| Nadużywanie
Internetu przez pracowników
Robert
Wojtachnik
|
|
Coraz
więcej mówi się o uzależnieniu od Internetu. Jest to sytuacja, gdy
ludzie kierowani wewnętrznym przymusem ustawicznie spędzają czas w
sieci Internet i nadużywanie to wywołuje u nich stres. Nadużywanie to
ma znaczący wpływ na ich funkcjonowanie w sferze fizycznej, psychicznej,
interpersonalnej, społecznej, rodzinnej i ekonomicznej. Badania Konrada
Plucińskiego wykazały, że osoby uzależnione od Internetu wyróżniają
się wyższym poziomem podatności na doświadczanie emocji negatywnych.
Osoby te charakteryzują się:
Według
opinii psychiatrów amerykańskich uzależnieniu internetowemu ulega ponad
20% użytkowników. Przeciętny uzależniony to mężczyzna w wieku
około 30 lat, z wyższym wykształceniem, unikający kontaktów z otoczeniem,
spędzający w Sieci co najmniej 20 godzin tygodniowo. Na
pracowników surfujących w sieci czekają między innymi: text chat,
audio/video chat, aukcje, kasyna, gry online, MP3 (Napster), cybersex,
pornografia online, pogawędki online (Gadu-Gadu, IRC, AOL, ICQ), MUD
(internetowa wersja gier fabularnych). Wiele osób nie potrafi się
oprzeć i ulega nałogowi, a w najlepszym przypadku nadużywa Internetu.
Patologiczne Używanie Internetu ma negatywny wpływ nie tylko na
pracownika, ale również przekłada się na kondycję finansową przedsiębiorstwa.
Być może amerykańskie badania uświadomią pracodawcom straty, które
przynosi jedna osoba uzależniona od Internetu, spędzająca w Sieci do
50% czasu pracy. Właściciele
firm nie są świadomi niebezpieczeństw wynikających z udostępnienia usług
związanych z Internetem pracownikom. Badania przeprowadzone w Polsce
przez Katedrę Marketingu AE w Krakowie wykazały, że 16% ankietowanych
uważa za największą wadę Internetu brak bezpieczeństwa
(nieautoryzowany dostęp do danych i
zabezpieczenia przed dostępem z zewnątrz). Jedynie 10% utrzymuje za
największe zagrożenie zajmowanie czasu pracownikom oraz wykorzystywanie
tego medium do celów rozrywkowych. Jako mniej znaczące wskazano: wolne
łącza – 13,9%, wirusy – 4,4% oraz spam (czyli niechciana
korespondencja) – 3,9%. Jednak
realne zagrożenia leżą również gdzie indziej, a ich skala jest
znacznie większa niż to się wydaje. Jeśli spojrzymy na statystyki,
sporządzone w USA, to okazuje się, że ok. 70% niebezpieczeństw płynie
z wewnątrz firmy (kradzież informacji, włamania, nadużywanie poczty i
przeglądarki www, używanie komunikatorów, wirusy i trojany). Badanie
przeprowadzone przez autora w jednej z Polskich firm pokazuje, że
wykorzystanie poczty elektronicznej do celów prywatnych stanowi 34,5% ogółu
wysyłanych e-maili. Aż 37% uprawnionych do korzystania z Internetu
surfuje w celu niezwiązanym z
pracą i edukacją. Na całym świecie 325 mln użytkowników używa ICQ i
AOL. Do tego dochodzą chat, IRC oraz wszystkie lokalne komunikatory
(takie jak Gadu-Gadu). Czy
w takim razie należy zabronić dostępu do Internetu? Oczywiście NIE.
Dla wielu zawodów jest to bardzo ważne medium komunikacyjne i
informacyjne a odpowiednio wykorzystane może przynieść wymierne korzyści.
Trudno sobie wyobrazić pracę informatyka bez dostępu do Internetu. To właśnie
w nim znajduje najnowsze informacje o lukach w systemach, uaktualnieniach,
nowych możliwościach używanych programów. Większość tych informacji
pojawia się najpierw w Internecie, a następnie w prasie. Prowadząc
dyskusje z kolegami z branży, przy użyciu poczty elektronicznej,
informatyk jest w stanie rozwiązać wiele problemów, których wyjaśnienie
zajęłoby mu o wiele więcej czasu. Poza tym może niemal natychmiast
zareagować na zagrożenia opisane w Internecie, zapobiegając im zanim
dotkną jego pracodawcę. Opisany
przykład pokazuje najtańszą metodę transferu technologii do firmy.
Gdyby nie zapewnić pracownikowi IT dostępu do Internetu, problem musiałby
rozwiązać sam korzystając z książek bądź szkoleń. Wiele problemów
trzeba rozwiązywać pod presją czasu a informacja, która dotarła post
factum mogłaby przynieść wręcz katastrofalne skutki. Nie trzeba chyba
nikogo przekonywać, że drugie podejście jest bardziej kosztowne i
czasochłonne. Wśród
innych grup zawodowych aktywnie korzystających z Internetu można wymienić:
przedstawicieli handlowych, analityków, specjalistów od marketingu,
pracowników działu rozwoju, pracowników księgowości, itd. Poza
komunikacją mail korzystają oni ze stron kontrahentów (mając dostęp
do cenników, ofert, składają zamówienia), dokonują analiz na
podstawie najświeższych danych biznesowych (notowania giełdowe, wskaźniki
GUS, informacje NBP), prowadzą kampanię reklamową w Internecie, używają
programów elektronicznej bankowości i cyfrowej płatności, mają dostęp
do informacji dotyczących płatności dokonywanych przez klientów
(publikowanych przez niektóre sieci handlowe). Nowością są szkolenia
prowadzane z wykorzystaniem tego medium. Jakie
straty ponoszą firmy? Nie przeprowadzono jeszcze szerszych badań. Można
jedynie przeprowadzić prostą symulację. 75%
użytkowników mających dostęp do Internetu spędza od 2 do 40 godzin
tygodniowo. Jeżeli założymy, że 37% tego czasu jest czasem straconym,
z punktu widzenia pracodawcy, to przy korzystaniu z Internetu przez ok. 6
godzin tygodniowo pracownik jest nieefektywny przez jeden dzień w miesiącu.
Są oczywiście pracownicy spędzający znacznie więcej czasu korzystając
z Internetu. Można jedynie szacować, że osoby korzystające z pogawędek
online spędzają o wiele więcej czasu nieproduktywnie (powyżej 4 dni w
miesiącu, a osoby uzależnione ok. 10 dni w miesiącu). Poza straconym
czasem niesie to za sobą jeszcze jedno zagrożenie. Użytkownicy
komunikujący się przy użyciu Gadu-Gadu, ICQ, IRC, chat są bardzo często
odrywani od wykonywanych zadań, co w znacznym stopniu zmniejsza jakość
wykonywanej przez nich pracy. Firmy
na świecie tracą rocznie 10 mld dolarów z powodu kosztów przesłania
niechcianych reklamowych wiadomości elektronicznych - wynika z analizy
opublikowanej przez Komisję Europejską. Powodem tej sytuacji są zdaniem
KE niewystarczające regulacje w sprawie dostępności adresów skrzynek
elektronicznych. W większości krajów reklamodawcy mogą zakupić listę
adresów i później bez zgody ich właścicieli bombardować je ogłoszeniami.
Zdaniem komisji, niektóre firmy dzięki temu wysyłają codziennie nawet
500 mln e-mail. Przesyłanie
mailem załączników z filmami, zdjęciami itp. (stanowiące 40% objętości
całej przesyłanej poczty) w sposób znaczący spowalnia pracę serwerów
komunikacyjnych. Skrzynki pocztowe zajmują więcej miejsca. Pracownik oglądający
film rozrywkowy musi na pewien czas oderwać się od pracy. Są to bardzo
trudne do oszacowania straty. Ich najwidoczniejszym przejawem jest wolniej
pracująca sieć oraz wolniejsza komunikacja z Internetem. Inną oznaką są
wirusy, konie trojańskie, rozsyłające się drogą mailową. Powyższe
objawy są również reakcją systemu komputerowego na ściąganą muzykę
w formacie MP3 oraz filmy. Jeśli jeden film zajmuje 650 MB a pracownicy
ściągnęli 10 takich filmów i przechowują je na serwerach sieciowych,
to w przypadku, gdy firma posiada 34 MB zasobów dyskowych – filmy
stanowią 19% całkowitego miejsca. Jest to obecnie plaga wielu firm. Najczęstszą
drogą dostania się wirusa do organizacji jest mail. W efekcie ataku
wirusa komputerowego może zostać unieruchomiony cały system. Zdarzają
się przypadki, że firma jest pozbawiona systemu komputerowego przez
kilka dni. Straty wynikają nie tylko z przestoju czy utraconych danych
(utrata niektórych może być dla firmy katastrofalna), ale również z
nieosiągniętego zysku i ewentualnych kar umownych za nie wywiązanie się
z zobowiązań. Kradzież
danych jest często niezauważona przez nikogo z władz firmy. Przykładem
takich danych mogą być plany marketingowe, stosowane upusty czy wreszcie
warunki kontraktów. Informacje takie może wykraść tylko osoba mająca
do nich dostęp lub posiadająca odpowiednie umiejętności informatyczne.
Udowodnienie winy takiemu pracownikowi jest bardzo trudne, gdy nie ma świadków
ani śladów w systemie. Gdy atak następuje z zewnątrz, zaawansowany hacker
zaciera za sobą ślady. Efektem
tych działań może być utrata klientów, bądź nieudana kampania
wprowadzająca nowe produkty.
Najlepszą ochroną dla firmy jest zatem określenie jasnej
polityki dostępu do zasobów sieciowych. Dobrze opracowany regulamin
powinien zawierać następujące elementy: niedozwolone operacje, co jest
uznane za nielegalne kopiowanie, zasady przekazywania tajemnic handlowych,
zasady dostępu do Internetu, informacje dotyczące ochrony antywirusowej,
wszelkie ograniczenia wykorzystania sieci, monit o obserwacji poczynań użytkownika,
zablokowane strony. Pracownicy powinni posiadać stosowne uprawnienia do
aplikacji i dokumentów. Czynnikiem zapobiegającym przetrzymywaniu dużych
plików w systemie jest ograniczenie dostępnego miejsca.
Można również określić przedział czasowy, w którym zasoby
systemowe są dostępne dla użytkowników. Gdy firma posiada dostęp do
Internetu powinna obowiązkowo zaopatrzyć się w firewall. Wbrew mylnym
opiniom firewall powinien chronić przed atakami z zewnątrz jak i
ograniczać dostęp do Internetu od wewnątrz. Przykładem takich systemów
są: Cisco PIX, 3Com Office Connect Internet Firewall, Symantec Firewall/VPN,
ZyWall oraz Linux. Nawet najlepsze rozwiązania źle skonfigurowane mogą
okazać się nieskuteczne. Zabezpieczenie firewall powinno być dobrane,
przez inżynierów systemowych, do potrzeb firmy i musi uwzględniać
takie elementy jak: ilość i rodzaj używanych systemów serwerowych,
rodzaj podłączenia do Internetu, architektura sieci, ilość oddziałów
podłączonych do sieci firmowej, usługi udostępniane w Internecie itd. Ażeby
ograniczyć dostęp do Internetu należy zastosować Web Filtering. Rozwiązanie
to ogranicza dostęp do wybranych adresów IP i URL (np. o zawartości
erotycznej, gry online, kasyna, aukcje, strony z muzyką i filmami, itd.).
Oprogramowanie to powinno również filtrować porty, na których pracują
usługi chat, grupy dyskusyjne i pogawędki online (IRC, ICQ). Wiele
komunikatorów potrafi jednak dynamicznie alokować porty, które nie są
blokowane. W takim przypadku najlepszym rozwiązaniem jest zablokowanie
komunikacji z domeną (np. gadu-gadu.pl). Bardziej zaawansowane filtry śledzą
wysyłane pakiety i hamują zakazany ruch. Filtrowanie stron może być również
wykonane przez niektóre firewall’e oraz serwery Proxy. Do
tych programów należą: Microsoft ISA Server, Cyber Sentinel Network,
eSafe. Zabezpieczenia
poczty mają kilka wymiarów. Powinny chronić przed spamem, wirusami, nie
cenzurowaną i poufną treścią, przesyłaniem niektórych załączników.
Dobrze skonfigurowany firewall oraz statyczne przypisanie adresów użytkownikom
poczty powinno rozwiązać problem spam. Co jednak w przypadku gdy użytkownicy
łączą się z serwerem pocztowym z zewnątrz. Wówczas nieodzownym
wydaje się wprowadzenie uwierzytelniania przy wysyłaniu maili. Rozwiązanie
polega na podaniu nazwy użytkownika i hasła w czasie wysyłania poczty.
Osoby, które nie posiadają tych informacji nie mogą wysłać wiadomości
z chronionej skrzynki pocztowej. Przed wirusami możemy się ochronić
stosując skanery poczty wychodzącej i przychodzącej. Jednak bardziej
racjonalnym rozwiązaniem wydają się skanery kontrolujące wszystkie
zasoby systemu, ze stacjami roboczymi włącznie. Są przypadki, gdy
program antywirusowy może okazać się nieprzydatny. Jest nim brak
aktualnej bazy wirusów. Tak więc rysuje się tu bardzo ważne zadanie
administratora systemu – a mianowicie dbałość o aktualizowanie bazy
wirusów. Przed wirusami można się chronić na poziomie gateway.
W tym przypadku skanowaniu jest poddawany ruch przechodzący przez to urządzenie.
Ochrona nie cenzurowanej i poufnej treści stanowi rzadkość w
Polsce. Jest natomiast bardzo powszechna w Wielkiej Brytanii i USA.
Nieocenzurowanej i poufnej treści najlepiej przeciwdziałać stosując
filtry poczty. Działają one w następujący sposób. Gdy w tekście
wiadomości natrafią na niedozwolone wyrazy, bądź sekwencje wyrazów
ostrzegają użytkownika, dopuszczają po podaniu hasła, usuwają taką
wiadomość bądź kierują ją do administratora. Filtry te mogą też
przeglądać załączniki i eliminować np. pliki z muzyką, filmami bądź
bazami danych. Programy, które możemy wykorzystać w celu przeciwdziałania
powyższym zagrożeniom to: Cyber Sentinel Network, McAfee, eSafe. Jednak
najprostszym sposobem zapobiegania nadużywaniu dostępu do Internetu oraz
poczty mail jest brak dostępu do Internetu dla osób, które tego nie
potrzebują. Można
ograniczyć używania pewnych wyrazów lub ich sekwencji przez
zdefiniowanie stosownych bibliotek dla grup użytkowników oraz całej
organizacji. Dobre oprogramowanie, użyte w tym celu powinna
charakteryzować możliwość wprowadzenia wyjątków od zdefiniowanych
zakazów. Istnieje również możliwość monitorowania wszystkich poczynań
użytkowników na stacjach roboczych oraz w sieci. Narzędzie takie jest
przydatne przy dowodzeniu komuś nadużywania Internetu, destrukcyjnych
działań oraz kradzieży poufnych informacji. Program taki zapisuje
wszystkie poczynania użytkownika z możliwością ich retrospekcji. Przed
kradzieżą danych powinny firmę chronić również zabezpieczenia
fizyczne. Należą do nich odpowiednie zabezpieczenie serwerowni
(autoryzacja dostępu, odpowiednie zamki bądź elektroniczne zamki
szyfrowe), niedopuszczanie do włączenia do sieci nowych
komputerów (nieaktywne wolne gniazda komputerowe i statyczna adresacja
komputerów, gdy to możliwe), zabezpieczenie napędów dyskietek przed
zapisem. Zastosowanie
powyższych wskazówek pozwoli uniknąć nieprzyjemnych konsekwencji ich
ewentualnego wystąpienia.
Aspekty prawne Uzależnienia od Internetu dotyczą bezprawnego
naruszenia porządku pracy. W grę wchodzi naruszenie takich obowiązków
jak porządek pracy w znaczeniu - obowiązek stosowania się do ustalonego
czasu pracy, wykonywanie w czasie pracy czynności nie związanych z
zadaniami wynikającymi ze stosunku pracy oraz reguł zapewniających
niezakłócone funkcjonowanie firmy. Naruszenie porządku może polegać
na naruszeniu obowiązków regulaminowych. Pracownik jest obowiązany
wykonywać pracę sumiennie i starannie oraz stosować się do poleceń
przełożonych, które dotyczą pracy, o ile nie są one sprzeczne z
przepisami prawa lub umową o pracę. Pracownik, który wskutek
niewykonania lub nienależytego wykonania obowiązków pracowniczych ze
swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność
materialną według zasad określonych w przepisach kodeksu pracy. Dobra
osobiste człowieka, jak w szczególności zdrowie, wolność, cześć,
swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica
korespondencji, nietykalność mieszkania, twórczość naukowa,
artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa
cywilnego niezależnie od ochrony przewidzianej w innych przepisach (art.
23 K.C.). W świetle powyższych przepisów spam narusza szereg dóbr
osobistych osób prawnych blokując ich systemy informatyczne uniemożliwiając
komunikowanie się ich pracowników lub klientów. Osoba wysyłająca spam
dokonuję kradzieży mocy obliczeniowej serwera, powierzchni dysku jak również
list adresowych. Jednak istnieje jeden wyjątek. Nie można uznać za
przestępstwo, jeżeli ktoś wykorzystał np. sendmaila do wysyłania
spamu z cudzego serwera w przypadku, gdy konfiguracja serwera pocztowego
na to pozwała. Przestępstwo
nieuprawnionego wejścia (włamania) do systemu komputerowego powiązane z
zapoznaniem się przez włamywacza z informacjami dla niego nie
przeznaczonymi przewidziane w art. 267 § 1 K.K. jest karane. Należy pamiętać
również, że kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia
innej osobie szkody, bez upoważnienia, wpływa na automatyczne
przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa
albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega
karze pozbawienia wolności od 3 miesięcy do lat 5. W wypadku mniejszej
wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do roku (art. 287 K.K.). Przepisy te dotyczą zarówno
włamania przez hackera z zewnątrz, jak również pracownika zdobywającego
informacje dla niego nie dedykowane. Najczęstszą przyczyną tego
drugiego zachowania jest chęć osiągnięcia zysku. Innymi słowy jest to
klasyczny przykład wykradania informacji dla innej firmy, stanowiącej
konkurencję. W myśl Rozdz. I, Dz. 5 Kodeksu Pracy pracodawca, który
poniósł szkodę w skutek naruszenia przez pracownika zakazu konkurencji
może dochodzić od pracownika wyrównania tej szkody na zasadach określonych
w przepisach. Do przypadków wykradania baz danych mają zastosowanie
przepisy ustawy o ochronie baz danych, podpisane przez Prezydenta w 2001
r. Art. 267 i 287 K.K. można również wykorzystać dla udowodnienia
przestępczego charakteru spamu. Dostępność
i integralność informacji zapisanej na komputerowym nośniku informacji
jest przedmiotem ochrony przepisu art. 268 K.K.. Kto nie będąc do tego
uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej
informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie
uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2. Jeżeli to dotyczy zapisu
na komputerowym nośniku informacji, sprawca podlega karze pozbawienia
wolności do lat 3. Działania wyczerpujące znamiona tego przestępstwa
mogą polegać na fizycznym zniszczeniu komputerowego nośnika informacji
za pomocą mechanicznego, magnetycznego lub chemicznego oddziaływania na
ten nośnik. Może polegać również na niszczeniu elektronicznego
zapisu, czyli wprowadzaniu do systemów komputerowych wirusa. Niedawna
plaga wirusa Nimda wyraźnie pokazuje uciążliwość tego typu działań
- rozsyłający się pocztą elektroniczną wirus uszkadzał serwery
Windows. Art. 268 K.K. dotyczy zarówno twórców wirusów jak również
osoby świadomie rozsyłające pocztą, bądź wprowadzane do systemu inną
drogą (np. wbrew wewnętrznym przepisom regulującym zasady sprawdzania
dysków FDD pochodzących z zewnątrz). Z
chwilą wstąpienia do Unii Europejskiej nasze ustawodawstwo powinno być
przystosowane do prawa Unijnego. Obecnie w Unii Europejskiej obowiązują
dwie dyrektywy: pierwsza określa zasady ogólne ochrony danych osobowych,
a druga ustala szczegółowe normy dla sektora telekomunikacji w tym
zakresie. Władze Unii zamierzają zrewidować i zaktualizować tę drugą
tak, aby dawała możliwość stosowania ochrony, polegającej na tym, że
użytkownik musi formalnie wyrazić zgodę na przesyłanie na jego adres
poczty. Przepisy te będą regulowały przypadki niechcianych maili,
spamu, natrętnych reklam. Do rozwiązania pozostają w dalszym ciągu dokładne
uregulowania odnośnie kontrolowania przez pracodawcę prywatnych maili
przychodzących na służbową skrzynkę pocztową, bo przypadki
wykorzystania służbowego sprzętu do celów prywatnych, bez zgody
pracodawcy dadzą się jednoznacznie zinterpretować.
Pracownikowi przysługują również prawa, związane z pracą przy
monitorze. Pracodawcy powinni pamiętać, że pracownikowi pracującemu
przy komputerze przysługuje przerwa pięciominutowa po każdej
przepracowanej godzinie (Dz.U. Nr 148, poz. 973, §7 pkt. 2). Łącznie z
regulaminową 15 minutową przerwą daje to 50 minut przerwy w czasie ośmiodniowego
dnia pracy. W tym czasie można umożliwić pracownikowi korzystanie z
dostępu do Internetu zgodnego z polityką dostępu firmy. Powinna ona umożliwiać
dostęp do instytucji bankowych, ubezpieczeniowych oraz użyteczności
publicznej. Takie udogodnienia, z punktu widzenia pracownika, są uznawane
jako zacieśniające więzy firmy i pracownika. Pozwolą one oszczędzić
czas po pracy i wykorzystać regulaminowe przerwy. Poza tym, promowanymi
powinny być wszelkie zachowania mające na celu podnoszenia kwalifikacji
oraz zapewniające transfer technologii do firmy. Użytkownik nie powinien
się bać korzystać z Internetu, ale wiedzieć jak może go użyć w sposób
efektywny i uznawany przez pracodawcę a wyjaśnienie wszelkich niedomówień
w polityce dostępu do Internetu zapobiegnie przyszłym nieporozumieniom. Poniżej
przedstawiono kryteria pozwalające stwierdzić Uzależnienie od
Internetu. Pozytywna odpowiedź na pięć z nich potwierdza ten syndrom.
Przy udzielaniu odpowiedzi należy wziąć pod uwagę ostatni rok. Test
został zaproponowany przez Kimberly Young.
|