Kdo vse te nadzira?

Realnost: Prvaki nadzora po Svetu

Vodilna v nadziranju ljudi je vsekakor ameriška vlada. Njihovo nadziranje potencialnih teroristov je že splošno znano, prejšnji mesec pa je v javnost prišel tudi škandal, da ima njihova varnostna agencija NSA direkten dostop do podatkov na strežnikih internetnih gigantov. Te informacije je razkril Power Point dokument, ki ga je objavil in potrdil časopis The Guardian. Ta predstavitev je razkrila, da ima NSA dostop do elektronske pošte, tekstovnih pogovorov, glasovnih klicev, dokumentov in še več. Ta dostop so jim omogočila vodilna ameriška internetna podjetja, kot so Google, Microsoft, Yahoo, Facebook, Skype, Youtube in Apple. Vodilni predstavniki v teh podjetjih so izjavili, da so presenečeni nad tem odkritjem in da se je zbiranje teh podatkov dogajalo brez njihove vednosti.

Po tem škandalu so bile 29. junija odkrite še nove strani, ki so razkrile, da imata NSA in FBI realno časovni dostop do elektronske pošte in instantnih pogovorov. Časopis The Post je objavil, da »lahko, odvisno od ponudnika, NSA prejme obvestilo, ko se tarča prijavi, pošlje e-pošto, tekstovno ali glasovno sporočilo.« Objavljen je bil tudi obseg njihovega beleženja, ki zajema kar 117.675 aktivnih tarč za nadzor. Ni znano, koliko podatkov imajo o vsaki izmed teh tarč, toda že samo število kaže na ogromen podvig in poseg v zasebnost.

Nove strani razkrivajo proces pridobivanja podatkov od začetnega vnosa analitika agencije do obdelave s pomočjo analitičnih orodij, ki obdelujejo internetne podatke, sezname klicev ter glasovne in video podatke. FBI nato primerja shranjene komunikacije s svojo bazo, s čimer preveri, da tarče niso ameriški državljani. To preverjanje se ne izvede za nadzor v živo, zaradi česar kritiki trdijo, da trpi tudi zasebnost nedolžnih Američanov. Državljani vseh ostalih držav pa spadamo med legitimne tarče.

Če mislite, da Slovenci gotovo ne predstavljamo potencialnih tarč, pomislite še enkrat. Evropska unija je od ZDA zahtevala razlago tega, kaj počne s podatki Evropejcev. Nemški Der Spiegel je po tem objavil, da so zbrali metapodatke o kar pol milijarde podatkovnih povezav. Nemčijo obravnavajo kot tretjerazredno tujo partnerico, zaradi česar jo nadzirajo toliko kot Kitajsko, Irak in Suadovo Arabijo. Svobodo pred tem vohunjenjem uživajo le prestižne partnerske države, kamor sodijo Avstralija, Kanada, Nova Zelandija in Velika Britanija.

Zakaj nadzirati doma in v podjetju?

Ena izmed najbolj pogostih oblik računalniškega nadzora je nadzor na delovnem mestu. Večina delodajalcev želi nadzirati, koliko zaposleni dejansko delajo, kaj delajo in koliko službenega časa porabijo za izven službene aktivnosti. S tem namenom nadzirajo dejavnosti na službenih računalnikih, kar lahko povežejo še z video nadzorom preko video kamer. Dosti podjetij hrani pomembne podatke na službenih računalnikih, omrežjih in podatkovnih bazah. Ti podatki predstavljajo potencialni varnostni riziko, kar je še dodaten razlog za zaščito in nadzor komunikacij.

Obstajajo razlogi za in proti nadzoru zaposlenih. Najpomembnejša prednost je varnost podatkov, ki so nujni za uspeh podjetja. Nadziranje računalnikov je možno s številnimi programskimi opremami, ki nadzirajo računalniška omrežja. Z njimi se lahko tudi nadzirajo dejavnosti in produktivnost zaposlenih. Programske opreme zagotavljajo varnost, blokirajo določene spletne strani, obveščajo administratorje o potencialnih nevarnostih ter nadzirajo uporabo računalnikov in interneta.

Nadziranje službenih računalnikov lahko zavaruje podatke na njih in tudi zagotovi, da zaposleni uporabljajo računalnike za delovne namene. Določena programska oprema je zelo uporabna in se lahko še dodatno prilagodi za potrebe podjetja. To nudi vredno orodje za zagotavljanje varnosti in integritete poslovnih podatkov. Kljub temu da je nadziranje računalnikov na delovnem mestu postalo že skoraj nujno, zaposleni pogosto ne razumejo razlogov za to in se počutijo izkoriščene.

Ko razmišljate o uporabi programske opreme za nadziranje računalnikov na delovnem mestu, se pozanimajte o vseh možnostih, ki jih imate na voljo. Kljub temu da so določene rešitve dražje, je pridobljena varnost lahko vredna nakupa. Če se odločite za implementacijo, o tem obvestite vse zaposlene. Pokažite jim delovanje programa in njegove zmogljivosti ter jim odprto in jasno razložite, kako bo uporabljen in kako bo dodal nivo varnosti. Pojasnite jim tudi, kakšne so njihove pravice glede zasebnosti.

Kaj pravi zakonodaja glede nadzora?

Slovenska zakonodaja glede nadzora zaposlenih je občutljiva. Predstavlja odprto dilemo, kakšno stopnjo zasebnosti lahko zaposleni pričakuje in kdaj pride do posega v njegovo zasebnost. Na eni strani je interes delodajalca, ki ima pravico do oblasti in nadzora nad svojimi sredstvi, kamor spadajo službeni računalniki, telefoni in druga tehnologija. Nasproti tega pa je interes zaposlenega, ki lahko legitimno pričakuje določeno stopnjo zasebnosti in delno stopnjo samostojnosti in zaupanja na delovnem mestu. To zagotavlja sodba Evropskega sodišča za človekove pravice Halford v Združenem kraljestvu.

Evropska zakonodaja glede nadzora na delovnem mestu je bistveno bolj naklonjena varovanju zasebnosti kot ameriška. Delodajalec je dolžan obvestiti zaposlene o možnosti nadzora na delovnem mestu. Prav tako mora večinoma za tak nadzor pridobiti soglasje zaposlenih. Odločitev francoskega sodišča iz leta 2001 navaja, da »delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah. /…/ To velja ne glede na to, ali je bil delavec vnaprej seznanjen, da službenega računalnika ne sme uporabljati v neslužbene namene. /…/ Podjetja ali druge ustanove ne smejo biti mesta, kjer bi delodajalci arbitrarno in brez omejitev izvajali svoje diskrecijske pravice; ne smejo postati okolja totalnega nadzora, kjer temeljne človekove pravice nimajo veljave.«

Kljub temu je dopustna določena stopnja delodajalčevega nadzora znotraj ustavnih in zakonskih predpisov. Ta poseg mora biti opredeljen v internih pravilih podjetja. Določeni morajo biti tudi pogoji, ko je izvajanje nadzora dopustno, in opredeljena oseba, ki je pooblaščena za izvajanje tega procesa. Če pri posegu v zasebnost pride do obdelave osebnih podatkov, je tak poseg dopusten zgolj na podlagi zakona oziroma na podlagi osebne privolitve posameznika, sicer gre za kršitev 10. člena ZVOP-1. Za bolj natančen pregled vsebine računalnikov, ki presega okvirje implementacije varnostne politike, kamor spada samodejno pregledovanje datotek s protivirusnimi programi, je načeloma potrebna vsaj seznanitev, pogosto pa tudi privolitev posameznikov, še posebej, če obstaja verjetnost, da bi se oseba, ki izvaja tak pregled, pri tem utegnila seznaniti z osebnimi podatki, ki so shranjeni na računalnikih zaposlenih.

Delodajalci imajo tako pri nas precej omejeno možnost nadzora računalnikov svojih zaposlenih. Če so na računalniku shranjeni osebni podatki in do njih dostopa oseba, ki za takšno obdelavo ni pooblaščena, ali za obdelavo sploh ni podane zakonske podlage ali privolitve posameznika, gre najverjetneje za kršitev. V tem primeru se lahko zaposleni obrne na Informacijskega pooblaščenca z zahtevo po uvedbi inšpekcijskega postopka zaradi domnevnih kršitev ZVOP-1.

Vrste nadzora na delovnem mestu

Delodajalcem so na voljo številna orodja za nadziranje zaposlenih. Sem spada nadziranje lokacije, video nadzor, nadziranje klicev in beleženje dejavnosti na računalniku.

Nadzor klicev

Tako kot telefonska podjetja beležijo vse klice, lahko tudi podjetje beleži zgodovino vseh klicev. Sem spadajo klicane in prejete telefonske številke, trajanje klicev ter trajanje med klici. Vse to se zapisuje v zapisnik, ki se lahko pošlje v avtomatsko analizo. To se uporablja predvsem na delovnih mestih v trženju, kjer je telefon pogosto v uporabi. V takšnih podjetjih se zaposleni pogosto pritožujejo, da jih ti avtomatski podatki neprimerno ocenjujejo, saj ne upoštevajo kvalitete pogovora.

Možno je tudi prisluškovanje in snemanje klicev. To se v večini primerov izvaja za zagotavljanje nivoja kvalitete. Lahko se uporablja tudi za nadzor in oceno novega delavca. Oba sogovornika je o tem treba obvestiti. To se v večini primerov izvede s posnetim sporočilom, ki se odvije pred klicem. V primeru zaposlenega je dovolj, da se ga o tem obvesti ob procesu zaposlitve. Če se s to obliko nadzora ne strinja, ima možnost zavrnitve službe. Obstoječe zaposlene pa je treba o tem seznaniti.

IP kamere in pripadajoča IT infrastruktura

Video nadzor je pogosta metoda za odvračanje od kraje, ohranjanje varnosti in nadziranja uslužbencev. Banke uporabljajo video kamere za odvračanje ropov in pridobivanje dokazov o morebitnih ropih. Podjetja pogosto uporabljajo video nadzor v garažah za zagotavljanje varnosti uslužbencev. Kamere pa se uporabljajo tudi za nadziranje produktivnosti zaposlenih in preprečevanje notranje kraje. Video prenosi so usmerjeni v centralno lokacijo, kjer se shranijo ali pa jih pregleda živa oseba. Kamere se lahko namestijo tako, da hkrati snemajo zaposlenega in njegov ekran.

Delodajalci lahko zaposlene nadzirajo na mestih, kjer ne obstajajo razumna pričakovanja o zasebnosti. Kamere morajo biti postavljene na vidnih mestih, oziroma če to ni možno, mora delodajalec zaposlenim pokazati, kjer se kamere nahajajo. Po določbah 74. člena ZVOP-1 mora oseba javnega ali zasebnega sektorja, ki izvaja video nadzor, o tem objaviti obvestilo. Obvestilo mora biti vidno in razločno objavljeno na način, ki omogoča posamezniku, da se seznani z njegovim izvajanjem najkasneje, ko se nad njim začne izvajati video nadzor. Oseba javnega ali zasebnega sektorja, ki izvaja video nadzor, mora skladno z določbami 24. in 25. člena ZVOP-1 v svojih aktih predpisati organizacijske, tehnične in logično tehnične ukrepe za zavarovanje osebnih podatkov ter zagotoviti zavarovanje osebnih podatkov na način iz 24. člena ZVOP-1. Pravna ali fizična oseba, ki izvaja video nadzor, mora skladno z določbami 25. člena ZVOP-1 v notranjih aktih določiti tudi osebo, ki je odgovorna za evidenco videonadzornega sistema ter osebe, ki lahko zaradi narave njihovega dela obdelujejo podatke v evidenci videonadzornega sistema.

Vstopna kontrola zaposlenih

V starih časih so bile kartice in štampiljke, danes pa obstajajo RFID čipi. To je ista tehnologija, ki se v trgovinah uporablja za preprečevanje kraje britvic in oblek. Podjetja jo uporabljajo za beleženje prihodov in odhodov zaposlenih. Zaradi tega sistema lahko plačajo manj zaposlenim, ki zamujajo ali odhajajo prehitro. Direktorji želijo imeti aktualne informacije o lokaciji svojih delavcev.

Poleg beleženja prihodov in odhodov se ta tehnologija uporablja tudi za omejevanje dostopa do določenih predelov podjetja, ki potrebujejo večjo varnost in omejen dostop. To drži predvsem za večja podjetja in ustanove, v katera ima javnost prost vstop. Prav tako se lahko uporabi za omejevanje upravljanja delovnih postaj in strojev. V skladiščih se tako lahko RFID čipi poleg odklepanja vrat uporabijo tudi za vžig viličarjev. Dodaten bonus takšne uporabe je, da se lahko beleži kdo, kdaj in kako dolgo uporablja določeno napravo. Določena podjetja te informacije prikažejo delavcem in spodbujajo tekmovalnost. Na ta način stimulirajo delovno učinkovitost.

Vohljači paketov

Računalniški administratorji že leta uporabljajo vohljače paketov ali »packet sniffers« za pregled omrežij izvajanja diagnostik in odpravljanja težav. Vohljač paketov je program, ki vidi vse podatke, ki potujejo po omrežju. Vsak paket podatkov, ki pride ali odide po omrežju, program pogleda ali »ovoha«. Glede na nastavljene filtre nato shrani informacije, ki jih lahko analizira za določene informacije in vzorce. Na ta način lahko beleži spletne aktivnosti, kot so katere spletne strani obiskujete, kaj gledate ali prenesete z njih, komu pošiljate elektronsko pošto, kaj ta vsebuje in katere pretočne vsebine uporabljate. Delodajalec lahko iz teh informacij ugotovi, koliko časa delavec brska po spletu in če gleda neprimerne vsebine.

Nadziranje računalnika

Nadziranje računalnika se od vohljačev paketov razlikuje, tako da ne vohuni samo omrežne prenose, temveč vsa dejanja na računalniku. Vsakič, ko se vanj vnese informacija v obliki pritiska tipke na tipkovnici ali odpiranja programa, se pošlje signal. Te signale lahko prestreže program za nadziranje računalnika. Oseba, ki pregleduje te podatke, lahko vidi ekran nadzirane osebe, torej kaj na njem klika in tipka.

Takšni programi se lahko namestijo lokalno, tako da se administrator usede za računalnik in nanj namesti programsko opremo. Lahko pa se nehote namestijo tudi oddaljeno. Uporabnik lahko odpre priponko elektronske pošte, ki vsebuje trojanskega konja. To je neželen program, ki se pretvarja, da je nekaj legitimnega. Ta lahko nato namesti program za vohunjenje računalnika.

Programi za nadziranje računalnikov beležijo vsak pritisk tipke. Ko tipkate, tipkovnica pošlje signale odprtemu programu. Program, ki prestreže te signale, jih lahko pošlje nadzorniku v živo ali shrani in pošlje v tekstovni datoteki. Nadzornik je v večini primerov sistemski administrator v podjetju, lahko pa je tudi heker, ki je na računalnik namestil takšen program, kar poznamo pod imenom »keylogger«. Ti se uporabljajo za krajo gesel, številk kreditnih kartic in drugih občutljivih podatkov.

Delodajalci lahko uporabijo takšne programe za branje elektronske pošte in pregled odprtih programov na zaslonu zaposlenih. Programi za zajem zaslonskih slik lahko naredijo slike ekrana, ki jih prestrežejo na poti do grafičnih kartic. Te slike se nato po omrežju pošljejo sistemskemu administratorju. Nekateri programi vsebujejo tudi sistem opozoril, ki administratorja obvesti ob obisku vprašljive spletne strani ali ob pošiljanju neprimernih besedil. Delodajalcem za vohunjenje zaposlenih ni treba namestiti takšnih naprednih programov. Vsak računalnik že ima vgrajene sisteme, ki na enostaven način prikažejo pretekle dejavnosti.

Beleženje zgodovine

Vsak računalnik je poln beležnic, ki nudijo dokaze preteklih aktivnosti. Z uporabo teh datotek lahko sistemski administrator ugotovi, katere spletne strani ste obiskali, komu pošiljate in od koga prejemate elektronsko pošto ter katere programe uporabljate. Če prenašate MP3 datoteke, zelo verjetno obstaja beležnica s podatki o tej dejavnosti.

Te podatke se lahko v večini primerov najde tudi po tem, ko uporabnik zbriše sledi dejavnosti. Izbris sporne datoteke ali elektronske pošte ne izbriše sledi o njenem obstoju. Takšne beležnice med drugim obstajajo za operacijski sistem, brskalnike, elektronsko pošto in programe. Če je trdi disk računalnika povezan z omrežjem, lahko administrator oddaljeno prebira te beležke. Če nima mrežnega dostopa, lahko še vedno osebno pregleda beležke pred ali po odhodu zaposlenega.

HRM sistemi

HRM sistemi so programi za upravljanje in nadzor nad zaposlenimi. Upravljanje s človeškimi viri je funkcija, ki se ukvarja z zaposlovanjem, upravljanjem in usmerjanjem zaposlenih znotraj podjetja. Upravlja s kompenzacijami, najemanjem, vodenjem učinkovitosti, varnostjo, dobrim počutjem, ugodnostmi, motivacijo, komunikacijo, administracijo in treniranjem. Je strateški in celosten pristop za upravljanje ljudi, delovne kulture in okolja. Učinkovit HRM omogoča, da zaposleni učinkovito in produktivno prispevajo k smernicam podjetja in zadovoljevanju ciljev in vizij.

Programi za upravljanje s človeškimi viri hranijo obstoječe podatke o zaposlenih, kar vključuje osebno zgodovino, sposobnosti, zmožnosti, dosežke in plačo. Zaradi želje po zmanjšanju količine ročnega dela teh administrativnih nalog, so začela podjetja avtomatizirati številne procese z uvedbo sistemov specializiranih za človeške vire. HRM sistemi vključujejo plačila, čas in prisotnost, delovno uspešnost, administracijo ugodnosti, upravljanje zaposlenih, zaposlovanje, izobraževanje, samonadzor, razpored in upravljanje odsotnosti.

Ostala nadzorna IT oprema (Video domofoni, pametni alarmni sistemi itd.)

Pametni alarmni sistemi združujejo varnostne rešitve in sisteme za avtomatizacijo doma. Ti sistemi vključujejo dosti več kot le klasične alarme. Združujejo celo vrsto nadzornih naprav, ki beležijo vse vidike doma ali podjetja in vključujejo požarne senzorje, senzorje gibanja in varnostne kamere. Ko eden izmed teh senzorjev zazna nevarnost, o tem obvesti varnostno podjetje, ki pošlje varnostne službe, če ugotovi, da ste res v nevarnosti.

Vsi takšni sistemi imajo za cilj varovanje pred nevarnostmi. Toda tipi storitev in varnostnih naprav, ki jih podpirajo, se razlikujejo. Pametni varnostni sistemi vključujejo raznolike storitve, ki omogočajo neprestan in raznolik nadzor. Sem spada 24-urni nadzor, avtomatske storitve in spletni dostop, ki omogoča upravljanje s sistemom preko spleta. Nekateri sistemi nudijo tudi oddaljeno upravljanje s pametnega telefona ali tabličnega računalnika. Nudijo lahko tudi dvosmerno komunikacijo z varnostno službo preko nameščene nadzorne plošče.

Boljši varnostni sistemi vključujejo več kot le alarm za neodobren dostop. Povežete lahko številne varnostne naprave, kar vključuje detektorje gibanja, ki bodo zaznali vsiljivce, senzorje dima, ki bodo ščitili pred požari, ter senzorje za vrata in okna, ki bodo zaznali neželene vstope. Povežete lahko še toplotne senzorje, detektorje ogljikovega monoksida, varnostne kamere in senzorje, ki zaznajo razbita stekla. Te naprave so lahko tudi brezžične, ker poenostavi namestitev, saj ne potrebujejo polaganja žic in številnih priključkov.

Nekatere pametne varnostne sisteme lahko namestite sami, medtem ko drugi nudijo monterje, ki namestijo, povežejo in usposobijo sistem. Ne glede na to, katero možnost izberete, bo takšen sistem nudil kvalitetno obliko nadziranja, ki bo ščitila pred širokim spektrom potencialnih nevarnosti.

Nadzor vedno in povsod: Oblak!

VSaaS oziroma video nadzor kot storitev je video nadzor namenjen domovom, podjetjem in drugi infrastrukturi. Poznan je tudi kot nadzor iz oblaka. Video kamere se lahko povežejo z obstoječo internetno povezavo, preko katere v oblak prenesejo video v živo. Video se shrani v podatkovnem centru v oblaku, kamor lahko dostopajo pooblaščene osebe. Posnetki so tako varno shranjeni in dostopni kadarkoli in od koderkoli. Oblačni nadzor ima na voljo neomejene surovine, zato je takšen sistem razširljiv in primeren za uporabe različnih velikosti, brez geografskih omejitev. Prednost takšnih sistemov je v tem, da ne potrebujejo DVR opreme za snemanje ali posebne programske opreme za pregled in upravljanje s sistemom.

Oblačni nadzor je namenjen tistim, ki nimajo prostora ali ne želijo investirati v lokalno snemalno opremo, in podjetjem, ki imajo veliko število podružnic. Poleg tehnoloških prednosti odpravi tudi strah pred izgubo podatkov zaradi okvar ali kraje.