BOSSWARE, qual o limite do monitoramento?

Por dentro dos invasores e secretos “Bossware” rastreadores de trabalhadores

O COVID-19 levou milhões de pessoas a trabalhar em casa, e um bando de empresas que oferecem software para rastreamento de trabalhadores apareceu para apresentar seus produtos a empregadores em todo o país.

Os serviços geralmente parecem relativamente inócuos. Alguns fornecedores faturam suas ferramentas como software de “rastreamento automático de tempo” ou “análise do local de trabalho”. Outros comercializam para empresas preocupadas com violações de dados ou roubo de propriedade intelectual. Chamaremos essas ferramentas, coletivamente, de “Bossware”. Embora destinado a ajudar os empregadores, o Bossware coloca em risco a privacidade e a segurança dos trabalhadores, registrando cada clique e pressionamento de tecla, coletando informações secretamente para ações judiciais e usando outros recursos de espionagem que vão muito além do necessário e proporcional para gerenciar uma força de trabalho.

Isso não está bem. Quando uma casa se torna um escritório, ela continua sendo uma casa. Os trabalhadores não devem ser submetidos a vigilância não consensual ou se sentirem pressionados a serem examinados em suas próprias casas para manter seus empregos.

 

O que é que eles podem fazer?

O Bossware normalmente vive em um computador ou smartphone e tem privilégios para acessar dados sobre tudo o que acontece nesse dispositivo. A maioria dos Bosswares coleta, mais ou menos, tudo o que o usuário faz. Analisamos materiais de marketing, demonstrações e avaliações de clientes para ter uma ideia de como essas ferramentas funcionam. Há muitos tipos individuais de monitoramento para listar aqui, mas tentaremos dividir as maneiras pelas quais esses produtos podem monitorar em categorias gerais.

O tipo mais amplo e comum de vigilância é o “monitoramento de atividades”. Isso normalmente inclui um log de quais aplicativos e sites os trabalhadores usam. Pode incluir para quem eles enviam e-mail ou mensagem – incluindo linhas de assunto e outros metadados – e quaisquer postagens que eles fazem nas mídias sociais. A maioria dos Bosswares também registra os níveis de entrada do teclado e do mouse – por exemplo, muitas ferramentas fornecem um detalhamento minuto a minuto de quanto um usuário digita e clica, usando isso como um proxy para produtividade. O software de monitoramento de produtividade tentará reunir todos esses dados em tabelas ou gráficos simples que dão aos gerentes uma visão de alto nível do que os trabalhadores estão fazendo.

Todos os produtos que analisamos têm a capacidade de fazer capturas de tela frequentes do dispositivo de cada funcionário, e alguns fornecem feeds de vídeo direto e ao vivo de suas telas. Esses dados brutos de imagem geralmente são organizados em uma linha do tempo, para que os chefes possam voltar ao dia de um trabalhador e ver o que eles estavam fazendo em determinado momento. Vários produtos também atuam como keylogger , registrando cada pressionamento de tecla que um trabalhador faz, incluindo e-mails não enviados e senhas privadas. Alguns até permitem que os administradores entrem e assumam o controle remoto da área de trabalho de um usuário. Esses produtos geralmente não fazem distinção entre atividades relacionadas ao trabalho e credenciais de contas pessoais, dados bancários ou informações médicas.

A InterGuard anuncia que seu software “pode ser instalado silenciosa e remotamente, para que você possa conduzir investigações secretas [de seus funcionários] e coleta de evidências à prova de balas sem alarmar o suspeito infrator”.

Alguns Bossware vão ainda mais longe, alcançando o mundo físico em torno do dispositivo de um trabalhador. As empresas que oferecem software para dispositivos móveis quase sempre incluem rastreamento de localização usando dados de GPS . Pelo menos dois serviços — StaffCop Enterprise e CleverControl — permitem que os empregadores ativem secretamente webcams e microfones nos dispositivos dos funcionários . 

Existem, em geral, duas maneiras pelas quais o Bossware pode ser implantado: como um aplicativo que é visível (e talvez até controlável) pelo trabalhador, ou como um processo secreto em segundo plano que os trabalhadores não podem ver. A maioria das empresas que analisamos oferece aos empregadores a opção de instalar seus softwares de qualquer maneira. 

 

Monitoramento visível

Às vezes, os trabalhadores podem ver o software que os está vigiando. Eles podem ter a opção de ativar ou desativar a vigilância, muitas vezes enquadrada como “clocking in” e “clocking out”. Obviamente, o fato de um trabalhador ter desligado o monitoramento será visível para seu empregador. Por exemplo, com o Time Doctor, os funcionários podem ter a opção de excluir capturas de tela específicas de sua sessão de trabalho. No entanto, a exclusão de uma captura de tela também excluirá o tempo de trabalho associado, de modo que os trabalhadores recebem crédito apenas pelo tempo durante o qual são monitorados. 

Os trabalhadores podem ter acesso a algumas ou todas as informações coletadas sobre eles. Crossover, a empresa por trás do WorkSmart, compara seu produto a um rastreador de fitness para trabalho no computador. Sua interface permite que os trabalhadores vejam as conclusões do sistema sobre sua própria atividade apresentadas em uma série de gráficos e tabelas.

Diferentes empresas de Bossware oferecem diferentes níveis de transparência aos trabalhadores. Alguns dão aos trabalhadores acesso a todas, ou à maioria, das informações que seus gerentes possuem. Outros, como Teramind , indicam que estão ligados e coletando dados, mas não revelam tudo o que estão coletando. Em ambos os casos, muitas vezes pode não estar claro para o usuário quais dados, exatamente, estão sendo coletados, sem solicitações específicas ao empregador ou escrutínio cuidadoso do próprio software.

 

Monitoramento invisível

A maioria das empresas que criam software de monitoramento visível também fabrica produtos que tentam se esconder das pessoas que estão monitorando. Teramind, Time Doctor, StaffCop e outros fazem o Bossware projetado para ser o mais difícil de detectar e remover possível. A nível técnico, estes produtos são indistinguíveis de stalkerware . Na verdade, algumas empresas exigem que os empregadores configurem especificamente o software antivírus antes de instalar seus produtos, para que o antivírus do trabalhador não detecte e bloqueie a atividade do software de monitoramento.

Esse tipo de software é comercializado para um propósito específico: monitorar trabalhadores. No entanto, a maioria desses produtos são apenas ferramentas de monitoramento de uso geral. A StaffCop oferece uma versão de seu produto projetada especificamente para monitorar o uso da Internet pelas crianças em casa, e o ActivTrak afirma que seu software também pode ser usado pelos pais ou funcionários da escola para monitorar a atividade das crianças. As avaliações de clientes para alguns dos softwares indicam que muitos clientes realmente usam essas ferramentas fora do escritório.

A maioria das empresas que oferecem monitoramento invisível recomenda que ele seja usado apenas para dispositivos de propriedade do empregador. No entanto, muitos também oferecem recursos como instalação remota e “silenciosa” que pode carregar software de monitoramento nos computadores dos funcionários, sem o seu conhecimento, enquanto seus dispositivos estão fora do escritório . Isso funciona porque muitos empregadores têm privilégios administrativos nos computadores que distribuem. Mas para alguns trabalhadores, o laptop da empresa que eles usam é seu único computador, então o monitoramento da empresa está sempre presente. Há um grande potencial de uso indevido deste software por empregadores, funcionários da escola e parceiros íntimos. E as vítimas podem nunca saber que estão sujeitas a tal monitoramento.

A tabela abaixo mostra os recursos de monitoramento e controle disponíveis em uma pequena amostra de fornecedores de Bossware. Esta não é uma lista abrangente e pode não ser representativa do setor como um todo; analisamos as empresas mencionadas em guias do setor e resultados de pesquisa que tinham materiais de marketing informativos voltados para o público. 

Tabela: Recursos comuns de vigilância de produtos Bossware

 

Monitoramento de atividades (aplicativos, sites)

Capturas de tela ou gravações de tela

Keylogging

Ativação de webcam/microfone

Pode ser “invisível”

ActivTrakGenericName

confirmado

confirmado

   

confirmado

CleverControl

confirmado

confirmado

confirmado

confirmado

2 )

confirmado

DeskTime

confirmado

confirmado

   

confirmado

Hubstaff

confirmado

confirmado

     

Interguarda

confirmado

confirmado

confirmado

 

confirmado

StaffCop

confirmado

confirmado

confirmado

confirmado 

2 )

confirmado

Teramind

confirmado

confirmado

confirmado

 

confirmado

Doutor do Tempo

confirmado

confirmado

   

confirmado

Examinador de Trabalho

confirmado

confirmado

confirmado

 

confirmado

WorkPuls

confirmado

confirmado

   

confirmado

Características de diversos produtos de monitoramento de trabalhadores, com base no material de marketing das empresas. 9 das 10 empresas que analisamos ofereciam software de monitoramento “silencioso” ou “invisível”, que pode coletar dados sem o conhecimento do trabalhador.

Quão comum é o Bossware?

O negócio de vigilância do trabalhador não é novo e já era bastante grande antes do início de uma pandemia global. Embora seja difícil avaliar o quão comum é o Bossware, sem dúvida se tornou muito mais comum à medida que os trabalhadores são forçados a trabalhar em casa devido ao COVID-19. A Awareness Technologies, proprietária da InterGuard, afirmou ter aumentado sua base de clientes em mais de 300% apenas nas primeiras semanas após o surto. Muitos dos fornecedores que analisamos exploram o COVID-19 em seus discursos de marketing para empresas.

Algumas das maiores empresas do mundo usam BosswareOs clientes da Hubstaff incluem Instacart, Groupon e Ring. Time Doctor reivindica 83.000 usuários; seus clientes incluem Allstate, Ericsson, Verizon e Re/Max. O ActivTrak é usado por mais de 6.500 organizações, incluindo a Arizona State University, a Emory University e as cidades de Denver e Malibu. Empresas como StaffCop e Teramind não divulgam informações sobre seus clientes, mas afirmam atender clientes em setores como saúde, bancos, moda, manufatura e call centers. As análises de software de monitoramento de clientes fornecem mais exemplos de como essas ferramentas são usadas. 

Vamos ser claros: este software foi projetado especificamente para ajudar os empregadores a ler as mensagens privadas dos trabalhadores sem seu conhecimento ou consentimento. De qualquer forma, isso é desnecessário e antiético.

Não sabemos quantas dessas organizações optam por usar o monitoramento invisível, já que os próprios empregadores não costumam divulgá-lo. Além disso, não há uma maneira confiável para os próprios funcionários saberem, já que muitos softwares invisíveis são explicitamente projetados para evitar a detecção. Alguns trabalhadores têm contratos que autorizam certos tipos de monitoramento ou impedem outros. Mas para muitos trabalhadores, pode ser impossível saber se estão sendo observados. Os trabalhadores que estão preocupados com a possibilidade de monitoramento podem ser mais seguros ao assumir que qualquer dispositivo fornecido pelo empregador os está rastreando.

 

Para que servem os dados?

Os fornecedores de Bossware comercializam seus produtos para uma ampla variedade de usos. Alguns dos mais comuns são rastreamento de tempo, rastreamento de produtividade, conformidade com leis de proteção de dados e prevenção de roubo de IP. Alguns casos de uso podem ser válidos: por exemplo, as empresas que lidam com dados confidenciais geralmente têm obrigações legais para garantir que os dados não sejam vazados ou roubados dos computadores da empresa. Para trabalhadores externos, isso pode exigir um certo nível de monitoramento no dispositivo. Mas um empregador não deve realizar qualquer monitoramento para fins de segurança, a menos que possa mostrar que é necessário, proporcional e específico para os problemas que está tentando resolver.

Infelizmente, muitos casos de uso envolvem empregadores exercendo poder excessivo sobre os trabalhadores. Talvez a maior classe de produtos que analisamos seja projetada para “monitoramento de produtividade” ou controle de tempo aprimorado – ou seja, registrar tudo o que os trabalhadores fazem para garantir que estejam trabalhando duro o suficiente. Algumas empresas enquadram suas ferramentas como benefícios potenciais para gerentes e trabalhadores . Coletar informações sobre cada segundo do dia de um trabalhador não é bom apenas para os chefes, afirmam eles – supostamente também ajuda o trabalhador. Outros fornecedores, como Work Examiner e StaffCop , se vendem diretamente para gerentes que não confiam em sua equipe. Essas empresas geralmente recomendam amarrar demissões ou bônusàs métricas de desempenho derivadas de seus produtos. 

Algumas empresas também comercializam seus produtos como ferramentas punitivas ou como formas de reunir evidências para possíveis ações judiciais de trabalhadores. A InterGuard anuncia que seu software “pode ser instalado silenciosa e remotamente, para que você possa conduzir investigações secretas [de seus funcionários] e coleta de evidências à prova de balas sem alarmar o suspeito infrator”. Essa evidência, continua, pode ser usada para combater “processos de rescisão injusta”. Em outras palavras, a InterGuard pode fornecer aos empregadores uma quantidade astronômica de informações privadas coletadas secretamente para tentar anular o recurso legal dos trabalhadores contra o tratamento injusto.

Nenhum desses casos de uso, mesmo os menos perturbadores discutidos acima, garantem a quantidade de informações que o Bossware geralmente coleta. E nada justifica esconder o fato de que a vigilância está acontecendo.

A maioria dos produtos faz capturas de tela periódicas, e poucos deles permitem que os funcionários escolham quais compartilhar. Isso significa que informações médicas, bancárias ou outras informações pessoais confidenciais são capturadas junto com capturas de tela de e-mails de trabalho e mídias sociais. Produtos que incluem keyloggers são ainda mais invasivos e muitas vezes acabam capturando senhas para contas pessoais dos funcionários.  

Infelizmente, a coleta excessiva de informações geralmente não é um acidente, é um recurso. O Work Examiner anuncia especificamente a capacidade de seu produto de capturar senhas privadas. Outra empresa, a Teramind, relata cada informação digitada em um cliente de e-mail – mesmo que essa informação seja posteriormente excluída. Vários produtos também analisam sequências de texto de mensagens privadas nas mídias sociais para que os empregadores possam conhecer os detalhes mais íntimos das conversas pessoais dos trabalhadores. 

Vamos ser claros: este software foi projetado especificamente para ajudar os empregadores a ler as mensagens privadas dos trabalhadores sem seu conhecimento ou consentimento. De qualquer forma, isso é desnecessário e antiético.

 

O que você pode fazer?

De acordo com a lei atual dos EUA, os empregadores têm muita margem de manobra para instalar software de vigilância nos dispositivos que possuem. Além disso, pouco os impede de coagir os trabalhadores a instalar software em seus próprios dispositivos (desde que a vigilância possa ser desativada fora do horário de trabalho). Estados diferentes têm regras diferentes sobre o que os empregadores podem e não podem fazer. Mas os trabalhadores geralmente têm recursos legais limitados contra softwares de monitoramento intrusivos. 

Isso pode e deve mudar. À medida que as legislaturas estaduais e nacionais continuam adotando leis de privacidade de dados do consumidor , elas também devem estabelecer proteções para os trabalhadores em relação a seus empregadores. Para iniciar:

  • A vigilância dos trabalhadores – mesmo em dispositivos de propriedade do empregador – deve ser necessária e proporcional. 
  • As ferramentas devem minimizar as informações que coletam e evitar aspirar dados pessoais, como mensagens privadas e senhas. 
  • Os trabalhadores devem ter o direito de saber exatamente o que seus gerentes estão coletando. 
  • E os trabalhadores precisam de um direito privado de ação , para que possam processar os empregadores que violam essas proteções legais de privacidade.

Enquanto isso, os trabalhadores que sabem que estão sujeitos à vigilância – e se sentem à vontade para fazê-lo – devem conversar com seus empregadores. As empresas que adotaram o Bossware devem considerar quais são seus objetivos e devem tentar alcançá-los de maneiras menos intrusivas. O Bossware geralmente incentiva os tipos errados de produtividade – por exemplo, forçar as pessoas a balançar o mouse e digitar a cada poucos minutos em vez de ler ou parar para pensar. O monitoramento constante pode sufocar a criatividade, diminuir a confiança e contribuir para o esgotamento. Se os empregadores estiverem preocupados com a segurança dos dados, eles devem considerar ferramentas especificamente adaptadas para ameaças reais e que minimizem os dados pessoais capturados no processo.

Muitos trabalhadores não se sentirão à vontade para falar, ou podem suspeitar que seus empregadores os estão monitorando em segredo. Se eles não tiverem conhecimento do escopo do monitoramento, eles devem considerar que os dispositivos de trabalho podem coletar tudo, desde o histórico da web até mensagens privadas e senhas. Se possível, eles devem evitar o uso de dispositivos de trabalho para qualquer coisa pessoal. E se os trabalhadores forem solicitados a instalar software de monitoramento em seus dispositivos pessoais, eles poderão solicitar a seus empregadores um dispositivo específico de trabalho separado do qual as informações privadas possam ser mais facilmente isoladas.

Por fim, os trabalhadores podem não se sentir à vontade para falar sobre serem vigiados por preocupação em permanecer empregados em um período de desemprego recorde . A escolha entre monitoramento invasivo e excessivo e desemprego não é realmente uma escolha.

O COVID-19 colocou novas tensões em todos nós e provavelmente também mudará fundamentalmente a maneira como trabalhamos. No entanto, não devemos deixar que isso inaugure uma nova era de monitoramento ainda mais abrangente. Vivemos mais de nossas vidas através de nossos dispositivos do que nunca. Isso torna mais importante do que nunca que tenhamos o direito de manter nossas vidas digitais privadas – de governos, empresas de tecnologia e nossos empregadores.

Traduzido e adaptado de: https://www.eff.org/pt-br/deeplinks/2020/06/inside-invasive-secretive-Bossware-tracking-workers, acessado em 02 de maio de 2022.

 

Veja também:

A empresa pode monitorar os e-mails dos seus colaboradores?

A empresa pode monitorar os e-mails dos seus colaboradores?

 

Petter Anderson Lopes

Petter Anderson Lopes

Perito Judicial em Forense Digital, Criminal Profiling & Behavioral Analysis

Especialista em Criminal Profiling, Geographic Profiling, Investigative Analysis, Indirect Personality Profiling

CEO da PERITUM – Consultoria e Treinamento LTDA.

Perito em Forense Digital, Investigação de Fraudes | Perfilação Criminal e Análise Comportamental | OSINT, HUMINT | Autor e Professor | SI, Arquitetura Segura e Software Developer

Certified Criminal Profiling pela Heritage University(EUA) e Behavior & Law(Espanha), coordenado por Mark Safarik ex diretor da Unidade de Análise Comportamental do FBI, endossado pela CPBA (Criminal Profiling & Behavioral Analysis International Group).

Certificado em Forensic Psychology (Psicologia Forense, Entrevista Cognitiva) pela The Open University.

Certificado pela ACE AccessData Certified Examiner e Rochester Institute of Technology em Computer Forensics.

CBO 2041-10  "Elaboram laudo pericial, organizando provas e determinando as causas dos fatos. Realizam diligências, examinando locais, buscando evidências, selecionando e coletando indícios materiais e encaminhando peças para exames com ou sem quesitos. Analisam provas, peças, materiais, documentos e outros vestígios relacionados aos fatos. Efetuam cálculos, medições, assim como, solicitam e/ou realizam ensaios laboratoriais, utilizando e desenvolvendo técnicas e métodos científicos"

FEATURED

Cursos populares

Curso Perito Forense Digital

Atualizações constantes

Seja um Perito Forense Digital

 A estrutura essencial para você poder entrar no mercado da perícia digital.

Neste curso de 20h, você encontrará aulas de conhecimento obrigatório para quem deseja se aventurar na Forense Digital. Compreendendo OSINT, Forense em Memória, Forense em e-mails, introdução à Investigação, Inteligência Cibernética e muito mais.

Operadores da lei que desejam entender os procedimentos iniciais de uma atuação na perícia digital e alguns exemplos de análise/exame de material digital coletado. Compreender os princípios básicos da Forense Digital. Os conceitos irão fazer a diferença na sua carreira profissional.

OSINT - Investigação Cibernética em Fontes Abertas

Certificado em Investigação Cibernética em Fontes Abertas

(OSINT, HUMINT, SIGINT)

Este curso irá te apresentar conceitos, técnicas e ferramentas para conduzir uma Investigação Cibernética em Fontes Abertas. Aqui será possível entender como fazer a investigação e manter-se no anonimato, investigar incidentes cibernéticos para apoio a equipes de resposta a incidentes. São abordados também assuntos como Criminal Profiling e o Ciclo de Inteligência do FBI, ampliando a visão no processo de investigação.

.

Curso Perfilação Indireta da Personalidade

Certificado

Curso - Introdução à Perfilação Indireta da Personalidade

A aplicação da Perfilação Indireta da Personalidade permite uma avaliação da personalidade do sujeito sem que ele saiba que está sendo avaliado, por meio de seus comportamentos e relações interpessoais. É uma técnica para coletar informações sobre a personalidade tanto da vítima quanto do agressor e a relevância da personalidade cruzada entre ambos.
Qual a contribuição para Análise de Credibilidade e Investigação de Fraudes? Qual a sua importância para  a Entrevista (forense, recrutamento e seleção, em casos de negociação com reféns, negociação empresarial, interrogatório, etc...)? É útil conhecer a personalidade de alguém para planejar uma intervenção policial com ele? A personalidade pode nos ajudar a entender por que um determinado crime ocorreu? É útil com um entrincheirado? com uma testemunha? com fonte humana? Para preparar um disfarce para um agente disfarçado? Para esclarecer um crime simulado?
Importante também no procedimento de autópsia psicológica.
Conteúdo:
1.Criminal Profiling;
2.Perfil Criminal;
3.Negociação (Com reféns, comercial, etc…);
4.Persuasão;
5.Entrevista (vítimas, suspeitos, testemunhas, …);
6.Levantamento de informações de fontes humanas (HUMINT);
7.Atendimento ao público (clínicas, hospitais, etc…)

.

Engenharia Reversa na Forense Digital - Udemy

Em nova plataforma

Atualizações constantes

Certificado em Engenharia Reversa e Análise de Malwares na Forense Digital

Aqui você compreenderá a utilização da Engenharia Reversa aplicada em Forense Digital, bem como a Análise de Malware.

O curso aborda diversos conceitos de forma prática. O estudo é baseado, em sua maioria, no .NET e .NET Core, pois é uma tecnologia que está sempre em evolução, sendo adicionada inclusive em Linux e MAC, ou seja, com o .NET Core, agora é multiplataforma.

Introdução ao Criminal Profiling

Análise de casos reais

Curso - Introdução ao Criminal Profiling

O Criminal Profiling é o processo de observação e reflexão com base na análise das evidências coletadas na cena do crime . A técnica de criação de perfil visa identificar e interpretar o comportamento ou as ações do crime com o objetivo de prever a personalidade do infrator, seu modus operandi e, possivelmente, as motivações para o crime. O objetivo da definição de perfil é, no entanto, não apenas obter uma possível identificação de características importantes do ofensor, mas também evitar a repetição de crimes semelhantes no futuro.

Aqui você conhecerá:

O que é Criminal Profiling?
A História do Criminal Profiling
A Psicologia Investigativa
Método BEA
Vitimologia
Transtornos de personalidade
Mass Murder, Spree Killer, Serial Killer
Predador Sexual em Série, Mitos
Abordagem Geográfica, Clínica, Top Down, Bottom Up
Modus Operandi e Assinatura
Coleta e Processamento de informações
Avaliação do crime
Hipóteses de perfil
Uso investigativo