«Корпорации одержимы идеей слежки»

Пока спецслужбы США слушают личные переговоры глав государств, наши работодатели в большинстве крупных компаний внимательно следят за общением сотрудников в соцсетях и мессенджерах. В 2013 году объем продаж мониторинговых программ вырастет на 50 %. Цели у такого контроля разные: от защиты коммерческих секретов до обычного стремления знать личную жизнь подчиненных. Как устроены системы слежки и почему это разрешено законом, разбирался Medialeaks.

 «Корпорации одержимы идеей, чтобы следить за своими сотрудниками, главное -контролировать, что они делают и чего они не делают в рабочее время, что они пересылают и не пересылают во внешний мир», — рассказала Medialeaks заместитель главы портала Agentura.Ru Ирина Бороган.

По данным  аналитического портала Antimalware.ru, публикующего ежегодные доклады о рынке программ-шпионов в России, в 2013 году объемы продаж мониторинговых систем вырастут на 50%. Они показывают рост три последних года.  В 2011 году фирмы наторговали на  32 млн долларов, а в 2013 эта цифра может достичь 78 млн долларов.

Слежка за почтой, Skype, Jabber и ICQ

Практически все крупные компании России в настоящее время используют систему предотвращения утечек DLP (Data Loss Prevention). Они установлены в  гигантах, вроде «Газпромбанка», «Мегафон», РЖД, ФНС,  ФТС, Минобороны, «Норникеля», «Русала», «Евросети». Мелкий и средний бизнес тоже в игре. Согласно статистике Superjob, каждая третья некрупная компания старается устанавливать контроль за корреспонденцией сотрудников.

DLP дает широкий спектр для контроля. На сайте аналитиков из Antimalware говорится, что эти программы позволяют следить за электронной почтой сотрудников, веб-ресурсами, которые они посещают, в том числе соцсетями или форумами; читается и переписка в мессенджерах ICQ, Jabber, MSN, Skype. DLP контролирует и печать,  внешние устройства, подключенные к рабочим компьютерам  (USB-диски, CD/DVD,  Bluetooth). Фактически закрытых от мониторинга ресурсов для общения уже нет.

 Технология IT-шпионажа в офисе

Как правило, шпионские программы используют технологию, основанную на глубоком анализе всех проходящих через нее данных. Она называется DPI (Deep Packet Inspection) . Система вылавливает ключевые слова и шаблоны, которые были «поставлены на охрану», рассказала Medialeaks Татьяна Середкина, директор по продвижению компании «Трафика», предоставляющая услуги мониторинга и программу Monitorium.

Компания является участником  «Сколково». Разработанная ею система устанавливается за 10-15 минут, и «стоит как антивирус», утверждается на сайте «Трафики». В телефонном разговоре с Medialeaks Середкина цену продуктов компании не назвала, сказав, что они сильно варьируются в зависимости от того, крупный заказчик или нет.

Сотрудник просит соблюдать его право на личную жизнь под объективом видеокамеры.

Monitorium, как и программы-конкуренты, в режиме реального времени  анализирует все, что отправляется работниками в интернет и принимает решение, попадает ли эта информация под запрет, или нет. Ключевые слова или шаблон запрета прописаны в правилах политики безопасности компании.

«Это могут быть поставленные на охрану паспортные данные и фамилии, номера банковских карт, документ, или любая выдержка из этого документа — более трех слов, часть этого документа — все, что угодно», — объяснила Середкина.

Если сообщение попадает под настроенное правило — система выводит информацию о срабатывании на экран сотруднику службы безопасности. Он может посмотреть, с какого компьютера отправлено сообщение. Можно настроить систему и в блокирующем режиме и тогда на экран пользователя, который отправил сообщение, будет выведено предупреждение о том, что он отправляет запрещенную информацию.

» Мы можем пометить документы, рисунки, конструкторские чертежи, сканы документов и система поймет, что наружу пытаются передать помеченные файлы.  Вот так это работает», — рассказала Середкина.

Директор по продвижению «Трафики» уверяет, что их программа выслеживает только утечки конфиденциальных данных. При этом, она не отрицает, что, в принципе, программу можно настроить так, что она будет собирать и не относящуюся к работе информацию.

«Для любопытства доступна вся информация», — говорит Середкина.

Любопытство против privacy

Программы-шпионы нередко выходят за границы контроля служебной информации, все зависит от любопытства начальства, говорит и заместитель редактора «Агентуры» Ирина Бороган.

«Да, есть и такие компании, которые очень хотят знать, о чем же там сотрудники переписываются «, — рассказывает заместитель редактора Agentura.Ru.- Человек может посмотреть, составить отчеты, увидеть ходил ли сотрудник на порносайты и вообще, на какие сайты он ходил».

Сотрудники должны быть готовы к наблюдению за их перепиской и действиями в сети. Любые действия с их персональными данными должны оговариваться в Трудовом договоре при приеме на работу.

 

«Без предупреждения сотрудников системы, подобно нашей, использовать незаконно», — говорит Середкина. Она приводит фразу, которую обычно включают в трудовой договор работодатели.

«Компания оставляет за собой право контролировать работу сотрудников, в том числе при помощи видеонаблюдения и систем автоматизированного контроля утечек информации через интернет».

В итоге сотрудник, чью переписку в Skype прочел директор, после подписания такого трудового договора, теряет право обжаловать действия работодателя.

«Если и могут появиться  жалобщики, то, возможно, оттого, что при приеме на работу не дочитывают до конца трудовой договор,» — считает Середкина. За время существования «Трафики», против нее не было подано ни одного иска.

Закон не против

Факты взлома личной электронной почты, чтения личных сообщений подпадают под действие двух статей УК: ст. 272. «Неправомерный доступ к компьютерной информации» и ст. 138 «Нарушение тайны переписки,  телефонных переговоров, почтовых и иных сообщений».

Закон о персональных данных работает лишь в том случае, когда эти данные передаются третьим лицам, а таких нарушении крупные компании практически не совершают.

«Если взломан личный ящик, то ответственность предусмотрена 272 статьей УК, там два года лишения свободы. В принципе, взлом аккаунта (e-mail—Medialeaks)  может попадать под уголовную статью», — рассказал Medialeaks адвокат, управляющий партнер юридической фирмы Легис-групп  Максим Домбровицкий.

Но прямого законодательного запрета на то, чтобы работодатель читал личную переписку сотрудников, нет, говорит эксперт.

«Нет такого прямого запрета. Но в случае, если произойдет взлом ящика и утечка информации, то может наступить уголовная ответственность. Если утечки не произойдет, то есть ящик был просто взломан, письма прочитали, но не копировали, тогда состава преступления нет», — объяснил юрист.

Примечательно, что в таких случаях, ответственность перед сотрудником, павшим жертвой слежки, будет, скорее всего нести сисадмин — физическое лицо, которое совершило противоправное действие. Привлечь можно и руководителя, отдавшего указание.

Юрист затруднился назвать хоть один громкий случай судебных разбирательств, когда сотрудник судился с компанией за нарушение закона о личной жизни.

 Растущий рынок слежки

Сейчас в России существует множество фирм, предлагающих программное обеспечение для контроля за офисными работниками. К «гигантам» нашего рынка относятся компании InfoWatch, Инфосистемы Джет, Zecurion, Websence.

В сентябрьском докладе аналитиков AntiMalware говорится, что подавляющая часть DLP-рынка в России по-прежнему приходится на сегмент крупного бизнеса.

Средняя стоимость проекта, включая его внедрение и поддержку, для крупных компаний составляет  от $200 до 400 тыс. За такие цены услуги покупают «Газпромбанк», «Мегафон», РЖД, «Евросеть» и «МДМ-Банк», говорится в докладе аналитиков.

Эксперты, с которыми поговорил Medialeaks, сходятся во мнении, что слежка в современном мире — вещь неизбежная. Любой обладатель смартфона с системой геолокации автоматически передает данные о своем местонахождении серверу,  Яндекс, Google пристально отслеживает интересы своих пользователей, чтобы подбросить им соответствующую контекстную рекламу.

«В этой паранойе можно пойти и дальше, прекратив использовать интернет в принципе», — подытоживает Середкина.

Паранойя уже поразила  высших чиновников европейских государств. После откровений беглого сотрудника АНБ Эдварда Сноудена, кажется 100- процентной уверенности в неприкосновенности личной переписки в сети уже не будет. При этом, вероятно, разрешенный порог конфиденциальности в России в ближайшее время может быть и вовсе снижен.

В минувший четверг член Совета Федерации Руслан Гаттаров, получивший известность критикой Google и Facebook, объявил, что  собирается внести правки в  закон «О персональных данных». Совфед намерен ввести в документ еще одно понятие -«субоператор».  Он сможет проводить обработку персональный информации по поручению оператора (работодателя) и без получения согласия на то субъектов (сотрудников).

Читать далее