из 1627 опрошенных руководителей американских фирм 82% признали, что используют те или иные формы электронного мониторинга или физического наблюдения за работой своих сотрудников. Из них в 63% компаний отслеживаются обращения работников к интернет-ресурсам, а примерно в 47% — сохраняются и просматриваются сообщения электронной почты. В России, особенно в регионах, это направление в бизнес-культуре только начинает закрепляться.
Специалисты служб безопасности объясняют необходимость рабочего мониторинга, прежде всего, охраной конфиденциальных сведений фирмы. По словам Владимира Турчика, директора екатеринбургской компании «Периметр», работающей в области защиты информации в компьютерных сетях, более 80% утечек данных, имевших последствия,— это результат действия инсайдеров. При этом не всегда сотрудники выдают корпоративные секреты напрямую. Они могут осознанно или случайно разгласить сведения (логины, пароли), с помощью которых можно получить доступ к серверу фирмы и конфиденциальным данным. Кроме того, господин Турчик добавляет, что контроль над действиями работников в интернете необходим еще и из-за их низкого уровня информационной культуры. «Так, 95% пользовательских паролей дешифруются менее чем за 3 минуты»,— констатирует эксперт. Человеческая наивность порой доходит до того, что хакеры пользуются самыми грубыми методами взлома. Классический пример — звонок секретарю со словами: «Сейчас ваша операционная система будет заблокирована, скажите ваш пароль, чтобы мы могли это предотвратить».
Другой довод в пользу рабочего мониторинга — стремление руководства рационально использовать ресурсы компании. «40% манипуляций сотрудника фирмы в интернете — это непроизводственная активность»,— утверждает Владимир Турчик. Однако есть действия безобидные, когда сотрудник просто устал и ему нужно отвлечься. Нет повода для беспокойства, если такой отдых не мешает основной работе, а объем использованного трафика не превышает разумные пределы или лимит, установленный работодателем. Но в то же время человек может заниматься нежелательными и даже вредными для фирмы делами. Это, например, поиск новых вакансий или работа на другую организацию, если сотрудник является совместителем. «Когда человек осознает, что он находится под контролем, и мирится с этим, производительность его труда многократно возрастает,— комментирует Кирилл Михайличенко, директор челябинской технической группы «Микон», занимающейся аутсорсингом (разработка программ на заказ «внешними» сторонними производителями программного обеспечения, от англ. outsourcing).
По опыту эксперта, при электронном мониторинге экономия на интернете доходит до 25%, а также выявляются массовые нарушения корпоративной тайны. После того, как в одной крупной фирме поставили ограничения доступа к порносайтам, счет за интернет сократился на 300 тыс. рублей в месяц.
«Если говорить о численности компании, то имеет смысл осуществлять мониторинг, если в фирме работают более 30 человек»,— сказал глава ТГ «Микон».
Юридический аспект: два взгляда
В вопросе легитимности рабочего мониторинга юристы расходятся во мнениях. Директор екатеринбургского агентства юридической безопасности «Интеллект-С» Евгений Шестаков называет подобные действия абсолютно незаконными. Хотя российское законодательство ничего не говорит о возможности электронного или другого наблюдения за персоналом, специалист ссылается на 23 статью Конституции РФ, в которой указано, что «каждый имеет право на неприкосновенность частной жизни», а также «на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». Ограничение этого права допускается только на основании судебного решения. Это означает, что даже если руководитель с помощью средств электронного мониторинга узнает, что подчиненный тратит рабочее время впустую или разглашает корпоративную тайну, работодатель не может уволить сотрудника, так как доказательства вины были добыты незаконным способом. Кроме того, работник может подать заявление в милицию по 137 и 138 статьям Уголовного кодекса РФ («Нарушение неприкосновенности частной жизни» и «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»), а также через суд потребовать возмещения морального вреда согласно Гражданскому кодексу.
«В случае, когда работник в письменной форме дал свое согласие на ведение подобного наблюдения, уголовная ответственность с компании снимается, но возможность взыскания морального вреда остается, так как заявление об отказе от права на неприкосновенность частной жизни с юридической точки зрения ничтожно»,— прокомментировал юрист. Евгений Шестаков советует руководителям не использовать мониторинг за подчиненными, а установить четкий режим доступа к коммерческой тайне, согласно соответствующему закону. То есть определить, что является конфиденциальной информацией, указать круг лиц, имеющий доступ к ней, правила ее использования, условия хранения подобных документов и прочее.
Также считает Дмитрий Попов, полковник запаса ФСБ, директор среднеуральской компании «Центур», занимающейся защитой информации. «Что касается контроля над расходованием ресурсов фирмы, то здесь можно воспользоваться другими методами, например, установить лимит интернет-трафика и ограничить доступ к развлекательным сайтам, ICQ-протоколам, почтовым агентам и т.д.»
Однако ряд юристов считают, что электронный мониторинг можно узаконить. Как рассказал старший специалист екатеринбургской юридической компании «Энсо» Рамиль Мардугаллямов, для этого в трудовом договоре необходимо указать, что сотруднику предоставляется электронный почтовый адрес в домене предприятия и что переписка, которая ведется с него, является служебной, а значит, ее можно перлюстрировать. Одновременно с этим нужно поставить технический запрет для работы с бесплатными почтовыми сервисами, так как личную почту персонала работодатель не имеет права читать. То же самое нужно сделать и со средствами мгновенного обмена сообщениями: запретить пользоваться личным номером ICQ, предоставив рабочий номер, который приравнивается к служебным средствам связи, что дает работодателю полное право просматривать архивы сообщений. Кроме того, нужно оговорить, что использование интернета, оплачиваемого фирмой, возможно строго в рабочих целях, и за выполнением этого правила устанавливается контроль. «Личная жизнь на работе не запрещается законом, но она не должна происходить за счет предприятия»,— сообщил господин Мардугаллямов.
Господин Турчик добавил, что «за соблюдение ограничений, которые устанавливает работодатель, сотрудникам обычно доплачивается 20% от заработной платы». «Главное, что должен сделать руководитель, принимая решение об электронном мониторинге — это предупредить о нем свой персонал, внеся соответствующий пункт в трудовой договор»,— напомнил исполнительный директор Ассоциации компаний сферы информационных технологий (АКСИТ) Станислав Сиражев.
Практическое применение
Технически электронный мониторинг можно осуществлять двумя способами. «Большинство локальных корпоративных сетей организуются так, что весь интернет-трафик проходит через один компьютер, называемый прокси-сервером,— объясняет аналитик московского филиала компании Starpoint Solutions Андрей Аверин.— К нему подключены все компьютеры в сети, формируя, таким образом, локальную сеть. Каждый из компьютеров в сети выступает в качестве «клиента» для прокси-сервера. Во-первых, весь поток данных, проходящий через прокси-сервер, можно регистрировать, отслеживая список адресов, который запросил каждый из клиентов. Во втором случае на каждый из компьютеров устанавливается программа, которая перехватывает любую информацию, передаваемую по сети. Отчет отправляется в центральную систему обработки — программу, которая располагается уже на сервере».
Таким образом для ведения наблюдения необходимо специальное программное обеспечение (ПО). «Среди несложных в использовании программ существуют хорошо зарекомендовавшие себя на рынке. К ним относятся, например, Staff Cop (www.staffcop.ru), Lan Agent (www.lanagent.ru), Surf Analyzer (www.surfanalyzer.ru) и ДозорДжет (www.jetsoft.ru)»,— продолжает Андрей Аверин. Такие программы делают снимки экрана компьютеров, осуществляют мониторинг запущенных процессов и открытых веб-сайтов, выполняют перехват сообщений, отправляемых через ICQ и MSN, записывают время включения и выключения компьютера, а также отслеживают все устройства, подключенные к компьютеру через USB. Кроме того, Staff Cop может автоматически создавать отчеты о деятельности отдельного пользователя компьютера за определенный промежуток времени. Surf Analyzer позволяет предотвратить загрузку музыки, просмотр видеоклипов через интернет. Дозор Джет выполняет блокирование доступа к сайтам не связанным с работой и разграничение доступа к внешним Web-ресурсам по группам пользователей и т.д. В общем, у каждой из этих программ есть свои преимущества. Одна лицензионная копия программы наблюдения будет стоить фирме от $15 до $50, в зависимости от того, сколько копий единовременно приобретается — чем больше, тем ниже будет цена. Каждый компьютер, подвергающийся наблюдению, требует отдельной лицензированной копии. Как добавил глава ТГ «Микон» Кирилл Михайличенко, для полноценного мониторинга в штате необходимо иметь двух работников: один следит за исправной работой компьютеров в целом, второй отвечает за непосредственное обслуживание программы наблюдения. «На сегодняшний день ПО любительского уровня весьма доступно, и его общая стоимость для не очень большой фирмы составит примерно 20-30 тыс. рублей ($800-1200), а использование не потребует глубоких знаний»,— резюмирует господин Михайличенко. В то же время некоторые фирмы устанавливают у себя программы, написанные специально для них компаниями аутсорсинга. Такое ПО учитывает все индивидуальные требования заказчика.
В целом же крупные фирмы, по словам Владимира Турчика, на контроль над информационной безопасностью тратят около 25% от стоимости основного оборудования и ПО компании. Но сюда, помимо электронного наблюдения, могут относиться и другие виды мониторинга, а также прочие меры по защите информации.
Впрочем, как заметил Станислав Сиражев, программы могут лишь зафиксировать факт нарушения, но не ликвидировать последствия и убытки. Руководству необходимо предвосхитить нарушения, сформировав внутри своей компании культуру в области использования интернета и сохранения корпоративной тайны. Для этого нужно работать с людьми: проводить семинары, тренинги и беседы. «Хороший управленец отличается, прежде всего, вниманием к своему персоналу»,— сказал господин Сиражев.
Мария Худовекова