Vždy na dohled: přínosy a úskalí monitorování zaměstnanců

V současné době zaměstnanci tvoří největší možnou míru rizika a problémů ve firmách. Zaměstnanci ve většině případů mohou až za 95 % bezpečnostních incidentů. Firma může mít velmi kvalitní firewall, omezený přístup do firemního intranetu či jakékoliv jiné zabezpečení, ale stále zde zůstává největší hrozba v podobě zaměstnance. Jak na něj dohlédnout?

Stává se, že konkurence nechá ve vaší firmě zaměstnat svého člověka na libovolné pozici a ten během krátké doby získá potřebné informace. Málokdo si například uvědomuje, že největší riziko tvoří zaměstnanci na prakticky nedůležitých pozicích. Například člen uklízecí služby má prakticky neomezený prostor a navíc se pohybuje po firmě v době, kdy se tam nikdo nenachází.

Proč monitorovat

Důvodů proč monitorovat aktivity zaměstnanců je mnoho:

  • Snížení možných rizik daným zaměstnancem.
  • Ověření, zda pracovní čas je využíván efektivně a hlavně pro účely zaměstnavatele.
  • Lze získat i kompletní přehled efektivity práce zaměstnance.
  • Snížení možnosti ztráty zákazníka či zakázky na základě špatné reakce zaměstnance.
  • Ověření, zda zaměstnanec nepředává důvěrné informace konkurenci.
  • Snížení rizika pro firmu způsobené ilegálními aktivitami na internetu.

    • Ke kontrole aktivit, využitelnosti a efektivity zaměstnanců se razantně přistupovalo například v roce 2007 v některých státních institucích. Na základě zhodnocení výsledků se vyskytly tak silné extrémy, kterým by nikdo ani nevěřil. Například jeden zaměstnanec trávil týdně 72 hodin hraním karetní hry Solitaire. Je důležité říci, že běžný pracovní týden má kolem 40 hodin. Další zaměstnanec například svou aktivitu po příchodu do práce započal chatováním. Kolem 12 hodiny přerušil svou aktivitu obědovou přestávkou, a po návratu se věnoval cca jednu hodinu skutečným pracovním aktivitám. V několika případech, včetně těchto dvou, došlo k rozvázání pracovního poměru.

    Jak sledovat

    Možností, jak sledovat zaměstnance, je celá řada. Prvotně by vše šlo rozdělit na tzv. online a offline sledování. Nejčastěji se využívá online metoda, kde je přímo určený subjekt sledován pomocí vzdálené plochy, odposlechu síťové komunikace, kamery, mikrofonu, GPS, mobilního telefonu či speciální aplikace přímo během aktivit zaměstnance. Z takovýchto online sledování je možné samozřejmě pořizovat i záznam. Zaměstnavatel tak muže okamžitě ověřovat, jestli zaměstnanec dělá to, co má určeno. V případě offline sledování se provádí pouze záznam pro pozdější analýzu nebo kontrolu aktivit zaměstnance. Nejjednodušší možností je využívat pro sledování specializovaný software, často jsou používány různé keyloggery (Ardamax Keyloger, KeySniff atd.) nebo přímo monitorovací aplikace. Častokrát jsou tyto metody různě kombinovány, aby se docílilo přesnějších údajů.

    V České republice je sledování zaměstnanců takřka standardem u větších společností. Zde totiž vzniká potřeba dohlížet nad rozsáhlým počtem zaměstnanců a ve většině případů se nejedná o vyhledávání nelegálních aktivit zaměstnanců, ale ověřování, jestli daný zaměstnanec vykonává práci, za kterou je placen. Ukažme si tři případy.

    Případ první – větší vývojářská firma

    Tato firma má něco kolem 1000 zaměstnanců, kteří se na různých pozicích účastní vývoje softwaru. Na všech počítačích, které zaměstnanci využívají, je nainstalován speciální software, který počítá a zaznamenává úhozy na klávesnici počítače. Aplikace samozřejmě umí danou aktivitu přiřadit určité aplikaci. Následně je z těchto údajů vypracovávána statistika. V případě, že se výsledná aktivita výrazně liší od tzv. „normo“ požadavků na zaměstnance v dané pozici, je zaměstnanec automaticky předvolán ke svému nadřízenému, který s ním daný problém řeší. Samozřejmostí je to, že se dá na 100% rozeznat, jestli zaměstnanec celý den chatoval na ICQ nebo vytvářel aplikaci pomocí nástroje Microsoft Visual Studio.

    Případ druhý – česká banka

    V tomto případě banka monitoruje veškerou e-mailovou komunikaci svých zaměstnanců se zákazníky banky. Vše je prováděno tak, že nad určitou skupinou zaměstnanců, například osobní bankéři, je vytvořen speciální kontextový filtr, jenž vyhledává nevhodné výrazy a vulgarizmy. Pokud se najde e-mail obsahující nevhodný obsah, je pozastaven a poté povolen až po osobním prověřením schvalujícího zaměstnance. Jakákoliv aktivita zaměstnance, která by mohla poškodit dobré jméno bankovního ústavu je samozřejmě trestána. Banka také dále náhodně provádí kontrolu zaměstnanců pomocí náhledu na aktivní plochu počítače, popřípadě poslechem náhodných záznamů z telefonických hovorů.

    Případ třetí – zaměstnanec předstírá práci

    Tento případ zná zajisté většina. Zaměstnanec neplní své úkoly a práci, kterou měl realizovat během určené doby, neustále protahuje. Pro kontrolu v tomto případě byly nasazeny dvě aplikace. První aplikace kontrolovala, zda zaměstnanec v pracovní době využívá daného vývojářského nástroje. Druhá aplikace kontrolovala vždy po odchodu zaměstnance množství nových, změněných a smazaných řádků v programovém kódu aplikace. Výsledkem byla první zpráva, na jejímž základě bylo ověřeno, že zaměstnanec věnuje 86 % svého času zadanému úkolu. Vzhledem k tomu, že zaměstnavatel nebyl s výsledkem kontroly spokojen, další nezávislý programátor prověřil obsah zdrojových kódu den po dni a bylo zjištěno, že zaměstnanec opravdu svou práci předstírá. Jednotlivé bloky zdrojového kódu přesouval pouze na jiná místa a zase zpět, přidával komentáře anebo přímo do komentářů uzavíral celé bloky kódu. Po dvou dnech většinu úprav vrátil zpět a pak zase pokračoval od začátku.

    Jak se bránit

    Pro snížení rizik způsobených aktivitami zaměstnanců je dobré realizovat několik kroků:

  • Zajistit na základě uživatelských práv přístup pouze k danému projektu či aplikaci.
  • Jakmile zaměstnanec dokončí určený úkol, zamezit kompletně k danému projektu přístup.
  • Jakmile zaměstnanec ukončí pracovní poměr, popřípadě je přesunut na jinou pozici, kompletně zrušit veškerá přístupová práva a oprávnění.
  • V rámci pracovní smlouvy, NDA či jiné smlouvy přímo definovat, že prostředky svěřené zaměstnanci lze používat jen na aktivity související s pracovním zařazením.
  • V rámci legislativy, pokud je to možné, informovat zaměstnance o tom, že jeho aktivita může být monitorována.
  • Na firemním přístupovém bodu do internetu povolit pouze služby, které zaměstnanci budou využívat k jejich firemním aktivitám. Ve 100% případů by zaměstnanci mělo být povoleno pouze navštěvování nešifrovaných webových stránek a firemní pošty.
  • Limitovat skupinu webových serverů, na které může zaměstnanec přistupovat.
  • Pokud to lze, umožnit zasílání pošty pouze v rámci firmy. Zaměstnanec tak nemůže odeslat důležité informace mimo firmu.
  • Zablokovat či zrušit možnost využívat na počítačích CD-DVD mechaniku, USB, COM, LPT, Firewire či jiné prostředky pro datovou komunikaci.
  • Zabezpečit počítač proti možné demontáži či odcizení.
  • Minimalizovat možnosti vzdáleného přístupu zaměstnance do firemního intranetu.
  • Definovat dobu, během které se může zaměstnanec přihlásit do svého počítače.
  • Je důležité si také uvědomit, že další osoba ve firmě, která má neomezený přístup k informacím, je správce IT.

    • Jaká je praxe v zahraničí

    Například v USA jsou záznamy ze sledování zaměstnanců běžnou součástí soudních sporů a řešení případů, kdy zaměstnanec svým chováním poškozuje svého zaměstnavatele a zvýhodňuje sama sebe nebo konkurenci. Dá se říci, že tento trend se začíná plně vyskytovat také v Evropě.

    Je zajímavé, že v případě call center se nově nasazují i systémy, které ověřují úroveň komunikace na základě intonace a rychlosti hlasu. Pokud se například zaměstnanec call centra pře se zákazníkem, zvyšuje automaticky hlas a zrychlují se jeho odpovědi.

    Práva zaměstnanců jsou svatá

  • Sledování zaměstnanců bez jejich souhlasu není povoleno ve většině zemí.
  • Ukládání či archivace e-mailové komunikace zaměstnanců (i když se jedná o firemní poštu) není povoleno ve většině zemí.
  • Pokud je sledování povoleno, je nutné, aby se zamezilo přístupu k daným záznamům třetím stranám.
  • Ve většině případů se vám ani nepodaří všechny záznamy kompletně prověřit. Například záznam aktivit programátora na klávesnici může obsahovat tisíce stránek textu.
  • Během monitorování budou zajisté zaznamenány i osobní aktivity zaměstnance, například komunikace s manželkou, partnerem či kamarádem. Obsah této komunikace by neměl být žádným způsobem dále zpracováván.

    • Jan Kachlík