Быть Большим Братом: Мониторинг сетевой активности сотрудников

Если вам, как сетевому администратору или разработчику ИТ-политики, поручено быть Большим Братом для вашей компании, необходимо учитывать как юридические, так и технологические факторы. В этой статье мы обсудим оба. Помните, однако, что законы различаются от страны к стране и даже от штата к штату, и даже если вы думаете, что знаете закон в своей юрисдикции, он может быть изменен в любое время на заседании законодательного органа.

Зачем контролировать сетевую активность сотрудников?

Почему вам стоит задуматься о мониторинге деятельности сотрудников в первую очередь? Являются ли работодатели, которые читают электронную почту своих сотрудников или отслеживают посещаемые веб-сайты, просто любопытными и чрезмерно контролирующими? К сожалению, компания может быть привлечена к гражданской или даже уголовной ответственности за действия сотрудников.

Если сотрудник загружает порнографию на рабочий компьютер, которая преднамеренно или случайно показывается другим, компания может быть привлечена к ответственности за сексуальные домогательства (создание или разрешение «враждебного рабочего места»). Если сотрудник загружает детскую порнографию, компания может быть вовлечена в уголовное расследование. Если сотрудник присваивает деньги со счетов клиентов, компанию могут обвинить в халатности. Если сотрудник использует оборудование компании для совершения какого-либо преступного деяния, как минимум у компании могут быть конфискованы компьютеры в качестве улики.

Даже если деятельность сотрудников не является предметом уголовных обвинений или судебных исков, трата большого количества времени компании на просмотр веб-сайтов, не связанных с бизнесом, отправку личной электронной почты или общение с друзьями стоит компании денег в виде потери производительности. Загрузка больших файлов использует пропускную способность сети и может замедлить работу сети для законных пользователей. Посещение небезопасных веб-сайтов может привести к попаданию вирусов и других вредоносных программ в сеть компании. Наконец, сотрудники могут преднамеренно или непреднамеренно раскрывать конфиденциальную информацию компании (коммерческие секреты, данные о персонале, финансовую информацию) посторонним лицам через электронную почту или чат.

Мониторинг сетевой активности сотрудников: вопросы политики

Хотя был ряд случаев, когда работники предъявляли иски работодателям за вторжение в частную жизнь (обычно в соответствии с законами штата), в большинстве случаев суды были на стороне работодателя.

Примечание:
Хотя многие люди думают, что Конституция прямо гарантирует право на неприкосновенность частной жизни, защита неприкосновенности частной жизни в Билле о правах применяется только в том случае, когда нарушителем является правительство. Конституции или законодательные акты некоторых штатов касаются индивидуальных прав на неприкосновенность частной жизни, и они сильно различаются по своему охвату.

Две важные концепции, используемые судом при определении того, допустимо ли наблюдение в соответствии с законом:

• «Ожидание конфиденциальности» работника
  
• «Обоснованность» мониторинга

Некоторые сотрудники утверждают, что ожидают конфиденциальности, поскольку их доступ защищен паролем. В таких делах, как Burke против Nissan Motor Corp и McLaren против Microsoft Corp., суды отклонили этот иск и заявили, что сотрудники не ожидают конфиденциальности в сообщениях, которые отправляются через сеть компании.

Тем не менее, чтобы соответствовать ожиданиям в отношении конфиденциальности, компании должны иметь письменную политику, в которой говорится, что они будут или могут отслеживать действия конкретных сотрудников, и эта политика должна быть распространена среди всех сотрудников. Каждый сотрудник должен быть обязан подписать подтверждение того, что он/она получил уведомление и понимает его.

Принцип разумности относится к причине мониторинга. Доводы компании сильнее, если вы проводите мониторинг по определенной причине, например:

• Для обеспечения соблюдения политики компании
  
• Для расследования конкретного предполагаемого случая неправомерных действий или незаконной деятельности

В США Закон о конфиденциальности электронных коммуникаций (ECPA) запрещает перехват и раскрытие электронных сообщений, но содержит исключение «согласие», которое будет применяться, если у вас есть подписанное уведомление, а также исключение «бизнес-расширение», которое разрешает мониторинг когда у вас есть цель, связанная с бизнесом.

Примечание:
В 1993 году Конгресс США принял Закон о конфиденциальности для потребителей и работников, который требовал от работодателей уведомлять, прежде чем осуществлять электронный контроль за работниками. Однако закон не прошел.

Чтение электронной почты сотрудников

Отправка сообщения электронной почты через Интернет чем-то похожа на отправку открытки по почте. Если он не зашифрован, его можно легко перехватить и прочитать на любом сервере по пути. Сетевой администратор может получить доступ к почтовым ящикам пользователей на почтовом сервере компании. Некоторые суды постановили, что это подпадает под еще одно исключение в ECPA, исключение для «провайдеров услуг», которое позволяет поставщикам услуг связи получать доступ к сохраненным сообщениям.

Однако огромный объем электронной почты, проходящей через сети большинства компаний, затрудняет ее отслеживание. Программное обеспечение для мониторинга, такое как Spector CNE, можно настроить на обнаружение указанных вами ключевых слов и фраз, чтобы упростить обнаружение нарушений политики. Фактически, Spector CNE Corporate Network Edition захватывает и записывает отправленные и полученные сообщения электронной почты, разговоры в чате, мгновенные сообщения, загрузки файлов, передачу съемных носителей, посещенные веб-сайты, запущенные приложения, установленные сетевые подключения и даже записывает нажатия клавиш. Ключевые слова в сообщениях электронной почты, чатах, мгновенных сообщениях или на веб-сайтах могут вызвать немедленное уведомление администраторов по электронной почте. Действия автоматически архивируются на центральном сервере. Для получения дополнительной информации посетите http://www.spectorcne.com/

Мониторинг веб-доступа сотрудников

Вы можете отслеживать веб-сайты, посещаемые сотрудниками, через файлы журналов многих популярных брандмауэров. Дополнительные продукты могут расширить эти возможности. Например, WebMonitor от GFI для Microsoft ISA Server упрощает отслеживание веб-сайтов, которые посещают пользователи, и файлов, которые они загружают, в режиме реального времени. Администраторы могут контролировать доступ пользователей в Интернет из своих собственных браузеров.

Программное обеспечение предоставляет историю по URL-адресу и по пользователю (просмотрите, кто обращался к определенному сайту, или просмотрите все сайты, к которым обращался конкретный пользователь). Вы можете заблокировать подключение или загрузку в режиме реального времени, а также легко добавить сайты, которые хотите заблокировать, в правило доступа к ISA Server. Для получения дополнительной информации см. http://www.gfi.com/webmon/

«Прослушивание» сеансов обмена мгновенными сообщениями/чата

Обмен мгновенными сообщениями и Internet Relay Chat (IRC), вероятно, являются наиболее часто используемыми сетевыми приложениями. Тем не менее, это также может быть полезно для деловых целей, поэтому вы можете не захотеть полностью запрещать такое общение в реальном времени.

Существует ряд программ, которые можно использовать для блокировки, мониторинга и управления обменом мгновенными сообщениями и чатами в вашей сети, в том числе Akonix L7 Enterprise, шлюз обмена мгновенными сообщениями, который регистрирует все разговоры по обмену мгновенными сообщениями и работает с большинством сетей обмена мгновенными сообщениями, включая AOL, MSN, Yahoo, ICQ и корпоративные системы обмена мгновенными сообщениями (Microsoft Live Communications Server, IBM Lotus Instant Messaging). Вы можете заблокировать передачу файлов, игры, видеоконференции и другие отдельные функции обмена мгновенными сообщениями, а также применить фильтрацию контента в реальном времени. Для получения дополнительной информации см. http://www.akonix.com/products/l7enterprise.asp

Мониторинг и запись разговоров по IP-телефону

Федеральные законы о прослушивании телефонных разговоров обычно запрещают запись телефонных разговоров без согласия хотя бы одной стороны разговора. Законы некоторых штатов требуют согласия всех сторон (список штатов, требующих согласия всех сторон, см. на http://www.callcorder.com/phone-recording-law-america.htm#State%20Laws%20(Table)).

Исключение в отношении служебных телефонов в федеральном законе, как правило, разрешает мониторинг служебных телефонных линий компании для контроля качества и других деловых целей.

Согласно статье, опубликованной в прошлом году в Michigan Law Review, закон о прослушивании телефонных разговоров не распространяется на сохраненные электронные сообщения, включая заархивированные звонки VoIP. Постановления Верховного суда постановили, что такие записи не имеют разумных оснований для конфиденциальности.

Для записи телефонных разговоров с одной или нескольких линий и архивирования их на жесткий диск.

Резюме

Из-за требований законодательства, угроз сетевой безопасности и бюджетных соображений все больше и больше компаний считают необходимым «стать Большим Братом» и отслеживать некоторые или все сетевые действия своих сотрудников. Если вам поручено реализовать план мониторинга, убедитесь, что в первую очередь действуют надлежащие политики, и проверьте программные пакеты и аппаратные устройства, которые упростят отслеживание того, что делают пользователи вашей сети, и убедитесь, что они соблюдение как политики компании, так и законодательства.