Korzystasz z firmowego komputera? Oto co widzi administrator sieci

Pracując na służbowym laptopie lub smartfonie, możesz czuć pokusę, by załatwiać prywatne sprawy w międzyczasie. Warto jednak wiedzieć, że Twoja aktywność na firmowym sprzęcie nie jest anonimowa – firmowy administrator sieci ma szeroki wgląd w to, co robisz online.

Dlaczego firmy monitorują użytkowników? Jakie narzędzia wykorzystują działy IT i co faktycznie widzą? Czy w domu, poza biurem, jest inaczej? Sprawdź, czego lepiej nie robić na służbowym komputerze.

Na czym polega monitoring sieci w firmie i czemu się go stosuje?

Monitoring sieci to kontrolowanie i zapisywanie aktywności użytkowników w firmowej infrastrukturze IT. Pracodawcy wdrażają go z dwóch głównych powodów: ochrona bezpieczeństwa firmy (zapobieganie wyciekom danych, atakom itp.) oraz kontrola efektywności pracy. Pandemia i praca zdalna spowodowały boom na takie rozwiązania – gdy pracownicy przenieśli się do domu, firmy straciły bezpośrednią kontrolę i zaczęły ufać programom monitorującym czas i jakość pracy.

Co ważne, monitorowanie służbowego sprzętu jest legalne, o ile pracownik został o nim poinformowany (wymóg Kodeksu pracy). Firmy najczęściej opisują zasady monitoringu w polityce bezpieczeństwa lub regulaminie pracy. Celem nie jest „podglądanie” prywatności pracownika, ale dodatkowa warstwa zabezpieczeń – pracodawcy chcą chronić firmowe dane i zasoby przed zagrożeniami, w tym przed ludzkimi błędami. W praktyce oznacza to nadzór m.in. nad odwiedzanymi stronami WWW, pobieranymi plikami czy służbowymi e-mailami. Jeśli brzmi to niepokojąco – pamiętaj, że zwykle monitoring dotyczy przede wszystkim aktywności związanej z pracą, a nie celowego naruszania Twojej prywatności.

Jakie narzędzia wykorzystuje dział IT do monitoringu?

Nowoczesne działy IT dysponują całą gamą systemów do monitorowania użytkowników. Oto najpopularniejsze z nich:

• DLP (Data Loss Prevention): System zapobiegający wyciekowi danych. Monitoruje i może blokować próby wyniesienia firmowych informacji – np. kopiowanie plików na pendrive czy wysyłanie poufnych załączników na prywatny e-mail. DLP pilnuje, by firmowe tajemnice nie opuściły organizacji bez autoryzacji.
• EDR (Endpoint Detection and Response): Zaawansowana ochrona punktów końcowych (komputerów, telefonów). EDR śledzi działania na urządzeniu i wykrywa podejrzane aktywności, takie jak uruchomienie nieznanego programu, próby ataku malware czy nietypowe operacje na plikach. Dzięki temu administrator otrzymuje alerty o zagrożeniach i może szybko reagować.
• Proxy internetowe / firewall: W sieci biurowej cały ruch sieciowy może przechodzić przez firmowy serwer proxy lub zaporę, które rejestrują odwiedzane strony oraz mogą filtrować niedozwolone treści. Nawet szyfrowane połączenia (HTTPS) mogą być analizowane, jeśli firma stosuje własny certyfikat do deszyfrowania ruchu. W efekcie wiadomo, na jakie witryny wchodzą pracownicy, ile czasu tam spędzają, a nawet – w pewnych przypadkach – jakie dane wysyłają i odbierają.
• Logi systemowe i Active Directory: Każde logowanie do komputera czy zasobu zostawia ślad w logach domeny (AD). Administrator widzi, kiedy i skąd logował się użytkownik, na jakim urządzeniu oraz czy logowanie było udane czy nie. Logi AD pokazują np. godziny pracy zalogowania i wylogowania użytkownika oraz błędne próby logowania (co bywa podstawą do wykrycia nadużyć).
• SIEM (Security Information and Event Management): To platforma zbierająca logi ze wszystkich powyższych źródeł (firewalla, AD, antywirusa, serwerów itd.) i korelująca zdarzenia bezpieczeństwa. SIEM potrafi automatycznie wykryć nieprawidłowości – np. ktoś loguje się w nocy z innego kraju – i alarmować o incydencie. Innymi słowy, SIEM daje administratorowi centralny podgląd na całość ruchu i aktywności w firmie, co ułatwia wychwycenie zagrożeń.

Warto dodać, że istnieją też kompleksowe pakiety oprogramowania monitorującego, łączące wiele z powyższych funkcji. Przykładowo, polski program Ekran System umożliwia selektywny nadzór nad użytkownikiem – rejestruje czas pracy, otwierane pliki i foldery, uruchomione programy oraz podłączane urządzenia USB, a do tego daje wgląd w działania w przeglądarce internetowej. Dane te trafiają do centralnej konsoli, gdzie mogą być przeglądane i raportowane. Takie rozwiązania stały się wręcz niezbędnikiem w wielu firmach chcących chronić się przed wyciekami i cyberatakami.

Co faktycznie widzi administrator na Twoim firmowym komputerze?

Krótka odpowiedź: bardzo dużo. Zakres monitorowanych informacji może być szeroki – poniżej wymieniamy najważniejsze kategorie danych, do których potencjalnie ma dostęp dział IT (w zależności od wdrożonych narzędzi):

• Odwiedzane strony WWW: administrator zna historię Twojej przeglądarki – nawet jeśli korzystasz z trybu incognito. Narzędzia monitorujące rejestrują wszystkie odwiedzane witryny i czas spędzony na każdej z nich. W wielu firmach lista odwiedzanych stron (domen) jest zapisywana automatycznie. Co więcej, przeglądanie zakazanych stron (np. pornografii, hazardu) nie tylko zostanie odnotowane, ale często jest od razu blokowane przez firmowy filtr URL. Innymi słowy, widziane jest każde kliknięcie w sieci – od Facebooka po bankowość online.
• Używane programy i aplikacje: firmowe oprogramowanie ewidencjonuje, jakie programy uruchamiasz i ile czasu w nich spędzasz. Przykładowo, system TimeCamp potrafi zliczać czas aktywności w aplikacjach – w efekcie pracodawca może się dowiedzieć, że np. 2 godziny spędziłeś w Excelu, a 1 godzinę na YouTube. Bardziej zaawansowane narzędzia monitorujące robią nawet zrzuty ekranu co kilka minut lub rejestrują naciskane klawisze, dając pełny obraz tego, czym zajmujesz się na komputerze.
• Operacje na plikach: administrator może wiedzieć, jakie pliki otwierasz, edytujesz czy tworzysz. Systemy DLP/monitorujące logują np. otwarcie poufnego dokumentu czy skopiowanie pliku z dysku służbowego. Kiedy podłączysz pendrive lub dysk zewnętrzny, informacja o tym pojawi się w logach, wraz z listą skopiowanych na niego plików (bądź komunikatem, że taka próba została zablokowana). Również drukowanie dokumentów bywa monitorowane – rozwiązania klasy DLP potrafią odnotować wydruk szczególnie wrażliwych dokumentów.
• E-mail i komunikacja służbowa: firmowa poczta elektroniczna oraz komunikatory (Teams, Slack itp.) nie są prywatne. Administrator serwera pocztowego ma techniczną możliwość wglądu w służbowe e-maile, a systemy monitoringu mogą zapisywać treść wysyłanych i odbieranych wiadomości lub przynajmniej skanować je pod kątem słów kluczowych (np. numerów PESEL, żeby zapobiec wyciekowi danych osobowych). Nie oznacza to oczywiście, że ktoś siedzi i czyta każdą Twoją wiadomość – jednak w razie audytu lub podejrzenia naruszeń, korespondencja służbowa może zostać przejrzana. Dotyczy to także czatów firmowych – rozmowy na firmowych komunikatorach są zazwyczaj archiwizowane na serwerach firmy.
• Logi logowania i aktywności: każde Twoje zalogowanie się do systemu czy VPN jest odnotowane. Admin widzi datę i godzinę logowania, adres IP, z którego się łączysz, oraz urządzenie/hostname używane do logowania. W praktyce można więc ustalić, kiedy zaczynasz i kończysz pracę na komputerze (system rejestruje logowanie do Windows oraz wylogowanie lub zablokowanie ekranu). Dodatkowo monitorowany może być transfer danych – tzn. ile megabajtów wysyłasz/pobierasz, co pozwala wyłapać nietypowe aktywności (np. nagłe wysłanie gigabajtów danych poza firmę).
• Lokalizacja urządzenia: Jeśli Twój laptop posiada moduł GPS lub korzysta z internetu mobilnego, firma może poznać również lokalizację sprzętu. W większości przypadków opiera się to jednak na adresie IP – a ten ujawnia zwykle miasto lub region, w którym przebywasz. Administrator może więc zorientować się, że np. logujesz się z innego kraju niż zwykle (co od razu wywoła alarm bezpieczeństwa). W smartfonach służbowych sprawa jest prostsza: z pomocą MDM dział IT może namierzyć telefon w czasie rzeczywistym na mapie lub sprawdzić historię lokalizacji urządzenia. Funkcja geofencing umożliwia nawet ustawienie powiadomień, gdy urządzenie opuści określony obszar (np. siedzibę firmy).

Powyższe przykłady pokazują, że pracując na firmowym sprzęcie, zostawiasz mnóstwo cyfrowych śladów. Wiele z nich jest zbieranych automatycznie – często nawet nikt ich nie przegląda na bieżąco, dopóki nie zajdzie taka potrzeba. Jednak w razie jakichkolwiek podejrzeń lub incydentów, administrator ma dostęp do tych danych i może z nich korzystać.

Czy prywatna aktywność w przeglądarce jest widoczna na służbowym sprzęcie?

Tak – musisz założyć, że wszystko, co robisz na służbowym komputerze, jest potencjalnie widoczne dla firmy, nawet jeśli to prywatne sprawy. Przeglądarka w trybie incognito nie ukrywa Twoich działań przed monitoringiem – oznacza jedynie, że na lokalnym komputerze nie zapisuje historii ani cookies. Dla sieci firmowej czy zainstalowanych agentów to bez znaczenia. Jak zauważają eksperci, tryb incognito nie maskuje ruchu sieciowego – administrator i tak zobaczy, jakie strony odwiedzasz. Podobnie jest z prywatnymi usługami online: logowanie się na Facebooka czy prywatną pocztę Gmail z firmowego laptopa zostawi ślad w logach proxy (adres URL, czas połączenia itp.), choć oczywiście treść Twojej prywatnej korespondencji pozostanie zaszyfrowana.

Są pewne ograniczenia prawne – pracodawca nie powinien intencjonalnie monitorować Twojej ściśle prywatnej komunikacji (np. przeglądać treści prywatnych e-maili, jeśli jakimś cudem miałby do nich dostęp). Jednak w praktyce granica między sferą prywatną a służbową na firmowym sprzęcie się zaciera. Jeżeli np. w godzinach pracy odwiedzasz prywatnie serwisy społecznościowe czy fora, będzie to widoczne. Co więcej, firma może uznać to za nieproduktywne wykorzystanie czasu i wyciągnąć konsekwencje przy ocenie Twojej pracy. Przykładowo, głośny był przypadek pracownicy, która straciła etat za tzw. „kradzież czasu” – narzędzie monitorujące wykazało, że faktycznie pracowała dużo krócej, niż zadeklarowała, a resztę czasu spędziła na innych aktywnościach.

Podsumowując: załóż, że na służbowym sprzęcie nie ma prywatnych „tajemnic”. Lepiej powstrzymać się od osobistych aktywności (zwłaszcza kontrowersyjnych) na firmowym laptopie czy telefonie. Jeśli musisz coś prywatnie sprawdzić, a cenisz dyskrecję – skorzystaj z własnego urządzenia i prywatnego internetu, by mieć pewność, że żadne firmowe systemy tego nie rejestrują.

Monitoring w biurze vs. praca zdalna – czy to działa inaczej?

W biurze sprawa jest prosta: jesteś podłączony do firmowej sieci, więc cały Twój ruch przechodzi przez firmowe urządzenia nadzorujące (firewalle, proxy) i jest filtrowany oraz logowany w czasie rzeczywistym. Gdy jednak pracujesz z domu czy kawiarni, sytuacja się komplikuje – czy firma nadal może Cię podglądać? Odpowiedź brzmi: tak, choć dużo zależy od sposobu, w jaki łączysz się z zasobami firmy. Oto typowe scenariusze:

• Praca zdalna przez VPN: jeśli Twój laptop zestawia połączenie VPN do sieci firmy, w praktyce twoje działanie niczym się nie różni od pracy w biurze. Cały ruch (lub jego większość) zostaje przekierowany tunelem VPN do firmy. Administrator widzi Twój publiczny adres IP (czyli skąd się łączysz) oraz do jakich zasobów i stron uzyskujesz dostęp – zupełnie jakbyś siedział przy biurku w siedzibie firmy. Przykładowo, łącząc się z domu przez VPN, firma pozna Twój domowy adres IP i związane z nim przybliżone położenie geograficzne. Co więcej, niektóre firmy stosują geofencing dla VPN – gdy spróbujesz nagle zalogować się z innego kraju lub odległego miasta, system oznaczy to jako potencjalne naruszenie bezpieczeństwa (bo może ktoś ukradł Twoje dane logowania). Zatem praca zdalna na VPN podlega niemal pełnemu monitoringowi, a nietypowe zachowania lokalizacyjne wzbudzają alarm.
• Praca zdalna bez VPN (z własnym internetem): w wielu przypadkach, pracując zdalnie, korzystasz z aplikacji chmurowych (np. poczty Office 365, Slacka, systemu CRM) bez bezpośredniego tunelu VPN – łączysz się do nich przez swój domowy router lub hotspot. Czy wtedy firma coś widzi? Po pierwsze, same aplikacje firmowe nadal logują Twoją aktywność. Przykładowo serwer pocztowy odnotuje, że zalogowałeś się do skrzynki o 9:00 z adresu IP należącego do dostawcy X w twoim mieście. System Salesforce czy Jira zapisze, że edytowałeś dane klienta o 11:30 z przeglądarki Chrome na Windows. Administrator ma dostęp do tych logów w chmurze. Po drugie, Twój służbowy laptop prawdopodobnie ma agenty monitorujące, które działają także offline. Taki agent może lokalnie zbierać dane (np. listę odwiedzonych domen, używane programy) i gdy tylko uzyskasz dostęp do internetu lub znów połączysz się z VPN, wyśle zebrane logi na serwer firmowy. Innymi słowy, brak ciągłego połączenia z siecią firmy nie gwarantuje pełnej prywatności, bo komputer i tak „zapamięta” sporo informacji i przekaże je później. Przykładowo, firmowy laptop może mieć zainstalowane oprogramowanie śledzące historię przeglądania i odwiedzane strony – nawet jeśli przeglądałeś je na domowym Wi-Fi, raport trafi do admina po kolejnej synchronizacji.
• Hotspot z telefonu / publiczne Wi-Fi: z punktu widzenia monitoringu niczym to się nie różni od domowego internetu. Jeśli nie używasz VPN, firma będzie polegać na logach z usług oraz agentach na urządzeniu. Warto tu zaznaczyć, że łącząc się przez publiczne hotspoty bez VPN narażasz firmowe dane na przechwycenie przez osoby trzecie – dlatego wiele firm wymusza używanie VPN przy pracy zdalnej lub stosuje inne zabezpieczenia. Dla administratora natomiast istotny będzie znowu adres IP i miejsce, z którego się łączysz. Ciekawostka: istnieją metody pozwalające do pewnego stopnia ustalić Twoją lokalizację nawet bez GPS – np. po nazwach i adresach MAC sieci Wi-Fi w pobliżu urządzenia. To jednak dość zaawansowane techniki i w typowej kontroli pracownika raczej nie są wykorzystywane. Wystarczy, że system wie, iż pracujesz np. z innego województwa niż deklarowane – taka informacja i tak ma znaczenie (choćby ze względów podatkowych przy pracy zdalnej).

W trybie home office monitoring nadal działa, choć czasem z opóźnieniem lub w okrojonej formie. Nie wpadaj w pułapkę myślenia „jestem na swoim internecie, jestem niewidoczny”. Jeżeli używasz służbowego sprzętu lub konta – Twoje działania prędzej czy później trafią do logów firmowych. Warto pracować z taką samą dyscypliną i ostrożnością jak w biurze.

Co zbierają firmowe aplikacje i systemy MDM na laptopie i smartfonie?

Firmowy laptop często jest objęty podobnym nadzorem co stacja robocza w biurze – z tą różnicą, że może korzystać z technologii MDM (Mobile Device Management). MDM to system do zdalnego zarządzania urządzeniami – nie tylko smartfonami, ale i komputerami. Za jego pomocą dział IT wymusza na urządzeniu pewne ustawienia (silne hasło, szyfrowanie dysku, aktualne oprogramowanie zabezpieczające) oraz monitoruje podstawowe informacje o systemie.

Co dokładnie raportuje agent MDM? Zazwyczaj stan urządzenia, listę zainstalowanych aplikacji oraz zgodność z politykami bezpieczeństwa. Administrator widzi więc, jakie masz aplikacje na służbowym telefonie/laptopie i czy np. nie wykryto zabronionego oprogramowania lub rootowania urządzenia. Może też otrzymywać alerty, gdy dzieje się coś podejrzanego (np. instalujesz nieautoryzowaną apkę). System MDM umożliwia również zdalne akcje: admin może zdalnie zablokować urządzenie, wymazać z niego dane firmowe, zainstalować wymaganą aplikację czy zmusić do aktualizacji systemu.

W przypadku smartfonów służbowych, MDM daje bardzo szeroką kontrolę. Przykładowo, rozwiązania klasy MDM pozwalają lokalizować telefon na mapie w czasie rzeczywistym i sprawdzać jego historię lokalizacji. Administrator może włączać restrykcje (np. blokować instalację niektórych aplikacji, kamerę, zrzuty ekranu), a także rozdzielać dane służbowe od prywatnych. Ten ostatni aspekt jest kluczowy: nowoczesne systemy MDM tworzą na urządzeniu tzw. bezpieczny kontener na dane firmowe, izolując go od reszty prywatnych danych użytkownika. To oznacza, że prywatne zdjęcia czy SMSy na służbowym telefonie zwykle nie są widoczne dla admina, dopóki telefon nie zostanie np. fizycznie skonfiskowany w ramach dochodzenia. Natomiast wszystko, co znajduje się w służbowym profilu (mail firmowy, firmowe aplikacje), podlega nadzorowi. W skrócie: admin widzi aplikacje zainstalowane na Twoim telefonie, ale nie zagląda do ich zawartości, chyba że mówimy o aplikacjach służbowych.

Warto jednak pamiętać, że firmowy sprzęt to własność firmy – dlatego w skrajnych sytuacjach dział IT może wymusić pełen dostęp. Przykładowo, mogą ustawić, że cały ruch internetowy z telefonu przechodzi przez firmowy serwer proxy – wtedy zobaczą wszystko, co robisz online na tym urządzeniu. Mogą też zdalnie zmienić hasło lub zablokować telefon, a Ty niewiele możesz z tym zrobić. Na co dzień większość firm nie stosuje aż tak drastycznego podejścia (bo to kosztuje sporo wysiłku i budzi opór pracowników), ale miej świadomość, że technicznie jest to możliwe. Standardem jest natomiast, że w momencie rozstania z firmą możesz zostać poproszony o oddanie służbowego telefonu/laptopa – a wtedy wszystkie dane na nim (w tym prywatne) mogą być przejrzane przez pracodawcę. To kolejny powód, by nie trzymać prywatnych rzeczy na firmowych urządzeniach.

Co widzi administrator, gdy używasz prywatnego sprzętu z firmowym kontem?

Coraz częstszy jest model BYOD (Bring Your Own Device), czyli używanie prywatnego laptopa lub telefonu do służbowych celów. Przykład: logujesz się z własnego PC do firmowej poczty przez webmail, albo dodajesz firmowe konto e-mail do prywatnego telefonu. W takim przypadku firma ma ograniczony wgląd w Twój sprzęt, ale wciąż może sporo się dowiedzieć o Twojej aktywności na koncie firmowym.

Przede wszystkim, każda usługa firmowa, do której się logujesz, zapisuje informacje o tym logowaniu. Administratorzy zobaczą więc, że użytkownik Jan Kowalski zalogował się do Outlooka o 21:30 z adresu IP 83.X.X.X (Orange Polska) – czyli poznają czas, lokalizację (przybliżoną) oraz używane urządzenie/przeglądarkę. Systemy bezpieczeństwa mogą oznaczyć logowanie z nieznanego urządzenia jako potencjalnie ryzykowne, co np. wymusi dodatkową weryfikację (kod SMS, zatwierdzenie w aplikacji) lub wyświetlenie komunikatu o nowym urządzeniu. To dlatego, że firma nie zna Twojego prywatnego komputera – traktuje go jako mniej zaufany. Mimo to sam fakt korzystania z firmowego konta na prywatnym sprzęcie jest widoczny w logach.

Co z zawartością urządzenia? Tutaj możesz być spokojniejszy: firma nie ma magicznego dostępu do Twojego prywatnego komputera czy telefonu, o ile sam jej go nie dasz. Dopóki nie zainstalujesz żadnej firmowej aplikacji ani profilu MDM, administrator nie zobaczy Twoich prywatnych plików, zdjęć ani historii przeglądarki na prywatnym sprzęcie. Jednak uwaga – jeśli zapisujesz firmowe dokumenty na własnym komputerze, mogą one zawierać metadane (np. oznaczenia DLP, znaki wodne), które w razie wycieku pozwolą dojść, z czyjego komputera pochodziły. Poza tym, gdy otwierasz służbowe maile czy pliki na prywatnym urządzeniu, one i tak trafiają do pamięci tego urządzenia – a to oznacza, że w razie np. kontroli bezpieczeństwa (np. w ramach dochodzenia) możesz zostać poproszony o pokazanie swojego urządzenia. W praktyce zdarza się to rzadko i wymaga poważnego powodu.

Jeśli Twoja firma korzysta z rozwiązania typu Office 365 lub Google Workspace, to być może wdrożyła też politykę MDM dla urządzeń prywatnych przy dostępie do poczty czy dysku firmowego. Wtedy, chcąc nie chcąc, instalujesz ograniczony profil zarządzania na swoim telefonie – co pozwala np. zdalnie skasować tylko dane firmowe (mail, dokumenty) bez ruszania reszty. W takim scenariuszu admin nadal nie widzi Twoich prywatnych danych, ale może np. wymusić założenie PIN-u na telefon czy szyfrowanie pamięci, aby dopuścić Cię do firmowej poczty. To wszystko ma na celu ochronę danych firmy, a nie szpiegowanie Ciebie – jednak warto być świadomym, że logując się na firmowe konto z dowolnego urządzenia, w pewnym stopniu podlegasz firmowym zasadom bezpieczeństwa.

Podsumowując: używając prywatnego sprzętu do pracy, firma widzi tylko to, co dotyczy jej usług – czyli logi z aplikacji, ewentualnie minimalne dane urządzenia (typ systemu, IP). Nie ma wglądu w Twoje osobiste zasoby, chyba że sam zainstalujesz coś, co ten wgląd daje. Mimo to obowiązuje zasada: to, co robisz w ramach firmowego konta, jest firmowe. Dlatego nadal trzymaj się ostrożności – np. nie ściągaj firmowych plików na domowy komputer, który współużytkują Twoje dzieci, nie wysyłaj sobie firmowych dokumentów na prywatny email itp. Granica między prywatnym a służbowym łatwo się zaciera, gdy mieszamy urządzenia – lepiej więc ograniczać takie praktyki lub przynajmniej stosować osobne profile/kontenery na prywatnym sprzęcie.

Jak unikać wpadek na służbowym sprzęcie?

Skoro wiemy już, co i jak może być monitorowane, czas na kilka prostych zaleceń, które uchronią Cię przed kłopotami. Oto lista dobrych praktyk, które warto stosować, korzystając z firmowego komputera lub telefonu:

• Oddziel życie prywatne od służbowego. Najważniejsza zasada: postaraj się nie używać firmowego sprzętu do celów prywatnych. Nie loguj się na prywatne media społecznościowe, nie oglądaj Netflixa ani nie rób zakupów online na służbowym laptopie – wszystko to zostawia ślad. Analogicznie, nie wykorzystuj służbowej skrzynki do prywatnej korespondencji. Jeżeli cenisz prywatność, trzymaj własny smartfon/komputer do osobistych spraw (to może być inwestycja w spokój ducha). Jak radzi wielu ekspertów, telefon służbowy używaj do pracy, a kup sobie drugi do prywatnych spraw. Dzięki temu nawet w razie kontroli czy konfiskaty służbowego urządzenia Twoje prywatne życie pozostanie prywatne.
• Uważaj na incognito i inne sztuczki – to nie działa. Nie próbuj przechytrzyć firmowego monitoringu prostymi trikami typu tryb incognito, VPN prywatny czy symulatory ruchu myszki. Po pierwsze, jak już wspomniano, incognito nie ukrywa aktywności sieciowej przed adminem. Po drugie, instalacja prywatnego VPN na firmowym komputerze prawdopodobnie jest zabroniona polityką (i może zostać wychwycona przez system jako naruszenie). Po trzecie, bardziej wyrafinowane programy potrafią wykryć próby oszustwa – np. rozpoznają sztuczne ruchy myszką lub ciągłe odtwarzanie filmów w tle. Zamiast kombinować, lepiej wywiązać się z pracy uczciwie, a prywatne sprawy załatwić po godzinach.
• Nie ściągaj nielegalnego ani nieautoryzowanego oprogramowania. Instalowanie na służbowym komputerze programów bez licencji albo jakichkolwiek aplikacji spoza listy dozwolonych to proszenie się o kłopoty. Firma może mieć whitelistę dopuszczonego software’u – wszystko poza nią zostanie zarejestrowane. Admin widzi zainstalowane programy i może podjąć działania, jeśli wykryje coś niepożądanego. Poza tym pirackie lub niezweryfikowane aplikacje to ryzyko malware – jeśli spowodujesz infekcję firmowego systemu, konsekwencje będą poważne. Zasada: używaj tylko tego oprogramowania, które zapewnia firma lub na które dała pozwolenie.
• Nie kopiuj danych firmowych na prywatne nośniki lub chmury. Chcesz szybko przenieść dokument na własny pendrive? A może wysłać go na prywatny Dropbox, żeby popracować w domu? Stop! Takie ruchy są najczęściej monitorowane i blokowane. System DLP od razu wykryje podłączenie USB i próbę skopiowania plików, a Twoje konto może zostać oflagowane. Wysłanie sobie pliku na prywatny e-mail również zostawi ślad – serwer pocztowy to odnotuje, a filtr DLP może nawet automatycznie zablokować załącznik. Z punktu widzenia firmy to potencjalny wyciek danych. Lepiej zapytaj przełożonego o zgodę na przeniesienie danych lub skorzystaj z oficjalnych, zabezpieczonych metod dostępu zdalnego. Unikaj też przechowywania firmowych dokumentów na prywatnych dyskach w chmurze – to narusza politykę bezpieczeństwa w większości organizacji.
• Uważaj, co mówisz i pokazujesz online. Korzystając ze służbowego internetu, pamiętaj, że firma może logować również to, co wysyłasz. Dotyczy to np. wpisywanych treści w przeglądarce, komentarzy, postów w mediach społecznościowych – szczególnie jeśli robisz to w czasie pracy. Nigdy nie obrażaj publicznie pracodawcy ani nie zdradzaj poufnych informacji firmy (nawet na prywatnych profilach), będąc na firmowym urządzeniu. Były przypadki, że pracownicy tracili pracę za obelgi czy ujawnienie tajemnic służbowych w internecie – a znalezienie dowodu w logach firmowych nie jest trudne. Zachowaj profesjonalizm, nawet korzystając prywatnie z internetu na służbowym sprzęcie.
• Chroń dane logowania i sprzęt przed innymi. To trochę obok tematu monitoringu, ale równie ważne. Nie udostępniaj nikomu służbowego laptopa ani telefonu, nawet członkom rodziny. Nie wiadomo, co mogą przez przypadek (lub celowo) zrobić – a odpowiedzialność spadnie na Ciebie. Również nie dziel się hasłami do firmowych kont. Gdyby ktoś na Twoim koncie narozrabiał, logi i tak wskażą na Ciebie. Lepiej dmuchać na zimne: pilnuj swoich dostępów, a sprzęt służbowy traktuj jak narzędzie pracy, nie zabawkę dla dzieci czy znajomych.

Stosując powyższe zasady, znacząco zmniejszysz ryzyko nieprzyjemnych „wpadek”. Pamiętaj, monitoring nie musi być straszny – służy głównie bezpieczeństwu. Jeśli pracujesz uczciwie, trzymasz się procedur i rozdzielasz sferę prywatną od zawodowej, nie masz się czego obawiać. Lepiej jednak mieć świadomość, gdzie przebiegają granice i czego unikać, niż żyć w błędnym przekonaniu o pełnej anonimowości na firmowym komputerze.

Piotr Romanowski

Miłośnik wszystkiego, co związane z nowymi technologiami. Kiedyś konsultant w branży telko; dziś działający głównie w sferze oprogramowania, a przy okazji niezmiennie zafascynowany wszystkim, co dotyczy technologii mobilnych oraz znaczenia internetu w codzienności.