Možnosti a rizika spojená s kontrolou a využíváním informačních technologií ve vztahu k zaměstnancům v rámci platné české legislativy představili na odborném semináři zástupci firmy AdvaICT a mezinárodní poradenské kanceláře Rödl & Partner. Zároveň předvedli novinku v odhalování anomálií na síti – audit provozu sítě, který dokáže odhalit nežádoucí činnost zaměstnanců s výpočetní technikou v reálném čase.
Shopping, gambling, chatování, prohlížení fotek a videí...
Studie serveru America Online i statistiky amerického Úřadu práce uvádějí, že za 75 % krádeží firemních údajů stojí zaměstnanci, pouze 25 % způsobí hackeři. Zaměstnanecké krádeže stojí americký průmysl ročně 50 bilionů dolarů a jsou zodpovědné přibližně za 33 % všech krachů firem. Zároveň 90 % zaměstnaneckých krádeží vyjde na povrch až po odchodu zaměstnance z firmy.
Pavel Minařík ze společnosti AdvaICT na semináři uvedl, že průměrný čas strávený zaměstnanci při mimopracovních aktivitách, jako jsou on-line shopping, gambling, chatování, prohlížení fotek a videí, je 2,5 hodiny za den. Proto se řada zaměstnavatelů uchyluje k omezování přístupu na internet, už málokterá firma však následně kontroluje použití internetu.
Podle Pavla Koukala ze společnosti Rödl & Partner se na přípustnost kontroly zaměstnanců musíme dívat z více úhlů. Musíme se řídit tím, co je stanoveno při uzavírání pracovněprávního vztahu, jako jsou podpis smlouvy mezi zaměstnavatelem a zaměstnancem či firemní směrnice, dále právem zaměstnavatele na ochranu majetku a podnikatelských zájmů, a v neposlední řadě právem zaměstnance na ochranu lidské důstojnosti a ochranu soukromí.
Jak odhalit zevlouna
Kontrola zaměstnance ze strany zaměstnavatele bez jeho vědomí je přípustná pouze v případě přiměřené kontroly s ohledem na cíl kontroly, jako je například kontrola dodržování zákazu/dovoleného rozsahu použití pracovních prostředků na soukromé účely. Proti tomu má zaměstnavatel právo provádět kontrolu technických parametrů IT infrastruktury, její bezpečnost a spolehlivost. V případě důvodného podezření na narušení IT infrastruktury je její majitel oprávněn podniknout opatření pro eliminaci rizika, mimo jiné i spojit identitu uživatele s potenciálně nežádoucími aktivitami na síti. Novinkou v odhalování anomálií na síti je audit jejího provozu, který dokáže odhalit nežádoucí činnost zaměstnanců s výpočetní technikou v reálném čase.
„Systémy založené na těchto technologiích pracují na principu detekce anomálií a nežádoucího chování v datové síti díky permanentnímu vyhodnocování statistik o provozu na síti,“ říká Pavel Minařík. „Hlavní výhodou proti běžným IDS systémům či SNMP monitoringu je orientace na celkové chování zařízení na síti, což umožňuje administrátorům sítě získat ucelený pohled na celou IT infrastrukturu a reagovat i na dosud neznámé či specifické hrozby v síti.“
Se zkušenostmi z praxe se s účastníky podělil i Igor Šuba, ředitel IT služeb společnosti MATADOR: Řešení firmy AdvaICT vhodně doplnila naše spektrum zabezpečení a dohledu nad děním v počítačové síti. V největší společnosti skupiny Matador nám FlowMon ADS pomohl zachytit neoprávněné zapojení WiFi zářičů dodavatelských subjektů do LAN sítě, pokus o zapojení servisních notebooků do sítě ve výrobním závodě s úmyslem nastavení technologických zařízení, nesprávně síťově nakonfigurované dodavatelské PC ve funkci řídicích jednotek technologických celků a pokusy zaměstnanců ukládat velké objemy dat na veřejně dostupné úložiště. V menších firmách skupiny mám prostřednictvím služby NetHound i na svých cestách přehled o dění v síti. V případě zachyceného incidentu nebo detekované podezřelé anomálie na síti dostávám prostřednictvím notifikací informaci o potřebě zásahu v reálném čase."
Monitorování zaměstnanců podle české právní úpravy (§ 316 zákoníku práce)
Zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu (podle první věty) je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. Otázkou je, co je přiměřený způsob kontroly.
Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.
Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů podle odstavce 2, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění.
Zdroj: AdvaICT
Foto: © sellingpix - Fotolia.com