Не хотите "Стахановца"? Будут следить другие
Скандал вокруг "восьми компаний, в которых обнаружены шпионские программы" пролил свет на такое явление, как слежка за сотрудниками в их компьютерах. Избежать такой слежки невозможно – если работодатель немного поработает с юристами.
В новостях - сообщения о "масках-шоу": то в инвесткомпанию заглянут, то в газодобывающую. Изъятие компьютеров, обвинения в использовании «шпионских программ российского происхождения» - все это предлагаю оставить юристам и политикам, а также диванным экспертам. Поговорим о том, о чем говорить постыдно – о слежке за персоналом. О грязной и скандальной слежке, сопровождаемой копированием личной переписки, паролей доступа в почту, соцсети и даже к личному интернет-банкингу.
Так что выходит, что СБУ обратила наше всеобщее внимание на практику корпоративного заглядывания в трусы? Очень похоже, но нет. А что же тогда да?
Вокруг чего и почему шум
Дело в том, что поводом для вторжения стало использование так называемой DLP-программы российского, как утверждается происхождения по имени "Стахановец". DLP – это не Distance Learning Program, то есть программа дистанционного (заочного) обучения. Это Data Loss Protection – то есть система для предотвращения потери (хищения) данных из компьютерных систем. Вот только не существует иного пути предотвращения потери или кражи данных кроме как слежка за действиями персонала. А точнее – выявление таких действий, как неразрешенная отправка электронной почтой и через социальные сети ценных документов и сведений, распечатывание их на принтерах, переписка с потенциальными новыми работодателями и т.п.
ЧИТАЙТЕ ТАКЖЕ: ПОЛИТИКИ ОБЪЯВИЛИ ПРЕДВЫБОРНУЮ ПЕНСИОННУЮ РЕФОРМУ: КОМУ ОТ ЭТОГО ЛУЧШЕ
Подобные системы стоят недешево. Но они во многих бизнесах стоят потраченных денег. Так как утечка важной информации может привести к весьма печальным для компании последствиям. Лет десять-пятнадцать назад для слежки использовались преимущественно разработанные в США и Западной Европе DLP-программы. Например, от компаний SecurIT, InfoWatch, Symantec и ряда других. Вот только незадача – они были и остаются дорогими: что-то около 25-50 тыс долларов стоил комплект программ для защиты предприятия. Но потом появились российские программы – они стоили примерно в 5-10 раз дешевле. Их-то, в основном, и используют до сих пор. Забейте в Google запрос "DLP-программу купить" и поисковая система с пропиской в США выдаст целый букет поставщиков с сайтами, чьи имена заканчиваются на .ru.
В чем СБУ однозначно право – в том, что такие DLP-программы могут быть использованы не столько для защиты данных, сколько для их похищения. Разумеется, в случае недобросовестности поставщика. Но добросовестность поставщика и проблемы компании, озабоченной сохранностью своих секретов, нас не особо волнуют в данном случае. Как быть с правами персонала, за которым следят?
К нам лезут в трусы?
Собственно, есть два законодательных акта, которые как-то регламентируют взаимоотношения работника с работодателем, а также сохранность персональных данных. Это "Кодекс законов о труде" 1971 года издания с многочисленными исправлениями и дополнениями, а также закон Украины "О защите персональных данных" от 2010 года.
Если их внимательно перечитать, то окажется, что вся информация, хранящаяся работником на его рабочем компьютере, либо не должна относиться к персональным данным, либо (если она таковой является) на ее сбор, хранение и обработку работодатель или его представители получили соответствующие разрешения от соответствующих персон. Не получить предварительно такие разрешения нельзя – это требование закона о персональных данных.
Что касается контроля за действиями сотрудника за рабочим компьютером, то такие действия должны носить исключительно служебных характер. По крайней мере – если соблюдается трудовая дисциплина, по поводу которой в Кодексе законов о труде написано много правильных слов.
ЧИТАЙТЕ ТАКЖЕ: КУРС КРЕПЧАЕТ, ИЛИ ДЕМБЕЛЬСКИЙ АККОРД ГОНТАРЕВОЙ
Личная переписка, гуляние по соцсетям, лазанье в личный интернет-банкинг – это все не должно делаться в рабочее время и с рабочих компьютеров. Более того, соответствующие обязательства могут возложить на работника при приеме на работу – с подписанием соответствующего документа.
В таком случае, у работника не окажется никаких оснований для споров по поводу ограничения его прав, по поводу слежки за ним и т.п. Даже если DLP-программа каждые пять минут "фотографирует" состояние рабочего экрана и отправляет этот "снимок" в корпоративную базу данных "на всякий случай". Даже если такая программа "пишет" аудиофайл переговоров по Skype или в чате FB.
Да, в многочисленных дискуссиях, которые ведутся по поводу подобных расписок о строгом следовании трудовой дисциплине, часто говорят о том, что такой подписанный работником документ является недействительным: "Умови договорів про працю, які погіршують становище працівників порівняно з законодавством України про працю, є недійсними" (ст 9 КЗпП). Но тут все зависит от формулировок в такой расписке и в правилах внутреннего распорядка предприятия. Кто может запретить работодателю требовать, чтобы служебное оборудование использовалось исключительно в служебных целях?
Конечно, если соответствующих прелюдий предпринято не будет – беда для компании. Если у работодателя не окажется в хитрой папочке листочков с подписями сотрудников о том, что они предупреждены о недопустимости неслужебного использования компьютеров, то кто-то из обиженных может прибегнуть к статье 237-1 "Відшкодування власником або уповноваженим ним органом моральної шкоди". А это уже серьезно – и в смысле материальных потерь для компании, и репутационных.
Пара выводов для успокоения души
Можно сколь угодно старательно бить себя пяткой в грудь по поводу сволочизма работодателя, следящего за целевым использованием своей собственности (компьютеров, баз данных и т.п.). Но надо признать – при условии соответствующих предварительных под подпись предупреждений работодатель может в данном направлении предпринимать любые разумные меры предосторожности. Просто потому, что приватной переписки на рабочем компьютере быть не должно в принципе.
Заблокированный доступ к соцсетям, запрет на выкачку фильмов с файлообменников и торрентов – это еще самое невинное, чему удивляются наши соотечественники, попавшие работать в офисы крупных мультинациональных корпораций.
ЧИТАЙТЕ ТАКЖЕ: ЗА ЧТО ОБЫСКАЛИ DRAGON CAPITAL: ВСЕ ЧТО НУЖНО ЗНАТЬ О ШПИОНСКОЙ ПРОГРАММЕ "СТАХАНОВЕЦ ПРО"
И тем не менее, щелочки для возникновения громких конфликтов сотрудника и работодателя по поводу не-приватности при использовании электронных устройств в офисе остаются. Времена, когда сплошь и рядом мобильные телефоны предоставлялись персоналу работодателем, канули в Лету. Нынче подавляющее большинство сотрудников ходит со смартфонами, купленными за личные деньги. Но в случае использования корпоративного wi-fi с такого смартфона есть ненулевой риск того, что передаваемые с него данные станут достоянием службы безопасности такой компании. И вот тогда возможны варианты – и по части обвинения в слежке, и по поводу нанесения морального ущерба.
Впрочем, из такой экзотической ситуации выход не так уж сложно найти – вместо корпоративного wi-fi есть резон использовать мобильный интернет. Да, медленнее. Да, чревато дополнительными затратами. Но зато свое и чуть больше уверенности в сохранении приватности.
И дальше что?
От использования DLP-программ бизнес не откажется. Возможно, отпадет охота следить за сотрудниками у тех, кто делал это не дела ради, а понтов для. Но средние и крупные продолжат использования DLP-программ. Тем более, что наличие системы предотвращения хищения информации – это просто обязательное условие, например, для системы безопасности банка, установленное регулирующим органом.
Но штука в том, что подобные программы СБУ легко вносит в список так называемых специальных технических средств (СТС), что делает в Украине их применение в принципе противозаконным. Конечно, не проблема назвать шпионской российскую DLP-программу, указав, что та может гнать информацию в нужное место по команде разработчиков. На рынке поговаривают, что даже основания для таких подозрений, якобы, встречаются нередко. Но пусть попробуют навесить собак на программы, созданные чистокровными американскими и европейскими IT-компаниями. Демарши от посольств последуют, как минимум. Да, слежка станет обходиться существенно дороже ввиду того, что "чистокровные" DLP-программы стоят многократно больших денег. Но запретить ее принципиально явно не удастся.
Так что запасаемся поп-корном.
Александр Крамаренко,
главред журнала "Деньги.Ua"