This is a machine translation. The original page (in English) is available here.

Последние мировые новости: года-Почему США рассматривают возможность запрета TikTok RSS-канал

Главная> > Статьи> > Компьютерное и интернет-наблюдение на рабочем месте: грубые заметки
Лучшие кейлоггеры
Посмотреть еще...

Компьютерное и интернет-наблюдение на рабочем месте: черновые заметки

  •  
Рейтинг пользователя: 4.5-2 голоса
Стипендиат, Фонд конфиденциальности, США
(http://www.privacyfoundation.org/workplace)
Последнее обновление 27 июля 2001 года

Содержание:


Аннотация

Вполне вероятно, что примерно каждая четвертая крупная компания систематически следит за компьютером, интернетом или электронной почтой своих сотрудников. Сегодня существует более пятидесяти различных продуктов, которые позволят работодателям увидеть, что их сотрудники делают на своих "персональных" компьютерах, в своей электронной почте и в интернете.

Но что на самом деле означают эти цифры? Как на самом деле выглядит контроль работодателя над электронной почтой, интернетом и использованием компьютеров сотрудниками? Какие вещи работодатель может видеть, что сотрудники делают за своими компьютерами, и какие виды компьютерной деятельности в настоящее время невидимы для мониторинга рабочего места? Эти, по общему признанию, отрывочные заметки пытаются показать, насколько конкретно, учитывая минимум технической терминологии, как выглядит "мониторинг сотрудников" использования интернета и компьютеров: его масштабы, ключевые компании, участвующие в нем, силы, движущие его внедрением, некоторые важные различия между различными типами продуктов наблюдения и некоторые возможные будущие тенденции.


Подтверждение

Сокращенная версия этого документа была представлена на конференции в Гонконге на тему "Электронная конфиденциальность в новой экономике", организованной Управлением комиссара по вопросам конфиденциальности персональных данных САР Гонконг. Комиссар по вопросам конфиденциальности г-н Стивен Лау с благодарностью принимает разрешение на повторное использование этой бумаги.

Более ранние версии этого документа появились или будут появляться в: Corporate Governance International (Гонконг), e-law asia (Гонконг) и Privacy Law and Policy Reporter (Австралия).


Насколько велик компьютерный и интернет-мониторинг на самом деле?

Следующий раздел в значительной степени заменен отчетом Фонда конфиденциальности (США) "масштабы систематического мониторинга использования сотрудниками электронной почты и интернета" (9 июля 2001 года). Исследование показало, что 14 миллионов сотрудников в США, или около 1/3 онлайн-рабочей силы (то есть те сотрудники, которые имеют регулярный доступ к интернету на работе), отслеживают свой веб-серфинг или электронную почту с помощью такого продукта, как Websense или MIMEsweeper. В глобальном масштабе эта цифра составляет около 27 миллионов человек, или около 1/4 глобальной сетевой рабочей силы. Доклад получил широкое освещение в прессе; например:
Переходим к следующему разделу

Недавнее исследование Американской ассоциации менеджмента (AMA) показало, что более трех четвертей крупных американских фирм регистрируют и анализируют сообщения сотрудников и их деятельность на рабочем месте ("больше компаний наблюдают за сотрудниками, ежегодные отчеты американской ассоциации менеджмента" [18 апреля 2001 года]; см. Также "2001 AMA Survey: Workplace Monitoring & Surveillance: резюме ключевых выводов").

Важно отметить, что исследование AMA включает в себя отслеживание использования телефона (43% фирм-респондентов), голосовых сообщений (7%) и видеонаблюдения в целях безопасности (37%). В этой статье я почти полностью сосредоточусь на наблюдении за использованием компьютера, интернета и электронной почты. Однако даже здесь цифры АМА ошеломляют:
  • Хранение и просмотр компьютерных файлов: 36% в 2001 году по сравнению с 13% в 1997 году
  • Хранение и просмотр сообщений электронной почты: 47% в 2001 году по сравнению с 15% в 1997 году
  • Мониторинг интернет-соединений: 63% в 2001 году, по сравнению с 54% в 2000 году (в первый год этот вопрос был задан в опросе AMA)
  • Блокирование подключений к несанкционированным или неподходящим веб-сайтам: 40%, по сравнению с 29% В 2001 году
  • Использование компьютера (время входа в систему, количество нажатий клавиш и т. д.): 19% в 2001 году по сравнению с 16% в 1997 году

Чтобы не быть превзойденным, общество по управлению человеческими ресурсами в США говорит, что колоссальные 74% опрошенных специалистов по персоналу считают, что их организации следят за использованием сотрудниками интернета ("за вами следят?"[Январь 2001 года]).
Однако более пристальный взгляд на отчет AMA показывает, что " большинство фирм-респондентов осуществляют практику наблюдения на случайной основе в форме выборочных проверок, а не постоянно или регулярно."Систематический, постоянный или рутинный мониторинг-это обычно то, что вызывает слово "мониторинг", однако немногие цитаты из исследования АМА подчеркивают тот факт, что большинство цифр АМА представляют собой выборочные проверки, а не полномасштабное наблюдение.

Представление о том, что такое крупномасштабное наблюдение за использованием компьютеров, электронной почты и интернета действительно имеет место, по-видимому, противоречит состоянию отрасли мониторинга сотрудников (EM). Компании, осуществляющие мониторинг сотрудников-в смысле систематического наблюдения, а не случайных выборочных проверок или специальных реакций на конкретную ситуацию – предположительно делают это с помощью коммерческого программного обеспечения ЭМ. Тем не менее, бизнес EM, хотя и растет, не сообщает о показателях выручки или проникновении на рынок, которые можно было бы ожидать от опроса AMA, или, по крайней мере, от того, как обычно цитируется опрос AMA.

Один из лучших способов понять масштабы ведения журнала на рабочем месте-это посмотреть на рынок продуктов EM. Возможно, самый большой их компании (хоть и не самая крупная компания участвует в их дела), признание (индекс NASDAQ:WBSN), недавно объявили о подписке на основе доходов за 1 квартал 2001 года $6,7 млн. (Все цифры в долларах США), что составляет более 8,25 млн. клиентов по всему миру "мест," предварительно оплаченный по подписке ("компания Websense Inc.в Объявляет Результаты Первого Квартала 2001 Года, Сообщает О Сильной Видимости, Прогрессе В Направлении Прибыльности", 24 Апреля 2001 Года).

Помимо указания на то, что Websense, по-видимому, зарабатывает всего 3,25 доллара на одного контролируемого сотрудника в год (хотя, как отмечается ниже, сама компания оценивает среднюю стоимость для работодателей в 15 долларов на одного сотрудника), охват 8,25 миллиона работников по всему миру, возможно, крупнейшим поставщиком ЭМ, вряд ли согласуется с представлением о том, что большинство сотрудников с компьютерами в "крупных" компаниях в США постоянно наблюдаются. В то же время цифра в 8,25 миллиона долларов, которая включает в себя недавнюю самую крупную продажу Websense, 200 000 подписок на американскую армию за 1,8 миллиона долларов, очевидно, очень значительна и обеспечивает полезную отправную точку для понимания истинного объема мониторинга сотрудников.

Цифра в 8,25 миллиона человек является завышенной для числа сотрудников, отслеживаемых с помощью Websense, поскольку в своей конфигурации по умолчанию этот продукт просто блокирует определенные веб-сайты и не ведет никакого учета попыток посетить эти сайты, а тем более успешных посещений неблокируемых сайтов. Именно запись, а не блокирование, будет представлять собой наблюдение. Websense имеет отдельный модуль Websense Reporter, который записывает все веб-доступы (не только попытки доступа, заблокированные Websense, но и все незапрещенные веб-серфинги) – и, что немаловажно, 70% клиентов Websense предпочитают устанавливать этот модуль Reporter, по словам представителя компании. Таким образом, вместо 8,25 миллиона рабочих, контролируемых Websense, у нас есть, возможно, 5,75 миллиона.

(С другой стороны, тот же представитель Websense отметил в другое время, что "поскольку многие клиенты Websense являются компаниями среднего и крупного размера, они обычно не переходят на уровень сотрудников. Их интересует не столько индивидуальное использование Интернета, сколько использование интернета в подразделениях. Наше исследование показывает, что наши клиенты запускают отчеты, чтобы найти внутренние тенденции использования Интернета.")

Любопытно, что еще одна крупная ЭМ-компания, SurfControl в своем ежегодном отчете за 2000 год он говорит, что рынок корпоративного контроля доступа в интернет (CIAC) имеет проникновение менее 1%. Выручка продукта SurfControl в 2000 году составила около $ 8,75 млн, примерно 3/4 из США; его средний заказ составляет $ 4500 ("SurfControl sales rocket by 200%", The Register, 5 апреля 2001 года). Очевидно, что не все это было для бизнес-продуктов SurfControl, веб-фильтра SuperScout и фильтра электронной почты SuperScout; SurfControl также имеет CyberPatrol для домашнего и образовательного рынков.

Возможно, цифра SurfControl в 1% предназначена для того, чтобы подчеркнуть потенциал роста. Действительно, другое широко цитируемое исследование, проведенное International Data Corp., утверждает, что рынок ЭМ должен расти с ежегодным темпом роста 55% (International Data Corp., "Employee Internet Management" [спонсируется Websense]) – цифра, явно несовместимая с почти насыщенным рынком, подразумеваемым понятием, что три четверти работодателей уже занимаются регистрацией этого типа пользовательской деятельности.

Или, возможно, работодатели действительно не нуждаются в таких продуктах, как SurfControl или Websense, чтобы контролировать своих сотрудников. Некоторые из них могут использовать стандартные инструменты Unix или Linux, такие как syslog (см. раздел "файлы журналов и другие формы мониторинга" в Kurt Seifried, "руководство по безопасности администратора Linux", 1999). Стоит отметить, что многие случаи увольнения или отстранения сотрудников за " неуместное "использование интернета или электронной почты (см. "монитор потери работы", поддерживаемый проектом Фонда конфиденциальности по наблюдению за рабочими местами) не включали систематическое ведение журнала.

Например, в статье об увольнении или отстранении от должности двадцати государственных служащих в Южной Дакоте отмечается, что правительство штата "не имеет никакой систематической системы фильтрации или наблюдения, чтобы следить за своими 13 000 сотрудниками. Нынешнее расследование опиралось на один отчет веб-журнала из 100 пользователей с наибольшим количеством просмотров за трехнедельный период "(Джеффри Беннер," Южная Дакота: огонь, не фильтруй", Wired News, 7 июня 2001 года). Точно так же подробный отчет о 20 сотрудниках New York Times, уволенных за сексуально оскорбительные электронные письма, отмечает, что" расследование началось с чего-то гораздо более приземленного: старомодной улиточной почты " (Энн Карнс, "Похабная электронная почта оборачивается против сотрудников NYT", Wall St. Journal, 4 февраля. 2000).

В качестве контрпримера, однако, статья о 40 работниках Xerox, уволенных за просмотр запрещенных веб-сайтов, утверждает, что они были "пойманы не менеджерами или коллегами по работе, а программным обеспечением, предназначенным для отслеживания их онлайн-неосторожностей. Программное обеспечение записывало каждый веб-сайт, который они посещали (многие из которых, как оказалось, были связаны с покупками или порнографией), и каждую минуту, проведенную на этих сайтах.... они были не единственными, кто находился под бдительным оком шпионской программы. Фактически, использование Интернета каждым из 92 000 сотрудников Xerox – в разных странах мира-регулярно контролируется компанией" (Lisa Guernsey, "на работе босс может наблюдать за каждым вашим онлайн-ходом, и у вас мало средств защиты", New York Times, 16 декабря 1999 года). Действительно, Майк Гердес, менеджер по информационной безопасности компании Xerox, несколько раз цитировался в прессе по поводу мониторинга сотрудников (например, "Киберслэкинг", Newsweek, 29 ноября 1999 года), но отказывается указывать используемые продукты.

Тем не менее важно проводить четкое различие между систематическим наблюдением, с одной стороны, и специальными расследованиями или выборочными проверками-с другой.

Принимая во внимание, возможно, 5,75 миллиона контролируемых мест Websense, вычисляя аналогичную цифру для SurfControl (см. ниже) и добавляя другие публично торгуемые компании с продуктами EM – Telemate.Net (TMNT ), Elron ( ELRN ), Tumbleweed ( TMWD ), N2H2 (NTWO) и Baltimore Technologies (BALT)- плюс несколько десятков небольших компаний с продуктами EM, мы, вероятно, говорим о 20-25 миллионах сотрудников по всему миру, чье использование интернета, компьютеров и электронной почты отслеживается постоянным способом, который обычно передает Слово "наблюдение". (Jupiter Research сообщила, что 43 миллиона рабочих в США в настоящее время имеют доступ к интернету, и что США представляют собой около трети мирового населения интернета.)

В целом, кажется наиболее разумным сказать, что, возможно, до одной четверти работодателей следят за использованием компьютера и интернета своими сотрудниками.

Действительно, недавнее исследование, проведенное управлением Уполномоченного по вопросам конфиденциальности персональных данных (Гонконг), показало, что 27% ответивших организаций следят за использованием сотрудниками компьютеров, 23% - за просмотром веб-страниц и 21% - за электронной почтой сотрудников (Private Thoughts: Newsletter of the PCPD, August 2000). С другой стороны, гонконгское исследование не уточнило, включает ли "монитор" выборочные проверки в дополнение к систематическому наблюдению; однако оно относилось к "устройствам для наблюдения", возможно, в отличие от выборочной проверки компьютера сотрудника в ответ на конкретное подозрение.

Некоторые дополнительные точки данных:
  • Опрос корпоративных информационных директоров (ИТ-директоров) в США, проведенный журналом CIO magazine, показал, что только 17% ИТ-директоров проводят спорадические проверки электронной почты сотрудников, 16% никогда не отслеживают электронную почту сотрудников, 11% проверяют только "проблемных сотрудников" и 38% проверяют только после того, как есть жалоба или проблема производительности ("ИТ-директора говорят, что использование личной электронной почты/интернета повышает производительность", 25 апреля 2001 года).
  • В Великобритании КПМГ провела небольшое исследование в конце 2000 года и обнаружила, что около 50% опрошенных компаний отслеживают использование интернета "нечасто", около 20% - ежемесячно и только 11% - ежедневно ("The Uneasy World of E-KLegal Internet Survey", 19 Jan. 2001). А Vault.com "опрос об использовании интернета" Осенью 2000 года спросил: "ограничиваете ли вы/контролируете использование интернета / электронной почты вашим сотрудником?"; 41,5% из 670 опрошенных работодателей ответили утвердительно ("результаты опроса Vault.com обзор использования Интернета на рабочем месте"). Это Сентябрь. Опрос 1999 года показал, что только 31% из 1438 опрошенных работодателей сказали "Да". Интересно отметить, что из 451 работника, опрошенного осенью 2000 года, 53,5% считали, что их работодатели следят за ними, а из 1244 работников, опрошенных в сентябре, - за ними. В 1999 году 45,5% считали, что их работодатели следят за ними.
  • Исследование рынка аналитики Frost & Салливан, сообщили в ПК версии журнала ("Бизнес в США вливает деньги в контент-фильтрации", 10 мая 2001 года), говорится, что "фильтрация содержимого" составила $119 млн. В 2000 г., 77% с корпоративными клиентами: другими словами, корпоративный рынок для фильтрации содержимого около $92 миллионов.
  • Если мы примем "фильтрацию контента" примерно синонимом мониторинга сотрудников (как отмечалось ранее, Websense говорит, что примерно 70% ее клиентов устанавливают модуль Websense Reporter, который регистрирует все веб-доступы), то сколько отслеживаемых сотрудников составляют эти 92 миллиона долларов? Websense имеет на своем веб-сайте" калькулятор ROI [рентабельности инвестиций]", чей источник JavaScript использует цифру в размере $ 15 на одного сотрудника; точно так же SurfControl имеет на своем сайте калькулятор ROI, источник JavaScript которого использует скользящую шкалу от $1195 для 50 или менее сотрудников до $45 000 для 10 000 сотрудников, но в среднем по $10 на одного сотрудника. Если мы возьмем более низкую цифру в 10 долларов на одного сотрудника, то 92 миллиона долларов корпоративного дохода в 2000 году тогда составляют около 9 миллионов сотрудников – либо недавно контролируемых, либо с возобновленной годовой подпиской. Это число было бы больше, если бы вы рассчитывали на скидку реселлера примерно в 30% (см. ниже).

Вполне вероятно, что примерно три четверти работодателей в то или иное время проверяли, как работает компьютер, электронная почта или интернет хотя бы одного сотрудника. Но опять же, это нужно отличать от мониторинга. В некотором смысле, чтобы отложить выборочные проверки (которые, возможно, являются просто формой надзора) и полностью сосредоточиться на систематическом наблюдении, используя продукт EM, просто подчеркивает объем истинного мониторинга сотрудников: как было предложено выше, мы говорим о 20-25 миллионах сотрудников, чьи компьютеры, интернет и электронная почта постоянно контролируются.
Также ясно, что ЭМ растет. Например, в то время как Websense в настоящее время претендует на 8,25 миллиона "мест", еще в июле 2000 года она претендовала только на 5,4 миллиона, а в июле 1999 года-только на 3,3 миллиона (см. Объявляет Финансовые Результаты За Второй Квартал 2000 Года", 25 Июля 2000 Года).

Почти каждый месяц на этот рынок выходит новый поставщик. Число задействованных работников также может резко вырасти, если Microsoft, например, решит " интегрировать "(то есть объединить) возможности EM в будущие версии своих операционных систем (Microsoft уже продвигает длинный список партнеров" reporting "и" access control "для своего сервера Internet Security & Acceleration Server; см." Partners: Reporting "[3 мая 2001 года] и" Partners: Access Control " [3 мая 2001 года]).


Важные различия

Уже отметив различие между выборочной проверкой, с одной стороны, и систематическим наблюдением, с другой, следует сделать несколько дополнительных важных различий при обсуждении мониторинга сотрудников:
  • Ведение журнала электронной почты, наблюдение за веб-серфингом, фиксация других действий в интернете, таких как" чат " и мгновенные сообщения, наблюдение за действиями компьютера, такими как доступ к файлам, запуск программ и ввод клавиш.
  • Monitor/log / record vs. filter / block – Некоторые продукты могут фактически блокировать доступ к веб-сайту или препятствовать отправке или получению электронной почты, а не просто записывать доступ. С точки зрения конфиденциальности фильтрация / блокировка предпочтительнее, чем ведение журнала/запись. С точки зрения антицензуры, конечно, все может быть наоборот. Многие продукты делают и то, и другое: предотвращают доступ к определенным сайтам или электронной почте и делают запись о попытке доступа.
  • Log everything vs log exceptions-некоторые продукты по умолчанию делают запись всего, что они видят, а также выделяют или поднимают предупреждение о нарушениях, таких как доступ к "неподходящему" веб-сайту. Другие продукты только фиксируют нарушения или, по крайней мере, имеют такое поведение по умолчанию.
  • Content / body vs. traffic data / headers-некоторые продукты проверяют все содержимое сообщения электронной почты или веб-сайта, чтобы определить его уместность; другие проверяют только заголовок электронной почты (отправитель, получатель, тема, размер и т. д.) или адрес веб-сайта (URL). Точно так же обратите внимание на разницу между подсчетом количества нажатий клавиш и записью самих нажатий.
  • Клиент против сервера / сети-см. раздел "Перехват на основе клиента против Сервера" Ниже
  • Непрерывный против случайного против выборочной проверки/ответа-смотрите "сколько на самом деле существует компьютерного и интернет-мониторинга?" выше.
  • Агрегат против индивидуального / конкретного – когда ведется учет деятельности сотрудников, привязывают ли журналы конкретные действия к конкретным сотрудникам (например, "Джо сделал 5 визитов в playboy.com"), или работодатель ведет только агрегированную статистику (например, "у нас было 10 посещений playboy.com в прошлом месяце")? Аналогично, включают ли записи такие детали, как полные URL-адреса ("Джо посетил эти конкретные страницы по адресу playboy.com"), или они предоставляют совокупность на одного человека ("Джо провел в общей сложности 30 минут в playboy.com" или, менее подробно, "Джо провел 30 минут на сайте из нашего запрещенного списка"). Один из подходов может заключаться в проведении совокупного наблюдения, чтобы сначала увидеть, есть ли вообще проблема, которая требует более тщательного изучения.
  • Проверка хранилища против перехвата "на лету" - некоторые журналы включают в себя не более чем проверку файлов на компьютере, используемом сотрудником, или проверку копий, хранящихся на резервном сервере работодателя, или почтовом сервере, или проверку файлов журналов, хранящихся на веб-прокси-сервере. Продукт EM даже не требуется для этого; кажется вероятным, что большинство сообщений об увольнениях и приостановлениях сотрудников через интернет, компьютер или электронную почту включали в себя этот тип проверки после факта. Некоторые продукты EM просто создают дополнительные записи, которые затем могут быть проверены таким же образом. Многие продукты, однако, фактически перехватывают (перехватывают) действия сотрудников в "реальном времени", например, блокируя доступ к веб-сайтам или проверяя и фильтруя электронные письма после того, как они покинули компьютер сотрудника, но до того, как они были отправлены через интернет.
  • Значения по умолчанию поставщика против индивидуальных триггеров-вероятно, все эти продукты настраиваются работодателями. Но сколько на самом деле происходит кастомизации? Работодатели, как правило, просто идут с настройками по умолчанию, установленными поставщиком? (Это может вызвать особую озабоченность, когда правительственные учреждения за пределами США устанавливают продукты EM, база данных "неподходящих" сайтов которых была собрана в США; см., например, Electronic Frontiers Australia, "одобренные правительством сетевые фильтры пытаются заставить замолчать критиков" [29 июня 2000 года].)

Проблемы

Существует множество причин, как хороших, так и плохих, по которым работодатели следят за деятельностью сотрудников на персональном компьютере (ПК) и в интернете (включая электронную почту и веб-серфинг). Две из движущих сил этой регистрации-это просто снижение стоимости и повышение простоты использования программного обеспечения для наблюдения на рабочем месте. Забавно, что некоторые из этих продуктов изначально предназначались для родителей и школ, чтобы следить за онлайн-активностью детей ("nannyware"), или для супругов, чтобы следить друг за другом ("adulteryware"; см. " Snoop software: нездорово дома?" [MSNBC, 9 мая 2001 года]). Может быть, именно это имеют в виду компании, когда описывают свою рабочую силу как "часть семьи"?

Работодатели могут следить за деятельностью сотрудников на ПК и в интернете либо путем перехвата данных в режиме "реального времени" (что также позволяет блокировать или фильтровать запрещенные действия), либо путем проверки сохраненных данных постфактум.

Работодатели могут устанавливать устройства перехвата на ПК, используемый работником, и/или в сети. Где работодатель устанавливает этот "жучок" или "прослушку" (так сказать), определяет вид информации, которую работодатель может собрать.

Программное обеспечение, установленное на компьютере сотрудника, такое как Winwhatwhere Investigator или Webroot WinGuardian, может захватывать нажатия клавиш (даже удаленные), которые вводит сотрудник; оно также может "видеть", что пользователь делает в программах, таких как Microsoft Word, которые находятся на компьютере. Напротив, продукты, установленные в сети, такие как eSniff или SurfControl, лучше всего подходят для записи электронной почты сотрудников и веб – серфинга-и, безусловно, более подходят, если работодатель хочет контролировать деятельность большой группы пользователей одновременно. Некоторые программы (например, Trisys Insight) используют гибридный подход, устанавливая на ПК небольшую "агентскую" программу, которая взаимодействует с основной программой, установленной в сети.

Например, работодатель, в первую очередь заинтересованный в мониторинге производительности труда, может предпочесть совсем другой тип регистрирующего устройства, чем работодатель, чья главная забота заключается, скажем, в предотвращении (или, по крайней мере, обнаружении) сексуальных домогательств на рабочем месте. Обнаружение утечки коммерческой тайны может потребовать иной технологии, нежели предотвращение посещения веб-сайтов, специализирующихся на порнографии или азартных играх.

Еще один способ мониторинга сотрудников-это изучение сохраненных данных. Это может включать в себя просмотр файлов журналов, поддерживаемых прокси-сервером работодателя, или это может быть так же просто, как отдел кадров (HR), использующий веб-поисковую систему, чтобы увидеть, могут ли они узнать что-нибудь о личных веб-публикациях сотрудников или потенциальных сотрудников.

Программное обеспечение для наблюдения за сотрудниками может использовать различные "триггеры" при определении того, следует ли поднимать тревогу. Некоторые продукты сканируют все электронные письма для определенных ключевых слов, так же, как это делали Echelon и Carnivore ФБР США. Другие проверяют все попытки веб-доступа по списку неутвержденных сайтов. Некоторые поставщики утверждают, что их продукты используют "искусственный интеллект" или "нейронные сети" для обнаружения проблем (например, "учитывая, что эта часть электронной почты мне не нравится, вычислите все другие электронные письма, которые мне не понравятся, и заблокируйте их"). Некоторые продукты просто регистрируют все действия сотрудников в мучительных деталях и оставляют это человеку (или, возможно, другой программе), чтобы выяснить, какие элементы, если таковые имеются, вызывают беспокойство.

Многие (и, возможно, большинство) из этих продуктов, в дополнение к записи (то есть записи в файле журнала), активно блокируют или фильтруют, например, отказываясь установить соединение с порнографическим веб-сайтом или отказываясь разрешить отправку электронной почты с вирусным вложением. В связи с этими продуктами были подняты вопросы цензуры и свободы слова (или, скорее, свободы получать речь), например, когда они устанавливались в публичных библиотеках или государственных школах в США.

Однако забота о конфиденциальности включает в себя ведение журнала, а не блокировку/фильтрацию этих продуктов, которые со временем могут собрать полный профиль веб-серфинга сотрудника, электронной почты, приложений и т. д., все связанные с личностью сотрудника (например, идентификатор рабочей станции, назначенный работодателем).

Некоторые тревожные последствия:
  • А как насчет регистрации госслужащих? Например, в США файлы журналов, созданные программным обеспечением EM, установленным в федеральных, государственных и местных органах власти, становятся "публичными записями", которые подпадают под требования закона О свободе информации (FOIA)?
  • Поскольку электронная почта и вложения электронной почты становятся "жизненной силой" компаний, действительно ли работодатель намерен увековечить каждый разговор по электронной почте, ведя подробные журналы электронной почты? Как долго будут храниться эти журналы? Существует опасность, что ранее эфемерное (эквивалент случайных разговоров у кулера с водой) теперь будет зафиксировано в постоянной записи. Технология доступна для записи практически всего, что происходит на работе (увлекательный ранний взгляд Шошаны Зубофф на мониторинг сотрудников в эпоху умной машины: будущее работы и власти [Basic Books, 1988] называет эту возможность "текстуализацией работы"). Конечно, это не просто проблема с мониторингом сотрудников; обратите внимание, например, на то, что Deja.com архив сообщений Usenet, недавно приобретенный Google (см. "вопросы конфиденциальности для архива Google" , New York Times, 7 мая 2001 года).
  • Есть ли здесь какие-то проблемы с интеллектуальной собственностью?
  • Если предположить, что почти все сотрудники в то или иное время совершают те или иные нарушения правил пользования компьютером и интернетом, будут ли запасы журналов ЭМ впоследствии использоваться в качестве "колодца желаний" руководителями и работодателями, стремящимися, например, замаскировать увольнения под дисциплинарные меры?
  • Станут ли файлы журналов, созданные программным обеспечением EM, "медовым горшком" для судебных разбирательств? (Увидеть ниже)
  • Является ли ведение журнала по существу редакционной функцией, фактически превращающей работодателя в" издателя", а не просто распространителя любого материала, который появляется в его системе, и, таким образом, потенциально более ответственным, чем это было бы без контроля за любым содержанием, проходящим через его систему? Обратите внимание, например, на "извращенный сдерживающий фактор", созданный в США решением 1995 года по делу Stratton Oakmont V.Prodigy, которое частично привело к Положению о "добром самаритянине" в подзаконном акте о порядочности коммуникаций (см. Michael R. Overly, e-policy, pp. 50-51: "чем больше бизнес контролирует содержание сообщения, тем больше вероятность того, что он окажется издателем"). В качестве другого примера некоторые эксперты советуют компаниям поощрять сотрудников к использованию личной электронной почты в интернете, такой как Hotmail или Yahoo: "компании может быть легче доказать, что она не внесла свой вклад в нездоровую рабочую среду, если сотрудник отправил сексистские шутки или расистские комментарии через свой личный адрес электронной почты вместо корпоративного адреса электронной почты ("веб-службы электронной почты предлагают сотрудникам мало конфиденциальности", CNET, 3 окт. 2000).

В то время как работодатели, предположительно, устанавливают наблюдение на рабочем месте, чтобы уменьшить риск, ответственность и затраты, это ведение журнала вводит новые риски, обязательства и затраты. Установка системы регистрации электронной почты, которая пытается отфильтровать нежелательную электронную почту, может, например, оставить работодателя гораздо более ответственным за любую нежелательную электронную почту, которую система не может предотвратить, или может просто служить новым механизмом хранения – "медовым горшочком" – для "дымящихся" документов, которые будут обнаружены позже во время судебного разбирательства. И, конечно, это может открыть работодателю доступ к жалобам сотрудников на вторжение.


Зачем следить за сотрудниками?

Существует множество причин, по которым работодатели могут контролировать компьютерную и интернет-активность сотрудников, но все эти причины должны касаться следующих двух вопросов:

Какие риски мы пытаемся предотвратить, обнаружить или управлять ими?
Какую политику должно применять это ведение журнала?

Опрос работодателей 1993 года выявил следующие причины регистрации активности пользователей (Charles Piller, "Bosses with X-Ray Eyes", MacWorld, июнь 1993 г.):
  • Рабочий поток монитора: 29.2%
  • Расследовать кражу: 29.2%
  • Расследование шпионажа: 21.5%
  • Обзор производительности: 9.2%
  • Предотвращение домогательств: 6.2%
  • Поиск недостающих данных: 3.1%
  • Искать незаконное программное обеспечение: 3.1%
  • Предотвращение личного использования: 3.1%

Опрос, проведенный в ноябре 1997 года в журнале PC World ("The Need for Monitoring"), дает следующие результаты опроса:
  • Подавление рекреационного использования: 58%
  • Положить конец скачиваниям пиратского программного обеспечения: 47%
  • Избегайте вялых подключений к интернету из-за рекреационного просмотра или чрезмерных загрузок: 33%

В то же время регистрация активности сотрудников на ПК и в интернете – и, таким образом, возможное вторжение в частную жизнь сотрудников – может фактически обеспечить преимущества, в том числе преимущества конфиденциальности, для некоторых групп, помимо работодателя. Мониторинг сотрудников может помочь обеспечить соблюдение ограничений на доступ к персональным данным клиентов. Например, закон США о переносимости и подотчетности медицинского страхования (HIPPA) предписывает использовать "аудиторские маршруты" для защиты конфиденциальности данных пациентов. По словам одного специалиста по медицинской безопасности, "конфиденциальность должна быть защищена в здравоохранении путем "помечения" всех медицинских данных именами каждого человека, который их просматривал.... Любой пациент, который хочет увидеть свою запись, должен иметь к ней немедленный доступ. Тогда они смогут точно увидеть, кто просматривал их данные, которые, как многие люди не понимают, могут составлять сотни и сотни людей" (цитата по управлению медицинскими данными, октябрь 1998 года, стр. 60). Эти люди, само собой разумеется, являются контролируемыми сотрудниками. Таким образом, конфиденциальность (для одной группы, например, пациентов или потребителей) может быть куплена по цене конфиденциальности (для другой группы, сотрудников).

Как показывает пример HIPPA, некоторые работодатели в основном обязаны контролировать сотрудников. Возьмем другой пример: некоторая форма мониторинга сотрудников, по-видимому, необходима для соблюдения правил ведения учета комиссии по ценным бумагам и биржам США (SEC) 17а-3 и 17а-4, а также поправок к правилам NASD 3010 (надзор) и 3110 (книги и записи) (см. "NASDR принимает поправки к правилам, касающимся публичной корреспонденции", 17 апреля 1998 года: "NASD ожидает, что члены запретят переписку с клиентами с домашних компьютеров сотрудников или через сторонние системы, если только фирма не способна регистрировать такие сообщения"). Это нашло отражение в обзоре АМА, который показывает гораздо более высокий уровень надзора в финансовом секторе, чем в любом другом. Некоторые продукты, такие как продукт SRA Assentor EM, специально ориентированы на финансовые учреждения (SRA также создала продукт, который Nasdaq использует для мониторинга биржевых чатов).

Мониторинг также может быть необходим для уменьшения сексуальной или расовой "враждебной среды "на рабочем месте, что, по крайней мере, возможно, является проблемой конфиденциальности (но см., например, аргумент против чрезмерного использования термина" конфиденциальность " в Raymond Wacks, законе, морали и частной сфере [Hong Kong University Press, 2000]).

Ниже приведен список, не в определенном порядке, некоторых проблем, которые были связаны с мониторингом сотрудников:
  • Производительность (например, измерение необработанных нажатий клавиш/минут; предотвращение доступа к бесполезным веб-сайтам: играм, порно, личным финансам, спорту, музыке)
  • Пропускная способность (экономия сетевых ресурсов за счет сокращения доступа к непроизводственным сайтам; несколько иная проблема, чем мониторинг производительности труда сотрудников)
  • Центр затрат (для выставления счетов на основе кодов клиентов или для оценки расписаний)
  • Интеллектуальная собственность (принудительное применение лицензий на программное обеспечение для определенного количества "мест"; снижение ответственности компании за пиратство программного обеспечения сотрудниками; Альянс Бизнес-программного обеспечения поощряет работодателей следить за соблюдением требований)
  • Коммерческая тайна (обнаружение копирования коммерческой тайны работодателя в электронных письмах, на дискеты или zip-диски)
  • Безопасность (обнаружение вирусов в электронных письмах или вложениях электронной почты; предотвращение непреднамеренной загрузки сотрудниками троянских программ)
  • Неподчинение (сотрудники и бывшие сотрудники вымещают свое "плохое отношение" в чатах и на досках "грипа", размещая внутренние документы компании на FuckedCompany.com и т.д.; см. "By the Water Cooler in Cyberspace, The Talk Turns Ugly" , New York Times, 29 апреля 2001 г.)
  • Поиск работы (посещение сотрудников Monster.com, HotJobs.com и т.д. или использовать Microsoft Word для работы с my_resume.док)
  • Cyber-moonlighting (работа на второй работе во время работы; работа на персональном веб-сайте на работе)
  • Отношения с клиентами (аналогично "этот звонок может контролироваться для обеспечения качества")
  • Аудиторский контроль за использованием данных (покупка конфиденциальности потребителей или пациентов за счет конфиденциальности сотрудников; обеспечение и мониторинг контроля доступа" нужно знать"," нужно использовать "и" не копировать"; см. пункт, сделанный ранее о HIPPA в США)
  • "Враждебная среда" (например, обнаружение сексуальных и расовых домогательств в электронных письмах; просмотр порнографии на виду у коллег)
  • "Going Postal" (предотвращение насилия на рабочем месте; см., например, недавнюю стрельбу по технологии Edgewater в Бостоне; одна компания создает программное обеспечение, которое, как она утверждает, сможет предсказать поведение насилия; см. Длинный список перестрелок на рабочем месте Washington Post с 1987 года)
  • Защита компании в глазах общественности (наблюдая за Usenet сообщений от сотрудников, даже если эти проводки, или по электронной почте, содержат в себе "это всего лишь мое мнение, а не моего работодателя" отказ от ответственности (см. Также регистра "длинный написать отказ от премии"), размещения на сайте или по электронной почте может по-прежнему рассматриваться как если бы это было официальное заявление на фирменном бланке)
  • "Куря оружие" (пытались договориться заранее с созданием документов, что в дальнейшем будет обнаружен в судебных разбирательствах, например, в Microsoft антимонопольного дела; централизация хранения документов и уничтожение политики; см. http://www.kenwithers.com/) – но запись компьютера, электронной почты и использования интернета в лог-файлы, как представляется, значительно увеличить, а не уменьшить, эту проблему (если это действительно проблема; многие утверждают, что документ хранения табачных компаний, например, имеет социально желательные результаты)
  • Аварийное восстановление (файлы журналов, созданные продуктами мониторинга сотрудников, могут использоваться как форма резервного копирования или своего рода электронный "бумажный след" для отката)
  • Регулирование соответствующего времени и продолжительности для внекорпоративной деятельности (некоторые компании действительно разрешают использование персональных компьютеров и интернета в качестве "дополнительного преимущества" во время обеда или в нерабочее время)
  • Телекоммутаторы (выходящие за пределы предприятия сотрудники)
  • Надзор за супервайзерами (например, ответственность HR за предотвращение того, чтобы супервайзеры ругали или оскорбляли сотрудников)
  • В качестве альтернативы "управлению путем хождения" (убеждение удаленного микроменеджмента, что чтение электронных писем-хорошая замена для прогулок по коридорам и наблюдения за тем, как идут дела)

Многие из этих причин, возможно, не были четко сформулированы в то время, когда были приобретены и установлены продукты мониторинга сотрудников. Вполне возможно, что ЭМ иногда вводится в действие лишь с самым смутным ощущением того, что она "сделает" для работодателя.


Наблюдение за ПК и интернетом: движущие силы

Действительно, программное обеспечение для мониторинга сотрудников иногда может быть установлено, в меньшей степени с четкой целью обеспечения соблюдения конкретных политик и управления конкретными рисками, и в большей степени потому, что программное обеспечение "есть": легко доступно, с очевидной низкой стоимостью:
  • Trisys Insight: $ 85 за контролируемый компьютер, для 50-99 пользователей.
  • WinWhatWhere Investigator: $ 34 за "место" для 100-149 лицензий.
  • Adavi SilentWatch: 35 долларов за "место".
  • WebSense: $ 5,000 для 1000 пользователей. (Как отмечалось ранее, доходы Websense составляют около $ 3,25 на пользователя за годовую подписку, его крупная продажа армии США составляла около $9 на пользователя [хотя эта продажа также включала кэш-движки и коммутаторы Ethernet], а его калькулятор ROI оценивает $15 на пользователя. Расхождения частично объясняются скидками реселлеров; Websense "партнеры канала" получают скидку 30%.)
  • SurfWatch@Work: $995 для 50 пользователей.
  • SmartFilter для прокси-сервера Microsoft: $3250 для 1000 пользователей
  • LittleBrother Pro: $495 для 10 пользователей.
  • CyberPatrol для прокси-сервера Microsoft: $1,395 для 100 пользователей
  • SurfControl: как отмечалось ранее, его "Калькулятор рентабельности инвестиций" в интернете оценивает 50 или менее сотрудников в $1,195 ($24 на одного сотрудника), а 10 000 сотрудников-в $45 000 ($4,50 на одного сотрудника); средний показатель составляет около $10 на одного сотрудника.

Другими словами, первоначальные затраты на приобретение программного обеспечения для мониторинга сотрудников, как правило, намного меньше $100 на одного пользователя, а в крупных организациях могут составлять всего $5 на одного пользователя. (Конечно, фактическая общая стоимость владения, вероятно, намного больше, если учесть, что кто-то должен не только устанавливать и поддерживать программное обеспечение, но и, самое главное, быть готовым адекватно реагировать на кадровые проблемы, возникающие в результате выпуска программного обеспечения для мониторинга сотрудников.)
Эта кажущаяся низкая стоимость, вероятно, стимулирует внедрение регистрации сотрудников точно так же, как низкая стоимость камер способствует более широкому использованию визуального наблюдения.

В каком-то смысле мы имеем здесь дело с технической возможностью "хищника на рабочем столе": повсеместное, мелкозернистое наблюдение в руках каждого работодателя. С другой стороны, очень важно вспомнить приведенные ранее цифры: сейчас, вероятно, не более 25 процентов работодателей систематически следят за своими работниками.

Как отмечалось ранее, некоторые из продуктов " шпионь за своими сотрудниками "начали свою жизнь как" кибернетические " продукты для домашнего/школьного рынка. Испытывая трудности с продажами школам и потребителям, многие из этих компаний огляделись вокруг, чтобы посмотреть, что еще они могут сделать со своими кибернетическими продуктами, и поняли, что другие компании могут быть лучшим рынком. Как отметил глава Websense, " через четыре года все они поняли, что у школ не так много денег, чтобы тратить их"; глава N2H2 соглашается:" большинство из них оставили образование и теперь готовятся к рынку деловых предприятий "(цитата по" Desk Top Cops", Internet World, 15 августа 2000 года). Таким образом, еще одной движущей силой мониторинга сотрудников является попытка перехода от потребительского/образовательного к корпоративному рынку.

Компании постепенно осознают, что вся идея "персонального компьютера" создает проблемы на рабочем месте. Особенно с учетом того, что основные ресурсы все чаще размещаются в интернете, а не на ПК, возможно, существует тенденция рассматривать ПК скорее как централизованно управляемый терминал, чем как "персональный компьютер"."ИТ-отделы могут рассматривать мониторинг сотрудников как способ восстановить некоторый контроль над рабочим столом. Если это так, то существует опасность того, что технические соображения могут в конечном итоге позволить управлять политикой. Один интересный вопрос заключается в том, оставляют ли ИТ-отделы, а не отдел кадров, как правило, ответственными за мониторинг сотрудников.


Перехват на основе клиента и сервера

Все доступные программы мониторинга сотрудников-это, по сути, программы, которые сообщают (а в некоторых случаях ограничивают), как вы используете другие программы. Установив программу мониторинга сотрудников, работодатель может – в зависимости от типа программы-видеть, сколько времени сотрудники (индивидуально и/или в совокупности) проводят, играя в пасьянс, или какие веб-сайты они посещают, или даже читать сообщения электронной почты, которые они набрали, но затем удалили и не отправили. Работодатель также может запретить сотрудникам посещать определенные веб-сайты или отправлять или получать определенные электронные письма.

Один из способов понять эти продукты-рассмотреть, где они установлены. Существуют в основном два типа мониторов: серверные мониторы, предназначенные для установки в сети работодателя; и клиентские мониторы, предназначенные для установки прямо на персональный компьютер (ПК), используемый работником.

Сначала мы рассмотрим сеть (сервер), затем компьютер (клиент). Чтобы увидеть разницу, давайте представим себе типичного сотрудника,коротающего время за игрой в пасьянс. Уэс черри, программист Microsoft, который написал игру Solitaire, включенную в Windows, отметил, что он в одиночку "потратил больше корпоративного времени, чем любой другой разработчик" (хотя работодатели могут вспомнить, что многие сотрудники впервые научились использовать мышь, играя в пасьянс). Вопрос в том, может ли корпорация сказать (не глядя через плечо), играет ли сотрудник в пасьянс?

Чтобы услышать претензии продавцов, ответ-да, они могут видеть все. Естественно, защитники конфиденциальности, чьи леденящие душу отчеты, в свою очередь, иногда помогают усилить шумиху вокруг поставщиков, полагаются на эти оруэлловские утверждения.


Сетевые (серверные) продукты

eSniff , производящие оборудование для наблюдения за рабочими местами, утверждают: "если сотрудник выходит за пределы ваших электронных ресурсов, eSniff предоставляет точную копию всего, что было на их экранах; посещенные сайты, активность в чате, электронная почта ... всё."

Теперь eSniff обеспечивает ведение журнала сетевых действий. То есть, как и прослушка, он прослушивает в "реальном времени" все, что сотрудники делают в сети. По данным компании, " устройство eSniff использует запатентованные лингвистические и математические методы для анализа содержания и контекста всего TCP/IP-трафика. Анализируется весь трафик: интернет, электронная почта, чат, ftp, telnet, задания печати, абсолютно весь трафик, который пересекает провод."

Другой пример сетевого ведения журнала-забавно названный маленький брат SurfControl (странно, но до сих пор не существует программы мониторинга сотрудников под названием BigSister). Продукты, производимые крупнейшим поставщиком EM, Websense, также основаны на сети, подключаясь к брандмауэру работодателя, прокси-серверу или серверу кэша.

Эти серверные продукты создают отчеты,которые показывают, играл ли сотрудник в веб-версию пасьянса. Но не пасьянс (ни Солитер, ни сапер), который поставляется в комплекте с Windows, потому что эти игры работают полностью на ПК, без подключения к сети. Когда сетевой продукт наблюдения, такой как eSniff, утверждает, что они могут контролировать "все", они имеют в виду все в сети. (И на самом деле, "все в сети" тоже не совсем правильно, потому что многие из этих продуктов не могут сделать много с зашифрованным контентом, таким как веб-страницы, которые используют протокол https://, а не http://.)

Этот подход хорош для обнаружения (А с некоторыми продуктами, возможно, даже предотвращения) сотрудников от посещения порнографических сайтов, от коротания дня на веб-игровых сайтах, таких как Pogo.com, от принятия на вторую работу в качестве "дейтрейдера" (хотя недавние события на Уолл-стрит могут сделать больше, чтобы обуздать эту деятельность), от выражения плохого отношения к компании на сайте, чье непечатное название FuckedCompany.com или от сексуальных домогательств к своим коллегам по электронной почте.


Продукты на базе ПК (клиентские)

Но он не может поймать их за просмотром порнофильмов, которые они уже загрузили на свой компьютер, и не может видеть, сколько времени они тратят на игры с компакт-диска (если только игра не "звонит домой" по сети), и не может видеть, как они копируют секреты компании на дискету или полируют свое резюме в Word. Это все действия, которые происходят на ПК, как правило, без доступа к сети.

Чтобы увидеть такие вещи, работодателям нужно что-то более похожее на камеру, расположенную прямо на компьютере, используемом сотрудником, а не на прослушивающее устройство (так сказать), как eSniff, которое сидит в сети.

Хорошим примером такого клиентского продукта является Winwhatwhere Investigator. Этот продукт записывает названия программ, которые вы запускаете, заголовки окон, открытых на вашем компьютере, и – что наиболее важно – нажатия клавиш, которые вы вводите, включая те, которые вы впоследствии удаляете. (Примеры "снимков экрана" см. В разделе " Примеры из отчетов следователей"

Например, когда Winwhatwhere Investigator работал на моем компьютере, я написал электронное письмо другу, в котором содержался текст: "я думаю, что у меня герпес" (этот текст взят из недавней рекламы SafeWeb, анонимизирующего продукта, который обещает защитить сотрудников от входа в систему "кем угодно, включая вашего босса"). Затем я удалил строку и напечатал: "я в порядке.- Тогда я все-таки решил не посылать сообщение.

Отчет WinWhatWhere показал следующее: "Я думаю, что у меня герпес. Я в порядке."Другими словами, мои эфемерные мысли теперь были постоянно записаны (эта фиксация "удаленного" содержания может вызвать некоторые интересные вопросы интеллектуальной собственности). Отчет также показал: "сообщение не было отправлено."Он также показал ник (но не фактический адрес электронной почты) предполагаемого получателя прерванного письма. (О сохранении якобы "удаленных" материалов см. следующую наводящую на размышления статью федерального судьи в Миннесоте: Джеймс М. Розенбаум, "в защиту ключа удаления", зеленая сумка, лето 2000 года; хотя Также см. - Сон Билла? Дорогая, я убрала все письма...", The Register, 1 Июня 2001 Года.)

Я также видел, как WinWhatWhere записывает личную информацию (например, пароли), которую я ввел на "защищенные" веб-страницы, зашифрованные с помощью https://, такие как страница информации о клиентах по адресу Amazon.com даже если сотрудник использует сервис анонимизации SafeWeb, WinWhatWhere все равно может фиксировать нажатия клавиш и заголовки окон (которые часто описывают посещенные веб-сайты).

Даже автор WinWhatWhere, Ричард Итон, говорит: "многие вещи, которые эта программа делает, вызывают у меня большой ужас. По данным Internet Week ("Keystroke Logging Software Spies on Chats, IMs", 7 ноября 2000 года), " Eaton передумала насчет функции, которая может подметать пароли. -Если вы нажмете на поле пароля, он все это поднимет, - сказал он. -Я еще не решил, хорошо это или плохо."Он имеет в виду способность WinWhatWhere войти в форму на веб – странице и забрать содержимое текстовых полей, которые уже содержат информацию-например, диалоговое окно пароля, которое уже содержит сохраненный пароль пользователя.

С другой стороны, WinWhatWhere, по-видимому, не обнаруживает ввод парольной фразы в Windows-версии программного обеспечения шифрования PGP (довольно хорошая конфиденциальность); PGP использует "консольный" ввод Windows, который, как и вход DOS, пропускается клиентскими мониторами из-за метода, который они используют для "подсоединения" клавиатуры (как бы то ни было, более компульсивный монитор будет использовать низкоуровневый "драйвер виртуального устройства", а не использовать API SetWindowsHook() более высокого уровня).

Поскольку наблюдение происходит прямо на" вашем " компьютере – на самом деле, это не буквально наблюдение в данный момент, а просто запись ваших действий в файл или базу данных для последующего просмотра – а не на центральном сервере, очевидно, что больше ваших действий можно отслеживать, чем из сетевой программы. И это можно сделать независимо от того, подключены вы к сети или нет.

Вы можете настроить эти программы, чтобы скрыть их присутствие от большинства пользователей, хотя поставщики обычно рекомендуют работодателям сообщать о присутствии мониторов (хотя и не таким образом, чтобы монитор можно было легко отключить).

Но поскольку программа работает на компьютере, используемом сотрудником, как работодатель увидит отчет, который WinWhatWhere так навязчиво хранит? Работодатель (или сотрудник отдела кадров или ИТ, которому поручена эта задача) может подойти к компьютеру, нажать специальную последовательность клавиш и просмотреть отчет. Или же программа может быть настроена на периодическую "скрытую рассылку" отчета по указанному адресу.

В отличие от серверных мониторов, это, очевидно, не наблюдение в "реальном времени", и этот уровень детализации не кажется благоприятным для крупномасштабного наблюдения за многими пользователями одновременно из одного места (вспомните Монтгомери Бернса, смотрящего на свои многочисленные мониторы в мультфильме "Симпсоны"). Однако WinWhatWhere можно настроить для сохранения своих файлов журналов на сетевом файловом сервере, при этом журналы с нескольких компьютеров сливаются в одну базу данных, а записи с каждого отдельного компьютера различаются по имени пользователя. В сочетании с настройками конфигурации WinWhatWhere для отключения некоторых форм записи, таких как ведение журнала нажатий клавиш, это, возможно, можно было бы превратить в общесистемный инструмент записи активности пользователей.

Другой клиентский монитор-Webroot WinGuardian. Помимо захвата нажатий клавиш и регистрации запущенных программ и посещенных веб-сайтов, WinGuardian может захватывать "скриншоты" (т. е. графические изображения всего экрана компьютера) с заданными интервалами (до одного раза в минуту), а затем отправлять их по электронной почте для удаленного просмотра. Затем скриншоты могут быть "воспроизведены" на другом компьютере, чтобы увидеть, что сотрудник делал буквально каждую минуту дня.

Еще один такой продукт-Spector, от SpectorSoft. Я разговаривал с одним директором по персоналу, который установил Spector на компьютер сотрудника после неоднократных жалоб (других сотрудников) и после его собственных неоднократных отрицаний, что он проводит часы каждый рабочий день, просматривая порнографию. Это, вероятно, репрезентативный пример несистематической лесозаготовки, проводимой в ответ на конкретную ситуацию. Директор по персоналу сказал, что Спектор тайно сохранял частые скриншоты деятельности сотрудника, и что просмотр этих скриншотов позже, после того, как сотрудник ушел на день, был (А) необходим в данных обстоятельствах; и (Б) чрезвычайно жутким, "как смотреть на чужой экран своими собственными глазами."Собственный веб-сайт Спектора дает следующие обещания для этого продукта за 69,95 доллара:" автоматически записывайте все, что ваш супруг, дети и сотрудники делают онлайн.... Спектор тайно делает сотни снимков экрана каждый час, очень похоже на камеру наблюдения. С помощью Spector вы сможете видеть каждый разговор в чате, каждое мгновенное сообщение, каждую электронную почту, каждый посещенный веб-сайт и каждое нажатие клавиши."

Чтобы устранить неудобную необходимость просмотра сохраненных записей на компьютере сотрудника, SpectorSoft также делает eBlaster, который за дополнительные $ 69,95 рассылает подробные отчеты по электронной почте: "eBlaster доставляет подробные отчеты о деятельности, включая все посещенные веб-сайты, все запущенные приложения и все набранные клавиши, прямо на ваш адрес электронной почты, так часто, как каждые 30 минут."

Эти клиентские мониторы начинают звучать как то, что известно как RAT (Remote Admin Trojan), подобно Symantec pcAnywhere, или пресловутому хакерскому инструменту "Back Orifice"."Эти программы" троянского коня " обычно включают в себя как ведение журнала нажатий клавиш, так и захват скриншотов, и поэтому вполне могут быть использованы для мониторинга сотрудников.

Только что посмотрев на клиентскую ЭМ, важно отметить, что немногие продукты ЭМ в настоящее время используют эту технику в общесистемной манере. WebSense, SurfControl, Elron Internet Manager и MIMESweeper, например, все они основаны на сервере. Практически все программное обеспечение EM, установленное в крупных компаниях, является серверным. Тем не менее, запись на основе клиента действительно является хорошей иллюстрацией того, что технически возможно с помощью программного обеспечения для мониторинга сотрудников, доступного сегодня; просто нужно помнить, что этот особенно навязчивый метод не широко используется. Однако, как показывает пример Спектора, отделы кадров могут использовать такие продукты для решения конкретных проблем сотрудников.


Гибридные (клиент/сервер) продукты

Некоторые продукты для наблюдения за рабочими местами, такие как Trisys Insight, являются гибридами. (См. http://www.born2e.com/isgt/MainPage.asp для живой онлайн-демонстрации; вы можете шпионить за выбранными сотрудниками Trisys.) Это включает в себя небольшую программу "агент" на ПК, используемом сотрудником, который отправляет сообщения на серверную программу. Эта компания даже предлагает "аутсорсинговую" услугу, при которой Trisys сама будет следить за деятельностью ваших сотрудников для вас. Trisys не отслеживает такие особенности, как нажатия клавиш или текст сообщений электронной почты. Вместо этого он концентрируется на измерении количества времени, проведенного на веб-сайтах или с использованием конкретных приложений.

Еще одна гибридная программа - Wards Creek GameWarden. По словам компании, " ее клиент-серверная технология позволяет записывать и применять политику компании при игре в локальные игры, такие как Solitaire и Minesweeper, или многопользовательские сетевые игры, такие как Doom, Descent или X-Wing/Tie Fighter."

По-видимому, существует тенденция к гибридному ведению журнала клиент-сервер. Два последних продукта, Actis Net Intelligence (см. "is this the end of corporate porn?", The Register, 19 April 2001) и Cerberian (см. [Utah]'S Cerberian aims to solve firms' Internetworries, Deseret News, 14 Feb. 2001) каждый из них включает в себя "агента", который сидит на компьютере сотрудника и отчитывается перед серверной программой. Как отмечалось ранее, многие серверные продукты не могут полностью обрабатывать веб-страницы, зашифрованные с помощью протокола https://, и наличие небольшой программы "Агент" на ПК также помогло бы в этом; например, поставщики мониторинга сотрудников могут рассматривать этот подход как способ победить веб-анонимайзеры, такие как SafeWeb.


Будущие тенденции

Предположив ранее в этой статье, что для Microsoft может быть естественным косвенно войти в бизнес EM путем добавления дополнительных функций управления в свои операционные системы, и только что предложив тенденцию к увеличению клиентского наблюдения с помощью программ "агент", вот некоторые другие возможные будущие тенденции в области мониторинга сотрудников:
  • Поскольку хранение данных становится дешевле, а процессоры быстрее," запись всего " становится реальной возможностью.
  • "Универсальный почтовый ящик" (все документы компании доставляются в виде электронной почты или вложений электронной почты) позволит записывать весь рабочий процесс компании.
  • "Конвергенция" офисного оборудования (голосовая почта, факс, копировальная машина-все доступно из сети) может обеспечить единый "интегрированный" сайт для мониторинга.
  • С другой стороны," дивергенция " от ПК в беспроводные устройства заставит поставщиков ЭМ идти в ногу, возможно, поставив шпионское программное обеспечение в беспроводные сети; также может возникнуть необходимость интеграции с отслеживанием местоположения (GPS).
  • С появлением на рынке по меньшей мере пятидесяти различных продуктов для регистрации активности пользователей неизбежно произойдет некоторая консолидация отрасли. SurfControl уже приобрела продукты CyberPatrol, SurfWatch и LittleBrother, а также технологию Emu в Австралии. Telemate.Net приобретается компанией Verso Technologies.

Заключение

Фразы "мониторинг сотрудников "и" наблюдение за рабочим местом "вызывают оруэлловские образы Большого Брата, сидящего за центральной компьютерной консолью, наблюдающего за всем, что его сотрудники делают за своими компьютерами – каждое нажатие клавиши или щелчок мыши, каждое сообщение электронной почты, каждую веб – страницу-и реагирующего на" неуместное " использование в тот момент, когда это происходит.

Действительно, как отмечалось выше, относительно недорогое программное обеспечение в настоящее время делает эти возможности дешевыми и потенциально повсеместными.

Тем не менее, важно оценить различия между программами наблюдения на рабочем месте. Как правило, существует компромисс между ведением журнала в реальном времени (работодатель может наблюдать за тем, что делают сотрудники, когда они это делают), с одной стороны, и возможностью получить идеальную картину деятельности сотрудников, с другой. В настоящее время повсеместный, мелкозернистый мониторинг сотрудников технически осуществим, но не является широко распространенной практикой. Как отмечалось выше, большинство компаний, которые даже используют шпионское программное обеспечение (и Напомним, что они все еще находятся в меньшинстве), используют серверный подход, который может быть достаточно навязчивым, но который не обладает достаточно навязчивыми возможностями записи активности пользователей на основе клиента.

Вероятно, нет особого интереса к личной жизни в том, чтобы бездельничать на работе. Но есть секретный интерес в том, чтобы не иметь точных записей о том, что именно вы делали во время перерыва, во время работы или даже во время безделья.


Библиография

"1999 Utility Guide: Corporate Filtering" (PC Magazine, 4 мая 1999 г.) (обширное освещение CyberPatrol для Microsoft Proxy Server, LittleBrother Pro, SmartFilter для Microsoft Proxy Server, SurfWatch@Work [Выбор редактора], WebSense)

Пэрри Афтаб и Нэнси Савитт (?), "Мониторинг электронных коммуникаций сотрудников: Большой Брат или ответственный бизнес?"

Эллен Олдерман и Кэролайн Кеннеди, право на частную жизнь, Нью-Йорк: Knopf, 1995 (стр. 275-320, 376-387 о "частной жизни на рабочем месте")

Лоуренс Арагон, "электронная почта не выходит за рамки закона", PC Week, 6 октября 1997 года (роль отделов IS в юридическом раскрытии)

Виджай Балакришнан, "почему стоит иметь политику использования сети для вашей компании" ,Telemate.net 1999 год

Дуг Беделл, "Bye, Anonymous: судебные иски удивляют пользователей онлайн-псевдонимов, поскольку многие стремятся скрыть свою личность", Dallas Morning News, 24 мая 2001 года (бывшие сотрудники)

Эрик Дж. Беланофф и Эван Дж. Спельфогель, "электронная почта: права собственности против прав на частную жизнь на рабочем месте", Epstein Becker & Green PC, декабрь 1999 г.

Дэвид С. Беннахум, "Daemon seed: Old email never dies", Wired, май 1999 г.

Трэвис Беркли, "инструменты подглядывания: девять инструментов, которые могут шпионить за вашими сотрудниками", Network World, 10 июля 2000 г.

Филип Берковиц и Джонатан л. Бинг, "проблемы конфиденциальности сотрудников в эпоху электронных коммуникаций", Salans, Hertzfeld & Heilbronn, 1999

Berkman Center for Internet & Society at Harvard Law School, "Digital Discovery"

Джеффри С. Босли и Джозеф Э. Герман, "Киберорганизация: применение правил Ржавого пояса к цифровому рабочему месту", THELEN Reid & Priest LLP, 2001

Том Браун, "сохранение: анализ", Harvard Law Digital Discovery (обязанность сохранять электронную почту)

Карен л. Кассер," работодатели, работники, электронная почта и Интернет", Ассоциация компьютерного права, 1996 год

Andrew Clement, "Office Automation and the Technical Control of Information Workers" (1982), in Vincent Mosco and Janet Wasko, Political Economy of Information, Madison: University of Wisconsin Press, 1988, PP. 217-246

Чарльз И. Коэн и Мона К. Зейберг, "работодатели остерегаются: NLRB следит за Вашей электронной почтой", Morgan, Lewis & Bockius LLP, июль 2000 г.

"Компьютеры и рабочая библиография" (включает раздел о мониторинге сотрудников)

Эндрю Конри-Мюррей, "плюсы и минусы наблюдения за сотрудниками", сетевой журнал, 5 февраля 2001 года

Curtin Cotton, "электронная почта на рабочем месте: мониторинг сотрудников против конфиденциальности сотрудников", Gray Cary, n.d.

Дон А. Козетто и Теодор А. Педелиски, "конфиденциальность и рабочее место: технология и общественная занятость", (Int'L Personnel Management Assoc.)

Кертис Далтон, "Предотвращение Злоупотреблений Корпоративной Сетью Становится Личным", Сетевой Журнал, 5 Февраля 2001 Года

Комиссар по защите данных (Великобритания), "проект Кодекса практики: использование персональных данных в отношениях между работодателем и работником", октябрь 2000 г. http://wood.ccta.gov.uk/dpr/dpdoc.nsf)

Марк С. Дихтер и Майкл С. Буркхардт, "электронное взаимодействие на рабочем месте: мониторинг, извлечение и хранение сообщений сотрудников в эпоху Интернета", Morgan, Lewis & Bockius LLP, 1999

Sean Doherty, "ESniff Noses Out Mischief Makers", Network Computing, 25 June 2001 (пространный обзор не только eSniff, но и нескольких других продуктов мониторинга сотрудников: Elron Internet Manager, SurfControl SuperScout, Pearl Echo и Trisys Insight)

Amitai Etzioni, "Some Privacy, Please, for E-Mail", New York Times, Nov. 23, 1997 (даже "коммунитаристы" хотят конфиденциальности для электронной почты сотрудников)

Susan E. Gindin, "Guide to E-Mail & The Internet in the Workplace", 1999 (только один раздел доступен в интернете; полная работа доступна в Бюро по национальным делам)

Марк Л. Гольдштейн и Лиза С. Фогель: "вы можете прочитать электронную почту вашего сотрудника?", NY Law Journal, Feb. 24, 1997

Michael Hart, "an Employee's Staff Email and Internet Policy", Baker & McKenzie, London, 1996 (охватывает закон об интернете для сотрудников в Великобритании, Франции, Италии, Нидерландах, Гонконге, Японии и США)

Хизер Харрелд, "и прости нам наши прегрешения: агентства следят за использованием сотрудниками Интернета, чтобы пресечь несанкционированный серфинг", Федеральная компьютерная Неделя, 5 февраля. 2001 (мониторинг сотрудников в государственных учреждениях США)

"Злоупотребление интернетом в новостях" (обширный набор ссылок, собранных Websense, на статьи о киберслэке, кибермунлайтинге и т. д.)

Интернет-продукт Watch, список продуктов фильтрации и мониторинга

Ларри Джонсон, "партизанские набеги на горшок с медом: переход прямо к электронной почте", Fios, Inc., 2000

Тэмми Джойнер, "Big Boss is Watching", Atlanta Journal-Constitution, 25 июля 2001 года (GPS-мониторинг сотрудников-ключевой момент в переговорах о контракте между BellSouth и CWA).

Карл С. Каплан, "пересмотр конфиденциальности офисных компьютеров", New York Times, 27 июля 2001 года (обсуждение книги Джеймса Розенбаума "в защиту жесткого диска")

Венди Р. Лейбовиц, "E-Mail Law Expands", National Law Journal, 19 Июля 1999 Г.

Lyrissa C. Barnett Lidsky, "Silencing John Doe: диффамация и дискурс в киберпространстве", 49 Duke Law Journal 855 (2000) (бывшие сотрудники, например HealthSouth V. Krum)

Michael J. McCarthy, "Keystroke Loggers Save E-Mail Rants, Raising Workplace Privacy Concerns", Wall St. Journal, 7 March 2000 (on Adavi Silent Watch and WinWhatWhere Investigator)

Майкл Дж. Маккарти, "Workers Return E-Mail Fire", Wall St. Journal, 26 апреля 2000 года (Leinweber V. Timekeeping Systems; McLaren V. Microsoft)

Майкл С. Моран, "доступ в Интернет и риск работодателя", бюро юридической отчетности штата Нью-Йорк (специализируется на законодательстве штата Нью-Йорк)

Майкл Оверли, e-policy: How to Development Computer, E-policy, and Internet Guidelines to Protect Your Company and Its Assets, New York: AMA, 1998

Privacy Foundation (США), проект по наблюдению за рабочими местами

Privacy International," Technologies of Privacy", Privacy & Human Rights 1999 (имеет длинный раздел по теме "наблюдение на рабочем месте": мониторинг производительности, телефонный мониторинг, мониторинг использования электронной почты и интернета, тестирование на наркотики)

Дженис Рейнольдс и Эллен Мураскин, "ведение журнала, мониторинг и колл-центры", компьютерная Телефония, 1 мая 2000 года

PROSKAUER Rose LLP, " электронная почта: это последняя организационная тактика лейбористов?", Август 1999 года (NLRB)

Шерил Басвелл Робинсон, "наблюдение и медсестры: использование и неправильное использование электронного мониторинга", исследование для сестринской практики (отслеживание местоположения с помощью инфракрасного и радиочастотного излучения)

Джеффри Розен, The Unwanted Gaze: the Destruction of Privacy in America, New York: Random House, 2000 (esp. Ч. 2: "конфиденциальность На работе", но на самом деле вся книга посвящена тому, что Розен рассматривает как конфликт между частной жизнью и законом о сексуальных домогательствах на рабочем месте)

Розенбаум," в защиту жесткого диска", Green Bag, зима 2001 года (главный судья Окружного суда США по Миннесоте ставит под сомнение "некритическое принятие" странной идеи о том, что только потому, что компания владеет компьютером, они, следовательно, имеют право исследовать все его содержимое)

Эндрю Шульман, "The' Boss Button 'Updated: Web Anonymizers vs Employee Monitoring", Privacy Foundation Workplace Surveillance Project, 24 апреля 2001 г.

Эндрю Шульман, "степень систематического мониторинга использования электронной почты и интернета сотрудниками", проект Privacy Foundation Workplace Surveillance Project, 9 июля 2001 года

Эндрю Шульман, " Fatline и AltaVista: мониторинг сотрудников под давлением сверстников?", Проект По Наблюдению За Рабочим Местом Фонда Конфиденциальности, 18 Июня 2001 Года

Ларри Зельцер, "программное обеспечение для мониторинга", PC Magazine, 6 марта 2001 года (обзор Trisys Insight, Webroot WinGuardian, Winwhatwhere Investigator)

Дуг Симпсон, "слежка за киберслакерами: государственные структуры расправляются с сотрудниками, злоупотребляющими интернетом", civic.com (Федеральная компьютерная Неделя), 2 окт. 2000

Скотт А. Сундстром: "у вас есть почта! (И правительство это знает): применение Четвертой поправки к мониторингу электронной почты на рабочем месте", NYU Law Review, Dec. 1998 год (в основном на государственных служащих)

Timberline Technologies, "алфавитный список продуктов контент-фильтра"

Евгений Волох, "свобода слова, киберпространство, закон о преследованиях и администрация Клинтона", Law & Contemporary Problems, 2000

Билл Уоллес и Джейми Фентон: "ваш компьютер следит за вами? Новые настольные продукты snoopware позволяют любому человеку – боссу, деловому партнеру или супругу-отслеживать Ваши привычки к ПК", PC World, Dec. 5, 2000 (включает подробную информацию об именах файлов, используемых Spector, eBlaster, Insight, WinWhatWhere)

Найджел Уотерс, "кодекс конфиденциальности практики наблюдения за рабочим местом: позиция PCO", 26 марта 2001 года (PowerPoint)

John Whalen, "You Are Not Paranoid: They Really are Watching You", Wired, March 1995 (covers employee theft," time theft", etc.). Джонатан Уилан, e-mail @ work, Лондон: FT.com, 2000 г.

Kenneth J. Withers, "Electronic Discovery Bibliography", 2000 ("... предметы, имеющие отношение к обнаружению электронных доказательств в гражданском процессе. Эта коллекция также включает в себя предметы, тесно связанные с электронным обнаружением, такие как электронное делопроизводство, компьютерная криминалистика, правила доказывания применительно к электронным данным и использование электронной почты на рабочем месте.")

Кеннет Дж. Уизерс: "Отличается Ли Digital От Других?: Электронное раскрытие и раскрытие информации в гражданском процессе", 30 декабря 1999 года

Kenneth J. Withers, "Killing the vampire: Computer users, facing discovery, attempt to make the' delete 'key stick", Federal Discovery News

Ануш Егязарян, "любопытные боссы сталкиваются с ограничениями на шпионаж по электронной почте", PC World, сентябрь 2000 года (NLRB)

Ричард Ф. Циглер и Сет А. Штул, "проблемы Сполиации возникают в цифровую эпоху", Национальный юридический журнал, 16 февраля 1998 года (обязанность сохранять электронную почту и голосовую почту)

Шошана Зубофф, в эпоху умной машины: будущее труда и власти, Нью-Йорк: Основные книги, 1988
Дата публикации:
Читайте статью полностью
Главная> > Статьи> > Компьютерное и интернет-наблюдение на рабочем месте: грубые заметки
Важно! Установка средств компьютерного мониторинга на компьютеры, которыми вы не владеете или не имеете разрешения на мониторинг, может нарушать местное, государственное или федеральное законодательство.