StaffCop: за и против тотальной слежки

11.04.2004

О проблеме надзирания за офисными служащими при помощи тех или иных программных комплексов сломано невероятное количество клавиатур. Если бы за каждый раз, когда в мои уши залетало слово privacy, я получал бы по доллару — давно бы жил в Новой Зеландии, попивал бы шотландский виски и охотился на хоббитов по воскресеньям. Но увы, за выслушивание чуши в лучшем из миров покамест не платят.

Дабы не запрягать лошадь поперек паровоза, сегодня мы сделаем так: вначале рассмотрим все технические аспекты отслеживания активности пользователей офисной сетки при помощи нашего сегодняшнего фигуранта, а потом уже изольем на чистый экран немного blah-blah-blah о моральной стороне дела.

Итак: StaffCop. Авторы позиционируют свой продукт так:<Система контроля персонала, не имеющая аналогов на российском рынке. С ее помощью можно эффективно решать проблемы, связанные человеческим фактором на производстве>. Если же перевести с языка пресс-релизов на литературный русский, то получится примерно вот что: <наша программа умеет наблюдать за вашими сотрудниками и фиксировать результаты наблюдений в удобном для последующего просмотра виде>.

Как работает StaffCop? Очень просто. В составе комплекса трудятся два компонента — агент и клиент. Агент — это тот кусочек программного кода, который поселяется на машине пользователя, собирает информацию о текущей активности и ведет логи, а клиент — это инструмент мониторинга за деятельностью агентов и сбора накопленного ими компромата. Инсталляция агента полностью прозрачна для пользователя удаленной машины — но для этого, разумеется, понадобятся привилегии администратора в той системе. Просто жмем кнопку <инсталлировать агента>, и он сам пропишется в компе ничего не подозревающего сотрудничка.

Какую информацию собирает StaffCop? Наблюдателю доступны три вида данных: скриншоты экрана, перечень запущенных на машине процессов (включая полный путь к файлу процесса) и перечень посещенных веб-старниц (с указанием времени пребывания на сайте). Немного, но для ответа на вопрос «а что здесь, собственно, происходит?» достаточно. Агент может выдавать информацию онлайн, прямо клиенту, а может накапливать на своей стороне (частота обновления и доступный объем пространства для записи логов настраиваются) и затем, по запросу, отдавать клиенту. Скриншоты выдаются в формате JPEG, списки сайтов и процессов выдаются в формате CSV (простой текстовый файл, отформатированный разделителями).

Единственный (для жертвы) способ узнать о факте слежки — засунуть любопытный нос в реестр системных сервисов и найти (или же не найти) там службу StaffCop Service. А вот прав на ее остановку может и не оказаться, тут все зависит от политики безопасности, практикуемой каждым конкретным админом.

Теперь попробуем разобраться в достоинствах и недостатках StaffCop. К числу достоинств, безусловно, стоит отнести следующее: простота использования, работать с программой можно, не имея навыков администрирования даже в зачатке; стабильность работы; скромные системные требования. Что же до недостатков, то их есть: прежде всего, очень не хватает встроенного генератора отчетов. StaffCop просто складирует логи в некую директорию, а что уж что с ними делать дальше — забота пользователя. Далеко не всякий пользователь обладает достаточной квалификацией, чтобы раздобыть подходящий внешний генератор отчетов и натравить его на пачку CSV-файлов. Стоит оговориться — в планах развития продукта такой генератор заявлен (как и многое другое, к примеру, мониторинг почты и чатов). Будем подождать.

Резюме — техническое резюме — если бы передо мной стояла задача отслеживать деятельность моих сотрудников на предмет выявления некорректного расходования ресурсов компании, у StaffCop были бы все шансы поселиться в локалке моего офиса.

А что же с моральной, она же нравственная, она же общечеловеческая, точкой зрения? Насколько слежка за собственными коллегами и подчиненными вписывается в кодекс поведения порядочных людей? Не такой простой вопрос, на самом-то деле. Есть в этом занятии что-то от подглядывания в замочную скважину, перлюстрации писем и заныкивания диктофонов по темным углам офиса.

С другой же стороны — а каким еще способом можно предотвратить расхищение корпоративных ресурсов? Возможно, кому-то это покажется странным и даже шокирующим, но компания, нанимая сотрудника на работу, приобретает его рабочее время в собственность. И ситуация, когда сотрудник в рабочее время нагружает рабочий же компьютер личными задачами и/или прокачивает по рабочему каналу личный трафик, называется простым русским словом «воровство». И никак иначе. Конечно, ситуации бывают разные, и у разных работодателей бывают разные договоренности на этот счет с разными сотрудниками, но в общем случае человеку, не умеющему и не желающему отделить свою личную шерсть от казенной, нужно больно бить по избыточно длинным рукам. Ни о какой privacy на рабочем месте речи идти не может: не хочешь, чтобы твою приватную почту читали компетентные товарищи — занимайся перепиской дома. То же самое касается музыкальных архивов, порноресурсов, онлайновых игрищ и других закоулков развлекательной вселенной.

Важный нюанс: работодатель имеет моральное право незаметно отслеживать деятельность сотрудников в том, и только в том случае, когда сотрудники поставлены в известность об этой стороне их корпоративной жизни. Пункта в контракте будет достаточно, пусть даже в самом низу и мелким-мелким шрифтом.

Не менее важный нюанс: софт того класса, к которому принадлежит StaffCop, дает богатую почву для злоупотреблений. Ведь все, что нужно для установки следящих агентов — привилегии администратора. И в руках любознательного админа, не отягощенного совестью, этот инструмент может играть довольно-таки неприглядную роль. Логическая цепочка очень проста, из слежки произрастает компромат, из компромата проистекает шантаж, из шантажа проистекает нанесение тяжких телесных повреждений и другие неаппетитные штуки. Можно ли в этом случае возложить ответственность на разработчиков программы? Мне думается, с тем же успехом можно вешать собак на производителей диктофонов, фотоаппаратов, видеокамер и другой «следящей» техники. На свете бывают три типа инструментов: абсолютно честные инструменты (их крайне мало), инструменты двойного назначения (подавляющее большинство) и воровские инструменты (их побольше, чем первых, но все равно ничтожно мало). Так вот, StaffCop относится к типу номер два — и никакое это не ImHO, а самая доподлинная правда.