Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników Jakub Bojanowski Partner
Agenda. 1 Wprowadzenie 2 Metody inwigilacji technicznej 3 Podsumowanie 1 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie. 2 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie Relacja pracodawca-pracownik Pracodawca udostępnia pracownikowi narzędzia (komputer, telefon, łącze internetowe) przeznaczone do wykonywania obowiązków słuŝbowych i uzasadnia tym swoje prawo do inwigilacji pracowników Typowo: pracodawca uwaŝa, Ŝe wykorzystanie tych narzędzi do celów prywatnych obniŝa efektywność pracy Typowo: pracodawca uzasadnia prowadzenie nadzoru nad pracownikami potrzebą ochrony informacji słuŝbowych Ostatnio: pracownicy zgłaszają roszczenia w przypadku gdy pracodawca ogranicza im dostęp do niektórych stron internetowych (np. nasza-klasa) Najczęściej: pracownicy nie są świadomi zagroŝeń wynikających z udostępnienia informacji, które posiadają Zazwyczaj: pracownicy mogą nie być świadomi, Ŝe ich działalność w Internecie moŝe wpływać na wizerunek pracodawcy Praktycznie powszechnie: pracownicy nie zdają sobie sprawy z tego, Ŝe w większości przypadków informacje przesyłane za pośrednictwem Internetu nie są chronione przed nieuprawnionym dostępem Co pracodawca zrobił aby wyedukować pracowników w zakresie zagroŝeń? Czy określił i zakomunikował pracownikom zasady, których zachowania się domaga? 3 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie Gdzie postawić granicę? Czy (i jakim zakresie) dozwolone jest wykorzystywanie infrastruktury informatycznej do celów prywatnych: korespondencja prywatna, planowanie wakacji, zakupy przez Internet, poszukiwanie nowej pracy, dystrybucja materiałów o charakterze pornograficznym. Czy pracownikom wolno uczestniczyć w Internetowych listach dyskusyjnych o jakiej tematyce? w jakim charakterze? ile czasu pracy mogą na to poświęcić? Trudne decyzje: Kto i w jakim przypadku moŝe podjąć decyzję o podsłuchu informacji? W jaki sposób naleŝy informować o tym pracowników? W jaki sposób eskalować ewentualne incydenty? 4 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Wprowadzenie ZagroŜenia Ujawnienie informacji: Świadome (szpiegostwo przemysłowe, działanie na niekorzyść przedsiębiorstwa), Nieświadome: Wysłanie wraŝliwych danych pocztą elektroniczną do innej instytucji Portale społecznościowe (np. Nasza-Klasa.pl), Ściąganie prywatnej poczty z firmowego komputera Fora internetowe, Listy dyskusyjne, Czaty, itp.. Przestępstwa popełniane przez pracowników: W miejscu pracy, Z wykorzystaniem informacji lub narzędzi uzyskanych w miejscu pracy. ZagroŜenia związane z niską efektywnością pracowników. 5 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej. 6 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej Wprowadzenie Podsłuch telefoniczny, Nadzór przy pomocy kamer przemysłowych, Systemy rejestracji czasu pracy, Środki nadzoru nad komputerami, Inne: Tradycyjny podsłuch, Moduły GPS, Systemy RFID. 7 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej Podsłuch telefoniczny UmoŜliwia nadzór nad telefonią analogową i cyfrową, Kosztowny i złoŝony, DuŜo łatwiejszy w implementacji dla nowoczesnej telefonii cyfrowej (VoIP), Utrudniona jest odpowiednia analiza duŝej ilości danych (na przykład na podstawie słów kluczowych), MoŜliwa jest lokalizacja telefonów komórkowych, Stosowany przewaŝnie w sytuacjach wyjątkowych (podejrzenie popełnienia przestępstwa, działania na szkodę przedsiębiorstwa). 8 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej Nadzór przy pomocy kamer przemysłowych Tradycyjna metoda kontroli, Rzadko wykorzystywana bezpośrednio w pomieszczeniach biurowych, Utrudnione szybkie wyszukiwanie interesujących zdarzeń, Wymaga bezpośredniego nadzoru. Trendy: Automatyczna identyfikacja twarzy, Automatyczne reagowanie na incydenty. MoŜliwe zastosowanie mikrokamer (kosztowne, wykorzystywane w wypadku podejrzenia popełnienia przestępstwa). 9 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej Systemy rejestracji czasu pracy Tradycyjna metoda kontroli, Często łączona z systemem kontroli dostępu fizycznego, UmoŜliwia ograniczoną kontrolę nad poruszaniem się po obiekcie, Efektywna tylko w połączeniu z innymi metodami nadzoru (na przykład kamerami przemysłowymi), Łatwe do oszukania (wykorzystanie innej karty/hasła). 10 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej Środki nadzoru nad komputerami UmoŜliwiają pełny oraz trudny do wykrycia nadzór nad aktywnością pracowników (na przykład kopiowanie wraŝliwych danych na nośniki typu pen-drive), Pozwalają na kontrolę: Poczty elektronicznej, komunikatorów internetowych, Przeglądanych stron internetowych, Tworzonych lub modyfikowanych plików, Wpisywanych danych, Innej aktywności (na przykład przez zdalny dostęp do pulpitu ). Istnieje wiele popularnych narzędzi (często darmowych), Występuje problem efektywnej analizy duŝej ilości danych napływających z systemów nadzoru. UWAGA: narzędzia tego typu pozwalają takŝe na śledzenie dostępu pracowników do ich kont bankowych o ile korzystają oni z firmowego komputera 11 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Metody inwigilacji technicznej Inne Tradycyjny podsłuch: UmoŜliwia rejestrowanie rozmów w nadzorowanych pomieszczeniach. Systemy GPS: UmoŜliwiają lokalizowanie pojazdów wykorzystywanych przez pracowników, Wykorzystywane przez firmy logistyczne lub spółki posiadające duŝe floty pojazdów, Istnieją firmy dostarczające usługi nadzoru nad flotą (moŝliwy out-sourcing nadzoru). Systemy RFID: Pozwalają na śledzenie poruszania się pracowników w obrębie monitorowanego terenu (budynku biurowego, magazynu, etc), MoŜliwość łatwego ukrycia się (przez zakrycie modułu RFID) oraz mały zasięg to podstawowe problemy, Jeden z trendów w nadzorze nad aktywnością pracowników (pierwsze próby stosowania wszczepianych w ciało ludzkie modułów RFID). 12 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Podsumowanie. 13 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Podsumowanie Narzędzia inwigilacji pracowników Istnieją rozwijane i wspierane przez dostawców kompleksowe narzędzia słuŝące nadzorowi nad aktywnością pracowników MoŜliwe jest ukrycie narzędzi nadzorujących przed pracownikami Nie istnieją techniczne moŝliwości efektywnego ukrycia się przed inwigilacją ze strony pracodawcy WdroŜenie efektywnych i kompleksowych metod nadzoru nad pracownikami moŝe być bardzo kosztowne i wymagać łączenia wielu narzędzi nadzoru technicznego Prawdziwym problemem nie są jednak koszty, a efektywna analiza duŝych ilości informacji o aktywności pracowników Decyzje dotyczące rodzaju i zakres nadzoru pracowników powinny być poprzedzone analizą rzeczywistych zagroŝeń 14 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Podsumowanie Inwigilacja teŝ jest zagroŝeniem dla pracodawcy Pamiętajmy, Ŝe de facto inwigilującym nie jest pracodawca tylko konkretna osoba administrator systemu/centrali/itp. Stosowane środki techniczne dają tej osobie dostęp do BARDZO wraŝliwych informacjami. Ewentualne naduŝycia mogą być bardziej groźne od samych incydentów przed którymi chcemy chronić firmę. Oprócz wykorzystania właściwych narzędzi technicznych równie istotne jest wprowadzenie odpowiednich procedur umoŝliwiających kontrolę nad uzyskiwanymi w czasie inwigilacji informacjami. PROPONOWANA ZASADA: Gromadzenie i statystyczne (automatyczne) analizowanie informacji jest dopuszczalne. Pracownicy mają świadomość, Ŝe tego typu środki mogą być stosowane Zabronione jest rutynowe analizowanie danych dotyczących konkretnej osoby bez uruchomienia stosownej procedury (np. związanej z podejrzeniem popełnienia naduŝycia, itp.). 15 Przegląd przykładowych rozwiązań technicznych stosowanych przez pracodawców do inwigilacji pracowników 2008 Deloitte Audyt Sp. z o.o.
Nazwa Deloitte odnosi się do Deloitte Touche Tohmatsu, podmiotu prawa szwajcarskiego, jego firm członkowskich, a takŝe ich właściwych spółek zaleŝnych i stowarzyszonych. Jako podmiot prawa szwajcarskiego (stowarzyszenie), Deloitte Touche Tohmatsu ani Ŝadna z firm członkowskich Deloitte Touche Tohmatsu nie ponosi odpowiedzialności wzajemnej za jakiekolwiek czyny lub zaniedbania. KaŜda firma członkowska jest oddzielnym i niezaleŝnym podmiotem prawnym działającym pod nazwą Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu lub inną podobną nazwą. Usługi opisane w niniejszym dokumencie świadczą dane firmy członkowskie, ich właściwe spółki zaleŝne i stowarzyszone, a nie podmiot prawny Deloitte Touche Tohmatsu. Member of Deloitte Touche Tohmatsu