Ak firmy používajú na sledovanie činnosti svojich zamestnancov softvér, nepochybne na to majú legitímne dôvody. V ostatnom čase pribúdajú štúdie, ktoré upozorňujú na nebezpečenstvo.

K debate o ochrane súkromia prispieva aj čoraz masívnejšie uplatňovanie umelej inteligencie v kybernetickej bezpečnosti.

Vypočujte si Report bezpečnosti, 888 slov, číta pre vás AI.

Firmy v tom majú jasno

Dôvodom monitorovania je firemná bezpečnosť, aby sa odhaľovali a zmierňovali riziká, ktoré môžu vzniknúť v dôsledku konania zamestnancov. Využívanie sledovacieho softvéru vychádza z nevyhnutnosti chrániť citlivé údaje a zabezpečiť súlad s právnymi predpismi.

Na druhej strane môžu takéto bezpečnostné riešenia vytvárať prostredie nedôvery medzi zamestnávateľmi a zamestnancami. Samo zhromažďovanie citlivých údajov vytvára ďalšie ohrozenia.

Kruté? Ale pravdivé

Aktivity zamestnancov sa sledujú na všetkých firemných zariadeniach, pričom najlepším úmyslom je identifikovať potenciálne bezpečnostné hrozby a zabrániť im.

Takýto „sledovací“ softvér sa zameriava na detekciu malvéru, aby predišiel infikovaniu systémov a únikom údajov. Snaží sa identifikovať phishingové útoky a blokovať podvodné e-maily alebo webové stránky. Tým, že neustále beží monitoring používania internetu, softvér sleduje, aké webové stránky zamestnanci navštevujú. Záznamy o aktivitách zamestnancov sa uchovávajú, čo umožňuje spätnú analýzu v prípade bezpečnostného incidentu.

Podľa prieskumu spoločnosť ExpressVPN v roku 2022 až 78 % zamestnávateľov uviedlo, že používajú monitorovací softvér na sledovanie výkonnosti a online aktivít svojich zamestnancov. Nárast v sledovacích praktikách spôsobilo zvýšenie práce na diaľku a potreba zabezpečiť produktivitu. Hoci zamestnávatelia považujú sledovanie za potrebné, až 83 percent z nich uznáva, že to so sebou prináša aj etické dilemy.

Neúmyselne aj úmyselne

Zamestnanci môžu byť zdrojom bezpečnostných incidentov a monitorovanie pomáha minimalizovať tieto riziká. Vnútorné hrozby sa stali významnou témou pre organizácie a štatistiky ukazujú, že predstavujú podstatnú časť prípadov narušenia ochrany údajov.

Podľa správy IBM Security 2024 sú vnútorné hrozby zodpovedné za 55 percent všetkých narušení bezpečnosti údajov. Toto číslo zahŕňa úmyselné aj neúmyselné chyby zamestnancov. Závery správy ďalej uvádzajú, že priemerné náklady na porušenie ochrany údajov v roku 2023 sa zvýšili z 4,45 milióna na 4,88 milióna amerických dolárov. Predstavuje to medziročný nárast o desať percent a zároveň najvyšší nárast od pandémie.

Najvyššie náklady vznikli v dôsledku útokov na vnútornú infraštruktúru firiem, priemerne 4,99 milióna USD. Medzi ďalšie nákladné vektory útoku patrili kompromitácia podnikovej elektronickej pošty, phishing, sociálne inžinierstvo a ukradnuté alebo kompromitované poverenia. Vzhľadom na vysoké sumy je pochopiteľné, prečo podniky investujú veľké prostriedky do technológií určených na odhaľovanie a prevenciu vnútorných hrozieb.

Profilovanie aj na pracovisku

Nezisková organizácia Cracked Labs upozorňuje, že softvér určený na riešenie kybernetickej bezpečnosti a dodržiavania predpisov v podnikoch „často zaobchádza so zamestnancami ako s hrozbami“. Správa Employees as Risks skúma softvér spoločností Microsoft a Forcepoint, konkrétne aplikácie na správu bezpečnostných informácií a udalostí (SIEM) a analýzu správania používateľov a entít (UEBA).

Odborníci poukazujú na to, ako rozšírené zhromažďovanie informácií na pracovisku môže premeniť zamestnancov na podozrivých. A to bez akýchkoľvek dôvodov! Softvéry ako Microsoft Sentinel a Purview, Forcepoint Behavioral Analytics (teraz známy ako Everfox) môžu monitorovať všetky aktivity zamestnancov a hodnotiť ich správanie vrátane identifikácie potenciálnej vnútornej hrozby.

Tento typ monitorovania zahŕňa sledovanie komunikácie, aktivity súborov, používanie aplikácií, prehliadania, e-mailov, chatov a dokonca aj aktivity obrazovky.

Na začiatku boli tie najlepšie úmysly

Sledovacie softvéry okrem iného sľubujú identifikáciu anomálneho správania pomocou profilovania založeného na umelej inteligencii. AI aplikácie sa časom učia, ako sa zamestnanci zvyčajne správajú, a priebežne vypočítavajú rizikové skóre zamestnancov. Správanie vyhodnocujú, zoraďujú zamestnancov podľa rizika a vyčleňujú tých, ktorí sú považovaní za „potenciálne vnútorné hrozby“. Cieľom je nielen odhalenie incidentov, ale aj ich predchádzanie skôr, ako k nim dôjde.

Odporúčania navrhujú zamerať sa na nespokojných zamestnancov a tých, ktorí majú zlé hodnotenie výkonnosti, ako na potenciálne vnútorné hrozby. Niektoré typy riešení ponúkajú posúdenie, či zamestnanci majú finančné problémy, vykazujú zníženú produktivitu alebo plánujú odísť zo zamestnania. Monitorujú, ako zamestnanci komunikujú s kolegami a či využívajú prístup k nevhodnému obsahu alebo prejavujú negatívne nálady v komunikácii.

Diskusiu rozpútalo používanie Microsoft Dynamics 365 Field Service. Technológia využíva AI na sledovanie výkonnosti pracovníkov a porovnáva ju s predpokladaným trvaním úlohy. Softvér dokáže predpovedať, ako dlho bude úloha trvať, a identifikovať, ktorí pracovníci sú viac alebo menej efektívni. Microsoft sa však ohradil tvrdením, že softvér je určený na optimalizáciu plánovania a nie na sledovanie zamestnancov.

Bezpečnosť vs. kontrola

So sledovaním zamestnancov sú spojené etické aj právne otázky. Štúdia Gartner tvrdí, že 60 percent veľkých spoločností využíva systémy na monitorovanie produktivity už od pandémie. Predpokladá sa, že do roku 2025 sa ich počet zvýši na 70 percent. Pritom až 41 percent zamestnancov uvádza, že ich zamestnávateľ s nimi nekomunikuje o tom, aké údaje sa zhromažďujú a prečo alebo ako sa používajú.

Obavy pretrvávajú

Jednou z hlavných obáv je narušenie súkromia, keď neustály dohľad môže u zamestnancov vyvolať pocit, že sú kontrolovaní aj mimo práce. Nadmerné monitorovanie môže poškodiť morálku aj dôveru zamestnancov. Ak majú zamestnanci pocit, že sú neustále sledovaní, je pochopiteľné, že nadobúdajú pocit, že im vedenie nedôveruje.

Bez prísnych protokolov o správe údajov môže byť obrovské množstvo zhromaždených informácií zneužité. Či už ukradnuté a vydražené na zločineckých fórach, alebo hacknuté a infikované. Následkom môže byť aj nespravodlivé profilovanie alebo disciplinárne opatrenia na základe neúplných alebo nesprávne spracovaných údajov.