Instalowanie na komputerach pracowników oprogramowania monitorującego może budzić wiele kontrowersji. Właścicielom firm nie chodzi jednak o permanentne monitorowanie pracowników, lecz o maksymalne zabezpieczenie danych, które mogą wydostać się poza progi przedsiębiorstwa
Strach przed oprogramowaniem monitorującym wynika z niedostatecznej wiedzy, na czym polega jego działanie. Pracownicy szukają różnych sposobów, by na takie „szpiegowanie” się nie zgodzić, łącznie z poszukiwaniem prawnych zapisów, które mogłyby im umożliwić uchylenie się od woli szefa. Należy jednak pamiętać, że służbowy komputer jest własnością pracodawcy i powinien być używany tylko w celu wykonywania obowiązków służbowych. Wobec tego pracodawca ma prawo monitorować działania pracownika, ale tylko po uprzednim poinformowaniu go o tym w sposób przyjęty w danym przedsiębiorstwie, np. w postaci regulaminu. Brak powiadomienia pracownika o tym fakcie może naruszać jego dobra osobiste.
– Pomimo, że pracodawca zgodnie z treścią art. 11 (1) kodeksu pracy jest zobowiązany szanować godność i inne dobra osobiste pracownika, to jednocześnie zgodnie z treścią art. 94 pkt 2 kp pracodawca jest zobowiązany organizować pracę w taki sposób, aby zapewniała ona pełne wykorzystanie czasu pracy, czemu z całą pewnością nie będzie służyć załatwianie prywatnych spraw na komputerze służbowym w czasie pracy, a monitoring komputera może być jednym z narzędzi kontrolnych pracodawcy – komentuje radca prawny Magdalena Wilczyńska z Lex Planet.
Istotne jest, by zakres oraz metody kontroli były adekwatne do celu, jaki pracodawca chce osiągnąć. Cel ten musi też być racjonalny do wytłumaczenia. Zatem pracodawca może podejmować jedynie takie środki, które mają powodować zwiększenie efektywności swoich podwładnych oraz zapewnienie bezpieczeństwa firmowych danych.
Świadomy wybór
Badania przeprowadzone w zeszłym roku przez B2B International i Kaspersky Lab jednoznacznie wykazały, że około 32 proc. respondentów musiało zmierzyć się z wyciekiem danych wynikającym z zaniedbań pracowników. Incydenty o charakterze celowym odnotowało aż 18 proc. firm. 7 proc. z nich przyznało w badaniu, że na skutek działań pracowników z przedsiębiorstwa wyciekły poufne informacje dotyczące operacji firmowych.
– Zdecydowanie najczęstszą przyczyną wydostawania się danych poza miejsce pracy jest korzystanie z urządzeń magazynujących oraz prywatnej poczty – tłumaczy Grzegorz Oleksy, dyrektor firmy Axence, oferującej oprogramowanie nVision do monitorowania bezpieczeństwa sieci firmowej. Jakie są przesłanki, dla których pracownicy przenoszą poufne informacje za próg przedsiębiorstwa?
– Trudno tutaj o jednoznaczną diagnozę. Trudno też mówić, że każdy wyciek jest spowodowany złą wolą pracowników. Od przyczyny ważniejszy jest jednak skutek przekładający się na straty finansowe.
Dane najbardziej narażone na niebezpieczeństwo to przede wszystkim informacje handlowe oraz przemysłowe. Są to dane szczególnie wrażliwe – podkreśla Grzegorz Oleksy. Ważne, aby firmy i instytucje miały świadomość, że wyciekom z winy pracowników można zapobiegać, stosując specjalne oprogramowanie.
Lepiej zapobiegać niż „leczyć”
Coraz więcej firm zdaje sobie sprawę, że czyha na nią bardzo dużo poważnych zagrożeń, takich jak sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS, DDoS, SQL Injection, ARP Cache Poisoning, Password Guess. Mogą one w konsekwencji doprowadzić do naruszenia zasad postępowania lub – co gorsza – popełnienia przestępstwa. Równie nieprzyjemną konsekwencją jest spadek wiarygodności, a co za tym idzie utrata klientów i straty finansowe.
– Naszym klientom zawsze zwracamy uwagę na to, aby ochronę firmy rozpoczęli od określenia i egzekwowania od pracowników przestrzegania polityki bezpieczeństwa – tłumaczy Grzegorz Oleksy. Powinien być to jeden z podstawowych obowiązków pracodawcy.
Wymuszenie polityki bezpieczeństwa jest jednym z elementów monitoringu zapobiegawczego, który ma na celu wyeliminować ryzyko wycieku danych, zapewnić bezpieczeństwo informacji w systemach IT poprzez proces szacowania ryzyka, a także ustanawianie, wdrażanie, monitorowanie i utrzymywanie bezpieczeństwa informacji. Dodatkowo można łatwo zweryfikować zaangażowanie w pracę na podstawie analizy czasu pracy, dostępu do zasobów, sieci oraz internetu i sposobu ich wykorzystania. Poza kontrolą zapobiegawczą ogromne znaczenie ma także monitoring incydentalny. Oprogramowanie umożliwia podejrzenie działania niezgodnego z regułami, jak kradzież danych czy popełnienie przestępstwa.
Profesjonalne zarządzanie siecią pozwala uniknąć wielu awarii infrastruktury, dodatkowych kosztów związanych z ich usunięciem oraz zaoszczędzić czas, który zamiast spędzać na gaszeniu „pożarów” można przeznaczyć na rozwój firmy. Dzięki szczegółowej ich analizie można łatwiej wykryć szkodliwe oprogramowanie, złośliwe programy śledzące otwarte porty (źródła potencjalnych zagrożeń) lub aktywność/działania nieuprawnionych użytkowników, a co za tym idzie zapobiec niebezpieczeństwom, które mogą narazić firmę na ogromne straty.
Najczęstszą przyczyną wydostawania się danych poza miejsce pracy jest korzystanie z urządzeń magazynujących oraz prywatnej poczty.