Tidligere i år samlede den administrerende direktør for et kristent forlag sine tropper til et møde, hvor han gik amok over rygter, der blev spredt om virksomheden af interne kilder – og derefter straffede han de uidentificerede syndere ved at fyre 25 medarbejdere. Under mødet – som fik pressedækning takket være en af de ansatte, der hemmeligt optog det – afslørede Ryan Tate, at han havde overvåget sine ansattes computeraktiviteter for at forsøge at finde ud af, hvem der var ansvarlig.
“Jeg har set den anden vej … Jeg har stolet på dig. Du godeste. Vil du se Netflix? Lad dem se Netflix. Lad dem smide det op på en projektor, hvis de vil. Vil de være på Facebook hele dagen lang? Så lad dem være på Facebook hele dagen. Selvfølgelig betaler jeg dig for at gøre det. Det er helt i orden,” sagde han.
Ryan Tate, præsident og CEO for Tate Publishing (ikke at forveksle med Ryan Tate fra Gawker/Wired… fame)
Han var okay med, at medarbejderne fjoller rundt, men ikke med, at de taler dårligt om virksomheden. “Jeg kom til at læse nogle af jeres Facebook-sider. Min favorit er, når I poster noget og derefter tager det ned og ikke tror, at vi arkiverer det hele.”
Jeg kontaktede virksomheden på det tidspunkt for at høre, hvordan de gjorde deres overvågning, men jeg hørte aldrig tilbage. Tate kan have haft en firmapolitik om overvågning af medarbejdernes aktivitet på sociale netværk, eller det kan have opfanget deres Facebook-sessioner på deres arbejdscomputere (eller måske var det bare bluff). Uanset hvad er Tate langt fra den eneste arbejdsgiver, der snager i medarbejdernes digitale aktivitet. FDA kæmper i øjeblikket mod en retssag fra videnskabsfolk, der hævder, at de blev fyret for at have whistleblowet, hvilket det føderale agentur opdagede, at de gjorde takket være et spywareprogram fra SpectorSoft, der opfangede deres e-mails og computeraktivitet. Takket være en fejl fra en entreprenør, der vedligeholdt filerne, blev de 80.000 (!) sider i spionage-dossieret midlertidigt lækket på nettet, hvilket gjorde det klart, hvor omfattende overvågningen var.
Det er ikke usædvanligt, at arbejdsgivere overvåger medarbejdernes computere og endda deres smartphones, men mange medarbejdere tænker ikke over dette i løbet af deres arbejdsdag, idet de bruger pauserne på at kigge på potentielt følsomme personlige e-mails, har sexede chats, scroller gennem (forhåbentlig ikke alt for skandaløse) Facebook-fotoalbum eller måske endda tjekker jobopslag andre steder. Før du gør noget alt for uhørt på din arbejdscomputer, bør du måske overveje, om den er overvåget. Jeg har talt med computerforenstekniske ekspert Michael Robinson og sikkerhedsforsker Ashkan Soltani om nogle oplysninger, der kan afsløre, at du muligvis bliver overvåget.
Først og fremmest bør du tjekke din medarbejderhåndbog eller din aftale om computerbrug. Hvis din arbejdsgiver siger der, at din computeraktivitet kan blive overvåget – hvilket er ret standard – så har de ret til at kigge med. Men så er der spørgsmålet om, hvorvidt de rent faktisk benytter sig af denne ret.
“Om du vil kunne se det afhænger af, hvor overvågningen finder sted,” siger Robinson. “Hvis det er opstrøms, ved firewall’en, er det svært for brugeren at vide det. Det vil blot fortælle arbejdsgiverne, hvilke websteder medarbejderne går ind på, så de f.eks. kan tjekke, hvor mange medarbejdere der gik ind på Monster.com i den pågældende måned. Men hvis de rent faktisk vil se mere detaljeret aktivitet, skal de sætte overvågningssoftware på selve computeren.”
Sikkerhedsforsker Ashkan Soltani siger, at et værktøj som netalyzr.icsi.icsi.berkeley.edu kan fortælle dig, om du bliver overvåget ved Firewall’en. “Det vil vise, at der er noget “i vejen” for din sikre kommunikation,” siger han. “Det er ikke 100 % pålideligt, men ofte er der ‘tells’.”
Hvis du er på et virksomhedsnetværk, er al ikke-https-kommunikation synlig for den, der kontrollerer netværket. Nogle medarbejdere tror fejlagtigt, at hvis de er på Gmail eller Facebook — som tilbyder https-sikkerhed — at deres kommunikation vil være krypteret, og at ingen kan læse den. Det kan være rigtigt, hvis overvågningen foregår opstrøms, men der er metoder til, at en virksomhed kan se gennem krypteringen, da de kontrollerer netværket og ofte den enhed, du får adgang til dine personlige oplysninger gennem. Se f.eks. denne BlueCoat-guide til at få kontrol over krypterede sessioner. Og hvis softwaren er på selve computeren, giver https-ssl bestemt ingen beskyttelse.
Monitoreringssoftware på en computer opfanger tastetryk og skærmbilleder. Det betyder, at det kan rekonstruere din Gmail- eller Facebook-session (hvilket kan være den måde, hvorpå Tate Publishing havde optegnelser over, hvad dets medarbejdere havde lagt op på Facebook, og senere tog det ned). Den slags programmer vil ikke blive vist som programmer, men de vil blive vist som kørende processer.
- Hvis du er på en pc, kan du se en kørende proces ved at trykke “Alt-Ctrl-Del” og åbne din “Task Manager”. Skift til fanen “Processer”.
- På en Mac skal du gå til din “Launchpad”, hente “Gadgets and Gizmos” og derefter gå til “Utilities” og klikke på “Activity Monitor.”
Processen har sandsynligvis et uskadeligt navn, men vil være temmelig travl, da den har en masse aktivitet at fange. Hvordan kan du så vide, om en af disse processer er spyware? En mulighed er at sammenligne dine processer med dem, der kører på en kollegas computer. Hvis den ene af jer bliver overvåget, og den anden ikke bliver overvåget, vil I sandsynligvis bemærke nogle forskellige processer, der kører. Hvis I begge bliver overvåget, er det dog ikke særlig nyttigt (“og du bør nok finde et nyt job”, siger Robinson). Heldigvis er der en anden mulighed for at køre en kontrol.
Mærkeligt nok bliver mange af disse “spyware”-programmer markeret af anti-virus- og malware-programmer som ondsindede. Fancy that. Derfor har nogle af de firmaer, der tilbyder denne software, lavet “hvide lister”, så de it-afdelinger, der driver dem, kan sikre sig, at Symantec, McAfee og andre anerkender deres processer som værende ikke-bonde. Og i mange tilfælde er disse hvide lister offentlige, så du kan se præcis, hvad filnavnene er. Hvis FDA’s konsulenter havde tjekket deres processer, ville de sandsynligvis have set nogle af disse eksekverbare filer køre på deres computere via SpectorSofts whitelist.
SpectorSoft tilbyder en hvidliste over sine spionageprocesser, så it-afdelinger kan konfigurere… AntiVirus-software til at ignorere dem
Takket være dette, hvis du googler en mærkelig proces, du ser, og det er spyware, vil det sandsynligvis føre dig tilbage til spyware-leverandørens websted.
Der er desværre nogle spywareprogrammer, der er klogere end andre. “De mere sofistikerede opfører sig mere som rootkits, idet de skjuler sig selv,” siger Soltani.
“Jeg arbejdede engang for en virksomhed, hvor HR, når du sagde op, bad IT-afdelingen om at overvåge dig for at sikre, at der ikke blev stjålet intellektuel ejendom”, siger Robinson. “Den dag, jeg sagde op, dukkede der en Windows-opdatering op. De troede, at de var snedige. Jeg skrev på skærmen: “Jeg kan se, at du ser mig, mens du ser mig, mens du ser mig.”
“Hvis din chef rent faktisk åbner din e-mail og læser den, kan du måske indlejre sporingsbeacons i mails og derefter overvåge, når de bliver åbnet,” siger Soltani. Du kan bruge et program som emailprivacytester.com eller ReadNotify – det program, som en skør fan brugte til at tjekke, om Jay-Z læste de mails, han sendte til ham.
Bosser, der laver fuldstændige optagelser af alt, hvad deres medarbejdere laver, er nok en sjældenhed, siger Robinson. “De ville bruge mere tid på at overvåge end på at lede,” siger han.
Det er mere sandsynligt, at det sker, hvis en chef faktisk er bekymret for en bestemt medarbejder, eller hvis de er bekymrede for, at følsomme oplysninger forlader virksomheden. I tilfældet med FDA var det føderale agentur bekymret for, at konsulenterne lækkede oplysninger, der var kritiske over for agenturet, til medlemmer af kongressen (og de havde ret).
I betragtning af de mange måder, hvorpå din arbejdsgiver kan udspionere dig – og det faktum, at de ikke alle kan opdages – er det nok klogest bare at gemme alt for følsomt til din personlige enhed eller hjemmecomputer.
I sine afsluttende bemærkninger til sine medarbejdere på det afslørende all-hands-møde sagde forlægger Ryan Tate: “Vær smart, især i denne digitale tidsalder. Jeg forstår godt, hvis du sidder derhjemme og klager til en af dine kære, men hvem går på nettet for at gøre det eller sender en e-mail?”
Um. Alle, vil jeg sige. Men du skal være klog på, hvilken computer du gør det fra. Og hvis du vælger den sikrere løsning med din hjemmecomputer, skal du selvfølgelig krydse fingre for, at en af dine kære ikke snager på dig der.