Корпоративная прослушка
Если у вас паранойя, это не значит, что за вами не следят. Вполне может быть, что все ваши разговоры по корпоративному телефону записываются службой безопасности вашей компании. А учитывая некоторые услуги, предлагаемые сотовыми операторами, может оказаться, что работодатель не только слушает ваши разговоры, но еще и следит за тем, где вы находитесь.
Недавно два игрока «большой тройки» — МТС и «МегаФон» объединили усилия в работе над услугами, с помощью которых корпоративные клиенты могут получить доступ к местоположению своих сотрудников. Аналогичная услуга есть и в пакете предложений «Билайна».
Кроме сотовых операторов подобные услуги предоставляют сторонние компании. Как правило, основная клиентура подобных сервисов — курьерские службы и таксомоторные компании, которым необходимо контролировать перемещение автомобилей и персонала для оптимизации работы.
Выгода от подобной опции, предоставляемой непосредственно оператором связи, заключается в том, что для ее подключений не требуется заключать дополнительных договоров и закупать оборудование: она может быть «подключена» к уже имеющемуся корпоративному договору на оказание услуг связи. А объединение усилий двух операторов, как говорится в пресс-релизе «МегаФона», поможет осуществлять «перекрестный мониторинг», что, в свою очередь, позволит отслеживать местоположение не только смартфонов, но и обычных мобильных телефонов.
С точки зрения работодателя, это весьма полезная услуга. Но если вы работаете в компании, которая предоставляет вам «корпоративную» сим-карту, есть повод для беспокойства. Дело в том, что согласно договору ответственность за доведение до сведения сотрудника информации о том, что отныне местоположение его рабочего телефона будет сообщаться руководству, возложено на клиента оператора — то есть на работодателя.
При этом для абонентов, обслуживающихся в рамках корпоративных договоров, не предусмотрена функция оповещения о подключении слежки. Таким образом, если начальство решит скрыть факт слежки, сотрудник о том, что за ним следят, узнать не сможет. Особенно если при расчетах с оператором применяется постоплатная система.
Узнать о том, что руководство решило прослушивать разговоры, практически невозможно. А организовать запись разговоров, проходящих через офисную АТС, довольно легко. Не составит труда сохранять все телефонные переговоры и в том случае, если компания использует IP-телефонию с виртуальной АТС. Организовать прослушку корпоративного смартфона сложнее, но тоже довольно можно: на рынке достаточно решений, благодаря которым все разговоры будут записываться и затем передаваться на удаленное хранилище.
Вообще, согласно закону, работодатель имеет право контролировать, как работник тратит свое рабочее время. Заместитель директора по научной работе юридической группы «Яковлев и Партнеры» Анастасия Рагулина указывает на статьи 21 и 22 Трудового кодекса РФ. В первой говорится, что работник обязан соблюдать трудовую дисциплину и исполнять свои обязанности, возложенные на него трудовым договором. Вторая же предоставляет работодателю право контролировать поведение работника, чтобы исключить возможность недобросовестного исполнения им служебных обязанностей и неправомерного использования имущества работодателя в личных целях.
Однако есть нюанс. По мнению Рагулиной, контроль за работником на рабочем месте не может не затронуть его частной жизни: за это время он может, к примеру, совершить звонок, не имеющий отношение к работе, содержание которого можно отнести к личным сведениям, охраняемым законом.
Единственный законный способ осуществлять подобного рода «мероприятия» — делать это только после уведомления о них сотрудников и получения согласия в письменной форме: «Если работодатель захочет отслеживать перемещение своих работников, использующих корпоративные тарифные планы, или прослушивать корпоративные телефоны, он в обязательном порядке должен уведомить об этом. В противном случае будет нарушено конституционное право гражданина на неприкосновенность частной жизни, предусмотренное в части 1 статьи 23 Конституции РФ. По статье 24 Конституции РФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются», — говорит Рагулина.
«Негласное получение информации разрешено лишь специально уполномоченным законом органам. Так, статья 6 федерального закона «Об оперативно-розыскной деятельности» устанавливает запрет на использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то настоящим федеральным законом физическими и юридическими лицами. Таким образом, используя корпоративные телефоны для контроля за деятельностью работника, работодатель обязан уведомить его об этом и получить от него согласие в письменной форме», — напоминает юрист.
При этом, согласно букве закона, контролировать сотрудников упомянутыми выше способами можно только в рабочее время. Лучшим способом оградить от слежки «корпоративный» смартфон, по мнению юристов, является его банальное выключение по окончании рабочего дня.
Самая интересная часть истории с сервисами отслеживания — абоненты «колхозов». Так как сим-карты таких компаний-посредников оформлены на юридических лиц, к информации об абоненте может добавиться еще и его местоположение. Конечно, учитывая стоимость услуги, сложно представить, что отслеживаться будут все пользователи. Но вполне можно допустить, что при необходимости «колхоз» легко может получить доступ к геолокационным данным своих абонентов.
МОСКВА, 11 мая — РИА Новости. Прослушивание корпоративных разговоров сотрудников — «серая» и недостаточно урегулированная зона права, но при подписании соответствующих договоров проблем у работодателей, как правило, не возникает, считают опрошенные РИА Новости российские юристы.
При этом они отметили возможность злоупотреблений со стороны работодателя и посоветовали людям внимательнее относиться к тому, о чем они говорят по корпоративному телефону.
Компания InfoWatch Натальи Касперской разработала систему, способную перехватывать разговоры по мобильному телефону в офисах. Прототип решения был разработан для защиты компаний от утечек информации. По замыслу создателей, оборудование будет размещаться на территории заказчика, подключаться к сети мобильного оператора и перехватывать голосовой трафик. Полученная информация будет автоматически расшифровываться, программа слежения сама найдет в тексте ключевые слова.
Борьба с утечкой информации
«На первый взгляд, это нарушает конституцию, согласно которой все граждане имеют право на тайну переписки и тайну телефонных переговоров», — сказал адвокат Игорь Смирнов. Он напомнил, что когда телефоны прослушивают правоохранительные органы в рамках оперативно-разыскных мероприятий, то они получают на это разрешение через суд. Тут же работодатель без решения суда занимается прослушкой своими силами и средствами.
Корпоративный договор
Смирнов добавил, что, как правило, при приеме на работу и получении корпоративного телефона подписывается соглашение об использовании этого номера исключительно в служебных целях. «При этом предупреждают, что если в разговорах звучат личные данные — медицинская, адвокатская или другие тайны, то они могут быть доступны для работодателя, поэтому личные разговоры лучше вести по другим телефонам», — считает он.
Адвокат привел аналогию: полицейские по служебной связи, которую слышат другие их коллеги, не обсуждают домашние и личные проблемы. «Если по корпоративной связи озвучивать личную информацию, то сами добровольно делают ее доступной для работодателя», — добавил Смирнов.
По его словам, подобная программа не является специальным техническим средством для негласного сбора информации — только неким средством перлюстрации и выборочного контроля. «Незаконным такой способ сбора информации является, если скрывать его и записывать разговоры тайно, а тут никто никого не обманывает. Естественно, надо контролировать, чтобы прослушивались только корпоративные телефоны, а не личные», — отметил Смирнов.
Надо бороться с злоупотреблениями
Адвокат Владимир Постанюк считает, что бороться с утечкой информации необходимо, но нельзя допускать тут злоупотреблений.
«Поскольку речь идет не о прослушивании телефонных переговоров, а именно об их машинном анализе на предмет наличия ключевых слов, свидетельствующих об утечке информации, такой контроль закону не противоречит», — отметил он. По мнению адвоката, бороться с утечкой данных необходимо, однако использовать такие технологии должны только определенные органы и в соответствии с законодательством.
«Вдобавок необходимо следить за отсутствием злоупотреблений: под контроль не должны попадать личные сим-карты сотрудников, а все их собеседники должны предупреждаться о записи и анализе телефонных переговоров», — добавил Постанюк.
Проблем с законом нет
Адвокат и советник Федеральной палаты адвокатов РФ Александр Орлов назвал вопрос о прослушивании работодателем разговоров работников «серой зоной», недостаточно урегулированной на текущий момент.
«Работодатель считает, что в случае уведомления работников о записи телефонных разговоров их права нарушены быть не могут. Конституция РФ гарантирует тайну личных переговоров, в то время как прослушиваемые средства связи принадлежат работодателю, а работник выразил свое согласие на такой сбор сведений», — пояснил Орлов.
«Работники, напротив, полагают, что гарантированное каждому право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений может быть ограничено исключительно на основании судебного решения (ч. 2 ст. 23 Конституции РФ). Такие работники считают, что подобные действия работодателя могут подпадать под признаки состава преступления, предусмотренного статьей 137 Уголовного кодекса РФ, а именно под незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну», — пояснил адвокат.
Орлов отметил, что, как правило, при условии согласия работников и прослушивании корпоративных телефонов у работодателя проблем с законом не возникает.
Заботливость и осмотрительность
По его словам, необходимо проанализировать, не попадает ли разработанная Касперской система под запрет, установленный статьей 6 федерального закона «Об оперативно-разыскной деятельности». Согласно данной норме, запрещается проведение оперативно-разыскных мероприятий и использование специальных и иных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, не уполномоченными на то данным федеральным законом физическими и юридическими лицами.
«При этом прослушивание телефонных переговоров относится приведенной нормой к оперативно-разыскным мероприятиям. Вероятно, применимость данного запрета будет зависеть как от документирования внедрения такой системы в работу компаний, так и от технических особенностей самой программы, позволяющей осуществлять прослушивание разговоров», — отметил Орлов.
Адвокат уточнил, что требование об обязательном уведомлении собеседника о записи телефонного разговора в России законодательно не установлено.
«Такой разговор, записанный втайне от собеседника, все равно будет являться доказательством при необходимости. В данном контексте важно проявление должной степени заботливости и осмотрительности со стороны самого работника, когда он делает выбор, кому звонить в рабочее время и о чем разговаривать, используя корпоративную связь, предоставленную ему работодателем», — предупредил юрист.
Незаконно и неэффективно
Руководитель правового департамента Heads Consulting Диана Маклозян, считает, что использование этой программы полностью нарушает российское законодательство и по сути конституционные права граждан на тайну переписки и телефонных переговоров, ограничение которых возможно только по разрешению суда.
«Даже если при этом учитывать, что «прослушке» будут подвергаться только служебные сим-карты. Вдобавок, разработанная система противоречит и Закону «Об оперативно-розыскной деятельности», — сказала она.
Юрист отметила, что подобные меры «не обезопасят работодателей от утечки информации, поскольку на сегодняшний момент ее можно осуществлять и с помощью большого количества программ для интернет-общения, в том числе и зашифрованных».
Начальство сможет прослушивать телефоны своих сотрудников. Чем это грозит?
Телеканал «360» разобрался, как будет работать корпоративная «служба шпионажа», о чем говорить по телефону нельзя и можно ли избежать «прослушки».
Мобильные телефоны до настоящего момента оставались единственным неконтролируемым каналом передачи информации. Однако лаборатория InfoWatch, принадлежащая Наталье Касперской, разработала новый уровень корпоративной защиты. Теперь все разговоры сотрудников по мобильным телефонам смогут перехватывать и анализировать системой безопасности. Таким образом, компании смогут защищать себя от утечки информации и промышленного шпионажа. Подобные системы существовали и раньше, но обрабатывали лишь текстовые сообщения. Теперь программа реагирует на утечку информации и в голосовом формате.
Фото: Public domain
Как будет работать система?
Устройство будет устанавливаться непосредственно в офисе компании. Оно будет интегрировано с ядром сети сотового оператора: по сути, заменит вышку связи и будет перехватывать все телефонные вызовы в зоне досягаемости. Наталья Касперская в интервью газете «Коммерсант» отметила, что «заказчикам будет рекомендована работа устройства в режиме выборочного контроля исключительно корпоративных SIM-карт».
Это значит, что «принимать на себя» оно будет только звонки с телефонов из определенного списка, в который войдут сотрудники фирмы. А звонки с остальных SIM-карт будут переадресованы на стандартные базовые станции сотовых операторов. Но «будет рекомендовано» может означать, что, теоретически, компания сможет «подслушивать» абсолютно все разговоры в офисе, как гостей фирмы, так и просто проходящих мимо людей.
Фото: Public domain
Как отследят утечку?
Первичную обработку разговоров будет проводить не человек, а машина. Программа способна расшифровать человеческую речь. После употребления определенного набора ключевых слов, которые установит сама корпорация, будет включаться запись разговора. На вторичном этапе «опасные» для корпорации переговоры будет анализировать сотрудник системы безопасности фирмы.
Фото: Public domain
Законна ли «прослушка»?
Наталья Касперская отметила, что при установке данного ПО с сотрудниками компании в обязательном порядке будет подписано соответствующее соглашение, в котором они дадут разрешение на обработку своих личных данных. Но с юридической точки зрения сотрудник может отказаться, и уволить его за это не имеют права.
Что касается законности самого устройства слежения: с одной стороны, оно идет вразрез с 23 статьей Конституции РФ, ведь ограничивать право граждан на тайну переписки или телефонных переговоров возможно лишь по решению суда. При демонстрации экспериментальной версии, устройство показало возможность работы в любой GSM-сети без ведома оператора. Из-за этого могут возникнуть проблемы с лицензированием. Получается, что фирме Касперской удалось расшифровать GSM-сигнал, а это уже мировая сенсация.
Фото: Public domain
Что ждет тех, кто «попадется»?
За распространение конфиденциальной корпоративной информации и шпионаж сотрудника могут уволить, а могут и отправить под суд. Перед увольнением начальство должно запросить объяснительную записку замеченного в шпионаже сотрудника. При этом компания не обязана показывать самому работнику доказательство того, что его «поймали», но в случае судебного разбирательства аудио-подтверждение необходимо будет представить. В уголовном кодексе РФ есть 183 статья: «Незаконные получение и разглашение сведений, составляющих коммерческую тайну». Провинившегося сотрудника могут оштрафовать на сумму до миллиона рублей, либо назначить исправительные работы, либо заключение под стражу на срок до трех лет.
Фото: Public domain
Где внедрят программу?
Планируется, что доступ к рабочей версии программы корпорации получат уже в этом году, если процедура лицензирования пройдет успешно. Эксперты ставят под сомнение, что программу допустят на рынок, так как она попадает под запрет оперативно-розыскной деятельности не уполномоченными на это лицами. Но если она все же станет общедоступной, воспользуются ей, скорее всего, лишь очень крупные фирмы с повышенным контуром секретности. Это, в первую очередь, сферы энергетики и высоких технологий.
Как работодатель читает вашу переписку, и что с этим делать
Каждая третья российская компания читает электронные письма работников, каждая пятая следит за тем, какие они посещают сайты, каждая десятая мониторит переписку в мессенджерах. Даже не очень богатым организациям доступны инструменты, которые позволяют в реальном времени контролировать всё, что происходит в компьютерах и мобильных устройствах сотрудников. Неважно, служебные это гаджеты или личные. Есть только одно исключение — разговоры по мобильному телефону. Но технологии, которые позволят их перехватывать, уже тестируются. Авторы и лоббисты «пакета Яровой» о таком могут лишь мечтать. «Секрет» расспросил эксперта в области информационной безопасности о том, как работают средства корпоративной слежки и все ли они законны.
Как следят
Программное обеспечение, которое следит за сотрудниками и контролирует их действия, делает информацию доступной работодателю сразу — ни в каком зашифрованном виде она не хранится. Такой софт действует локально и никак не связан ни с операторами, ни с провайдерами.
Во-первых, это так называемые программы-агенты, которые устанавливаются на компьютеры и считывают нажатия клавиш, делают скриншоты, фиксируют весь интернет-трафик. Таких программ на рынке сотни, так как они относительно легко пишутся. Приведу несколько примеров.
PC Pandora — скрывается в системе и контролирует весь компьютер и весь интернет-трафик. Делает снимки экрана, фиксирует клавиатурный ввод, действия на посещаемых веб-сайтах, контролирует электронную почту, мгновенные сообщения мессенджеров и собирает ещё много другой информации о работе пользователя. У программы нет папки, в которой она хранит свои данные. Всё загружается в операционную систему, и каждая новая установка на один и тот же или другой компьютер производится с новыми названиями файлов.
SniperSpy — производит мониторинг удалённого компьютера в режиме реального времени, делает снимки пользователя с веб-камеры компьютера, записывает звуки в помещении, где установлен компьютер, просматривает файловую систему, удалённо загружает файлы, просматривает и удаляет процессы системы и выполняет другие стандартные для шпионской программы функции.
Micro Keylogger — шпионская программа, которую не видно в меню, в панели задач, панели управления программами, списке процессов и в других местах компьютера, где есть возможность отслеживать работающие приложения. Она не подаёт признаков присутствия и не влияет на производительность системы, скрытно отправляет отчёт на электронную почту или FTP-сервер.
Во-вторых, есть DLP (Data Leak Prevention) — технологии предотвращения утечек конфиденциальной информации из информационной системы во внешний мир (и технические устройства для осуществления этой задачи). DLP-системы анализируют потоки данных, пересекающих периметр защищаемой информационной системы. Если в потоке обнаруживается конфиденциальная информация, срабатывает активная компонента системы и передача сообщения (пакета, потока, сессии) блокируется.
Такие решения контролируют поток, который входит, выходит и циркулирует в периметре. Сейчас речь о пространстве офиса. Физически это обычный сервер (или группа серверов), который анализирует весь офисный трафик. DLP-системы с помощью технологий инспекции пакетов (DPI) читают не только заголовки сообщений, где написано, кому должно уйти письмо, но и вообще все передаваемые данные.
Такие системы обычно работают в двух режимах: мониторинг и блокирование. В первом случае система просто мониторит и скидывает подозрительные вещи сотруднику, отвечающему за безопасность, а он это читает и решает, хорошо это или плохо. Во втором случае система настроена так, чтобы блокировать определённые вещи. Например, все сообщения, в которых содержатся медицинские термины — для этого в систему загружаются медицинские словари. Или все сообщения, в которых содержатся паспортные данные, информация про кредитные карточки, любые условия, какие вы можете вообразить. Вы пытаетесь отправить сообщение со словами, которые политика безопасности не пропускает, и у вас это сообщение просто не отправляется.
Наконец, есть специальные программы, которые предотвращают перемещение файлов на любой носитель, будь то флешка, жёсткий диск или что угодно ещё. Чаще всего такие программы являются частью большой системы безопасности и современных решений DLP. Обычно средства защиты комбинируют, потому что ни одно не защищает от всех угроз.
Фото: © Илья Питалев / РИА Новости
Что касается личных устройств в офисе, то домашние ноутбуки часто стараются запретить, их можно обнаружить с помощью программно-аппаратного комплекса класса Network Admisson Control (например, Cisco ISE). NAC — комплекс технических средств и мер, обеспечивающих контроль доступа к сети на основании информации о пользователе и состоянии компьютера, получающего доступ в сеть. Такие системы сразу видят и блокируют «чужой» компьютер. Даже если такой системы нет, с помощью системы DLP всё равно можно отследить, что с любого компьютера в сети офиса ушло за периметр.
Если человек всё время работает удалённо, на его личный компьютер ничего поставить невозможно. Другое дело, если работник что-то делает на своём домашнем компьютере, а затем подключается к корпоративной системе из дома. Для таких случаев есть решения по контролю привилегированных пользователей (CyberArk, Wallix). Они позволяют следить, что делает пользователь, работая из дома, записывая сессию на оборудовании в пределах контролируемой зоны. Речь, разумеется, только о компьютерах, которые удалённо взаимодействуют с сетью предприятия.
Если взять рабочий ноутбук домой, информация тоже будет считываться. Можно поставить такую систему, которая локально сохранит все данные и потом, как только человек придёт на работу и подключит компьютер к системе, они тут же считаются.
Слежка распространяется не только на компьютеры. Если вы сидите в интернете с телефона через рабочий Wi-Fi, система воспринимает его как обычный компьютер, ещё один узел. Всё, что вы посылаете через WhatsApp или через любое самое защищённое приложение, может быть прочитано. Раньше DLP-решения плохо справлялись с шифрованным трафиком, но современные системы могут прочитать практически всё.
Что касается мобильной связи, то пока звонки никак не отслеживаются. Но вот Наталья Касперская выступила инноватором и предлагает прослушивать разговоры работников в периметре компании. C появлением такой системы с любым телефоном, который попадает в периметр, можно будет сделать всё что угодно. Касперская говорит, что работодатели будут следить только за служебными телефонами. Но кто может это гарантировать? И сейчас компании рассказывают, что следят только за служебной перепиской, но на самом деле часто контролируется всё. Мне кажется, предложение Касперской — это очевидный перебор. С другой стороны, мы видим, что мир движется к максимальному ограничению личных свобод — и с этим, по-моему, уже ничего сделать невозможно.
Законные основания
Наше законодательство вроде бы не даёт никому права читать чужую переписку. Согласно статье №23 Конституции РФ гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а ограничение этого права допускается только на основании судебного решения. К тому же существует 138-я статья Уголовного кодекса РФ, которая вводит уголовную ответственность за нарушение этой тайны (штраф или исправительные работы).
Тем не менее, работодатели считают, что слежка за работниками законна и даже необходима. Они исходят из того, что корпоративная почта принадлежит компании и должна использоваться только для выполнения служебных обязанностей (выплачивая работнику зарплату, работодатель, по сути, арендует его время).
Компания оплачивает интернет-трафик, используемый работником в личных целях в рабочее время. То есть, даже если человек переписывается по личной почте или в мессенджерах с помощью рабочего ноутбука или через рабочий Wi-Fi, подобные действия рассматриваются как удовлетворение личных потребностей за счёт организации.
Работодатель понесёт убытки в случае утечки данных, поэтому, объясняя необходимость слежки, компании ссылаются на закон «О коммерческой тайне» и, в частности, статью 10, которая регулирует меры по охране конфиденциальной информации.
Как регулируется слежка
Если грубо, вся переписка, осуществляемая при помощи средств, принадлежащих организации и по оплаченным ею каналам связи, является служебной — даже если она ведётся в нерабочее время. Поэтому если вы пользуетесь рабочим компьютером или рабочим Wi-Fi (даже через личный компьютер) — это уже и есть необходимое условие для слежки.
Рабочее время никак не регламентируется, обычно систему мониторинга никогда не выключают. Ведь любой более-менее грамотный работник может настроить систему так, что после того, как он уйдёт с работы, отправится письмо на почту, где он сольёт всё, что хотел слить. Зачем нужна система, если в ней есть такая огромная дыра?
Согласие работника
По закону работник не может не знать, что за ним ведётся слежка. Юристы считают, что использование программ контроля законно только при условии наличия соответствующего соглашения между работником и работодателем. Обычно при устройстве на работу подписывают трудовой договор, где написано, что служебная переписка будет контролироваться: юристы включают в договор пункт, согласно которому работодатель оставляет за собой право контроля деятельности работников в рабочее время. Есть отдельные соглашения NDA, где даётся определение конфиденциальной информации.
В уставах организаций, как правило, указано, что компания является собственником всех материальных, технических, информационных и интеллектуальных ресурсов, в том числе и служебной переписки, которая осуществляется работниками организации с помощью всех этих средств. Кроме того, в организациях обычно действует режим коммерческой тайны. Если система безопасности вводится на уже существующем предприятии, всем работникам дают на подпись соответствующие документы.
Если работник — фрилансер, с ним заключается договор подряда и в нём прописывают соответствующий пункт. Если договор не заключается, что у нас происходит часто, и слежка ведётся, то закон при этом, конечно, нарушается. Есть ещё фрилансеры, которые работают на почасовой оплате на фриланс-биржах вроде Odesk и Elance. Эти биржи обязывает фрилансеров устанавливать софт, которые делает скриншоты экрана каждые 5–10 минут. Это позволяет работодателю понимать, что оплаченное время было потрачено на работу, а не на что-то ещё.
Работнику сообщают о слежке, но подробно разъяснять механизмы никто не обязан. «Дорогой, твою почту, твои сообщения, твои походы на сайты контролирует система, поэтому будь аккуратнее» — так никто никогда не скажет. Даже если с офицером безопасности выпить пива, он не раскроет схему, потому что это будет нарушением его служебных обязанностей.
У человека всегда есть выбор: он может дать согласие быть под присмотром или поискать себе другую работу. Без ведома работника за ним будут следить, только если в чём-то подозревают, но это уже незаконно.
Что компания делает с полученными данными
Компании не читают всю переписку работников ежедневно. Да, в маленькой фирме директор может видеть и читать всё, но в больших компаниях систему настраивают на критичные вещи: ключевые слова, типы файлов, виды информации.
Обычно эксперт по безопасности сразу видит критические угрозы: у него бежит лента всего, что происходит, и в этой ленте обычные сообщения подсвечиваются зелёным, а когда загорается красный, он сразу обращает внимание и начинает проверять. То есть, если вы сидите в Facebook во время работы, вероятность того, что работник безопасности прочитает вашу переписку, не очень велика. Конечно, если в компании общение в Facebook не считается критической угрозой.
Как долго хранится собранная информация, зависит от политики безопасности и мощности оборудования. Маленькие компании могут хранить информацию на сервере годами, но более крупные — обычно несколько месяцев. Хотя это зависит даже не от числа работников, а скорее от объёма трафика. В одной компании много работников-бухгалтеров, и в Сеть они вылезают раз в день. В другой люди постоянно работают в интернете: ведут переписку, мониторят сайты.
На основе полученных данных работодатель может и уволить. Но обычно заканчивается увольнением по собственному желанию или по соглашению сторон. Работника мягко шантажируют: «Давай ты лучше уйдёшь по-хорошему, потому что мы можем и в суд подать».
Может ли сотрудник обнаружить слежку
При достаточной квалификации работник может обнаружить шпионские программы-агенты или программы по предотвращению переноса на носители, которые установлены на компьютер. Они, конечно, не лежат в тех папках, где находятся программы. Но если работник грамотный, он может их найти.
А вот DLP работники обнаружить не могут никак, потому что системы не установлены на компьютерах, они стоят на периметре. Если захочется приватности, единственный вариант — пользоваться в офисе для личных переписок телефоном и не подключать его к сети компании.
Можно ли оспорить слежку
Как я уже сказал, обычно работодатели приводят следующие аргументы в пользу слежки: это служебная переписка, и она никак не связана с 23-ей статьёй Конституции; если работник дал согласие, нет никаких нарушений; вся переписка работника — собственность предприятия; закон о коммерческой тайне позволяет делать вообще всё. На самом деле все эти утверждения можно оспорить в суде.
Во-первых, тайна переписки распространяется как на частную, так и на служебную переписку, и работодатель не может прямо получить от работника разрешение на чтение всей переписки, не ограниченное ни временем, ни другими факторами.
Во-вторых, нельзя просто заставить работников написать расписку о том, что они ознакомлены с тем, что вся их почта, в том числе личная, будет прочитана и последуют санкции вплоть до увольнения.
В-третьих, нельзя признать всю переписку работника собственностью предприятия, потому что есть право на электронное письмо — это авторское право. Грамотный работник может нанять юриста и сказать: «А это литературное произведение, на него распространяются авторские права, это результат моей интеллектуальной деятельности, он принадлежит мне». Суд вполне может встать на его сторону, если с ним работает хороший адвокат.
Наконец, нельзя всю личную переписку признать содержащей коммерческую тайну.
В идеальной ситуации работник и работодатель понимают, что делают общее дело, находят правильные решения и закрепляют их во взаимовыгодных соглашениях. Но в жизни, конечно, бывает по-разному.
Чья слежка эффективнее — бизнеса или государства
Сейчас компании следят за сотрудниками так, что государство о таком контроле только мечтает, а осуществить на практике не может. Государство не будет вставлять шпионские программы в каждый компьютер и вообще вряд ли справится с таким объёмом информации.
Когда какое-то предприятие защищает свой периметр, понятно, чего оно добивается — ограничивает распространение информации, которая для него критически важна. У государства эта задача не сформулирована, государство говорит: «А мы просто хотим знать и читать вообще всё». Как это сделать, государство не знает, потому что интеллектуальных систем, которые ему нужны, оно построить не может.
Тогда государство заходит с другой стороны — и появляется «пакет Яровой». Государство как бы говорит операторам связи: «Нужную систему мы построить не можем, поэтому давайте-ка вы будете хранить все данные, чтобы мы могли в случае чего прийти к вам, всё скачать и посмотреть, что там у вас происходило в течение длительного времени». На это нужно огромное количество денег. Это действительно очень сильно бьёт по личной безопасности граждан.
Если сопоставить системы, которые нужно построить в масштабах государства, с системами, которые сегодня есть у бизнеса, получится, что власти пытаются построить гигантский самолёт на 100 000 пассажиров вместо обычного. То, что сегодня есть у бизнеса, летает прекрасно, но перевозит при этом 100, 200, 500 или несколько тысяч человек. Как должен выглядеть самолёт на 100 000 человек? С какого аэродрома он сможет взлететь? На эти вопросы никто не отвечает. По моему мнению, это ещё один ненужный проект.
Если заниматься этим всерьёз, нужно строить интеллектуальную систему, которая будет указывать на критические действия, причём в режиме реального времени, а не хранить огромный массив данных, который никто не сможет обработать. Но лучше бы, конечно, государство совсем не читало нашу переписку без решения суда. Компании работник разрешает мониторить его письма и сообщения, потому что компания платит ему деньги. А государству, наоборот, платит гражданин. Так что это государство должно перед нами отчитываться, вместо того чтобы воровать и следить, как бы кто лодку не раскачал.
Фотография на обложке: Tim Taddler / Getty Images