Как работает Bossware и что это значит для вашей конфиденциальности

Распространение удаленной работы и цифровых инструментов привело к появлению незваного гостя в офисе и дома: программное обеспечение для наблюдения за рабочим местом или программное обеспечение для мониторинга рабочих местМногие подозревают, что их компания отслеживает каждый их клик, но им не совсем ясно, в каком масштабе осуществляется этот мониторинг и какие риски он представляет для их конфиденциальности и здоровья.

Этот тип программного обеспечения продается как способ повышения производительности и защиты корпоративных данных, но на практике он может стать источником проблем. настоящая шпионская система, которая регистрирует деятельность сотрудников. Поминутно. От того, какие приложения вы используете, что вы печатаете или какие веб-сайты посещаете, включая даже скриншоты и аудио- или видеозаписи в некоторых крайних случаях.

Что именно представляет собой Bossware и какие его типы существуют?

Когда мы говорим о «босс-программах», мы имеем в виду именно их. Специальные программы, позволяющие работодателю внимательно отслеживать деятельность своих работников. На компьютерах, корпоративных мобильных телефонах или других рабочих устройствах. Многие компании используют их под дружелюбными названиями, такими как «трекеры времени» или «инструменты управления производительностью», но их реальная функция — слежка.

Это программное обеспечение обычно устанавливается на оборудование, предоставленное компанией, или на личном устройстве, используемом для удаленной работыПосле активации программа автоматически записывает данные об использовании компьютера: какие программы открыты, как долго они остаются активными, историю просмотров, электронную почту, внутренние сообщения и многое другое.

На базовом уровне возможности Bossware можно ограничить следующим: Отслеживайте время работы в сети, время простоя и продолжительность выполнения конкретных задач.Однако самые передовые решения включают в себя функции, типичные для шпионского или следящего ПО: кейлоггеры, записывающие каждое нажатие клавиши, периодические или по запросу снимки экрана, запись окружающего звука или даже доступ к веб-камере в некоторых продуктах.

Кроме того, всё большее число инструментов, использующих вредоносное ПО, интегрируют системы и алгоритмы искусственного интеллекта которые рассчитывают «показатели производительности или риска»Эти алгоритмы сопоставляют все собранные данные (клавиатура, мышь, веб-сайты и т. д.). Программы(электронная почта и т. д.) и генерировать отчеты, которые классифицируют сотрудников как более или менее продуктивных, или даже как потенциальные угрозы безопасности для организации.

Как работает Bossware и как его установить.

Работа этих программ основана, по сути, на установка программного агента на операционную систему сотрудникаЭтот агент работает в фоновом режиме, обладает широкими привилегиями и отвечает за сбор и отправку информации на центральный сервер, контролируемый компанией или поставщиком услуг.

Bossware обычно устанавливается на компьютер в тот момент, когда Компания предоставляет работнику предварительно настроенное устройство.Сотрудник включает корпоративный ноутбук, и всё выглядит нормально, но на самом деле программа мониторинга уже установлена ​​и готова записывать активность с первого же входа в систему.

Другой распространенный подход заключается в том, чтобы попросить работника Установите приложение, «необходимое для выполнения вашей работы».Это может быть представлено в виде инструмента учета рабочего времени, программного обеспечения для удаленного доступа или клиентского приложения. VPN или просто корпоративное приложение. После установки оно начинает собирать данные об использовании устройства: как долго оно активно, какие документы открыты, какие веб-сайты посещены или какие программы запущены.

В тех случаях, когда компания действует прозрачно, сотрудник знает, по крайней мере в общих чертах, что он будет... Они отслеживают часть своей деятельности, поскольку это указано в контракте или во внутренних правилах.Однако существуют и более сомнительные сценарии, когда вредоносное ПО «проникает» незаметно: компьютер уже установлен на заводе, и никто об этом не сообщает, или обновление или установка другой программы используется в качестве средства для внедрения шпионского модуля без реального согласия.

С технической точки зрения, Bossware использует различные системные механизмы для отслеживать практически все, что происходит на устройствеОна может считывать активные процессы, перехватывать сетевые вызовы, регистрировать события клавиатуры и мыши, а также периодически делать снимки экрана для последующего восстановления рабочего дня в виде визуальной хронологии.

Какую информацию она может собирать: от элементарной информации о деятельности до глубокого шпионажа.

Первый уровень контроля сосредоточен на так называемом «мониторинг активностиВ этом случае программа обычно записывает, какие приложения используются, как долго каждое из них остается в активном режиме, какие веб-сайты посещаются и как часто. На основе этой информации система генерирует графики и таблицы, которые показывают руководителям, куда инвестируются ресурсы. El Tiempo.

Практически все современные решения также делают это. отслеживание нажатий клавиш и щелчков мышиМногие из них включают поминутные показатели активности ввода, которые используются в качестве индикатора производительности. Меньшее использование клавиатуры и мыши часто ошибочно интерпретируется как снижение производительности.

Большинство программ для управления бизнесом позволяют вам принимать решения. периодические скриншоты или даже просмотр экрана в режиме реального времениВ некоторых программах запись времени производится каждые несколько минут и группируется в хронологическую шкалу, чтобы менеджер мог «отмотать» день сотрудника назад и увидеть, чем он занимался в каждый временной промежуток.

Еще одна крайне навязчивая функция — это использование встроенные кейлоггеры, которые буквально записывают каждое нажатие клавиши.Сюда входят неотправленные электронные письма, сообщения в чате, личные заметки, пароли, номера кредитных карт или медицинская информация, если они введены с одного и того же устройства. Эти системы, если их конфигурация не очень строго настроена, не делают различий между личным и профессиональным использованием.

В самых инвазивных случаях некоторые решения добавляют аудиозапись, использование веб-камер или даже полный удаленный доступ к рабочему столуСо своей консоли администратор может просматривать изображение на экране в режиме реального времени, а также управлять мышью и клавиатурой, чтобы блокировать действия, считающиеся рискованными, предотвращать возможную утечку данных или собирать доказательства в случаях подозрения на неправомерные действия.

Видимое босс-программное обеспечение против невидимого босс-программного обеспечения

Не все программы слежки на рабочем месте одинаково воспринимаются сотрудником. Некоторые из них разработаны для того, чтобы быть четко видимые значки, уведомления или панели управления. Другие же специально прячут, чтобы их не заметили, и обращают на них внимание рабочих, а другие намеренно скрывают.

В видимой модели пользователь обычно знает о существовании системы мониторинга, видит значок программы и даже, в некоторых случаях, приостановить или возобновить отслеживаниеНапример, некоторые инструменты позволяют «остановить отсчет времени», если работник собирается выполнить личное задание и не хочет, чтобы оно засчитывалось как рабочее время, хотя это обычно означает, что эти периоды не учитываются как продуктивные часы.

В таких относительно прозрачных системах сотруднику часто предоставляется доступ к часть или все ваши собственные данные об активностиНа этих платформах отображаются панели, показывающие часы активной работы, время концентрации, перерывы или выполненные задачи, создавая впечатление, что они функционируют как своего рода «браслет активности», но для работы за компьютером.

Однако в невидимом режиме программное обеспечение босса Он намеренно прячется, стараясь не появляться даже в темноте. админдор де тареас ни в списке установленных программи отключает все видимые уведомления. Некоторые разработчики программного обеспечения даже рекомендуют отключать антивирусное программное обеспечение перед установкой программы, чтобы предотвратить ее обнаружение в качестве потенциальной угрозы.

С технической точки зрения и с точки зрения конфиденциальности, этот скрытый вариант практически неотличим от вредоносных программ или традиционное программное обеспечение для слежки, используемое для шпионажа за людьми.В действительности, были случаи, когда члены семьи или партнеры устанавливали подобные программы на личные устройства жертвы, используя ту же технологию, которая рекламируется как средство «управления производительностью» на работе.

Правовая база: Законно ли компании использовать Bossware?

Законность использования вредоносного ПО в значительной степени зависит от страны и условий. баланс между законными интересами компании и правом работника на неприкосновенность частной жизни.В Соединенных Штатах, например, нормативная база более мягкая, чем в Европе, хотя там также начинают вводить требования к прозрачности.

В Соединенных Штатах Закон о защите конфиденциальности электронных коммуникаций (ECPA) позволяет работодателю отслеживание электронной почты, просмотра веб-страниц и других электронных коммуникацийпри условии наличия законной деловой цели и если мониторинг осуществляется на корпоративных устройствах. Многие используемые там инструменты для отслеживания местоположения легко включают в себя перехват нажатий клавиш, создание скриншотов, мониторинг социальных сетей и анализ истории веб-поиска.

Однако, хотя федеральное законодательство не всегда требует уведомления работника, В некоторых штатах требуется предварительное уведомление или согласие.Кроме того, компании по-прежнему несут ответственность за безопасность данных, которые они собирают о своих сотрудниках, и должны защищать их от утечек или несанкционированного доступа.

В Европе на ситуацию сильно влияет... Общие правила защиты данных (RGPD)Хотя это и не стандарт, специально разработанный для рабочего места, он строго регулирует сбор, использование и передачу персональных данных, включая данные, полученные в контексте мониторинга сотрудников.

GDPR требует, чтобы обработка данных осуществлялась следующим образом: соразмерный, ограниченный необходимым, прозрачный и основанный на четком правовом основании.Это означает, что масштабный, непрерывный мониторинг сотрудников без их предварительного согласия напрямую противоречит нормативным актам. Кроме того, каждое государство-член вносит свои нюансы: в таких странах, как Франция и Испания, органы по защите данных неоднократно предупреждали о рисках и ограничениях использования программного обеспечения для мониторинга сотрудников.

Европейские страны: фактическое использование и противоречия

В таких странах, как Франция, используются инструменты слежки за сотрудниками. Глубоко спорный, но, тем не менее, довольно широко распространенныйНедавние исследования показали, что значительная часть крупных компаний уже внедрила ту или иную систему мониторинга деятельности, несмотря на постоянные предупреждения со стороны органа по защите данных (CNIL).

CNIL указывает, что любой механизм контроля, такой как использование распознавания лиц, Это не может противоречить уважению основных прав и свобод сотрудников.В частности, в нем настаивается на том, чтобы персонал был заранее четко проинформирован о том, что именно отслеживается, с какой целью и как долго будут храниться полученные данные.

В Испании, согласно ряду отчетов, это место входит в число самых... Европейские страны с самым высоким уровнем внедрения программ эпидемиологического надзора на рабочем месте. Значительная часть компаний уже внедрила инструменты мониторинга, в то время как в других странах, таких как Германия или Великобритания, эти показатели несколько ниже, отчасти из-за различий в корпоративной культуре и правовом регулировании.

Тем не менее, на всей территории Европы укрепляется ряд общих принципов: прозрачность, соразмерность, минимизация данных и надежные меры безопасности.Использование вредоносного ПО, которое без разбора записывает пароли, личные сообщения или полную историю просмотра веб-страниц без веских оснований, трудно согласовать с законностью.

Влияние Bossware на психическое здоровье, производительность труда и рабочую среду.

Помимо юридических дебатов, внедрение вредоносного ПО оказывает весьма заметное влияние на психическое здоровье и эмоциональное благополучие работниковПостоянное наблюдение, осознание того, что каждый щелчок мышью или пауза записываются, повышает уровень стресса и способствует состоянию постоянной бдительности.

Многие сотрудники считают, что они должны Постоянно демонстрировать видимую активность, даже если она фактически непродуктивна.Это выражается в таких ритуалах, как перемещение мыши, чтобы избежать статуса «нет на месте», непрерывная отправка сообщений «доброе утро» или участие в не относящихся к делу разговорах просто для того, чтобы казаться онлайн. Это называется «театр продуктивности».

В среднесрочной перспективе эта атмосфера недоверия способствует Выгорание, потеря приверженности компании и увеличение текучести кадров.Люди с большим талантом и широкими возможностями трудоустройства, как правило, покидают организации, которые они считают чрезмерно контролирующими, что влечет за собой очень высокие косвенные издержки для компании.

Парадоксально, но программное обеспечение, созданное боссами, может закончиться снижение фактической производительности, которую она стремится повыситьСосредоточившись на поверхностных показателях (время за экраном, движения мыши, количество нажатий клавиш), это заставляет команды отдавать приоритет видимости активности, а не глубокой, творческой и качественной работе, которая обычно требует периодов концентрации без постоянного взаимодействия.

Ещё одна проблема заключается в том, что алгоритмы оценки производительности часто работают с Усредненные модели, которые негативно сказываются на различных стилях работыЛюди, добивающиеся отличных результатов, но организующие свою работу нетрадиционным способом, могут получать низкие оценки и быть несправедливо названы непродуктивными или «рискованными».

Риски для конфиденциальности, утечки данных и кибербезопасность

Bossware не только подрывает доверительные отношения между компанией и сотрудником, но и Это приводит к генерации огромного объема конфиденциальных данных, которые необходимо защищать.Речь идёт об истории просмотров, содержимом электронных писем, открытых документах, скриншотах, возможных личных переписках или даже учетных данных для входа в личные сервисы.

Если эти данные хранятся без надлежащих мер безопасности, они становятся очень привлекательная цель для киберпреступникиУспешная атака может привести к раскрытию конфиденциальной информации сотрудников, а также коммерческих секретов, проектов в разработке или стратегически важных документов компании.

В этом смысле организации, использующие Bossware, обязаны Внедрите строгий контроль доступа, шифрование, аудит и политику ограниченного хранения данных.Сбор большего количества информации, чем необходимо, и в течение более длительного времени, чем требуется, многократно увеличивает как юридические, так и технические риски.

С другой стороны, когда программное обеспечение босса слишком сближается с вредоносных программ (он скрывается, обходит антивирус, устанавливается без уведомления), открывая дверь для Другие люди или группы за пределами компании повторно используют это же программное обеспечение для слежки. Членам семьи, партнерам или третьим лицам. Это явление уже наблюдалось в случае с решениями для «домашнего» мониторинга, которые в конечном итоге функционируют как шпионское ПО на личных устройствах.

Как определить, установлено ли на вашем компьютере вредоносное ПО (bossware).

Если вы используете оборудование компании, первое, что следует предположить, это то, что Организация имеет право на определенный уровень контроля над устройством и его использованием.Всегда в рамках закона. Тем не менее, существуют способы проверить, насколько активно отслеживается ваша активность и не было ли установлено что-либо без вашего явного ведома.

Хорошей отправной точкой будет спокойный анализ ситуации. трудовой договор и внутренние правила компанииЕсли использование программного обеспечения для мониторинга является законным, компания обязана уведомить вас об этом в подписываемых вами документах, подробно описав как минимум его наличие и общие причины использования. Удаление программы, которую вы согласились использовать самостоятельно, может создать вам проблемы с трудоустройством.

Вы также можете взглянуть на список программ, установленных в системеЕсли вредоносная программа не скрыта, она будет отображаться как любое другое приложение, обычно под торговой маркой разработчика. В этом случае вы можете технически удалить её, как любое другое программное обеспечение, хотя в корпоративной среде рекомендуется сначала связаться с компанией-разработчиком.

Другой вариант — проверить диспетчер задач или монитор активности Чтобы выявить подозрительные процессы, постоянно потребляющие ресурсы, ищите необычные имена, содержащие бессмысленные цифры или буквы, или службы, которые вам незнакомы. Многие вредоносные программы пытаются замаскироваться, но другие оставляют относительно легко отслеживаемые следы.

Если вы считаете, что кто-то установил шпионское ПО на ваш персональный компьютер без вашего согласия, вы можете использовать специализированные антишпионские инструменты для сканирования системы. Эти программы способны обнаруживать определенные типы вредоносных программ типа «босс-программа» и «сталкер-программа», помечая их как потенциально опасные приложения. Еще один дополнительный метод — мониторинг исходящего интернет-трафика на предмет необычных подключений к неизвестным серверам.

Как действовать и как избавиться от вредоносного ПО в зависимости от конкретного случая.

Процедура кардинально меняется, если установлено программное обеспечение босса. установлен компанией на законных основаниях и принят работником. Или, наоборот, если это было сделано тайно, без законных оснований или предварительного уведомления. В первом случае, как правило, целесообразнее вести внутренний диалог, а не устранять проблему в одностороннем порядке.

Если в договоре или внутренних правилах четко указано использование программного обеспечения для мониторинга, наиболее разумным решением будет следующее: Обратитесь в отдел кадров, к своему непосредственному руководителю или к юридическим представителям работников. Выразить свои сомнения и обсудить возможные ограничения. Самостоятельное удаление программы может быть расценено как нарушение внутренних правил.

Если вы подозреваете, что на ваш личный или рабочий компьютер без предварительного уведомления или законных оснований было установлено вредоносное ПО, ситуация иная. После того, как программа будет идентифицирована, в принципе, Вы можете удалить его, как любое другое приложение, или, в крайнем случае, формат оборудование чтобы скрыть любые следы, при условии, что вы не удалите обязательные инструменты, явно связанные с вашей должностью.

В таких системах как WindowsМногие видимые вредоносные программы удаляются путем перехода по ссылке. панель удаления программы или раздел «Приложения».Если программное обеспечение ведёт себя как вирус и скрывается, могут потребоваться более сложные действия: выполнение в безопасный режимиспользование профессиональных антивирусных программ или чистая переустановка операционной системы.

В европейском деловом контексте, если учесть, что мониторинг, которому подвергается ваша команда, является чрезмерным или нарушает вашу конфиденциальностьРекомендуется связаться с представителями сотрудников или соответствующим органом по защите данных. Мониторинг на рабочем месте является распространенной причиной жалоб в такие организации, как французская CNIL или испанская AEPD.

Аргументы в пользу bossware и основные критические замечания.

Сторонники использования «босс-программ» часто утверждают, что при правильной реализации... Это может повысить производительность, улучшить безопасность и сделать распределение рабочей нагрузки более справедливым.Теоретически, это позволяет выявлять перегруженных работой сотрудников, оптимизировать повторяющиеся задачи и обнаруживать рискованное поведение до того, как оно приведет к инцидентам безопасности или утечкам данных.

Некоторые компании используют это для измерять уровень стресса или выявлять признаки выгоранияАнализ закономерностей чрезмерной активности или работы в течение длительного времени без перерывов. Другие видят в этом способ обеспечить соблюдение удаленными командами своего графика, особенно в секторах, регулируемых строгими правилами или работающих с особо конфиденциальными данными.

Однако потенциальные недостатки существенны. Во-первых, это вредоносное ПО. Оно не фиксирует «невидимое» рабочее время: обдумывание, планирование, проектирование, решение сложных проблем.Она фокусируется почти исключительно на том, что можно измерить цифровыми методами, предоставляя очень ограниченное представление о реальной производительности. Кроме того, повышенный стресс и недоверие часто подрывают мотивацию и моральный дух.

Кроме того, многие критики указывают на то, что деньги и усилия, вложенные в системы видеонаблюдения, могли бы быть использованы более эффективно для других целей. более здоровые и эффективные альтернативы: обучение, улучшение условий труда, более гуманная оценка результатов работы, более тщательные процессы отбора или геймификация и прозрачность в отношениях между коллегами.

В отличие от иерархического и вертикального контроля, некоторые организации выбирают... Среда для совместной работы, где результаты и прогресс команды видны всем.Такая прозрачность способствует здоровой конкуренции и разделению ответственности без необходимости в цифровом «Большом брате», контролирующем все сверху.

В свете всего вышесказанного, Bossware стал инструментом, столь же противоречивым, сколь и широко распространенным: он сочетает в себе Огромная власть контроля сопряжена с очень серьезными правовыми, этическими и человеческими рисками.Компании, решившие внедрить такую ​​систему, должны делать это с максимальной прозрачностью, максимально ограничивая уровень вмешательства, строго защищая собираемые данные и, прежде всего, создавая культуру доверия и общения, которая не зависит от отслеживания каждого клика своих сотрудников.