Každá organizace je plně závislá na činnosti lidí, kteří v ní nebo pro ni pracují. Její výkonnost, obrat, rozhodování, vše činí lidé. Ale lidé ne vždy dělají jen to, co má na organizaci kladný dopad. Přiznejme si to, zřejmě každý si občas v práci přečte noviny, prohlédne soukromé e-maily, stáhne nějaký ten prográmek z internetu nebo přinese fotky, hudbu či video na USB disku. Nějaká ta stránka vytištěná bokem se přece nepozná. Takovéto „nevinné” aktivity však při určitém objemu začnou přinášet společnostem citelné ztráty v pracovním výkonu, vytížení prostředků i riziko zatažení nežádoucího nebezpečného kódu do vnitropodnikové sítě. Zaměstnanci jsou v dnešní době dle průzkumů největším bezpečnostním rizikem pro zneužití vlastní sítě. Monitoring jejich aktivit se tak stává pro společnosti stále více aktuální. Pojďme se podívat na to, jak získat přehled o tom, jak zaměstnanci využívají jim svěřené pracovní prostředky.

Sledujeme činnosti na koncové stanici

V dnešní době si správci sítě nedokáží představit správu výpočetní techniky bez základního množství informací o situaci v síti nebo na jednotlivých počítačích. Využívají informace ze systémových logů, logů aplikací či serverů. Získávají tím přehled o instalaci patchů, funkčnosti programů, nežádoucích kódech a aktivitách na síti. Bez nich v podstatě nelze udržet počítačovou síť v provozu. Existují však prostředky a nástroje, které dokáží zaznamenávat výrazně více a připravit tak komplexní přehled o aktivitách na koncové stanici i v síti. Podrobné informace jsou třeba pro správné rozhodování managementu, techniků i dalších částí organizace. Koneckonců časový snímek pracovní doby zaměstnance lze využít nejen v rámci oddělení bezpečnosti nebo IT, ale i personálním oddělením nebo vedoucími pracovníky zaměstnance. Jasným přínosem jsou informace o potenciálně nebezpečných aktivitách či krádežích dat.

Proč?

Odpověď na otázku, proč sledovat aktivity uživatelů jsem naznačil už v předchozím odstavci. Informace jsou totiž použitelné v rámci organizace jako celku a zvyšují efektivitu společnosti. Nejenže dokáží odhalit nežádoucí nebo potenciálně nebezpečné aktivity na stanicích, přináší přehled o využití prostředků společnosti nezbytný pro další plánování nákupů, odhalují rezervy nebo plýtvání ve zdrojích (i personálních) organizace, poskytují podklady pro rozhodování. Narozdíl od jednorázového získání informací formou klasickou (dotazník, audit atd.) poskytuje informace s vysokou mírou přesnosti v okamžiku, kdy vznikají nebo jsou třeba. Z pohledu organizace tak sledování aktivit uživatelů přináší zvýšení pracovního výkonu při efektivnějším využití prostředků. Otázkou je tedy spíš, proč ne, a především jak.

Jak?

Monitorování činností uživatelů by mělo být na jednu stranu maximálně podrobné, na druhou stranu zase nesmí obsahovat příliš mnoho údajů, aby bylo ještě vyhodnotitelné. Na zřeteli je třeba mít také české zákony a pocity zaměstnanců, sledování stisků kláves nebo osobních údajů jsou zapovězenými oblastmi. Potřebné a nezbytné údaje (jako je využívání aplikací, internet, práce s výměnnými médii, operace nad soubory) nelze snad kromě přístupů k síťovým prostředkům získat jinak než přímo na koncové stanici. Bohužel serverové prostředky nedokáží sledovat a auditovat například spouštěné aplikace, práci se sobory, připojování výměnných médií nebo tisky na lokálních tiskárnách. Pro zaznamenání takovýchto akcí jsou nezbytné lokálně nainstalované aplikace, které veškeré zjišťování provádí přímo na stanicích. Tyto aplikace pak naopak dokáží zaznamenat i využití síťových prostředků a informace jsou pak zaznamenány v jednom logu nebo databázi. Správce nemusí řešit leckdy složité vyhodnocování samostatných logů nebo spojování informací z různých databází v rámci vyhodnocování. Maximálnost a provázanost informací je důležitým předpokladem pro správnou interpretaci a využití výsledků ze sledování aktivit.
Součástí monitorovacího nástroje může být integrovaný alertovací systém. Tedy prostředek schopný za určitých okolností generovat i upozornění pro bezpečnostního správce. Toto upozornění umožní včasný zásah a minimalizuje případné ztráty. Zda se bude jednat o vygenerování e-mailu, zápis do speciálního souboru, nebo vyvolání dialogového okna na správcově stanici, je z toho pohledu nedůležité. Důležité je rychlé upozornění na akce, které si správce nastavil a jsou pro organizaci vysoce nebezpečné.
Samozřejmě výše popsané možnosti znamenají velké množství údajů zapsaných do logů sledovací aplikace. Pro optimální funkci a minimalizaci rizik spojených s nefunkčností sítě je ideální ukládat záznamy aktuálně do lokálního logu a na server je přenášet až na základě naplánovaných úloh. Tak je zajištěno, že informace budou zaznamenány, i pokud lokální síť není aktuálně k dispozici, a přitom budou dostatečně často přenášeny na server. Vyhodnocení pak musí probíhat co nejvíce automatizovaně a uživatelsky přívětivě. Přílišná složitost je ku škodě věci. Data mohou totiž vyhodnocovat i vedoucí pracovníci, kteří nechtějí ztrácet čas například tvorbou vlastních SQL dotazů nebo přílišným klikáním.

K čemu?

Jaké části organizace mohou využít informace ze sledování aktivit uživatelů, jsem popsal v předchozích odstavcích. Organizace využívají monitorování aktivit k tomu, aby ušetřili finanční prostředky na provoz nebo zvýšili efektivitu činností v rámci organizace. Přínosy tak nemusí zákonitě znamenat jen propuštění málo výkonných pracovníků nebo úsporu tiskové kapacity či konektivity, tedy přímou úsporu prostředků, ale i zvýšení efektivity práce v organizaci jako celku. Uživatelé přestanou využívat prostředky organizace k soukromým účelům, budou se věnovat více své práci. Vedle přímé úspory nákladů jsou tak neméně důležité i vedlejší efekty sledování.
Vyhodnocení nasbíraných údajů nám poskytne dostatečný pohled na práci uživatele s daty a využívání výpočetní techniky vůbec. Jakmile víme, jaký je způsob jejich práce a jaké potenciální nebezpečné aktivity provozují, můžeme přistoupit k nápravě současného stavu. Náprava se bude zcela nepochybně skládat z více kroků, směřujících ale za totožným cílem. Odstranit vše, co je pro nás nebezpečné a zároveň to neochromí činnost zaměstnanců a organizace. A u ostatních činností pak alespoň snížení rizik a aktivnější nastavení alertovacího systému.

Lidský přístup

Organizace by při nasazování sledování aktivit měla brát na zřetel i druhou stranu – zaměstnance. Zaměstnavatel je samozřejmě oprávněn kontrolovat využívání pracovních nástrojů určených k plnění pracovních povinností, přesto lidský přístup není nikdy ke škodě věci. Jak se asi budou zaměstnanci na sledování dívat, přijmou jej, nebo nezhorší se vztah zaměstnanců k organizaci? Je vhodné podniknout takové kroky, aby uživatelé pochopili přínosy jako prospěšné i jim (například objektivní zhodnocení práce, zrychlení internetu, rozpoznání potřeby nových softwarových nebo hardwarových prostředků…) a monitoring počítačů vzali jako běžnou součást jejich práce. Zaměstnanci by se tedy neměli o sledování dozvědět až v momentu vyhodnocování výsledků, ale měli by být o jeho zavedení i průběhu informováni. Jedině tak se dá vyhnout nepříznivým dopadům na vnímání pracovního prostředí. Z dlouhodobého hlediska pak bude důležitý i způsob vyhodnocení dat a prezentování výsledků vedoucími pracovníky.

Závěr

Monitoring aktivit uživatelů přináší společnostem přehled o práci s citlivými údaji i aktuální upozornění na vnitřní hrozby. Přináší jak přímé, tak nepřímé úspory a prostředky vynaložené na nákup sledovacího nástroje se společnostem zpravidla velmi rychle vrací. Důležitým aspektem ale zůstává volba vhodného nástroje, který by měl odpovídat požadavkům a potřebám společnosti. Aby nasazení bylo přínosné, je třeba zvolit také ideální způsob informování zaměstnanců, tak aby nálada ve společnosti nebyla monitoringem zasažena.

Autor pracuje jako product manager ve společnosti Sodatsw, českého výrobce softwarových řešení určených pro správu a bezpečnost pracovních stanic.