Как обойти скуд на работе
Перейти к содержимому

Как обойти скуд на работе

  • автор:

Как сотрудники обманывают системы учета рабочего времени

До сих пор существуют компании, которые отмечают время выхода на смену вручную. Обычно этим занимается директор магазина или сотрудник службы безопасности. Очевидные минусы такого способа учета – личные договоренности отмечать в табеле плановое время, а не фактическое; ошибки в табеле из-за невнимательности; «мертвые души», заработную плату за которых получает директор и т. д. Очереди на кассах, пустые полки, неактуальные ценники – каждый сталкивался с такими ситуациями, приходя в любой розничный магазин. Обычно это связано с опозданиями и невыходом сотрудников на смену.

Получается, что бизнес бьется за повышение качества обслуживания, но не понимает и не контролирует, как работает его персонал. Чтобы повысить дисциплину и прозрачно контролировать выход сотрудников по планируемому графику, компании внедряют различные системы учета рабочего времени. Но даже внедрение подобных систем не гарантирует точность отметок о фактически отработанном времени – сотрудники находят способы фрода.

Фрод (fraud с англ.) – любой вид мошенничества или махинаций.

Разберемся, какие технологии применяются в системах учета и как сотрудники их обманывают:

«Классический» карточный СКУД

Самая распространенная технология учета, принцип работы которой заключается в прикладывании магнитной пластиковой карты к считывателю, который затем формирует отчет. Очевидный минус такого способа – производство карт, которые теряются или приходят в негодность. Учитывая, что штат даже одной торговой точки может достигать 100 человек, постоянная замена карт для компании выливается в крупную сумму каждый месяц.

Помимо неудобства использования и стоимости, в этом способе учета больше всего вариантов фрода. Выделим основные, которые встречаются везде:

— передача карточек: сотрудники внутри одной смены могут обмениваться карточками, чтобы отмечать время прихода и ухода коллег при их фактическом отсутствии

— обман со стороны руководства: директор магазина может сам отмечать сотрудников, чтобы не создавать «лишние проблемы» и избегать штрафов от территориальных менеджеров; директор отмечает несуществующего сотрудника и получает за него заработную плату

— умышленная потеря или неисправность: сотрудники специально забывают или теряют карточки, чтобы директор магазина вручную заносил отработанные часы в систему, обычно закрывают глаза на опоздания и проставляют полную смену

Биометрия по отпечатку пальца

Учет по отпечатку пальца – технологичное решение, которое на первый взгляд кажется простым и удобным. Приходя на смену, сотрудники прикладывают определенный палец на устройство, который находит в базе нужный отпечаток и фиксирует отметку с конкретным человеком. Метод плох контактностью – стекла со временем затираются и приходят в негодность. С финансовой точки зрения это самый дешевый способ учета, но ненадежный.

Кажется, что обмануть такую систему невозможно, каждый палец индивидуален. Но лазейки нашлись:

— повреждение пальца: сотрудники могут нарочно порезаться, чтобы не отмечаться на устройстве, так как процесс регистрации нового пальца может занимать несколько дней или неделю, все отметки об отработанном времени фиксируются вручную директором

— обман со стороны руководства: как и в случае с карточками, директор магазина регистрирует на все свои пальцы разных сотрудников и отмечает их, включая «мертвые души»

— нестабильность распознавания: сотрудники специально прикладывают палец некорректно, и система их не считывает

Лицевая биометрия

Оптимальное соотношение стоимости и точности учета. Простой принцип работы: приходя на смену, сотрудник фотографирует свое лицо на специальном устройстве, во время отметки селфи сотрудника отправляется в облако и обрабатывается алгоритмами на основе нейронных сетей. Технология Liveness, используемая в таких устройствах, проверяет, настоящий ли человек изображен на фотографии.

Если проверка пройдена, то система преобразует фотографию в биометрический шаблон и ищет совпадения в загруженной базе. Если оно найдено, то платформа передает сигнал в систему для фиксации времени.

Для некоторых сотрудников внедрение самой надежной и точной системы учета стало вызовом – найти любой целой способы фрода. Вот, что встречается на практике:

— отметка через фото: сотрудники пытаются отмечать своих коллег, подставляя их фотографию к камере

— отметка через видео: если первый вариант не прошел, используют записанное видео с телефона, чтобы доказать системе, что это живой человек

К несчастью сотрудников и наоборот для бизнеса, обмануть лицевую биометрию невозможно. Такой способ учета фиксирует фактическое отработанное время и выплачивает по отметкам заработную плату. Установка устройств в каждом магазине кажется невыгодной инвестицией, но, если подсчитать, сколько теряет бизнес из-за несвоевременного выхода сотрудника на смену, подобные проекты окупают себя за несколько месяцев.

Внедрение подобных систем дает бизнесу больше, чем просто учет рабочего времени. Компании получают в режиме онлайн статистику по выходам сотрудников в разрезе дня, недели и месяца в каждом магазине. К тому же, автоматизированный процесс значительно сокращает время менеджмента на ручные операции, исключает оплату опозданий и ранних уходов и в среднем по рынке экономит до 1.5% фонда оплаты труда. При высокой численности штата экономия составляет миллионы рублей ежемесячно.

Можно ли обмануть современную СКУД?

При всем совершенстве современных технологий, абсолютно надежного решения, которое в принципе невозможно взломать, не существует. Однако существуют методы комбинированного обеспечения безопасности, которые позволяют свести риск к минимуму и добиться почти неприступной системы управления и контроля доступом. Рассмотрим основные риски касательно попыток обмана СКУД и способы их устранения.

Общий принцип: непробиваемая триада безопасности

Для начала – немного теории. Система безопасности в современных условиях может проверять три параметра человека, пытающегося пройти аутентификацию:

  • Наличие ключа. Ключ-карта или любое другое устройство, содержащее необходимое сигнальное приспособление, данные с которого может считать СКУД для аутентификации.
  • Знание. Человек должен знать пароль или код доступа, который вводится на специальной клавиатуре.
  • Биометрия. Считываются биологические параметры тела, которые являются уникальными для каждого жителя Земли. К примеру, рисунок сетчатки глаза, отпечаток пальца либо тепловой рисунок кровеносных сосудов лица, — это уникальные параметры, которые позволяют безошибочно идентифицировать человека.

Большинство применяемых в отечественной практике СКУД проверяют лишь один из этих параметров, тем самым создавая потенциальную уязвимость. Принято считать, что для значительного повышения уровня безопасности достаточно сочетать два из трех типов контроля (например, «пароль + биометрия» или «ключ-карта + пароль») — большинство биометрических терминалов позволяют решить данную задачу. Однако для самых ответственных объектов необходимо сочетать все три типа контроля и дополнять четвертым, — постоянным видеонаблюдением. Подобную систему взломать (проникнуть под видом авторизованного сотрудника) – практически невозможно.

Взлом СКУД на практике: как это бывает

Сразу оговоримся, что под взломом мы подразумеваем именно успешное прохождение аутентификации. Никогда нельзя сбрасывать со счетов риск силовой агрессии, когда посторонние будут прорываться силой на объект, минуя СКУД, но это уже совсем другая история. Здесь же речь именно об обмане системы. Наиболее распространенные риски:

  • Передача ключ-карты постороннему лицу или другому сотруднику. Устраняется введением видеонаблюдения или биометрической системы контроля.
  • Передача пароля для доступа неавторизованному лицу. Аналогично устраняется дополнением системы биометрическим контролем.
  • Попытка выведения из строя СКУД на аппаратном уровне или локальный взлом электронного замка. К примеру, возможна попытка выведения из строя датчика электрическим разрядом или попытка обеспечить открытие дверей при помощи локальной модификации электронного замка. Риск устраняется повышением качества и надежности применяемых считывающих устройств и замков в СКУД.
  • Взлом БД СКУД и добавление нового авторизованного сотрудника. Самый технически сложный трюк, требующий применения хакерских навыков, а также, чаще всего, наличия сообщника внутри организации. Нивелируется риск внедрением самого передового и регулярно обновляемого серверного оборудования.
  • Взлом биометрического сканера отпечатка пальца при помощи силиконовой накладки на палец. Качественная подделка позволяет обмануть низкокачественные сканнеры, потому нужно устанавливать решения с предусмотренной защитой от подобного взлома.
  • Проникновение посторонних на объект в момент открытия дверей другим сотрудником. К примеру, когда сотрудник покидает офис (или определенную зону офиса с повышенной безопасностью), а дверь закрывается доводчиком, злоумышленник может заблокировать замок и не дать двери закрыться, проникнув внутрь. Решается проблема видеонаблюдением, а также внедрением системы мониторинга правильного закрывания дверей.

Чтобы не допустить обмана СКУД, важно продумывать возможные слабые стороны и внедрять соответствующие решения, позволяющие компенсировать технические слабости системы.

Как сотрудники обманывают системы учёта рабочего времени

Основа порядка и дисциплины в любой компании — это точный и строгий учёт рабочего времени. В том случае, когда персонал компании знает, что нарушения распорядка рабочего дня (от опозданий до прогулов) фиксируются и санкционируются, он (персонал) не будет стремиться нарушить правила или искать обходные пути. Следовательно, Системы Учёта Рабочего Времени (СУРВ) и их внедрения становятся для руководителей – важным аспектом деятельности в фирме.

Стандартное и самое простое (на первый взгляд) решение – человеческий контроль. Специальный сотрудник или сотрудник ЧОП (на проходной) самостоятельно отмечает в журнале учёта время прихода и ухода с работы сотрудников. Да, такой подход можно самым простым с минимальными изменениями (доплата сотруднику) и наименьшим саботажем со стороны коллектива: я хожу, меня записывают, всё очень просто. Но у этого решения есть минус, который, пожалуй, перевешивает всю простоту и дешевизну — человеческий фактор. Личные договорённости, невнимательность, путаница, забывчивость, “несуществующие смены” – проконтролировать корректность заполнения табеля практически невозможно.

С точки зрения затрат и результата такой контроль нерационален. Это сегодня замечает всё больше организаций и постепенно переходит на автоматизированные решения, которые обеспечивают высокую эффективность учёта рабочего времени сотрудников. О таких системах мы уже рассказывали в этой статье, но напомним, что к ним относят СКУД, биометрический контроль, трекеры и специальное корпоративное ПО. В этой статье мы рассмотрим, как чаще всего стараются обмануть такие системы и как это присечь.

1. СКУД.

СКУД (Система Контроля и Управления Доступом) – сегодня это самое распространенное средство автоматизации учёта рабочего времени. Однако, это не самое эффективное решение из-за большого количества слабых мест.

В стандартном виде СКУД – это магнитные ключ-карты, выдаваемые всем сотрудникам, и считыватели, устанавливаемые на входе в здание или офис. Принцип работы прост: сотрудник прикладывает карту к устройству, получает доступ в помещение, а в программе отмечается время прихода на работу.

Преимущество системы – она очень простая простота. Но как прост СКУД, так же легко его и обмануть. Сотрудники передают свои карты коллегам, которые фиксируют фантомный выход на работу, чтобы избежать санкций за опоздания. А если умышленно забыть или потерять ключ-карту, то руководителю придётся вручную вносить данные в отчёт, достоверность которых может вызывать сомнения.

Кроме того, СКУД – это регулярные непредвиденные расходы для компании, установившей такую систему: ключ-карты теряются, размагничиваются или просто изнашиваются, а терминалы и турникеты требуют регулярного обновления или ремонта из-за частого использования сотрудниками.

2. Биометрический контроль по отпечатку пальца

Биометрия сейчас набирает популярность, поскольку на первый взгляд кажется совершенной версией СКУД-а. Резонный вопрос “как обмануть биометрию по отпечатку пальца”, на первый взгляд, кажется больше риторическим. Простой работник — это не спецагент из кино, чтобы делать ложные слепки или искусственные отпечатки.

Но реальность оказывается весьма кинематогрофичной. В 2002 году японский криптограф Цутому Мацумото выпустил руководство, позволяющее создать качественный слепок отпечатка пальца в домашних условия, применяя обычные бытовые вещи: клей, желатин, графит от карандаша. Метод “ушел в тираж” и способом Цутому пользуются по сей день для обхода биометрии.

В 2014 году на конференции хакеров Chaos Communication Congress участники продемонстрировали настоящий слепок отпечатка пальца министра обороны Германии, созданный на основе качественных фото из интернета. В общем, обмануть биометрику по отпечатку пальца можно. И это даже не слишком сложно.

3. Биометрический контроль по сканированию лица

Биометрия лица кажется ещё более совершенным методом, если сравнивать с отпечатком пальца. Увы, этот вариант тоже довольно успешно обходят, только обход становится более сложным, комплексным и дорогим.

Вот только некоторые варианты:

  • Биометрия радужной оболочки глаза: в большинстве случаев хороший фотоаппарат с линзой не менее 200 мм идеально воспроизводит все особенности сетчатки глаза и такое качественное фото считывается сканером.
  • Вариант дороже, но изысканней – заказать контактные линзы с нужным рисунком радужной оболочки.
  • Видеоконтроль уже давно обманывается технологией DEEP FAKE, когда создается видео, заставляющее воспринимать видеоряд как реальность.
  • Также контроль по сканированию лица можно обмануть с помощью 3D-маски. Учитывая, что профессиональные фотоаппараты (впрочем, как и 3D-сканеры) и 3D-принтеры редкостью не являются, сделать маску не слишком сложно.

Ненадёжность биометрической защиты в 2018 году подтвердили журналисты Forbes. Они провели исследование эффективности распознавания лиц на ТОПовых моделях смартфонов. 3D-маска в 80% помогла разблокировать устройство.

4. Тайм-трекер

Тайм-трекер – программа, фиксирующая начало, завершение работы за ПК, мониторящая активность сотрудника в течение дня. Такие сервисы просты в освоении и не требуют от сотрудников погружения в работу приложения. простое ПО и многие руководители считают его достаточно действенным. Да, и здесь тоже существуют многочисленные способы обмана тайм-трекера, поражающие своей хитростью, но быстро вычисляемые:

  • Запуск любой рабочей программы и прикрепление к мышке любой детской игрушки, чтобы мышь регулярно двигалась.
  • Можно запустить Word, 1C или Excel, минимизировать размеры окна приложения, а дальше включить кино или заниматься чем-то другим, бездельничая.
  • Покупка скрипта или ПО для имитации деятельности на ПК.

Такие подходы изобретательны, но быстро разбиваются с помощью пары функций у сервисов учёта рабочего времени.

Сервис “Учёт Рабочего Времени” от Angiga решает проблему “обмана” с помощью функции скрининга экрана рабочего стола сотрудника и записи всех действий на рабочем месте. Таким образом, руководитель получает возможностью получить “запись рабочего дня” в формате ускоренного ролика с возможностью посмотреть конкретное время состояние рабочего стола. Если в течение некоторого дня мышка только двигается, но при этом не производится никаких действий сотрудника (не печатается текст, не совершаются звонки в телефонии, не выполняются рабочие задачи и т.д.), то у руководителя могут возникнуть вопросы к производительности и эффективности сотрудника.

Кроме того, если в “УРВ” сотрудник поставил перерыв/обед, то при попытке заняться не рабочими делами на компьютере не получится — сервис всё время будет “всплывать” и перекрывать рабочий стол, пока режим обеда/перерыва не будет выключен.

“Учёт Рабочего Времени” от Angiga с высокой точностью регистрирует фактическое начало и завершение рабочего дня, паузы, бездействие и опоздания. Программа предоставляет достоверные данные по учёту рабочего времени, и при этом анализирует, как работает сотрудник.

Как обойти скуд на работе

Одна из важнейших задач любого бизнеса – повышение интенсивности работы подчинённых. Особенно сложно это сделать, когда сотрудники работают с использованием персонального компьютера в качестве основного инструмента. С этой целью всё большее количество компаний внедряет системы контроля и учёта рабочего времени на основе программного обеспечения.

  • Почему возможно обмануть программу контроля сотрудников
  • Наиболее частые способы обмана систем учета рабочего времени
  • Необходимый набор функций устойчивой к обману системы контроля сотрудников

Большинство такого рода программ работает следующим образом. На подконтрольные компьютеры тайно или явно устанавливаются невидимые для пользователя агенты, которые собирают необходимую информацию о деятельности компьютера и передают её через сетевое подключение или интернет на серверный компьютер. На последнем разворачивается программа, анализирующая поступающие от программ-агентов данные, и выдающая отчёты и тревожные сигналы.

Идеальный сотрудник в рабочее время должен использовать только продуктивные программы, посещать только необходимые для работы сайты, вести только служебную переписку по электронной почте, вовремя начинать и заканчивать рабочий день, свести к минимуму перерывы в работе на перекуры и личные дела, работу выполнять с требуемой интенсивностью.

Но природа не терпит дисбалланса, любое действие порождает противодействие. Недобросовестные сотрудники изобретают самые разнообразные способы, чтобы обмануть программы контроля.

Почему возможно обмануть программу контроля сотрудников

Как это можно сделать?

Чаще всего программы учета рабочего времени имеют функции:

  • Контроль времени включения и выключения компьютера и подсчета времени работы
  • Вычисление времени использования продуктивных и непродуктивных программ и сайтов

Другая информация об активности на компьютерах обычно не собирается. Более того, облачные версии таких программ зачастую не делают даже скриншотов экранов мониторов компьютеров, либо хранят их совсем недолго, чтобы не занимать место в хранилище.

Т.е. по сути администратор такой программы в основном полагается на предоставляемые ею цифры и, что называется, «идет по приборам», как в подводной лодке.

Наиболее частые способы обмана систем учета рабочего времени

Рассмотрим основные приёмы, используемые на практике недобросовестными сотрудниками и посмотрим, почему они неэффективны там, где установлена программа Lanagent.

Итак, чтобы опоздать или наоборот, раньше сбежать с работы, а, может быть даже и прогулять денёк, можно попросить добросовестного коллегу включить компьютер в начале рабочего дня, а в конце – выключить.

Но веб камеру не обманешь, она с равными промежутками времени делает снимки того, кто работает за компьютером. Можно, конечно, заклеить окно камеры, но отсутствие изображения с неё будет сразу обнаружено. Кроме того, программа зафиксирует отсутствие рабочей активности, что будет подтверждено скриншотами и записями кейлоггера.

Идём дальше. Попробуем обмануть программу, имитируя активную деятельность, то есть нажатия клавиш и движения мышки. Будем имитировать активность с помощью каких-то приспособлений. Их можно придумать великое множество, от простых – положить предмет на клавиатуру или воткнуть монетку между клавиш, до замысловатых, например двигать мышку, привязав к ней парус и включив вентилятор «подхалим», который поворачивается и меняет направление движения воздуха. Можно использовать и механическую игрушку, привязанную к мышке и совершающую хаотические движения.

Программа Lanagent действительно зафиксирует активность пользователя, но только в одном открытом приложении или программе, а снимки с веб камеры и скриншоты подтвердят отсутствие продуктивной деятельности пользователя.

Как иногда хочется расслабиться на рабочем месте, посмотреть видео или почитать книжку. Вот и откроем экран с нужным содержимым, а поверх него разместить окно с рабочей программой, предварительно уменьшив его, что бы не мешало развлекаться.

Lanagent, конечно, зафиксирует открытие рабочей программы, но скриншоты сделают тайное явным. Кроме того, при настройке Lanagent можно запретить использование определённого рода программ и посещение непродуктивных сайтов.

Для продвинутых пользователей есть «возможность» поиграть в рабочее время в любимую игру, установленную на домашнем компьютере. При помощи подключения через Remote Desktop и запущенном на рабочем компьютере клиенте RDP, развлекаетесь сколько душе угодно. Система ведь будет считать программу RDP продуктивной.

Но, руководитель, с помощью скриншотов, снятых программой Lanagent, безусловно вскоре разоблачит этот манёвр.

Можно попытаться применить ещё одну уловку – запустить виртуальную машину, то есть получить компьютер в компьютере, но уже без контроля. Однако, для этого нужен сговор с администратором сети, так как для этого потребуются его права. Да и с помощью настроек Lanagent можно просто запретить подобные фокусы.

Есть, конечно, и «гениальные» способы: установить на компьютер или подключить к нему через USB порт устройство, генерирующее активность, но аналитические способности Lanagent выявят нетипичную деятельность пользователя и просигнализируют администратору.

Необходимый набор функций устойчивой к обману системы контроля сотрудников

Подведем итог по необходимым функциям, которыми должна обладать программа для контроля работы пользователя компьютера, чтобы ее нельзя было обмануть:

  • Контроль времени включения и выключения компьютера и подсчет времени активного использования и бездействия ПК
  • Перехват нажатий клавиш клавиатуры (кейлоггер или клавиатуный шпион). Он покажет, насколько осмысленные действия совершал пользователь на компьютере (просто нажимать случайные клавиши время от времени, теперь не поможет)
  • Контроль используемых программ и посещаемых сайтов с учётом времени пребывания на них.
  • Вычисление времени использования продуктивных и непродуктивных программ и сайтов
  • Снятие скриншотов (по расписанию, через установленные промежутки времени или по определенным событиям на компьютере). По скриншотам будет видно, что на самом деле происходило на компьютере пользователя.
  • Запись изображения или снимков с вебкамеры. Они покажут, присутствовал ли фактически сотрудник на рабочем месте.
  • Контроль электронной почты, мессенджеров, соц сетей. Позволяет обнаружить активность, не связанную с работой. Либо, приносящую прямой вред компании.
  • Контроль документов, отправляемых на печать. Позволяет оптимизировать расходы компании.
  • Оповещать в автоматическом режиме администратора системы при нарушениях со стороны сотрудника. Иначе потребуется просматривать ежедневно большие объемы информации.

Разумеется, у администратора программы контроля сотрудников должна быть также возможность отключать ненужные функции и настраивать имеющиеся для повышения эффективности системы.

Итак, очевидно, что все распространённые способы обмана программы учёта и контроля рабочего времени бессильны, когда применяется Lanagent. Но надо помнить, что программа – это всего лишь инструмент, который будет эффективным помощником только в руках грамотного добросовестного специалиста, регулярно контролирующего результаты её работы, не игнорирующего её сигналы, внедряющего постоянно появляющиеся обновления.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *