Válságos időkben a szokásosnál jóval nagyobb a fluktuáció a cégek között, akadnak vezetők is, akik egyik napról a másikra a konkurenciánál kötnek ki. De mi lesz ilyenkor például az egykori e-mail postafiókok sorsa?

Nem mindegy, hiszen előfordult olyan eset, amikor a vállalattól már hónapok óta távozott menedzser beérkező leveleit még mindig automatikusan a nagyfőnök postafiókjába továbbították, aki így az üzleti mellett a személyes üzeneteket is olvashatta. Rosszabb esetben válaszolt is némelyikre. Sokszor az is csak akkor derül ki, hogy a cég feltérképezte az egyébként az internetet munkaeszközként használó munkatárs világháló-használati szokásait, amikor "elbeszélgetnek vele a jövőjéről”.

Pedig mindkét példa sérti a hazai adatvédelmi gyakorlatot. A dolgozó vállalati e-mail címét a munkaviszony megszűnése után ugyanis meg kell szüntetni, a monitorozáshoz pedig előre, írásban kell kérni az engedélyét.

Fejlett technológiák | A munkatársak informatikai tevékenységének figyelése egyre nagyobb IT-feladat elé állítja a szervezeteket, mivel a vállalati rendszerek egyre kiterjedtebbek. A monitorozás két fő részből áll: a különböző alkalmazások használatát naplózhatják, illetve az elektronikus levél- és webforgalmat ellenőrizhetik.

Minderre léteznek ugyan szabványosnak tekinthető, széles körben elfogadott alkalmazások, ám ezek alig terjednek itthon, használatuk még a nagyvállalati körben sem gyakori. Egyre több helyen alkalmaznak viszont olyan biztonsági megoldásokat, amelyekkel szabályozni lehet, hogy az alkalmazottak milyen eszközöket (például saját laptopot vagy USB-kulcsot) csatlakoztathatnak a munkahelyi hálózatra. A naplózásnál gyakori probléma a hitelesség kérdése, ugyanis a naplófájlokat viszonylag könnyű manipulálni, mint arra itthon is akadt már számos példa. Egy kártérítési perben így lehetetlenné válhat a bizonyítás. Ahol ezt komolyan veszik, ott központi, digitális aláírással hitelesített naplózást vezetnek be, ez azonban egyelőre igen ritka.

Elvétve merül csak fel, hogy a cégek a saját informatikusaikat is megfigyeljék, pedig ők rendszerint korlátlan jogosultsággal férhetnek hozzá az IT-rendszerekhez, és így nagyobb kárt is okozhatnak. Ugyanakkor monitorozásuk is bonyolultabb, hiszen például azt is rögzíteni kellene, hogy milyen parancsokat írtak be, vagy hogyan mozgatták az egeret. Az ilyen megfigyelésekre alkalmas, úgynevezett shell control boxokat nálunk még egyáltalán nem használják, de Nyugat-Európában sem elterjedtek. Az informatikusok ugyanis nehezen viselik a megfigyelést, a célszoftverek pedig igen drágák.

A megfigyelésnek objektív korlátai is vannak. Ha például egy e-mailt titkosítva küldenek el, annak tartalmát semmilyen módszerrel nem lehet ellenőrizni, vagy más típusú fájlokban (például képekben) is könnyen el lehet rejteni szövegeket. Egy több ezer fős nagyvállalatnál már a normál e-mail forgalom is olyan mennységet ér el, hogy legfeljebb csak utólag derül ki, "valami nem stimmelt”.

Beágyazott biztonság | Antal Lajos, a Deloitte Zrt. informatikai biztonság és adatvédelem üzletágának vezetője szerint ezért sokkal inkább a megelőzést kellene erősíteni. Léteznek már úgynevezett beágyazott biztonsági (embedded security) megoldások, ezek használata azonban újfajta biztonsági megközelítést igényelne.

Míg a hagyományos szoftverek az adatok meghatározott körét védik, addig az utóbbi technikák az adatokat állandóan titkosítva tárolják, és csak azok megjelenítésénél fejtik vissza azokat. Így ha egy vállalaton belüli anyag házon kívülre kerül, használhatatlanná válik. Antal Lajos azonban egyelőre nem tud olyan hazai szervezetről, amely ilyen rendszert működtetne.


A munkavállalók monitorozásának nincs külön jogszabályi háttere. „A munka törvénykönyve és az adatvédelmi törvény szabályaiból kell kiindulni, az adatvédelmi biztos néha nem teljesen egyértelmű állásfoglalásainak figyelembevételével” – mondja Vízi Linda, a Deloitte vezető tanácsadója.

Általában azonban csak akkor derül ki, hogy a belső szabályozás megoldatlan, amikor a baj már megtörtént. Ilyenkor csak az jelenthet mentőövet a cégnek, ha a munkavállaló hozzájárul a gépe átnézéséhez. Ám a saját tulajdonú eszközeit (például a mobiltelefonját vagy pendrive-ját) ekkor sem vizsgálhatják meg. Az ilyen típusú visszaéléseket csak az előzetes blokkolással lehet kivédeni, azaz tiltani kell, hogy külső eszközöket a vállalati géphez és hálózathoz csatlakoztassanak.

(A cikk a Figyelő 2010/35. számában jelent meg).