Na začátku tohoto roku svolal generální ředitel křesťanské vydavatelské společnosti své vojáky na schůzku, kde se rozčílil nad pomluvami, které se o společnosti šířily z interních zdrojů – a poté potrestal neznámé viníky propuštěním 25 zaměstnanců. Během schůze – která se dostala do povědomí tisku díky tomu, že ji jeden ze zaměstnanců tajně nahrával – Ryan Tate prozradil, že sledoval počítačovou aktivitu svých zaměstnanců, aby se pokusil zjistit, kdo je za to zodpovědný.
„Díval jsem se jinam…. Důvěřoval jsem ti. Dobrý Bože. Chceš se dívat na Netflix? Ať se dívají na Netflix. Ať si to hodí na projektor, jestli chtějí. Chtějí být celý den na Facebooku? Buďte na Facebooku celý den. Jistě, platím vám za to. To je v pořádku,“ řekl.
Ryan Tate, prezident a generální ředitel společnosti Tate Publishing (nezaměňovat s Ryanem Tatem ze známého serveru Gawker/Wired…)
Nevadilo mu, že zaměstnanci blbnou, ale ne že firmu pomlouvají. „Musel jsem si přečíst některé vaše stránky na Facebooku. Nejraději mám, když něco zveřejníte a pak to stáhnete a nemyslíte si, že to všechno archivujeme.“
V té době jsem společnost oslovil, abych zjistil, jak to mají s monitoringem, ale už jsem se neozval. Je možné, že společnost Tate měla firemní politiku monitorování aktivit zaměstnanců na sociálních sítích, nebo zachycovala jejich relace na Facebooku na jejich pracovních počítačích (nebo to možná byl jen blaf). Ať tak či onak, společnost Tate není zdaleka jediným zaměstnavatelem, který sleduje digitální aktivity zaměstnanců. Úřad pro kontrolu potravin a léčiv (FDA) se v současné době brání žalobě vědců, kteří tvrdí, že byli propuštěni za udavačství, což si federální úřad uvědomil díky špionážnímu programu od společnosti SpectorSoft, který zachycoval jejich e-maily a počítačovou aktivitu. Díky nepořádku dodavatele, který soubory spravoval, se 80 000 (!) stránek špehovacího spisu dostalo dočasně na internet, takže je jasné, jak rozsáhlé sledování bylo.
Není neobvyklé, že zaměstnavatelé sledují počítače zaměstnanců a dokonce i jejich chytré telefony, ale mnoho zaměstnanců na to v průběhu pracovního dne nemyslí a tráví přestávky prohlížením potenciálně citlivých osobních e-mailů, sexy chaty, procházením (doufejme, že ne příliš skandálních) fotoalb na Facebooku nebo třeba i prohlížením nabídek práce jinde. Než na svém pracovním počítači uděláte něco příliš pobuřujícího, možná byste se měli zamyslet nad tím, zda je monitorován. S odborníkem na počítačovou forenzní analýzu Michaelem Robinsonem a bezpečnostním výzkumníkem Ashkanem Soltanim jsem hovořil o některých informacích, které by mohly odhalit, že jste potenciálně sledováni.
V první řadě byste měli zkontrolovat příručku pro zaměstnance nebo smlouvu o používání počítače. Pokud tam váš zaměstnavatel uvádí, že vaše činnost na počítači může být sledována – což je celkem standardní – pak má právo nahlížet. Pak je ale otázka, zda tohoto práva skutečně využívá.
„To, zda budete schopni zjistit, závisí na tom, kde se monitorování provádí,“ říká Robinson. „Pokud je to upstream, na firewallu, těžko to uživatel pozná. Zaměstnavatelům to pouze prozradí, na které webové stránky zaměstnanci chodí, takže by mohli například zkontrolovat, kolik zaměstnanců v daném měsíci navštívilo Monster.com. Ale pokud chtějí skutečně vidět podrobnější aktivity, musí umístit monitorovací software do samotného počítače.“
Bezpečnostní výzkumník Ashkan Soltani říká, že nástroj jako netalyzr.icsi.berkeley.edu vám může říct, zda jste monitorováni na bráně Firewall. „Prokáže, že vaší zabezpečené komunikaci něco ‚stojí v cestě‘,“ říká. „Není to stoprocentně spolehlivé, ale často to něco ‚napoví‘.“
Jestliže jste v podnikové síti, veškerá komunikace jiná než https je viditelná pro toho, kdo síť řídí. Někteří zaměstnanci se mylně domnívají, že pokud jsou na Gmailu nebo Facebooku – které nabízejí zabezpečení https – bude jejich komunikace šifrovaná a nikdo ji nebude moci číst. To může být pravda, pokud sledování probíhá v horní části sítě, ačkoli existují metody, jak může společnost šifrování prohlédnout, protože kontroluje síť a často i zařízení, přes které přistupujete ke svým osobním informacím. Podívejte se například na tento návod společnosti BlueCoat, jak získat kontrolu nad šifrovanými relacemi. A pokud je software v samotném počítači, https-ssl rozhodně žádnou ochranu nenabízí.
Monitorovací software v počítači zachycuje stisky kláves a snímky obrazovky. To znamená, že může rekonstruovat vaši relaci na Gmailu nebo Facebooku (možná tak měla společnost Tate Publishing záznamy o tom, co její zaměstnanci umístili na Facebook, a později je stáhla). Tyto druhy programů se nezobrazí jako aplikace, ale zobrazí se jako běžící procesy.
- Pokud používáte počítač, můžete běžící proces zobrazit stisknutím kláves „Alt-Ctrl-Del“ a vytažením „Správce úloh“. Přepněte na kartu „Procesy“.
- Na počítači Mac přejděte na „Launchpad“, vyvolejte „Gadgets and Gizmos“, pak přejděte na „Utilities“ a klikněte na „Activity Monitor“.
Proces má pravděpodobně neškodný název, ale bude dost vytížený, protože má zachytit spoustu aktivit. Jak tedy poznáte, že některý z těchto procesů je spyware? Jednou z možností je porovnat své procesy s procesy běžícími v počítači kolegy. Pokud je jeden z vás monitorován a druhý ne, pravděpodobně si všimnete některých odlišných spuštěných procesů. Pokud jste však monitorováni oba, příliš vám to nepomůže („a pravděpodobně byste si měli najít novou práci,“ říká Robinson). Naštěstí existuje ještě jedna možnost, jak spustit kontrolu.
Naštěstí je mnoho těchto „spywarových“ programů označeno antivirovými a malwarovými programy jako škodlivé. To je fantastické. V důsledku toho některé společnosti, které tento software nabízejí, vytvořily „bílé seznamy“, aby IT oddělení, která je provozují, mohla zajistit, že Symantec, McAfee a další rozpoznají jejich procesy jako ne-špatné. A v mnoha případech jsou tyto bílé seznamy veřejné, takže můžete přesně vidět názvy souborů. Kdyby konzultanti FDA zkontrolovali své procesy, pravděpodobně by viděli, že některé z těchto spustitelných souborů běží na jejich počítačích prostřednictvím bílé listiny společnosti SpectorSoft.
SpectorSoft nabízí bílou listinu svých špehovacích procesů, takže oddělení IT mohou konfigurovat… AntiVirus software, aby je ignoroval
Díky tomu, pokud zadáte do Googlu podivný proces, který vidíte, a jedná se o spyware, pravděpodobně vás to zavede zpět na webovou stránku výrobce spywaru.
Naneštěstí jsou některé spywarové programy chytřejší než jiné. „Ty sofistikovanější se chovají spíše jako rootkity v tom smyslu, že se skrývají před zraky,“ říká Soltani.
„Pracoval jsem ve firmě, kde vám po podání výpovědi personální oddělení řeklo, aby vás monitorovali a ujistili se, že nedošlo k odcizení duševního vlastnictví,“ říká Robinson. „V den, kdy jsem dal výpověď, se objevila aktualizace systému Windows. Mysleli si, že jsou záludní. Napsal jsem na obrazovku: „Vidím, jak mě sledujete, jak mě sledujete.“
„Pokud váš šéf skutečně otevírá vaše e-maily a čte je, můžete do poštovních zpráv vložit sledovací majáky a pak sledovat, kdy jsou otevřeny,“ říká Soltani. Můžete použít program, jako je emailprivacytester.com nebo ReadNotify – program, který použil jeden bláznivý fanoušek, aby zjistil, zda Jay-Z čte e-maily, které mu poslal.
Šéfové, kteří v plném rozsahu zachycují vše, co dělají jejich zaměstnanci, jsou pravděpodobně raritou, říká Robinson. „Trávili by více času monitorováním než řízením,“ říká.
Je to pravděpodobnější, pokud se šéf skutečně obává o konkrétního zaměstnance nebo pokud se obává, že z firmy odejdou citlivé informace. V případě FDA se federální agentura obávala, že konzultanti vynášejí informace kritické k agentuře členům Kongresu (a měli pravdu).
Vzhledem k mnoha způsobům, jak vás může zaměstnavatel špehovat – a k tomu, že ne všechny jsou zjistitelné – je pravděpodobně nejrozumnější si vše, co je příliš citlivé, nechat jen pro své osobní zařízení nebo domácí počítač.
Vydavatel Ryan Tate ve svém závěrečném projevu k zaměstnancům na onom odhalujícím setkání všech zaměstnanců řekl: „Buďte chytří, zejména v tomto digitálním věku. Chápu, když jste doma a stěžujete si milované osobě, ale kdo kvůli tomu chodí na internet nebo posílá e-mail?“
Řekl bych, že každý. Ale chytře si rozmysli, ze kterého počítače to děláš. A samozřejmě, pokud zvolíte bezpečnější variantu domácího počítače, držte si palce, aby vás tam nešmíroval někdo blízký.