Перевод значительного числа работников на удаленку создал ряд проблем, связанных с информационной безопасностью и трудовой дисциплиной. Изучение работы сотрудников помогает оценить использование рабочего времени и ь корректность работы с корпоративной конфиденциальной информацией. Но осуществляться он должен правомерно.

Допустимость надзора

Трудовой кодекс требует при переводе сотрудника на удаленную работу заключать дополнительное соглашение к трудовому договору. Если не предусмотрено иное, работник сам определяет, в каком ритме и режиме он предпочитает работать дистанционно. Жесткий режим, например, для операторов кол-центров, должен быть оговорен в трудовом договоре и обусловлен выполняемой трудовой функцией. 

Действующее законодательство допускает использование для изучения режима рабочего времени специального софта, но при соблюдении двух условий:

• компьютер или смартфон должен принадлежать работодателю, или компания должна выплачивать компенсацию за его использование сотруднику;
• персонал требуется официально уведомить об использовании программы, компания обязана принять внутренние документы, регламентирующие такое использование, и ознакомить с ними сотрудников под роспись.

Нарушение требований не позволит использовать данные, полученные в результате мониторинга сотрудников, в качестве основания для привлечения их к ответственности. Если программа устанавливается на компьютер компании, работника требуется только уведомить, например, путем заключения дополнительного соглашения к трудовому договору. Если ПК или мобильное устройство находятся в собственности работника, требуется ясно сформулированное письменное согласие. В трудовом договоре или внутреннем положении должно быть указано, какое программное обеспечение используется, что именно отслеживается, в какое время или с какой периодичностью осуществляется надзор.

Разработчики позиционируют свои программные решения в качестве инструментов для «автоматического отслеживания расхода времени» или «анализа рабочего места». Большинство программ имеет только десктопную версию, некоторые разработаны для наблюдения за экранами мобильных устройств. По отношению к мобильным устройствам соблюдается тот же принцип: они должны быть корпоративными или использоваться на условиях компенсации. При организации удаленной работы выплаты компенсации прямо требует Трудовой кодекс РФ, и пренебрежение требованием приведет к административному преследованию работодателя. 

Не стоит строить системы премирования и депремирования на основе данных, полученных путем мониторинга. Это может быть расценено как нарушение закона, если не прописаны все тонкости, в том числе с учетом действующих норм охраны труда.

Если сотрудник на удаленке работает за рубежом, необходимо изучить действующие в его стране ограничения. Правила использования софта разные для Великобритании, где использование следящих программ ограничено повышенной защитой личного пространства подданных Ее Величества, и для Евросоюза, где действует более гибкий режим (работодатель может наблюдать за сотрудником, если компьютер принадлежит компании).

Принцип действия программ

Информация с экранов компьютеров может записываться, передаваться менеджеру в виде потокового видео или в виде скринов экрана, которые делаются с заданной периодичностью. Некоторые приложения позволяют передавать на экран контролера фотографии рабочих столов 10-20 сотрудников одновременно. Параллельно программа контролирует нажатие клавиш на клавиатуре или движение мыши, передавая сигнал в случае длительного перерыва. Время перерыва зависит от выбранной программы, это может быть 3, 5, 10 минут. Также утилиты отслеживают запуск и использование приложений, посещение сайтов по списку, заданному разработчиком или работодателем. Они отслеживают время посещения сайтов и работы с приложениями. 

Все рабочее время делится на категории:

• эффективное;
• неэффективное;
• нейтральное.

Для отдельной рабочей задачи устанавливается таймер, определяющий, сколько времени расходуется на ее решение. Таймер может устанавливать перерывы. Некоторые приложения имеют дополнительный функционал, обеспечивающий надзор за соблюдением требований информационной безопасности. Часть программ передает оператору большой объем метаданных о пользовательской активности, сообщая посещенный URL, активный заголовок окна, системные события.

Обычно программы работают по принципу «клиент – сервер». Работодатель регистрируется на облачном ресурсе, получает доступ к приложению и оттуда устанавливает его на компьютеры персонала. Пока с правовой точки зрения не исследован вопрос: при этой конструкции и нахождении облачного сервера за рубежом персональные данные россиян могут храниться на иностранных серверах, что категорически запрещено законом «О персональных данных». Ряд популярных тайм-трекеров, используемых российскими компаниями, созданы эстонскими или шведскими разработчиками, и в этом случае данные о российских сотрудниках автоматически оказываются на их серверах. 

Большинство распространенных в России программ отечественного производства, но есть и зарубежные решения. Практически все приложения платные, оплата производится за одну учетную запись на определенный период времени или бессрочно. Есть бесплатные версии с усеченным функционалом. На рынке представлено несколько типов программ для наблюдения сотрудников, с разным функционалом и разной степенью вовлеченности работника в управление предоставляемыми программами данными, некоторые приложения позволяют вручную корректировать отчеты.

Программы для отслеживания активности

Основная задача – составлять список используемых приложений и сайтов. Также они формируют перечень адресатов электронных писем, их заголовков, собирают другие данные, например, содержание постов в социальных сетях. Среди функций – раскладка последних нажатий на клавиатуре, позволяющая выявить использование программ, имитирующих ввод текста. Такие опции помогают перехватывать и пароли, номера банковских карт, иные конфиденциальные данные, что снижает уровень информационной безопасности. Продвинутые версии дают возможность системному администратору на удаленном доступе управлять компьютером сотрудника. В программе для смартфона может быть предусмотрено GPS-устройство, отслеживающее передвижение сотрудника. StaffCop Enterprise и CleverControl позволяют работодателю тайно включать камеры и микрофоны и получать с них информацию.

Собранную информацию можно визуализировать в виде графика или диаграммы по одному сотруднику или их группе, что помогает руководителю сделать анализ деловой активности персонала в общем или по проекту. Использование таких программ с возможностью беспрепятственно получать любые персональные данные работника, находящиеся на его устройстве, иногда вступает в противоречие с законодательством о защите персональных данных.
Такие программы делятся на две группы: видимые сотруднику и тайные, работающие без его ведома. Их использование может быть расценено законом как нарушение неприкосновенности личной жизни. 

Видимые

Видимые программы дают возможность создавать перерывы, отходить от компьютера. TimeDoctor позволяет сотруднику самостоятельно просматривать сделанные программой скрины и удалять часть из них, но при использовании этой возможности то время, в которое сделаны удаленные скрины, программой не будет расценено как рабочее. Некоторые программы дают возможность работнику просматривать часть данных, связанных с его рабочей активностью. В WorkSmart специалист может просмотреть диаграммы и решить, как сделать использование времени более эффективным. 

Уровень прозрачности сведений, полученных при анализе активности сотрудников, может настраиваться. Некоторые решения, например, Teramind, только оповещают о своем включении и работе. Сотрудник не будет в курсе, какие именно данные о нем собираются. Не поможет даже изучение инструкции к приложению, многие из них могут индивидуально настраиваться под потребности работодателя.

Невидимые

Ряд программных решений стараются сделать свое присутствие на компьютере пользователя максимально незаметным. К таковым относятся продукты от Teramind, TimeDoctor, StaffCop. Так, при регистрации на сайте TimeDoctor компания может выбрать видимую и невидимую версию.

Фактически эти программы относятся к классу шпионского ПО, и часто современные антивирусы блокируют их работу. Тогда нужно настроить антивирус таким образом, чтобы он допускал возможность включения, следящего за рабочим столом ПО. Такие шпионские программы используются часто не только в рабочих целях, они могут применяться и при надзоре за детьми дома, и для слежки с незаконными целями, например, для сбора информации для шантажа. В большинстве случаев разработчик предупреждает, что использование следящего ПО допустимо только на компьютерах, принадлежащих компании. Скрытая их установка на компьютер сотрудника возможна, если он подключен к корпоративной сети и системный администратор имеет к нему доступ.

Обзор возможностей популярных программ

Работодатель, определив, какой именно функционал ему нужен и какая ценовая категория его устраивает, может выбирать из нескольких программ:

• ActivTrak отследит запуск приложений и посещение информационных ресурсов, сделает и передаст скрины с экрана компьютера;
• CleverControl передаст скрины и видео, сделает запись нажатий на клавиши, незаметно включит микрофон и камеру;
• StaffCop помимо перечисленных функций, имеет дополнительный функционал обеспечения информационной безопасности;
• Kickidler имеет все стандартные функции плюс возможность вывода на экран контролера мониторов нескольких сотрудников;
• Teramind UAM (User activity monitoring), помимо анализа активности, проследит, какие данные выходят за пределы информационного периметра организации;
• TimeDoctor ограничится снимками с экрана и передачей данных о посещении сайтов.

Обычно работодатели не хотят переплачивать, ограничиваясь мониторингом активности на рабочих столах сотрудников. Некоторые, вместо приобретения нового продукта, настраивают нужным образом уже внедренную в компании DLP-систему.

В «СёрчИнформ КИБ» можно отследить действия пользователей в программах и на сайтах, чтобы рассчитать производительность сотрудника или отдела.

Рынок программных средств

Пандемия и связанный с ней перевод большого количества людей на удаленный доступ повысила продажи программ для слежения на 300-400% по итогам 2020 года, и пока спрос не сокращается. По данным «Крок», продажи UAM (User activity monitoring) на начало июня 2020 года выросли на 70%. Цены на ПО продолжают оставаться на прежнем уровне, стоимость мониторинга одной учетной записи в течение месяца колеблется в пределах 7-30 долларов. 
Некоторые производители предлагают воспользоваться бесплатными версиями в течение определенного времени, обычно не более 14 дней. Есть и полностью бесплатные версии, но с ограниченным функционалом, они делают только скрины и не перехватывают данные с клавиатуры. Бесплатные версии рассчитаны на ограниченное количество учетных записей. 

Kickidler – лидер в этом отношении, он бесплатно мониторит 6 компьютеров и предоставляет самый широкий набор функций. DeskTime отследит в бесплатном режиме 1 компьютер, сделает скрины и отчеты по использованию приложений.
Программы для контроля действий пользователей за ПК использует не только частный бизнес, но и общественные организации, образовательные учреждения, государственные структуры. По отраслевой принадлежности наиболее заинтересованы в приобретении такого софта предприятия оборонно-промышленного комплекса, ТЭК, пищевой и химической промышленности. Проведенный КПМГ опрос руководителей крупных российских компаний выявил повышение интереса к более сложным типам программ, содержащим функции, которые подтвердят, что за компьютером работает именно конкретный сотрудник. Такая потребность связана с необходимостью защиты конфиденциальной информации.

При приобретении программ растет количество подключений новых ПК. Если приложение ставили на 5-10 компьютеров, то сейчас работодатели предпочитают сплошной мониторинг компьютеров персонала. Практика судебных споров, связанных с использованием следящих программ, пока не сформировалась.

Работодатель, выбирая систему наблюдения за сотрудниками, должен решить все организационные проблемы и обеспечить необходимый документооборот, в противном случае возможны сложности и споры с привлечением трудовой инспекции. Работник должен быть не только ознакомлен с существованием программы контроля, но и быть уверен в ее необходимости, основанной на более точной оценке трудового вклада ответственных сотрудников и на защите конфиденциальной информации от утечек.
 

11.02.2021