Фото Getty Images
Вынужденный переход большинства сотрудников компаний на удаленный режим работы изменил менеджерские практики и привел к распространению программ, которые позволяют работодателю следить за тем, что его персонал делает в рабочие часы. Программы-шпионы фиксируют, на каких сайтах бывает и сколько времени проводит за работой сотрудник. Подобные действия работодателей негативно сказываются на лояльности сотрудников, которые, в свою очередь, изобретают все новые способы обхода слежки. Некоторые из таких способов делают компании киберуязвимыми.
В 2019 году сотрудник одного из российских банков разработал программу, которая в промежутке с 10:00 до 10:15 подключалась к корпоративной сети, открывала несколько окон браузера с корпоративными ресурсами, имитировала написание программного кода и движение мыши. Таким образом сотрудник пытался обойти систему мониторинга активности, которую использовали в банке, но вскоре был пойман. «Средство мониторинга построило корреляцию между действиями, когда пользователь включал свою программу и когда действительно работал, и выявило аномалии — так программа-имитатор была обнаружена», — вспоминает директор по информационной безопасности и сооснователь компании Awillix Александр Герасимов, который в то время работал в этом банке. По его словам, компания не стала увольнять нарушителя: «Мы пообщались, узнали причины и договорились, чтобы он больше так не поступал».
Описанный случай не единичный. Чем большее распространение среди компаний получают системы контроля, тем больше вариантов обхода изобретают сотрудники. Некоторые из них прикрепляют к компьютерной мыши движущуюся игрушку или даже
Для просмотра ссылки необходимо нажать
Вход или Регистрация
— мышка двигается, система слежения фиксирует активность. Другие добиваются похожего эффекта, используя готовые или самописные программы и скрипты для обхода систем мониторинга. Такие программы могут содержать в себе вирусы и сулить компании проблемы — вплоть до полной остановки работы IT-системы, узнал Forbes. Фото на память
По словам Евгении Цыреновой, руководителя по работе с клиентами международной рекрутинговой компании Hays, практика отслеживания рабочей активности сотрудников была распространена еще до пандемии и повальной удаленки — чаще всего ее применяли в крупных российских компаниях, особенно в банковской сфере и ретейле. Для отслеживания работодатели использовали обычные таск-менеджеры вроде Jira, Trello, «Мегаплан» и «Битрикс24», перечисляет Цыренова. Это программы, куда сотрудники сами вносят реализованные задачи, и компания может видеть активность каждого.Заполнение отчетности при этом во многом зависит от самих сотрудников, а они могут «искажать картину своего рабочего дня», например, закладывать много времени на выполнение небольшой задачи, говорит Цыренова. По ее словам, чтобы избежать искажения, некоторые компании стали нанимать для мониторинга активности специальных внешних консультантов, которые могут фотографировать сотрудников во время рабочего процесса. Этот способ повышал точность контроля, но имел свои минусы, признается Цыренова: «Сотрудники понимают, что в текущий момент времени проводится аудит их активности, и начинают проявлять больше рвения и выполнять свою работу более качественно, чем обычно».
После массового перехода на удаленку на фоне пандемии контроль рабочего времени стал особенно актуален для большинства компаний, считает Михаил Годжаев, руководитель направления аналитического сопровождения систем предотвращения утечек информации компании Infosecurity (входит в ГК Softline): «До пандемии руководители в офисах видели воочию своих сотрудников и могли в ежедневном режиме наблюдать их дисциплину, занятость и эффективность, а теперь такая возможность исчезла».
По словам Годжаева, прежде работодатели использовали специальный софт или таск-менеджеры, как правило, для сбора информации о времени начала и окончания рабочего дня сотрудников и выявления тех, кто проводит много времени на вредоносных сайтах. С 2020 года компании стали жестче контролировать сотрудников, утверждает он.
Некоторые способы мониторинга, например фотографирование сотрудников в офисе во время работы, с переходом на удаленку стали неактуальны — компании перешли на специализированный софт для контроля за работниками. Среди популярных программ-шпионов Цыренова и Годжаев называют Kickilder, Staffcop, Zecurion и «Стахановец». Первый сервис, к примеру, считывает все шаги, клики и может даже записывать видео с экрана. По словам Цыреновой, такой софт можно использовать не только с целью выявления слабых мест в работе, но и для поиска лидеров, наиболее эффективных сотрудников, которых в дальнейшем можно продвигать и помогать развиваться в профессии.
По подсчетам аналитической службы компании «Битрикс24», пока специализированные программы для слежки внедрили только 20% компаний. «Главные причины — низкий уровень цифровизации и короткие локдауны: большую часть 2021 года компании все же провели в офисах», — говорит эксперт «Битрикс24» Сергей Кулешов. Он считает, что работодатели продолжат внедрять софт для контроля за эффективностью сотрудников на удаленном и гибридном режиме.
Шпион, выйди вон
Опрошенные Forbes эксперты сходятся во мнении, что использование работодателем различных систем мониторинга для поминутного контроля активности сотрудников за компьютером не мотивирует персонал к ударному труду и креативу, а зачастую, наоборот, подталкивает к обходу систем.Годжаев считает, что специализированные программы обмануть сложнее, чем таск-менеджеры и корпоративные мессенджеры, где работодатель может видеть, находится ли сотрудник в сети. Тем не менее сотрудники все же находят способы имитировать работу при помощи компьютерных программ, рассказывает Александр Герасимов, сооснователь разработчика решений в сфере информационной безопасности Awillix. Некоторые работники, с его слов, создают в популярных планировщиках задачи, которые с определенной периодичностью запускают нужные программы, отправляют коллегам письма и так далее. Сотрудники с навыками в разработке могут также написать собственный скрипт, который будет открывать окна в браузере, заходить на корпоративные ресурсы, вводить в форму логин и пароль, перечисляет Герасимов.
На рынке существуют также готовые программы и специальные гаджеты для имитации движения мыши и нажатия клавиш на клавиатуре, говорят Александр Герасимов и ведущий инженер системного интегратора CorpSoft24 Михаил Сергеев. По словам последнего, в России популярностью пользуются программы-имитаторы вроде Move Mouse и Mouse Jiggler. При этом любой программист среднего уровня может разработать похожую программу самостоятельно — на это уйдет не более 30 минут, утверждает Сергеев.
Для обхода GPS-трекинга сотрудники используют программы, которые вместо реального местоположения передают координаты рабочего места, рассказывает Сергеев. А контроль за присутствием сотрудника по видео
Для просмотра ссылки необходимо нажать
Вход или Регистрация
даже за рулем в машине: для этого используют хромакей — технологию, при которой позади человека на самом деле находится однотонное полотно, но собеседник или зритель видит фон, заранее записанный в другом месте, например дома.Герасимов отмечает, что современные средства контроля способны отслеживать, какие конкретно сайты посещает пользователь, какие программы он открывает, с какой скоростью нажимает клавиши, то есть простым движением мыши или передачей нереального GPS их не обмануть. «Если компания действительно озабочена тем, насколько эффективно работает сотрудник, то очень просто обнаружит имитацию, — считает он. — Например, если пользователь раньше печатал в Word с одной скоростью, а сейчас скорость явно меньше, при этом одновременно идет движение мыши, то программа-шпион заметит аномалию и доложит о ней работодателю».
Чтобы обойти слежку, сотрудник должен понимать в деталях, как работает софт для анализа активности, какие метрики он собирает, как их анализирует, делается ли скриншот экрана, перечисляет Герасимов. Он считает, что обмануть систему крайне сложно, если она отслеживает время входа в корпоративную сеть, продолжительность активной работы, запущенные процессы, скорость движения мыши и печати, содержимое напечатанного текста. Разработать систему обхода такого продвинутого софта могут 5–10% российских специалистов, оценивает Герасимов.
Волшебный скрипт
Компании редко афишируют кейсы обхода сотрудниками программ контроля с помощью готового или самописного софта, говорит старший бизнес-аналитик системы защиты от внутренних угроз Solar Dozor компании «Ростелеком-Солар» Елена Черникова. Это связано в том числе с тем, что такие программы могут создавать неконтролируемые уязвимости в IT-периметре, считает она: «Это по сути недосмотр самой компании — недоглядели за сотрудником, не ограничили в правах, вот он и скачал дырявый софт». Под видом такого «волшебного скрипта» на просторах интернета сотрудники могут скачать на рабочее устройство множество вредоносных программ, говорит Черникова: «Если при этом сотрудник имеет права администратора, то вредоносная программа может легко распространиться на всю корпоративную сеть».Герасимов тоже обращает внимание на то, что в готовых программах, которые имитируют активность, нередко находятся вирусы, позволяющие злоумышленникам либо получить удаленный доступ к системе, либо зашифровать данные и потребовать выкуп. «Самое страшное, когда пользователь открывает подобные программы на рабочем или любом другом компьютере, где находится информация, содержащая коммерческую тайну или другие чувствительные вещи. Если пользователь попадется на вирус, он поставит под угрозу не только свои данные, но и всю организацию», — предупреждает эксперт. Злоумышленник, с его слов, может получить удаленный доступ во внутреннюю сеть компании, распространить по ней программы-шифровальщики, получить доступ к критичным системам, например к финансовым сервисам на базе 1С, а в некоторых случаях — полностью скомпрометировать инфраструктуру или приостановить работу.
Исследования
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, что сама по себе удаленка не ударила по продуктивности труда, и большинство сотрудников из дома работают эффективнее, чем в офисе. С переходом на удаленку резко увеличился и объем переработок, утверждает руководитель сервиса мониторинга продуктивности персонала Solar addVisor компании «Ростелеком-Солар» Алексей Соловьев. Он считает, что основная проблема бизнеса при работе в удаленном режиме связана не с эффективностью самих сотрудников, а с наличием барьеров эффективности в компании — например, плохо организованными бизнес-процессами и сбоями в них. «Работодателю нужен инструмент, который позволит увидеть эти барьеры и вовремя их устранить, — уверен Соловьев. — А инструменты контроля работы сотрудника гораздо полезнее отдать в руки самого сотрудника, чтобы он мог самостоятельно оценить свои возможности и увидеть барьеры, мешающие ему стать более успешным. В этом случае ему не нужно будет обманывать работодателя».По мнению Сергея Кулешова из «Битрикс24», у контроля за сотрудниками больше минусов и рисков, чем плюсов. «Софт, главная цель которого повышение эффективности труда, гарантированно приводит к демотивации и постоянному стрессу сотрудников. Это негативно влияет на продуктивность», — утверждает эксперт. Он называет главной ошибкой компаний неправильную цель контроля. «Работодатели должны понять, что обозначение четких KPI и мотивация оказывают куда большее влияние на продуктивность, чем внедрение программ для слежки», — заключает Кулешов.
Мониторинг активности не только влечет подрыв доверия сотрудников, но и может грозить судебными рисками. «Если интимный кадр сотрудника, случайно сделанный веб-камерой, установленной работодателем на домашний компьютер, попал на сервер компании, сотрудник может подать в суд на работодателя», — приводит пример Кулешов. Он добавляет, что использование таких программ также может привести к утечкам важных корпоративных данных. Так, в облачное хранилище программы-шпиона могут попасть скриншоты таблиц с финансовой отчетностью компании, сделанные во время записи экрана сотрудника, поясняет Кулешов.