Rus mevzuatı, kötü şöhretli kişisel veriler ve iletişim sırlarından bankacılık sırlarına ve içeriden öğrenilen bilgilere kadar 60'tan fazla türde sır ve sınırlı erişime sahip diğer bilgileri içermektedir. Tüm bu sırlar ya sıradan insanlara (örneğin yazışma sırrı ya da itiraf sırrı) ya da işletmelere (örneğin ticari ya da resmi sırlar) aittir.
Ancak bir sırra bulaşmak sorumluluk gerektirir; sırrın sahibi, sırrın yanlış ellere geçmediğinden emin olmalıdır. Bazı durumlarda (örneğin, kişisel veriler veya bankacılık ve resmi sırlarla ilgili olarak), devlet bilgi korumasına uyumu izler; diğerlerinde ise koruma doğrudan sahibi tarafından sağlanır.
Sırlar nasıl korunur?
O halde özel sırları bir kenara bırakalım. Sıradan bir şirkette çalışıyorsunuz, her şey her zamanki gibi gidiyor ama meslektaşlarınız bazen şaka yollu tüm çalışanların kaportanın altında olduğunu söylüyorlar. İş e-postasının romantik yazışmalar için kullanılmaması, ziyaret edilen tüm sitelerin ve bilgisayardaki geri kalan iş aktivitenizin bilgi güvenliği departmanındaki suskun kişiler tarafından kontrol edilmesi ve analiz edilmesi. Gerçekten neler oluyor?
Şirketlerde sızıntıları önlemenin temel yollarından biri DLP (Veri Sızıntısını Önleme) sınıfı programlardır.
DLP'nin görevi, e-posta (tarayıcı dahil), sohbet yazışmaları, sosyal ağlar ve bloglardaki gönderilerin yanı sıra ağ yazıcıları ve USB sürücüler veya her türlü harici depolama aygıtı aracılığıyla çalışanlar arasındaki bilgi alışverişini kontrol etmektir. hafıza kartları.
Elbette kazara veya hedefli veri sızıntısı için kullanılabilecek kanalların hepsi bunlar değil ama en yaygın olanları bunlar. Teknoloji geliştikçe, bazı DLP sistemleri zaten IP telefonlarını ve hatta kurumsal cep telefonlarını izlemeyi öğrenmiştir, ancak şimdilik bu tür "evrensel askerler" kuraldan ziyade istisnadır.
DLP sistemleri dikkatinizi nasıl çekiyor?
Sızıntı önleme araçlarının en belirgin türü ağ çözümleridir. Bu DLP'lere denir hareket halinde Görevleri ağ içinde iletilen verileri analiz etmektir. Örneğin, bu tür sistemler çalışanların birbirleriyle hangi bilgileri paylaştığını yakından takip ediyor ancak bilgisayarlara ve diğer terminal cihazlarına doğrudan erişimleri yok. Bu, şifrelemenin kolayca kafalarını karıştıracağı anlamına gelir.
Peki, Skype'ı açmak yeterli mi ve yakalanması zor olacak mı? Tabii ki değil. Kişisel siber süpervizörünüz sahneye çıkıyor kullanımda. Doğrudan iş bilgisayarınıza, dizüstü bilgisayarınıza veya akıllı telefonunuza yüklenir. Bluetooth'tan bağlantı noktalarına kadar neredeyse tüm etkileşim kanalları buna tabidir USB ve klavyede yazılan metin.
Ne uçtan uca şifrelenmiş bir mesajlaşma programı ne de Tor tarayıcısı sizi böyle bir DLP aracından kurtaramaz ve bilgi güvenliği uzmanlarınız işini biliyorsa onun varlığının gerçekliğini tespit etmeniz neredeyse imkansızdır. Örneğin, kullanıma uygun şekilde hazırlamadan size kurumsal bir dizüstü bilgisayar sağlama hakları yoktur.
Elbette mesajlaşma programları ve çevrimiçi arama işe yarıyor kullanımda limitsiz. Bu türden iyi bir DLP aracı, bilgisayarda olan hemen hemen her şeyin farkındadır. Flash sürücüye hangi dosyalar yazıldı? Yazdırma için hangi belgeyi gönderdiniz? Doğru yapılandırılmış bir program, verilere sessizce müdahale edecek ve şüpheli işlemi engelleyecektir veya tam tersine, devam edip alıcıya ulaşmasına izin verecektir.
Üçüncü tip, saklanan verileri izlemeye yönelik DLP programlarıdır veya dinlenmede. Bu tür bir "casus yazılım önleme", yerel ve harici (USB sürücüler veya CD'lerdeki) ve ayrıca uzak depolamadaki (örneğin, dosya sunucuları veya bulut platformlarındaki) bilgileri analiz eder.
Bir aracın sizinle çalışmaya başladığı genel durum dinlenmede, şu şekilde açıklanabilir: kişisel dizüstü bilgisayarınızla iş yerinize geliyorsunuz, genel ağa bağlanıyorsunuz ve güvenlik uzmanları gadget'ınıza tam erişim sağlayamıyor.
Böyle bir sistem, korunan bilgilerin izlerini aramak için erişilebilir tüm klasörleri ve dosyaları düzenli olarak uzaktan tarayacaktır. Örneğin, iş arkadaşlarınızın Facebook'ta neler paylaştığını veya Dropbox ve Yandex.Disk'e ne yüklediğini takip etmenin tek yolu budur.
Sistem nasıl aldatılır?
Değerli verilerinizi rakiplerinize sızdırmak istiyorsanız DLP programlarının sizi yakalaması garantili midir? Araştırma hayır gösteriyor.
Gerçek şu ki amaçları kazara sızıntıdır. İstatistiklere göre, veri gizliliği ihlallerinin %90 - 95'ini bunlar oluşturuyor. Aynı zamanda, az çok BT konusunda bilgili bir kullanıcı, tüm DLP sistemlerini atlama konusunda oldukça yeteneklidir.
Şifreleme. Daha önce de söylediğimiz gibi çoğu enstrüman için DLP şifrelemesi aşılmaz bir engel haline geliyor. Sohbet mesajlarından dosyalara ve e-postalara kadar her şeyi şifreleyebilirsiniz.
Fotoğraf ve video çekimi.Çalışanın sürekli izlenmesi dışında, monitör ekranını filme almaya karşı tek bir araç yoktur. Ve o zaman bile, genellikle bu gibi durumlarda, bir sızıntı gerçeği ancak olaydan sonra, kirli iş zaten yapıldığında ve 30 gümüş aldığınızda tespit edilebilir.
Kılık değiştirmek. Gizli bilgilerin aktarıldığı gerçeğini gizlemenin çok etkili bir diğer yöntemi de steganografidir (gizli yazma). Kamuflaja dayanır - gerekli bilgiler ilk bakışta dikkat çekici olmayan belgelerde, örneğin resimlerde veya müzik dosyalarında gizlenir. Çoğu DLP çözümü steganografik yöntemlerle çalışamaz çünkü şifrelenmiş verilerden farklı olarak steganografik işlemden sonraki bilgiler şüphe uyandırmaz.
Ne hakları var?
Nitekim yazışmaların ve telefon görüşmelerinin gizliliğine ilişkin medeni hak kanunda koruma altına alınmıştır ve yalnızca mahkeme kararıyla ihlal edilebilir. Bazı DLP sistemlerinin yasa dışı olmasa da en azından onu ihlal etmenin eşiğinde olduğu ortaya çıktı. Kesinlikle bu şekilde değil.
Savunma olarak DLP sistemi üreticileri, programlarının hiçbir şeyi ihlal etmediğini ve haklı olduklarını iddia ediyor; yazılımın kendisi yasaya tabi değildir ve hiçbir şeyi ihlal edemez. Ancak bunu ihlal eden kişi, örneğin DLP çalışmasının sonuçlarını kullanan bir bilgi güvenliği görevlisidir.
Artık Rusya'da işverenlerin çıkarları ile vatandaşların anayasal hakları arasında belli bir denge var. Bir yandan, kuruluşların bilgileri korumaları ve kendilerine ait ve devlete ait verilerin sızmasını önlemeleri kanunen zorunludur. Öte yandan vatandaşların ne zaman kontrol edildiklerini ve bu faaliyetin yasal olup olmadığını bilmek konusunda tamamen makul bir istekleri var ancak mahkemede çıkarlarını nasıl savunacaklarını henüz öğrenemediler.
Sürece katılanlar arasında bir birlik yoktur. Bazıları hiçbir koşulda çalışanların iletişimlerini "dinlemenin" imkansız olduğuna inanıyor. Diğerleri ise şirket bilgisayarları ve mobil cihazlarda yapılması şartıyla diğer kişilerin yazışmalarını okuma fırsatını değerlendiriyor. Yine de diğerleri, çalışanın faaliyetini izlemek için onayını almak için zorunlu bir koşul belirledi. Hatta bazıları, işverenin Rusya'da resmi olarak satılan her türlü aracı kullanarak haklarını ve meşru çıkarlarını koruma hakkına sahip olduğunu söylüyor.
Ancak her halükarda, yazışmaların veya telefon konuşmalarının genellikle iki kişiyi kapsadığını ve sadece çalışanlar için değil, her ikisi için de anayasal haklara saygı gösterilmesi gerektiğini hatırlamak yanlış olmayacaktır.
Araştırmaya göre Rus şirketlerinin yarısından fazlası çok işlevli çalışan izleme sistemleri kullanıyor. Aynı zamanda bu tür kuruluşların sayısı da hızla artıyor. Ancak bu şaşırtıcı değil. Buna göre avukat-dedektif Valery Vechkanov, izleme sonuçları genellikle şok edicidir: Ofis çalışanlarının çalışma sürelerinin %25-30'unu internette gezinerek, sosyal ağlarda iletişim kurarak, müzik dinleyerek ve çevrimiçi mağazalarda alışveriş yaparak harcadıkları ortaya çıktı. İşletmelerin personeli izlemek ve tembelleri tespit etmek için giderek daha karmaşık yöntemler bulmaya çalışmaları şaşırtıcı değil.
En yaygın kontrol yöntemi, çalışanların İnternet faaliyetlerini gizlice kurulan özel ajan programları aracılığıyla izlemektir. Kontrolün derinliği organizasyonun yönüne bağlıdır. Çoğu şirket kendilerini kurumsal e-posta ve İnternet trafiğini izlemekle sınırlandırıyor. Ancak bazı yapılarda iş bilgisayarındaki hemen hemen her tuş vuruşu kayıt altına alınıyor, sosyal ağlara bırakılan mesajlar kayıt altına alınıyor, ofisteki görüntü ve ses kayıt altına alınıyor.
Güncel Vaka Çalışması. Kendi mal satış ağına sahip olan ticaret şirketinin Rusya Federasyonu'nun farklı bölgelerinde temsilcilikleri bulunmaktadır. Bu temsilciliklerde ortaklar ve müşterilerle çalışan yöneticiler istihdam edildi. Periyodik olarak her ofiste denetim sırasında alacak hesapları belirlendi. Prensip olarak normal bir olay olarak kabul edilir, çünkü Alıcılar tedarik edilen mallar için ödemeleri geciktiriyor ve hatta bazı alıcılar mal tedariği için daha az sıklıkta ve daha küçük miktarlarda sipariş vermeye bile başladı.
Özel olarak kurulan acente programlarının yardımıyla, müşterilerden taksitle nakit ödeme alan veya çalıştıkları şirketin adını ve ticari markasını kullanarak bazı malzemeleri kendileri tedarik etmeyi başaran bireysel ofislerin vicdansız yöneticilerini tespit ettim. Böylece aynı yöneticilerin yönettiği ikiz şirketler belirlendi. Kazandıkları isim ve markayı kullanarak hem çalıştıkları şirkette rekabet yarattılar, hem de müşterileri kendilerine çektiler.
Veya başka bir durum- büyük bir ticari ve endüstriyel organizasyonda alacak hesapları artmaya başladı. Büyük miktarda borç biriktiren bazı borçlu şirketler, diğer alacaklılarla birlikte iflas etmeye başladı. Riskleri belirlemek için özel faaliyetler yürütürken (mali ve hukuki denetim ve BT dedektiflik becerilerinin kullanımı), bu ticari ve endüstriyel kuruluşun borçlu şirketlerden iflas etme fırsatı vermek için onlardan komisyon alan vicdansız çalışanlarını tespit ettim. Bu iflas işlemlerinin aynı vicdansız çalışanların kontrolündeki alacaklı şirketler tarafından başlatıldığı da ortaya çıktı. Onlar. Malların ve fonların çalınmasına yönelik hileli planların keşfedildiğine dair kanıtlar var ve bu, daha sonra meydana gelen hasarı telafi etmek için önlemlerin uygulanmasını mümkün kıldı.
Birçok şirket, çalışanlarını video gözetimi kullanarak izliyor. Çoğu zaman, bütün bir video kamera ağının kullanılması. Video ekipmanının kullanımı, çalışanların işe alırken imzaladığı, gözetim amaçlarını belirten belgelerle düzenlenmelidir. Ofiste gizli video gözetimi yasa dışıdır. Optik parlamayı algılayan cihazlar veya radyo sinyal göstergesi kullanılarak tespit edilebilir.
Ancak işverenler çalışanlarını her zaman izlemiyor. Çoğu zaman rakipler bunu yapar. Geçenlerde büyük bir uluslararası şirketin üst düzey yöneticilerinden biri, iş yerindeki dizüstü bilgisayarında bir sorun olduğundan şüphelendiği için benimle iletişime geçti. Bilgisayarda, kontrol panelinde ve işlemler listesinde görünmeyen ve neredeyse tüm işlemlerle ilgili bilgileri bilinmeyen bir alıcıya ileten bir casus yazılım programının yüklü olduğunu öğrenmeyi başardım.
Bugün elektronik geçiş sistemleriyle kimseyi şaşırtmayacaksınız. Modern ofislerin %90'ına kuruludurlar. Ancak birçok şirket daha da ileri gitmeye karar verdi ve parmak izi taramasına ve fotoğraf çekmesine olanak tanıyan ekipmanları piyasaya sürüyor. Bu tür ekipmanların yardımıyla gerçek çalışma saatleri kaydedilir - iş düzenlemelerinin ihlali, ücretlerin yeniden hesaplanmasının temeli olur. Bazı kuruluşlar halihazırda çalışanlarına elektronik geçiş kartları yerine elektronik bilezikler dağıtıyor.
Lojistik ve taşımacılık şirketleri, trafik ve yakıt tüketimi hakkında bilgi aktaran modern cihazları aktif olarak kullanıyor. Kural olarak, bu tür ekipmanların yardımıyla işverenler şirket içi hırsızlığa ve yasa dışı kazançlara karşı mücadele ederler. Birinci sınıf depo komplekslerinde, ekipman ve çalışanlar genellikle nesnenin yerini belirlemelerine olanak tanıyan özel işaretlerle donatılmıştır.
Bu tür kontrol sistemleri birkaç ay içinde kendini amorti eder. Tasarruflar birkaç milyon rubleye veya iş cirosunun %3'üne kadar ulaşabilir.
Bazı büyük yapılar, çalışanların sağlığını ve yaşam ritmini analiz etmelerine olanak tanıyan programlar sunuyor. Örneğin, özel hizmetler, İK departmanı tarafından alınan bilgileri, çalışanların takvimlerinden gelen verileri analiz edebilir ve meslektaşlarla iletişim faaliyeti düzeyini belirleyebilir. Eğer azalırsa, program olası bir işten çıkarmanın sinyalini veriyor.
Birçok işveren, çalışanların cep telefonlarını izlemeyi hayal ediyor. Telefon dinlemeyi tespit etmenin yolları hakkında efsaneler var. Şu ana kadar, bu tür manipülasyonların yüksek maliyeti ve yasa dışı olması nedeniyle konuşmaların dinlenmesi son derece nadiren kullanılıyor. Cep telefonu çoğu zaman iletişimin gizliliğini korumak için tek seçenektir. Akıllı telefon kurumsal ağa bağlı olmadığı sürece doğrudur.
İşverenler hakkında mahremiyetin, yazışmaların ve telefon konuşmalarının gizliliğinin ihlal edilmesi nedeniyle cezai kovuşturma açılması vakaları nadirdir. İşverenler, iş sözleşmelerindeki veya çalışanların çalışma saatleri sırasında kendilerine karşı kontrol sistemlerini kullanma konusunda gönüllü rızalarına ilişkin anlaşmalardaki hükümlerin arkasına güvenilir bir şekilde saklanıyor. İş Kanunu, mülkiyeti korumak ve yapılan işin niceliğini ve kalitesini kontrol etmek amacıyla çalışanların kişisel verilerinin toplanmasına izin vermektedir.
İşveren, çalışanı olası denetimler konusunda uyardıysa, çatışma durumlarında mahkemeler işe alınan çalışanların yanında yer alma konusunda son derece isteksizdir. Ofis ekipmanı, yalnızca iş görevlerini yerine getirmeye yönelik ekipman olarak kabul edildiğinden, kişisel yazışmaların dokunulmazlığıyla ilgili sorular önemsiz hale gelir.
Davaların yaklaşık %80'inde mahkemeler, bir şirketten resmi bilgilerin kişisel bir e-posta adresine gönderilmesi durumunda işverenin yanında yer alır ve bu tür ihlaller nedeniyle çalışanların işten çıkarılmasına Sanat uyarınca izin verir. Kanunla korunan sırların ifşa edilmesi nedeniyle Rusya Federasyonu İş Kanunu'nun 81'i.
Sürveyansa olan talep ekonomik nedenlerden kaynaklanmaktadır. Gözetim ve kontrol araçları, şirketlerin maaş bordrolarından %10-15'e kadar tasarruf etmelerine veya üretim süreçlerini optimize etmelerine olanak tanır. Dolayısıyla çalışanları için Büyük Birader gibi hareket etmek isteyen kuruluşların yelpazesi genişleyecek. Aynı zamanda, güvenilir veri depolama ve şifreleme sorunu da acil hale geliyor; çoğu şirket uygun bir güvenli altyapıya sahip değil. Sonuç olarak, çalışanlar hakkında toplanan verilerin sızdırılması ve kişisel hayatlarına müdahale edilmesiyle ilgili skandalların sayısı artacak.
Halka açık yerlerdeki çok sayıda CCTV kamerasına kimse şaşırmıyor. Peki bunların şirket ofislerinde veya üretim tesislerinde bulundurulması yasal mı?
Birçok işveren, çalışanların işyerinde ne yaptığını gözlemleme niyetini bile gizlemiyor. İşverenlerin temel amaçları şunlardır: Çalışanların dürüstlüğünü ve şirket yararına çalışma isteklerini kontrol etmek.
Uzmanları denetleme yöntemleri çok çeşitli olabilir: hepsi işverenin ve kuruluşun güvenlik hizmetinin hayal gücüne ve yeteneklerine bağlıdır.
Personel denetiminin en yaygın yöntemleri:
- CCTV,
- ofis telefonlarının (ve bazen cep telefonlarının) dinlenmesi,
- elektronik verileri izleme (postaları kontrol etme, dosyalarla eylemleri izleme, İnternet erişim sıklığı, ziyaret edilen sayfalar vb.),
- elektronik erişim sistemleri.
“Casus araçlarını” kullanmak yasal mı?
Ne derse desin, çalışan yine de kendisine verilen görevleri yerine getirmek, iş disiplinine, iç kurallara vb. uymakla yükümlüdür. (Rusya Federasyonu İş Kanunu'nun 21. Maddesi).
Buna karşılık, işveren, çalışanlardan iş görevlerini yerine getirmelerini, şirketin mülklerine dikkat etmelerini ve iç düzenlemelere uymalarını talep etme hakkına sahiptir (Rusya Federasyonu İş Kanunu'nun 22. Maddesi).
Ancak bunu yapan bir işvereni sorumlu tutmak mümkün müdür? gizliceÇalışanları mesai saatleri içerisinde izliyor mu? Bu soruyu bir uzmana sorduk.
Anastasia Fishkina, PRIORIET hukuk firmasında avukat: "Evet yapabilirsin. Kişiler hakkında gizlice bilgi edinmek, yalnızca “Operasyonel-Araştırma Faaliyetleri Hakkında” Federal Yasadan doğrudan talimat alınması durumunda mümkündür. Diğer durumlarda, bir kişinin özel hayatına ilişkin rızası olmadan bilgi toplanması durumunda işveren aşağıdaki yaptırımlara tabi olabilir:
- idari sorumluluk(Rusya Federasyonu İdari Suçlar Kanunu'nun 13.11. Maddesi): tüzel kişilere uyarı veya para cezası verilmesi - 5.000 ila 10.000 ruble arası.
-cezai sorumluluk(Rusya Federasyonu Ceza Kanunu'nun 137, 138. maddeleri): özellikle 200.000 rubleye kadar para cezası ve hatta 3 yıla kadar belirli pozisyonlarda bulunma hakkından yoksun bırakılarak 2 yıla kadar hapis cezası.
Ayrıca, “Kişisel Verilere İlişkin Federal Kanun”, haklarının ihlali sonucu kişisel verilerin konusuna verilen manevi zararın tazmin edilmesi yükümlülüğünü getirmektedir.”
Çalışanların denetimini "meşrulaştırmak" için, bazen işverenler iş sözleşmesine, şirketin iş günü boyunca personel faaliyetlerini denetlediğini belirten bir madde dahil eder. Ancak herkes çalışanları bu tür belgeleri imzalamaya davet etmek için acele etmiyor. Öncelikle boş pozisyonlara başvuranların olumsuz tepki vermesinden korkuyorlar. Basitçe söylemek gerekirse, işverenler adayları korkutmaktan korkuyor.
Aynı zamanda iş sözleşmesinde böyle bir hükmün bulunmasının, çalışanı daha kaliteli bir fonksiyon icra etmeye teşvik edebileceği ve işvereni olası taleplerden koruyabileceği yönünde görüşler bulunmaktadır.
İş bilgileri ile kişisel bilgiler arasındaki farkı anlamanız yeterlidir. Gerçek şu ki, Anayasa ülkemizin her vatandaşının mahremiyet hakkını, yazışmaların, telefon konuşmalarının ve mesajların gizliliğini garanti altına almaktadır. Aynı zamanda, özel verilerin “orijinal kaynak” ile anlaşma yapılmadan toplanması ve kullanılması yasaktır. (Rusya Federasyonu Anayasasının 23, 24. maddeleri). Son kuralın ihlali uyarı veya para cezasıyla sonuçlanabilir.
Anastasia Fishkina bu konuda şunları söylüyor: “İşveren, çalışanların çalışma saatleri içerisinde tam olarak ne yapacağını kontrol edebilir. Ancak bunun için iş sözleşmesine sadece uygun maddenin eklenmesi yeterli değildir.
Rusya mevzuatı çalışanların “gözetlenmesini” doğrudan yasaklamamaktadır. Ancak Rusya Federasyonu Anayasası herkese mahremiyet hakkı vermektedir. Bu nedenle, eğer bir işveren, örneğin ofise video gözetimi kurmak istiyorsa, bu, yasal gerekliliklere uygun olarak "açıkça" yapılmalıdır.
Bunun için özellikle şunları yapmalısınız:
1. gerekli belgeleri hazırlayın;
2. çalışanların rızasını almak;
3. Bilgi tabelalarını yerleştirin (gerekirse);
4. Roskomnadzor'a bir bildirim gönderin (gerekirse).”
Elbette psikolojik açıdan bakıldığında çalışanların sürekli kontrol altında çalışması zordur. Ancak, kabul etmelisiniz ki, işverenin açıkça hareket etmesi (gözetlemenin yalnızca ortak bir amaç geliştirmek amacıyla yapıldığını açıklaması, denetimleri "meşrulaştırmayı" teklif etmesi) ve astlarının, hangi özel kontrol yöntemlerinin kullanıldığını anlaması çok daha iyidir. işletme. Böyle bir durumda taraflar, birbirlerinden hile beklemeden, tüm çabalarını üretim görevlerini yerine getirmeye yönlendirebileceklerdir.
Şirket, işverenlerin cep telefonundan çalışanların konuşmalarını dinlemesine ve analiz etmesine olanak sağlayacak bir program geliştirdi. Böyle bir aracın ortaya çıkması, bunu mahremiyetin ihlali olarak görenleri şimdiden endişelendirdi. Mesai saatleri içerisinde kişisel bir hayata sahip olmanın ne kadar uygun olduğu ayrı bir sorudur. Ancak işverenlerin çalışanların çalışmalarını izlemesine olanak tanıyan araçlar uzun yıllardan beri, hatta bir asırdan beri mevcuttur. İşçilerin özgürlüğünü her zaman şu veya bu ölçüde sınırladılar.
İlk olarak, örneğin kontrol etmek içinçalışma saatleri, kayıt kayıtları getirildi, daha sonra bunların yerini kimin sık sık geç kaldığını veya devamsız olduğunu anlamayı mümkün kılan elektronik geçiş sistemleri ve çalışanların çalışma saatleri içinde ne yaptığını kaydeden video kameralar aldı. Bugünlerde artık kimseyi şaşırtmıyorlar.
"Şimdi video gözetim ekipmanı ve erişim kontrolü aslında bir norm haline geldi; çalışanlar neredeyse hiç düşünmeden bunları olduğu gibi kabul ediyor," diye belirtiyor şirketler grubunun önde gelen bilgi güvenliği uzmanı Mikhail Samoshkin.
Nedeni takip edin
Bunu da açıklıyor Personeli denetleyen işverenlerin aklında genellikle iki hedef vardır. Birincisi, esas olarak ekonomik ve bilgilendirici, bazen fiziksel (örneğin, işyerinde emeğin korunması) güvenliğin sağlanması ve ikincisi, çalışanların verimliliğinin artırılması.
Ve çoğu zaman takip ediyorlar tam olarak verimlilik adına. Ve önemli bilgilerin sızmasını önlemek için yasaklayıcı önlemler kullanılır. Örneğin, çalışanların kişisel flash sürücüyü kullanmasına izin vermeyen özel programlar.
Verimlilik açısından, St. Petersburg Ulusal Araştırma Üniversitesi Ekonomi Yüksek Okulu'nun St. Petersburg Ekonomi ve Yönetim Okulu'nda doçent olan Elena Kudryavtseva burada, işverenin öncelikle aşağıdaki şeylerle ilgilendiğini söylüyor: çalışma süresinin yapısı, yani , çalışanın gün içinde ne yaptığı ve çalışanın onu veya diğer yazılımları (genellikle pahalı) ne kadar yeterli şekilde kullandığı. Bu sorunların çözümünde, ofise gelince, yalnızca modern programlar yardımcı olabilir: geleneksel video gözetimini kullanarak, bir çalışanın bilgisayar başında otururken tam olarak ne yaptığını belirlemek oldukça zordur.
Bir iz bırak
Son yıllardaki gelişmeler belirleyici oldu bunlar ve diğer birçok görev. Günümüzde çalışanları özel programlar kullanarak izlemek popülerlik kazanıyor - Rus şirketlerinin yaklaşık% 10-15'i bunları kullanıyor. Avrupa'da şirketlerin yaklaşık %70'i, ABD'de ise %80'den fazlası çalışanları bu şekilde izliyor.
Öncelikle işverenler bu tür programların maliyetini çekiyor, 1 bin ruble'den başlıyor. Ayrıca yazılımın kurulumu, ofise birden fazla video kamera kurmaktan daha kolaydır ve uygulama yelpazesi çok daha geniştir.
Örneğin Mipko Çalışan İzleme programı, Herhangi bir bilgisayara kurulabilen, çalışanların sosyal ağlardaki ve anlık mesajlaşma programlarındaki iletişimlerini kaydetmenize, ekranın ve işyerinin ekran görüntülerini almanıza (bir web kamerası kullanarak) ve her tuşa basışınızı kaydetmenize olanak tanır. Bütün bunlar, çalışanların gerçekten çalışıp çalışmadığını veya sadece çalışıyormuş gibi davranıp davranmadığını belirlemenize olanak tanır. Ayrıca, belirli verilerin sızması durumunda monitörün fotoğrafları, şirketten birinin olaya karıştığına dair kanıt olarak kullanılacak. Doğru, Mipko çoğu zaman işverenlerin, bilgi bir kez sızdırıldıktan sonra programı satın almakla ilgilendiklerini belirtiyor.
Stakhanovets sistemi diğer şeylerin yanı sıra şunları tanıyabilir: Belirli bir çalışanın "klavye el yazısı" ve çalışan hile yapmış ve başka birinin bilgisayarını kullanmış olsa bile belirli bir belgeyi kimin oluşturduğunu belirler. Bu arada Stakhanovets'in yardımıyla telefon konuşmalarını dinlemek de mümkün. Ayrıca sistem, bir çalışanın yeğeni için ofis yazıcısından rapor yazdırıp yazdırmadığını da hesaplayabiliyor.
Aksi takdirde BOSS Kontrol sistemi çalışır Bir bakıma elektronik geçiş sistemine bir nevi alternatif. Veri işleme hizmeti ve özel terminaller olmak üzere iki bölümden oluşur. İkincisi, parmak izlerini tarayarak çalışanların geliş ve ayrılış zamanlarını kaydediyor ve ayrıca çalışanın fotoğrafını çekiyor. Hizmet daha sonra verileri alır ve yöneticiler ve muhasebe departmanları için uygun raporlar oluşturur.
"Fotoğrafçılığa ihtiyaç var Bu tür sistemlerde kaçınılması zor olan biyometrik verileri (parmak izi) toplayan sistem arızalarına karşı sigorta sağlamak. Herhangi bir nedenle baskılar okunmazsa, fotoğraf yine de şu veya bu çalışanın işe geldiğini kanıtlayabilecektir," diye açıklıyor Biometric Technologies LLC İş Geliştirme Direktörü Grigory Ulkin.
Şirket ayrıca diyor ki“BOSS Control” ile geleneksel elektronik geçiş sistemi arasındaki farkın, belirli bir şirketin ihtiyaçlarına uygun olarak çalışma saatlerinin kaydedilmesi sürecinin oluşturulmasına yardımcı olmasıdır. Grigory Ulkin, böyle bir sistemin çoğunlukla hizmet sektöründeki işverenler tarafından kullanıldığını söylüyor. Örneğin, belirli bir vardiyada kimin kimin yerini aldığı konusunda kafanın karışmamasının önemli olduğu restoranlarda kullanılır. Sistem aynı zamanda belirli bir tesiste ne tür çalışanların çalıştığını dikkate alması gereken inşaat şirketleri tarafından da kullanılıyor. Ancak imalat işletmeleri bu tür hizmetlere nadiren başvuruyor.
CrocoTime programı ayrıcaÇalışma saatlerini takip etmenize yardımcı olur. Ancak amacı, çalışanın işyerindeki varlığını takip etmek değil, çeşitli program ve siteleri kullanımını izlemektir. Böyle bir sistem, kimin tüm çalışma zamanını sosyal ağlarda geçirdiğini ve gerekli programları nasıl kullanacaklarını bilmedikleri için kimin ek eğitime ihtiyacı olduğunu anlamaya yardımcı olur.
"Müşterilerimizden biri günde 5-6 saat misket oynayan bir çalışan buldu. Başka bir şirkette ofiste film izlemeyi seviyordu (aynı 5-6 saat). Bu kadar "korkunç" durumu hesaba katmazsanız CrocoTime'ın kurucusu ve CEO'su Alexander Bochkin, "Çalışanların işte harcadığı ortalama süre %15 ila %30 arasında değişiyor" diyor.
Ancak CrocoTime, çalışanların kişisel hayatlarının kontrol altına alınmasına kesinlikle karşı olduklarını ve sistemin kişisel yazışmaları veya web sitesi şifrelerini görüntüleyemediğini belirtiyor. Gözlemin üst sınırı aktif pencerenin başlığıdır.
Biz kendimiz mutlu değiliz
Çalışanların görünüşe karşı tutumu Bir veya başka bir kontrol programının ofisinde genellikle kayıtsızlıktan keskin reddetmeye kadar değişir. Bazı İK izleme yazılımı satıcıları, örneğin bir çalışanın işine yeterince değer verilmediğini düşünmesi ve daha az iş yapan bir meslektaşına fazla ücret ödenmesi gibi durumlarda çalışanların bu yazılımları kullanmaktan memnuniyet duyacağını iddia edebilir. Ancak işe alım uzmanları bu tür vakaları duymadıklarını itiraf ediyor.
"Söylemeyeceğimçalışanların sevincini anlattı. Böyle şeylere sevinmek bizim kültürümüze hiç yakışmaz. Belki Avrupa'nın bir yerinde, özellikle de kuzeyde, çalışanlar bir takip sisteminin uygulamaya konmasından memnun olabilir, ancak burada esas olarak anlayıştan bahsediyoruz. Bir kişi bu önlemleri almanın gerekliliğini anlarsa, olup bitenler konusunda sakin olur," diyor Elena Kudryavtseva.
İK Genel Müdürü iChar ajansı Ivan Osipov ayrıca çalışanların üzerlerine kurulan gözetimden memnun olduğu bir durumla hiç karşılaşmadığını söylüyor. "Uygulamamızda, uzun bir mülakat sürecinin tüm aşamalarını geçmiş adayların izlendikleri ortaya çıktığı için çok kazançlı pozisyonlarda çalışmayı reddettikleri durumlar bile oldu. Ancak bu pozisyonlar kısa sürede daha az kişi tarafından dolduruldu. titiz adaylar,” diye açıklıyor.
Denetim hakkı
Çoğu zaman bu tür önlemler çalışanlar tarafından alınır.özellikle de işten çıkarılmalarıyla sonuçlanıyorsa yasa dışı görünüyor. Bu yılın başlarında Avrupa İnsan Hakları Mahkemesi, yaygın olarak Barbulescu - Romanya olarak bilinen bir davada karar verdi. Her şey Bükreşli mühendis Bogdan Barbulescu'nun 2007 yılında iç düzenlemeleri ihlal ettiği gerekçesiyle kovulmasıyla başladı. Aslında işten çıkarılma nedeni, mühendisin nişanlısı ve erkek kardeşiyle yazışmak için iş bilgisayarına yüklü bir mesajlaşma programı kullanmasıydı. Barbulescu kişisel yazışmaları yürütmeyi reddetmeye başlayınca, işveren ona son 8 güne ait tüm mesajların çıktısını gösterdi. Mühendis daha sonra yazışmaların gizliliği hakkının ihlal edildiğine karar vererek mahkemeye başvurdu. Romen mahkemeleri çalışanın şikayetini birkaç kez reddetti ve sonunda mahkemeye ulaştı; burada ona, davacının denetim olasılığı konusunda uyarıldığı ve kişisel yazışmalara izin vermeyen şirket kurallarına aşina olduğu için kendisine açıklandığı açıklandı. İşten çıkarma yasal olarak kabul edilmelidir.
Rusya'daki yasal işlemlerde benzer süreçler de sıklıkla yaşanıyor. Çoğu durumda, mektuplar bir şirketten değil, kişisel bir iş posta kutusundan, ancak bir iş bilgisayarından gönderilse bile, mahkemeler işverenlerin yazışmalarını okuma konusunda sakindir. İşveren, çalışanın görevlerini nasıl yerine getireceğini kontrol etme hakkına sahiptir. Ayrıca, bir iş bilgisayarı, yalnızca iş görevlerini yerine getirmeye yönelik ekipman olarak kabul edilir ve bu nedenle, kişisel yazışmaların dokunulmazlığına ilişkin sorular ortadan kalkar. Anayasa'nın özel hayatın gizliliğinden bahseden 23. maddesine yapılan atıf da anlamsızlaşıyor. Ancak çalışan, Sanatın 1. Bölümüne göre. Rusya Federasyonu İş Kanunu'nun 21'i çalışma koşulları hakkında eksiksiz bilgi alma hakkına sahiptir. Yani işverenin yapması gereken tek şey olası denetimler konusunda uyarıda bulunmaktır. Bunu yapmak için iş sözleşmesinde uygun değişikliklerin yapılması veya her çalışanın imzaladığı ayrı bir emir verilmesi yeterlidir.
Kural olarak, ihtiyaç hakkındaİlgili programların üreticileri, çalışanı gözlem konusunda uyarması gerektiğini bizzat hatırlatır. LLC "", işverenin işi, çalışanları biyometrik verilerin toplanması konusunda bilgilendirecek şekilde yapılandırması konusunda ısrar ettiklerini bile açıklıyor.
"Mipko" şirketinin temsilcisi Vladimir Zhilinsky, bazen uyarı gerçeğinin bile çalışanları acil sorumluluklarından uzaklaşmamaları konusunda motive ettiğini açıklıyor. "Muhasebecinin monitöründe artık bilgisayarının izlendiğini gösteren bir pencere var ve artık Klondike'yi açmıyor, çalışmaya devam ediyor" diye alay ediyor.
Hata metnini içeren parçayı seçin ve Ctrl+Enter tuşlarına basın
Herhangi bir organizasyonda, er ya da geç, personel ile sezgisel olarak çalışmanın mümkün olmadığı bir an gelir. Çoğu zaman bu, organizasyonun büyümesinden kaynaklanmaktadır - 10-15 kişilik bir şirkette, şirketteki durumu manuel olarak kontrol etmek hala mümkündür, ancak çok sayıda çalışanla yönetici "boğulmaya" başlar.
Aynı zamanda güvenlik olayları riski de artıyor. Bir kuruluş, benzer düşünen arkadaşlardan oluşan küçük bir grup olmaktan çıktığında ve bu kaçınılmaz olarak büyümenin bir sonucu olarak gerçekleştiğinde, çalışanların sahtekarlık riskinin azaltılmasına ilişkin görevler ortaya çıkar.
Şirkette olup bitenlerin objektif bir resmini elde etmek ve özellikle güvenliği sağlamak için çeşitli personel kontrol yöntemleri kullanılmaktadır. Organizasyonel önlemlere gelince, bugün konunun teknik yönünden ve farklı yöntemlerin ne kadar etkili olduğundan bahsetmek istiyorum.
ACS + Video gözetimi
Klasik fabrikalarda güvenlik hizmeti, çalışanları izlemek için genellikle erişim kontrol sistemleri ve video gözetiminin bir kombinasyonunu kullanır. ACS (erişim kontrolü ve yönetim sistemi) çoğunlukla aşağıdakileri temsil eder: her çalışanın, girişteki okuyucuya uyguladığı bir geçiş kartı vardır - işe varış ve işten ayrılma saatleri kaydedilir ve kontrol edilir. Kamera kayıtları ikinci savunma hattı olarak kullanılıyor.
Büyük fabrikalar ve işletmeler söz konusu olduğunda, genellikle işverene karşı özellikle sıcak duyguları olmayan, ancak yeterli "anlayışlı" olan bazı çalışanlar vardır - girişteki biri geçişi sadece kendisi için "itmez", biri de bunu yapmaya çalışır. ürünleri işletme dışına çıkarın. Bu nedenle bu tür işletmelerde güvenlik işi bazen çalışanlarla bitmek bilmeyen bir kedi fareye dönüşüyor.
Şüphe duyulması durumunda işletme güvenliği çalışanı kontrol altına alır, video kayıtlarına bakar veya çıkışta onu arayabilir. Ürünlerin kaldırılmasına karşı koruma sağlamak için bu koruma yöntemi az çok etkilidir, ancak bilgi güvenliği bağlamında çaresizdir - bu zaten bir yazılım gerektirir.
Ücretsiz ve sistem araçları
Modern ofislerde personelin çalışmalarının izlenmesi durumunda durum daha karmaşık hale gelir - iş günü çoğu zaman standart değildir ve şirketlerde yalnızca fiziksel varlığın kontrol edilmesi gerekli değildir.
Çalışma süresini kontrol etmek için aynı erişim kontrol sistemini kullanabilir veya Active Directory'den veri indirebilirsiniz. Bazen çalışma süresi kontrolü CRM sistemlerine entegre edilir. Bu durumda sorun açıktır; CRM sisteminin dışındaki her şey kontrol edilemez.
Posta ve anlık mesajlaşma programları, algılayıcılar (mesajları yakalayan modüller) kullanılarak kontrol edilebilir - tek sorun, o zaman iş bilgisayarlarınızın anti-virüs korumasını feda etmek zorunda kalacak olmanızdır. Antivirüs programlarının ezici çoğunluğu, bu tür programları bilgisayarınızda çalıştırmanıza izin vermez.
Google ve Microsoft'un bulut tabanlı iş ürünlerinde (sırasıyla Google Apps Unlimited ve Office 365 Business), çalışanların postalarını ve belgelerini anahtar kelimeler veya veri türleri açısından kontrol eden kurallar ayarlamak mümkündür. Bu elbette tam teşekküllü bir güvenlik sisteminin yerini almaz, ancak uygulama alanı bulabilir. Çalışanların çalışmasının belirli yönlerini kontrol etmek için ücretsiz uzaktan erişim araçlarını kullanabilirsiniz.
Sistem yöneticilerinin yardımıyla yukarıdaki araçların tümünü kullanarak bir çeşit personel takip sistemi elde edebilirsiniz. Ancak bu şekilde kontrol en azından eksik kalacak ve alınan verilerin sistemleştirilmesi ve kaydedilmesi, bundan sorumlu çalışanı çılgına çevirecektir.
Güvenlik sorunlarını özel bir yazılım olmadan çözmeye çalışan bir güvenlik profesyonelini de yaklaşık olarak aynı sonuç beklemektedir; bu, etkili çalışmayla bağdaşmayan bir dizi "koltuk değneği" gerektirecektir.
Zaman takibi ve çalışan takip sistemleri
Çalışanların yazışmalarını analiz etme etiği, soruları ve tartışmaları gündeme getiriyor; ancak dinleme her yerde, özellikle de büyük şirketlerde kullanılıyor. Ana görev, şirketin gizli verilerini içeriden gelen tehditlere karşı korumaktır. Ayrıca sadakatsiz çalışanları tespit etmek için iç iletişim analizi sıklıkla kullanılır. Çarpıcı bir örnek, Yandex'in satın aldığı Kinopoisk hizmetinin bazı çalışanlarının yüksek profilli işten çıkarılmasıdır. İşten atılanlara göre bunun nedeni, çalışanların iç sohbetinde hizmetin yeniden başlatılmasına yönelik sert eleştiriler oldu. Yandex'in açıklamasına göre, bu sohbetteki çalışanlar ticari sırlarını üçüncü şahıslara (eski meslektaşlarına) açıkladı. Ancak şirket açısından hoş olmayan durum, büyük ihtimalle DLP sistemi (Veri Sızıntısını Önleme) veya benzeri bir ürünün kullanılmasından dolayı güvenlik personeli tarafından fark edildi.
DLP sistemlerinin kısırlaştırılmış bir versiyonu, personel izleme sistemleri olarak adlandırılan sistemlerdir. Çoğu zaman, Skype, e-posta veya sosyal ağlar gibi bir dizi popüler iletişim kanalı için bir çalışanın masaüstüne ve bir keylogger'a uzaktan bağlanma yeteneği ile desteklenen "paketlenmiş" bir algılayıcı paketidirler.
Böyle bir araç kullanarak çalışanların çalışma sürelerini görebilir, işyerindeki ve bilgisayardaki faaliyetlerini kontrol edebilir, yazışmaların kısmi takibini yapabilirsiniz. Prensip olarak çok küçük bir şirket için bu yeterli olabilir ancak kaliteli iş için daha kapsamlı çözümlere ihtiyaç vardır.
DLP sistemleri
DLP sistemleri teknolojik açıdan daha gelişmiştir. Eğer algılayıcılar ve "çalışan izleme araçları" yalnızca bilgileri ele geçiriyorsa, DLP sistemleri daha da ileri giderek müdahalelerin yanı sıra ele geçirilen bilgileri de otomatik olarak analiz eder. Böylece “zararlı” bilgiyi arama görevi güvenlik görevlisinin omuzlarından makineye kaydırılıyor. Sadece kuralları doğru bir şekilde yapılandırması ve olaylarla ilgili sistem mesajlarına dikkat etmesi gerekiyor.
Bu kurallar ve analiz yöntemleri için pek çok seçenek vardır; bir iş istasyonunda bir işlemin başlatılması hakkında bildirimde bulunabilir, normal ifadeler (örneğin, vergi kimlik numarası veya pasaport verileri) için yazışmaları kontrol edebilir veya bir bildirim ayarlayabilirsiniz. ve belirli bir dosya formatının bir USB sürücüsüne aktarımını engellemek - genel olarak her şeyi ve her şeyi otomatikleştirebilirsiniz.
Bu sistemlerin çoğu aynı zamanda harf çevirisi yapılmış metinleri (napisannyi latinskimi bukvami), dosya uzantılarındaki değişiklikleri ve potansiyel saldırganların diğer olası hilelerini de tanıyabilir.
Tüm bunlarla birlikte, kontrol yöntemi ne kadar etkili kullanılırsa kullanılsın, şirketin yeterli yönetim ve kurum kültürüne sahip olmaması durumunda çaresiz kalacağını unutmamak gerekir. Öte yandan çalışanlara en sadık örgütlerde bile bir “zayıf halkanın” ortaya çıkma ihtimali her zaman vardır ve kontrol olmadığında bu bağ ciddi zararlara yol açabilir. Bu iki uç arasında bir denge bulmak güvenlik hizmeti ve yönetiminin en önemli görevidir.