*Данный материал старше трёх лет. Вы можете уточнить у автора степень его актуальности.
Сайт-контроль
Специалисты служб безопасности объясняют необходимость рабочего мониторинга, прежде всего, охраной конфиденциальных сведений фирмы.
28.02.2008 | Газета «Коммерсантъ Телеком», №34 | Мария Худовекова
По данным American Management Association и The ePolicy Institute, в 2003 году из 1627 опрошенных руководителей американских фирм 82% признали, что используют те или иные формы электронного мониторинга или физического наблюдения за работой своих сотрудников. Из них в 63% компаний отслеживаются обращения работников к интернет-ресурсам, а примерно в 47% — сохраняются и просматриваются сообщения электронной почты. В России, особенно в регионах, это направление в бизнес-культуре только начинает закрепляться.
Причины контроля
Специалисты служб безопасности объясняют необходимость рабочего мониторинга, прежде всего, охраной конфиденциальных сведений фирмы. По словам Владимира Турчика, директора екатеринбургской компании «Периметр», работающей в области защиты информации в компьютерных сетях, более 80% утечек данных, имевших последствия,— это результат действия инсайдеров. При этом не всегда сотрудники выдают корпоративные секреты напрямую. Они могут осознанно или случайно разгласить сведения (логины, пароли), с помощью которых можно получить доступ к серверу фирмы и конфиденциальным данным. Кроме того, господин Турчик добавляет, что контроль над действиями работников в интернете необходим еще и из-за их низкого уровня информационной культуры. «Так, 95% пользовательских паролей дешифруются менее чем за 3 минуты»,— констатирует эксперт. Человеческая наивность порой доходит до того, что хакеры пользуются самыми грубыми методами взлома. Классический пример — звонок секретарю со словами: «Сейчас ваша операционная система будет заблокирована, скажите ваш пароль, чтобы мы могли это предотвратить».
Другой довод в пользу рабочего мониторинга — стремление руководства рационально использовать ресурсы компании. «40% манипуляций сотрудника фирмы в интернете — это непроизводственная активность»,— утверждает Владимир Турчик. Однако есть действия безобидные, когда сотрудник просто устал и ему нужно отвлечься. Нет повода для беспокойства, если такой отдых не мешает основной работе, а объем использованного трафика не превышает разумные пределы или лимит, установленный работодателем. Но в то же время человек может заниматься нежелательными и даже вредными для фирмы делами. Это, например, поиск новых вакансий или работа на другую организацию, если сотрудник является совместителем. «Когда человек осознает, что он находится под контролем, и мирится с этим, производительность его труда многократно возрастает,— комментирует Кирилл Михайличенко, директор челябинской технической группы «Микон», занимающейся аутсорсингом (разработка программ на заказ «внешними» сторонними производителями программного обеспечения, от англ. outsourcing).
По опыту эксперта, при электронном мониторинге экономия на интернете доходит до 25%, а также выявляются массовые нарушения корпоративной тайны. После того, как в одной крупной фирме поставили ограничения доступа к порносайтам, счет за интернет сократился на 300 тыс. рублей в месяц.
«Если говорить о численности компании, то имеет смысл осуществлять мониторинг, если в фирме работают более 30 человек»,— сказал глава ТГ «Микон».
Наш комментарий:
Евгений Шестаков, ИНТЕЛЛЕКТ-С, специально для "Ъ":
Юридический аспект: два взгляда
В вопросе легитимности рабочего мониторинга юристы расходятся во мнениях. Директор екатеринбургского агентства юридической безопасности ИНТЕЛЛЕКТ-С Евгений Шестаков называет подобные действия абсолютно незаконными. Хотя российское законодательство ничего не говорит о возможности электронного или другого наблюдения за персоналом, специалист ссылается на 23 статью Конституции РФ, в которой указано, что «каждый имеет право на неприкосновенность частной жизни», а также «на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». Ограничение этого права допускается только на основании судебного решения. Это означает, что даже если руководитель с помощью средств электронного мониторинга узнает, что подчиненный тратит рабочее время впустую или разглашает корпоративную тайну, работодатель не может уволить сотрудника, так как доказательства вины были добыты незаконным способом. Кроме того, работник может подать заявление в милицию по 137 и 138 статьям Уголовного кодекса РФ («Нарушение неприкосновенности частной жизни» и «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений»), а также через суд потребовать возмещения морального вреда согласно Гражданскому кодексу.
«В случае, когда работник в письменной форме дал свое согласие на ведение подобного наблюдения, уголовная ответственность с компании снимается, но возможность взыскания морального вреда остается, так как заявление об отказе от права на неприкосновенность частной жизни с юридической точки зрения ничтожно»,— прокомментировал юрист. Евгений Шестаков советует руководителям не использовать мониторинг за подчиненными, а установить четкий режим доступа к коммерческой тайне, согласно соответствующему закону. То есть определить, что является конфиденциальной информацией, указать круг лиц, имеющий доступ к ней, правила ее использования, условия хранения подобных документов и прочее.
Также считает Дмитрий Попов, полковник запаса ФСБ, директор среднеуральской компании «Центур», занимающейся защитой информации. «Что касается контроля над расходованием ресурсов фирмы, то здесь можно воспользоваться другими методами, например, установить лимит интернет-трафика и ограничить доступ к развлекательным сайтам, ICQ-протоколам, почтовым агентам и т.д.»
Однако ряд юристов считают, что электронный мониторинг можно узаконить. Как рассказал старший специалист екатеринбургской юридической компании «Энсо» Рамиль Мардугаллямов, для этого в трудовом договоре необходимо указать, что сотруднику предоставляется электронный почтовый адрес в домене предприятия и что переписка, которая ведется с него, является служебной, а значит, ее можно перлюстрировать. Одновременно с этим нужно поставить технический запрет для работы с бесплатными почтовыми сервисами, так как личную почту персонала работодатель не имеет права читать. То же самое нужно сделать и со средствами мгновенного обмена сообщениями: запретить пользоваться личным номером ICQ, предоставив рабочий номер, который приравнивается к служебным средствам связи, что дает работодателю полное право просматривать архивы сообщений. Кроме того, нужно оговорить, что использование интернета, оплачиваемого фирмой, возможно строго в рабочих целях, и за выполнением этого правила устанавливается контроль. «Личная жизнь на работе не запрещается законом, но она не должна происходить за счет предприятия»,— сообщил господин Мардугаллямов.
Господин Турчик добавил, что «за соблюдение ограничений, которые устанавливает работодатель, сотрудникам обычно доплачивается 20% от заработной платы». «Главное, что должен сделать руководитель, принимая решение об электронном мониторинге — это предупредить о нем свой персонал, внеся соответствующий пункт в трудовой договор»,— напомнил исполнительный директор Ассоциации компаний сферы информационных технологий (АКСИТ) Станислав Сиражев».