Коронавирус заставил миллионы человек работать из дома, и вот уже обширная группа компаний навязчиво рекламирует работодателям по всем США свои программы для отслеживания действий сотрудников.
Часто реклама этих сервисов звучит относительно безвредно. Некоторые производители продают свои программы под видом инструментов для автоматического отслеживания расхода времени или анализа рабочего места. Другие предлагают продукцию компаниям, беспокоящимся о возможных утечках данных или кражах интеллектуальной собственности. Мы будем называть все эти инструменты следилками [bossware]. Следилки, пусть они и предназначены в помощь работодателям, подвергают риску безопасность и конфиденциальность работников, записывая каждый щелчок мышкой и нажатие клавиши, тайно собирая информацию для будущих судебных исков, и используя другие шпионские возможности, далеко выходящие за пределы необходимого и разумного управления рабочей силой.
Это неправильно. Когда дом становится офисом, он не перестаёт быть домом. Работники не должны подвергаться несанкционированной слежке, или чувствовать себя под колпаком у себя дома только ради того, чтобы не потерять работу.
Что они умеют?
Обычно следилка живёт на компьютере или смартфоне, и пользуется привилегиями для доступа ко всему, что происходит на устройстве. Большая часть из них отслеживает практически все действия пользователя. Мы изучили рекламные материалы, демки и отзывы пользователей, чтобы разобраться в том, как работают эти инструменты. Типов следилок слишком много, чтобы все их здесь перечислять, но мы попробуем рассортировать системы слежения по общим категориям.
Наиболее обширная и распространённая категория таких программ занимается отслеживанием активности. Обычно они составляют список приложений и сайтов, посещаемых работниками. В него может входить список получателей их сообщений и электронных писем включая заголовки писем и другие метаданные и посты, которые они делают в соцсетях. Большинство следилок также записывают уровень ввода с клавиатуры и мыши к примеру, многие инструменты дают поминутную раскладку количества нажатий на клавиши, которую можно использовать в качестве мерила продуктивности. Программа отслеживания продуктивности попытается собрать все эти данные в простые графики или диаграммы, которые дадут управленцам общее представление о том, чем заняты работники.
У каждого из изученных нами продуктов есть возможность часто делать снимки экрана устройства работника, а некоторые даже обеспечивают видеозахват экрана и передачу этого видео в реальном времени. Начальство может просмотреть снимки, рассортированные по временной шкале, и изучить, что делал работник в любой момент в течение дня. Некоторые продукты работают как программы записи последовательности нажатия клавиш, и записывают каждое нажатие, включая неотправленные письма и личные пароли. Парочка программ даже предлагает администраторам возможность перехватывать управление рабочим столом пользователя. Такие продукты обычно не делают различий между рабочей активностью и данными личных учётных записей, банковскими данными или медицинской информацией.
Некоторые следилки идут ещё дальше, дотягиваясь до окружающего работника физического мира. Компании, предлагающие ПО для мобильных устройств, почти всегда включают в него отслеживание перемещений по GPS. По меньшей мере два сервиса StaffCop Enterprise и CleverControl позволяют работодателям тайно включать веб-камеры и микрофоны в устройствах их работников.
В целом существует два способа развёртывания следилок: это либо приложение, которое работник может видеть (и иногда контролировать), или это тайный фоновый процесс, не видимый работнику. Большинство изученных нами компаний давали возможность работодателям устанавливать их программы и так, и эдак.
Видимая слежка
Иногда работники могут видеть отслеживающую их действие программу. У них может быть возможность отключать слежку, и это часто оформляется как вход в офис и выход из офиса. Естественно, если работник выключает программу, это будет видно работодателю. К примеру, программа Time Doctor даёт работникам возможность удалять определённые снимки экрана, сделанные во время их работы. Однако удаление этого снимка удалит и связанное с ним рабочее время, поэтому работникам зачтётся только то время, которое отслеживалось программой.
Работникам могут дать доступ к определённой части информации, собранной об их работе. Компания Crossover, предлагающая продукт WorkSmart, сравнивает его с фитнес-трекером для работы за компьютером. Его интерфейс позволяет работникам смотреть на выводы системы, касающиеся их активности, представленные в виде графиков и диаграмм.
Различные компании, предлагающие программы-следилки, предлагают различные уровни прозрачности для работников. Некоторые дают работникам доступ к части информации, или даже ко всей информации, поступающей к менеджерам. Другие, к примеру, Teramind, дают понять, что включились и собирают данные, но не рассказывают о том, какие данные они собирают. В любом случае, пользователю часто бывает не совсем ясно, какие именно данные о нём собираются, если только он не будет запрашивать об этом своего работодателя или тщательно изучать саму программу.
Невидимая слежка
Большая часть компаний, создающих видимое для пользователя следящее ПО, также делают продукты, пытающиеся спрятаться от тех людей, чью деятельность они отслеживают. Teramind, Time Doctor, StaffCop и другие производят следилки, максимально усложняющие их обнаружение и удаление. С технической точки зрения эти программы ничем не отличаются от stalkerware шпионского ПО для слежки за людьми без их ведома. Некоторые компании даже требуют от сотрудников перед установкой своих программ определённым образом настроить свои антивирусы, так, чтобы они не обнаруживали и не блокировали это ПО.
Часть процедуры регистрации в сервисе TimeDoctor, где работодатель выбирает между видимой и невидимой слежкой.
Такое ПО рекламируется как средство для мониторинга сотрудников. Однако большая часть этих программ на самом деле это инструменты для слежки широкого спектра применения. StaffCop предлагает версию программы для слежки за тем, как дети используют интернет дома, а ActivTrak утверждает, что родители или представители школьной администрации могут использовать их ПО для отслеживания действий детей. Судя по отзывам, многие потребители используют это ПО не для офисных нужд.
Большая часть компаний, предлагающих невидимый режим слежения, рекомендуют использовать его только на устройствах, принадлежащих работодателю. Однако многие предлагают такие возможности, как удаленная и тихая установка, позволяющие загрузить ПО на машины работников, находящиеся вне офиса, без их ведома. Это срабатывает потому, что у многих работодателей есть административные привилегии на машинах, которыми они дают пользоваться своим работникам. Однако некоторые работники используют свой единственный ноутбук, поэтому компания следит за человеком всё время без перерыва. У такого ПО есть огромный потенциал неправомерного использования для работодателей, членов руководства школы и близких партнёров. А жертва слежки может так и не узнать, что за ней следят.
В таблице ниже приведены возможности по слежке и контролю для небольшой выборки производителей следилок. Список не полный, и может не давать корректной картины этой индустрии в целом. Мы изучали компании, на которые есть ссылки в руководствах данной индустрии, и результаты поисковых запросов с информативными общедоступными маркетинговыми материалами.
Распространённые возможности слежки в ПО для мониторинга
Отслеживание запуска приложений и посещения веб-сайтов |
Снимки экрана или запись видео |
Запись нажатий на клавиши |
Активация микрофона и/или веб-камеры |
Невидимый режим работы |
|
ActivTrak |
|
|
|
||
CleverControl |
|
|
|
подтверждено |
|
DeskTime |
|
|
|
||
Hubstaff |
|
|
|||
Interguard |
|
|
|
|
|
StaffCop |
|
|
|
подтверждено |
|
Teramind |
|
|
|
|
|
TimeDoctor |
|
|
|
||
Work Examiner |
|
|
|
|
|
WorkPuls |
|
|
|
Насколько распространены следилки?
Бизнес слежки за работниками не нов, и ещё до вспышки пандемии он был довольно большим. И хотя оценить распространённость следилок достаточно сложно, они без сомнения стали более популярными после того, как работники вынуждены были перейти на удалённую работу в связи с коронавирусом. Компания Awareness Technologies, владеющая InterGuard, заявляет, что за первые несколько недель вспышки расширила пользовательскую базу на 300%. Многие из изученных нами производителей используют коронавирус в рекламных заявлениях.
Следилки используют одни из крупнейших компаний. Среди клиентов Hubstaff числятся Instacart, Groupon и Ring. Time Doctor заявляет о наличии 83 000 пользователей; среди её клиентов Allstate, Ericsson, Verizon и Re/Max. ActivTrak используют более 6 500 организаций, включая Аризонский государственный университет, университет Эйморе и администрации городов Денвер и Малибу. Такие компании, как StaffCop и Teramind не раскрывают информацию о клиентах, но заявляют, что их области деятельности включают в себя здравоохранение, банковские услуги, моду, производство и кол-центры. По отзывам клиентов, использующих следилки, можно судить о том, каким образом они используют эти программы.
Мы не знаем, сколько из этих организаций решили использовать невидимое отслеживание, поскольку работодатели о таких вещах не распространяются. Кроме того, у работников не существует надёжного способа это узнать, поскольку многие программы для невидимой слежки специально делаются так, чтобы их нельзя было обнаружить. В контрактах некоторых работников прописано их согласие на определённое отслеживание или запрет на иные его виды. Но многие работники просто не в состоянии узнать, следят ли за ними. Если работник беспокоится по поводу того, не следят ли за ним, то будет лучше сразу предположить, что устройство, выданное ему работодателем, отслеживает его действия.
Для чего используются собранные данные?
Производители следилок предлагают своё ПО для различных применений. Некоторые из наиболее распространённых вариантов отслеживание времени, продуктивности, соответствие законам о защите данных, предотвращение кражи интеллектуальной собственности. Некоторые из этих случаев вполне правомерны: компании, работающие с чувствительными данными, часто по закону обязаны гарантировать, что данные не утекут и не будут украдены с их компьютеров. Для сотрудников, работающих за пределами офиса, это может означать наличие определённого уровня слежки. Однако работодатель не должен заниматься какой-либо слежкой из соображений безопасности, если только не продемонстрирует, что она необходима, пропорциональна и соответствует проблеме, которую он пытается решить.
К сожалению, многие варианты использования дают работодателям слишком большую власть над работниками. Вероятно, наибольший класс изученных нами продуктов разработан для отслеживания продуктивности или усовершенствованного отслеживания времени то есть, записи всего, что делают работники, с целью убедиться, что они работают достаточно усердно. Некоторые компании обставляют своё ПО так, будто это благо и для менеджеров, и для работников. Они утверждают, что сбор информации о каждой секунде рабочего дня сотрудника помогает не только боссам, но и самим работникам. Иные производители, например, Work Examiner и StaffCop, прямо рекламируют свои услуги менеджерам, не доверяющим своим работникам. Такие компании часто рекомендуют строить стратегии увольнения или премирования на основании метрик, выдаваемых их продуктами.
Рекламный материал с домашней страницы Work Examiner
Некоторые фирмы рекламируют свои продукты как инструменты для наказания, или для сбора улик для потенциальных судебных исков. InterGuard рассказывает, что её ПО можно устанавливать удалённо и скрыто, с тем, чтобы вести негласные расследования и собирать неопровержимые улики, не спугнув потенциального преступника. Дальше она говорит, что эти свидетельства можно использовать в исках, связанных с неправомерными увольнениями. Иначе говоря, InterGuard может снабдить работодателей астрономическими количествами скрытно собранной личной информации с тем, чтобы затем подавить попытки сотрудников доказать в суде несправедливое к ним отношение.
Ни один из этих примеров использования не оправдывает количество информации, обычно собираемой следилками. Ничто не может оправдать сокрытие самого факта слежки.
Большая часть продуктов периодически делает снимки экрана, и некоторые программы позволяют работникам решать, какими снимками они хотят поделиться. Это значит, что кроме снимков рабочих писем или страниц соцсетей там могут оказаться снимки чувствительной банковской, медицинской или другой личной информации. Программы, записывающие нажатия клавиш, ещё сильнее вмешиваются в личную жизнь, и часто в итоге записывают пароли к личным учётным записям работников.
С сайта Work Examiner: запись нажатий клавиш что они там печатают?
Запись нажатий записывает все нажатия клавиш, сделанные пользователем. Вы увидите, что он печатал в любой программе, будь то мессенджер, сайт, веб-почта, или MS Word. Можно перехватывать даже пароли, вводимые в программах и на веб-сайтах!
К сожалению, сбор чрезмерного количества информации часто происходит не случайно, а задуман изначально. Work Examiner прямо рекламирует возможность сохранять личные пароли работника. Teramind сообщает обо всей информации, которую ввели в почтовую программу даже если её потом удалят. Несколько продуктов извлекают текстовые данные из частных сообщений в соцсетях, поэтому работодателям достаётся даже самая интимная информация из личных переписок пользователей.
Будем честными эти программы специально разработаны так, чтобы помочь работодателям читать личные сообщения своих работников без их на то ведома или согласия. Это, как ни крути, нельзя назвать ни необходимым, ни этичным.
Что можно с этим сделать?
По имеющимся в США законам у работодателей слишком большая свобода действий в установке следящего ПО на свои собственные устройства. Также мало что мешает им заставить работников установить подобное ПО на их собственные устройства (если только его можно отключать в нерабочие часы). В разных штатах существуют разные правила по поводу того, что могут и не могут работодатели. Однако у работников часто остаётся очень мало возможностей юридически воздействовать на чрезмерно любопытное ПО для слежки.
Это должно поменяться. Вместе с законами о конфиденциальности потребительских данных штаты должны защищать работников от их работодателей. Для начала:
- Слежка за работниками, даже использующими принадлежащие работодателям устройства, должна проводиться по необходимости и быть пропорциональной.
- Инструменты должны минимизировать количество собираемой информации, и избегать извлечения таких личных данных, как персональные сообщения и пароли.
- У работников должно быть право знать, какую именно информацию собирают менеджеры.
- У работников должно быть право на юридическую помощь и возможность засудить работодателей, нарушающих законы о защите частной жизни.
Тем временем работники, знающие, что за ними следят и не имеющие ничего против должны начать разговор со своими работодателями. Компании, использующие в работе следилки, должны разобраться со своими целями и попробовать достичь их менее навязчивыми способами. Следилки часто поощряют ложную продуктивность к примеру, заставляя людей дёргать мышкой и печатать что-то раз в несколько минут, вместо того, чтобы делать паузы на размышление. Постоянное наблюдение душит творчество, уменьшает доверие и приводит к выгоранию. Если работники беспокоятся по поводу безопасности данных, им нужно изучить те инструменты, которые специально заточены под реальные угрозы, и минимизируют риски утечки личных данных.
Многим работникам неудобно выражать своё мнение, а часть подозревает, что их работодатель тайно следит за ними. Если им неизвестны масштабы этой слежки, они должны предполагать, что устройства собирают всю информацию от истории посещения сайтов до личных сообщений и паролей. По возможности им нужно избегать использовать рабочие компьютеры в личных целях. Если работников просят установить следилки на их личных устройствах, они могут попросить работодателя выдать им отдельное рабочее устройство, благодаря чему личную информацию будет проще отделять от рабочей.
Наконец, работники могут опасаться заговаривать о слежке за ними, из боязни вылететь с работы в период рекордной безработицы [в США безработица составляет более 11%]. Выбор между навязчивой чрезмерной слежкой и безработицей сложно назвать выбором.
Коронавирус послал всем нам новые испытания, и, вероятно, фундаментально изменит и то, как мы работаем. Однако мы не должны позволить ему открыть новую эпоху ещё более вездесущей слежки. Мы больше, чем когда бы то ни было, используем электронные устройства в своей жизни. А это значит, что у нас есть ещё больше прав на конфиденциальность нашей цифровой жизни и в неё не должны вмешиваться ни правительства, ни технологические компании, ни наши работодатели.