statystyki

Totalna inwigilacja pracownika. Korzystasz ze służbowego sprzętu? Szef pozna twoje hasła

autor: Tomasz Jurczak18.02.2016, 07:00; Aktualizacja: 18.02.2016, 10:06
Praca, rynek pracy, człowiek, kontrola

Co z prawem do prywatności pracowników?źródło: ShutterStock

Odpowiedź koleżance na Facebooku, wysłanie prywatnego maila, sprawdzenie konta w banku czy zaległości u operatora? Kto z nas nie robi tego na służbowym sprzęcie, jeśli nie mamy możliwości skorzystania z prywatnego urządzenia. Pracodawcy mogą jednak już wkrótce masowo kontrolować wszelkie połączenia szyfrowane w ramach prewencji przed wyciekiem danych, a tym samym sprawdzić nasze wiadomości. O jednym z najnowszych rozwiązań tego typu dla IT rozmawiamy z przedstawicielem firmy Wheel Systems.

Reklama


Reklama


Paweł Dawidek, CTO firmy Wheel Systems

Paweł Dawidek, CTO firmy Wheel Systems

źródło: Materiały Prasowe

Zła wola pracownika lub jego niefrasobliwość może okazać się sporym wyzwaniem dla pracodawcy. Wyciek danych z firmy to nie tylko utrata zaufania i prestiżu, ale także problemy prawne i ewentualne koszty finansowe. Czy przed tym ma chronić pracodawców polskie rozwiązanie o nazwie „Ryś”?

Paweł Dawidek, Dyrektor ds. Technicznych Wheel Systems: W skrócie, Lynx SSL Inspektor to rozwiązanie, które umożliwia inspekcję wybranych sesji szyfrowanych w ramach protokołów SSL/TLS. Są dwa zagrożenia, które nasz produkt stara się pomóc rozwiązać, a które mogą dla działów bezpieczeństwa być problematyczne, z powodu połączeń szyfrowanych. Jedno to jest pobieranie wszelkiego rodzaju złośliwego oprogramowania przez pracowników firmy na komputer służbowy. A drugi aspekt to wyciek danych na zewnętrz, kiedy jakiś nieuczciwy lub nieuważny pracownik wysyła sobie np. numery kart kredytowych lub inne niejawne informacje, które nie powinny opuszczać sieci wewnętrznej firmy.

Ale w sieciach korporacyjnych lub w firmach są lub powinny być działy bezpieczeństwa, które mają dbać o to, aby bezpieczeństwo wewnątrz firmy było na wysokim poziomie, a w ramach sieci firmowej nie grasowały wirusy czy złośliwe oprogramowanie?

Niestety niebezpieczeństwo jest nadal wysokie. Generalnie w sieciach korporacyjnych działy, które monitorują wycieki danych czy złośliwe oprogramowanie mają różnego rodzaju systemy, które analizują ruch sieciowy w ramach sieci korporacyjnej. Ktoś łączy się z Internetem, ściąga jakiś plik. Wtedy odpowiedni system skanuje taki plik czy nie jest „wirusem”. Zatem ruch sieciowy pomiędzy użytkownikiem a internetem jest monitorowany. Niestety nie jest to cały ruch.

To znaczy?

Wyobraźmy sobie, że użytkownik próbuje wysłać niejawne dane Gmailem, albo z szyfrowanej strony lub poczty nieświadomie ściąga jakiegoś wirusa, np. zaszytego w instalce popularnego programu. Pracodawca chciały mieć pewność, że taka sytuacja nie będzie mieć miejsca. Dziś jednak będzie miał z tym niemały problem, ponieważ połączenie na odcinku przeglądarka użytkownika a serwer Gmail jest szyfrowane. Jest więc z perspektywy systemów monitorowania nieczytelny.

Sporo jest takich przykładów niebezpiecznych zachowań?

Przykłady problematycznego zachowania pracowników można mnożyć. Pomijając oczywiście fakt, że pracownik może działać na szkodę firmy celowo, istnieje też, np. ryzyko zainfekowania stacji roboczych dość popularnym i groźnym, szkodliwym oprogramowaniem w postaci ransomware, szyfrującym pliki. To jest faktyczny problem w korporacjach, ale są również kwestie, które wyglądają na pozór niewinnie. Wyobraźmy sobie, ze ktoś konfiguruje na swoim komputerze np. backup do chmury, w efekcie czego backupują się również dokumenty firmowe. Na ogół nie powinno być takich przypadków, ale możliwe jest, aby ktoś nie zadbał odpowiednio o bezpieczeństwo konfiguracji lub polityka firmy na to pozwalała, np. w ramach BYOD.

Odpowiedzią jest właśnie Lynx?

Rolą naszego produktu jest wsparcie rozwiązań, które monitorują czy analizują przepływ danych w sieci wewnętrznej, poprzez odkodowanie zaszyfrowanych połączeń. Kiedy ktoś łączy się na takiego Gmaila, czy Facebooka lub zewnętrzne forum, to połączenie jest szyfrowane pomiędzy przeglądarką użytkownika a serwerem docelowym przy pomocy protokołów TLS lub SSL. Czyli wszelkie rozwiązania, które stoją w sieci korporacyjnej i mają za zadanie analizować ten ruch, tak naprawdę nie są w stanie go analizować, bo jest on dla nich nieczytelny. Lynx jest odpowiedzią na tę kwestię. Rozszyfrowuje transmisje SSL/TLS i przekierowuje je do wspomnianych systemów analitycznych DLP, IPS, czy IDS, dbających o bezpieczeństwo sieci. Warto dodać, że Lynx nie wykorzystuje przy tym żadnych błędów w protokołach szyfrowanych, nie próbuje wykorzystywać ich słabości.

Jak rozumiem kanał szyfrowany jest najłatwiejszą formą, aby pracownik wysłał dane bez wiedzy firmy?

Tak, a na dodatek ruchu szyfrowanego cały czas przybywa. Po ujawnieniu przez Edwarda Snowdena informacji jak amerykańskie służby naruszają prywatność użytkowników, wiele serwisów domyślnie włączyło szyfrowanie, np. Facebook. Google także to zrobił i aby wyszukać coś w przeglądarce również łączymy się połączeniem szyfrowanym. A przecież praca bez Google w wielu firmach może być nawet niemożliwa.

Więc efekt Snowdena to jeden z powodów szyfrowania…

Kolejny to ten, że powstały darmowe zaufane centra certyfikacji. Wydają one własne certyfikaty dla stron. Do tej pory były płatne, jeśli chcieliśmy więc pozyskać taki certyfikat, trzeba było za niego zapłacić. Od kiedy jednak pojawiły się całkowicie darmowe centra certyfikacji publicznej, sytuacja diametralnie się zmieniła. Każda strona, nawet niekomercyjna może taki certyfikat uzyskać. Szyfrowanie staje się zatem coraz bardziej powszechne, niebawem każdy będzie mógł się łączyć bezpiecznie. To właśnie sprawia, że ruch szyfrowany będzie stale wzrastał. Już teraz jest go w sieciach korporacyjnych nawet ok. 50 procent. A zatem firmy, które boją się złośliwego oprogramowania lub wycieku danych już teraz nie widzą prawie połowy swojego ruchu, a będzie tylko gorzej. Ponadto, niebawem wejdzie nowy standard dla stron www – HTTP 2.0, zakładający domyślne szyfrowanie połączeń. Wraz z jego upowszechnieniem skala zjawiska jeszcze bardziej wzrośnie. Dlatego właśnie pracodawca nie może sobie pozwolić, aby zablokować ruch szyfrowany. Jest go zwyczajnie za dużo, sparaliżowałby działanie pracowników.

A zatem jak działa Lynx?

Próbując nawiązać szyfrowane połączenie z serwerem, użytkownik tak naprawdę łączy się z naszym rozwiązaniem, które rozszyfrowuje transmisję, a następnie przesyła ją do systemów analitycznych. Uzyskawszy informację zwrotną czy przesyłane dane są bezpieczne czy też nie, blokuje połączenie lub na powrót szyfruje transmisję i przesyła do docelowego serwera. Wszystko jest jawne, ponieważ wcześniej pracodawca musi zainstalować w przeglądarce pracownika certyfikat Lynx. Jeśli natomiast użytkownik nie posiada certyfikatu, otrzyma ostrzeżenie z przeglądarki, że połączenie może być monitorowane. Lynx może rozszyfrować wszystkie wykorzystywane obecnie protokoły. Pracodawca może jednak zdefiniować „wrażliwe strony”, które nie będą podlegać deszyfracji.

Kto ustala takie „wrażliwe strony” wiemy. Pytanie, czy ma to miejsce za zgodą pracownika?

To bardzo ważny aspekt. Mamy tutaj dosyć wyraźną groźbę naruszenie prywatności. Jeżeli użytkownik łączy się z jakąś stroną w połączeniu szyfrowanym, to przecież chce, żeby te dane nie były widoczne po drodze, aby nikt ich nie podglądał. Jeżeli łączy się np. z serwisem randkowym, to nie chce, aby ktoś sprawdzał gdzie wchodzi, z kim i o czym rozmawia. Jako, że zablokowanie ruchu szyfrowanego nie jest rozwiązaniem, nasz produkt daje pracodawcy możliwość, aby wybrany ruch nie był odszyfrowywany i nie podlegał analizie.

Czy istnieje teoretyczna możliwość, że firma pozna nasze dane do logowania na stronę bankową, o ile jej na to pozwolimy za pośrednictwem wspomnianych certyfikatów?

Urządzenie technicznie ma taką możliwość, ale online banking jest znakomitym przykładem strony, która nie powinna być odszyfrowywana i nie powinna podlegać analizie, ponieważ nie stanowi ryzyka dla pracodawcy - ani w kontekście wycieku danych, ani pobrania złośliwego oprogramowania.

Ale co z prawem do prywatności pracowników?

Nasze rozwiązanie nie obniża bezpieczeństwa użytkowników i pozwala, aby w cywilizowany sposób szanować prywatność pracownika. My oferujemy tylko narzędzie, a to co zrobi z nim firma leży już po jej stronie. Sięgając po Lynx, pracodawca otrzymuje od nas także domyślnie zdefiniowaną listę serwerów, dla których Lynx ruchu nie odszyfrowuje. Są to trzy kategorie stron: instytucje finansowe, instytucje opieki zdrowotnej, oraz instytucje religijne. Poziom ten można rozszerzać także na inne obszary.

Innymi słowy to pracodawca powinien poinformować go o wykorzystywanym rozwiązaniu oraz określić poziom „inwigilacji”. A co jeśli mu o tym nie powie, abstrahując od kwestii prawnych takiej decyzji?

Technologicznie nie ma możliwości, aby bez wiedzy i zgody pracownika monitorować jego połączenia szyfrowane. Przy każdym wejściu z przeglądarki dostanie powiadomienie, że jego połączenie może być monitorowane.

Wyobrażam sobie jednak, że pracodawca może „poprosić” pracownika o zgodę, na monitorowanie wszelkich połączeń, w tym wspomnianego Facebook i Gmaila…

Moim zdaniem w dzisiejszym świecie należy budować świadomość użytkownika. Jeśli ma coś ważnego do zrobienia w sieci, ale nie chce, aby pracodawca poznał szczegóły tej aktywności, niech lepiej zrobi to na prywatnym urządzeniu. W przeciwnym razie mogą się pojawić kontrowersje dotyczące ochrony prywatności. Dla nas jest kluczowe, aby produkt dawał prywatność pracownikowi, ale przy pełnej ochronie biznesu pracodawcy, jego dobrego imienia i kosztów związanych z niefrasobliwością lub złą wolą pracownika.

Czy to rozwiązanie działa już na rynku?

Tak. Pierwszym klientem, który wdrożył u siebie Lynx była Najwyższa Izba Kontroli, a także jeden z dużych banków w Polsce. Rozwiązanie to zainteresowało również klienta z Meksyku i Korei Południowej, choć nasza firma nie wchodziła w żaden sposób na te rynki. To pokazuje innowacyjność naszego Lynxa i popyt na tego typu rozwiązania.

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Zapoznaj się z regulaminem i kup licencję

Reklama


Źródło:gazetaprawna.pl

Polecane

Reklama

  • dede(2016-02-18 08:42) Odpowiedz 121

    Nieuczciwemu lub nieuważnemu pracownikowi należy również zaspawać wejście USB, odebrać możliwość korzystania z drukarek, skanera oraz prywatnej komórki.

  • Olga(2016-02-18 11:37) Odpowiedz 100

    Ja nie Ufam żadnemu pracodawcy ,nie chce korzystać z jego sprzetu ,nie piszę prywatnych maili z jego sprzetu ani nie ogladam żadnych stron zbednych. Najlepsza zasada!

  • dr Tomasz(2016-02-18 11:58) Odpowiedz 92

    Rozwiązanie zastosowane przez Lynx jest typową metodą hackerską określaną Man in the Middle więc opowiadanie że nie obniża bezpieczeństwa jest wątpliwe, gdyż stając się pośrednikiem w transmisji faktycznie zakłóca autentyczność połączenia, gdyż podszywa się pod obie ze strony transmisji szyfrowanej.

    Pokaż odpowiedzi (1)
  • emde(2016-02-18 11:58) Odpowiedz 30

    Tak tak, zero zaufania. Wszystkim pracownikom najbezpieczniej jest profilaktycznie wyłupić oczy i uciąć języki.

    Pokaż odpowiedzi (1)
  • Wszystko fajnie.(2016-02-18 12:03) Odpowiedz 21

    Coś tak mi się wydaje, że wszystko fajnie, póki twórcy przeglądarek jak Google, czy Mozilla, nie dowiedzą się o tym i tego certyfikatu nie zablokują... Już rząd Kazahstanu próbował czegoś dokładnie tego samego, aby wymusić, tym razem na swoich obywatelach instalację wskazanego przez nich certyfikatu. Wycofał się z tego, o ile dobrze pamiętam.

    Pokaż odpowiedzi (1)
  • dyj(2016-02-19 22:01) Odpowiedz 20

    Komputer w pracy jest narzędziem pracy jak łpoata lub wiertarka. Czy robol w czasie pracy może robić tymi narzędziami dziury w innym miejscu ?

  • Liberal(2016-02-22 01:30) Odpowiedz 20

    Zawsze z góry zakładam, że służbowy laptop i telefon są inwigilowane. Jest to zrozumiałe, powinno być tylko uczciwie podane do wiadomości. Prywatne sprawy załatwiam na swoim prywatnym sprzęcie.

  • Obserwator(2016-02-21 13:27) Odpowiedz 10

    w nawiązaniu do tytułu odpowie robi to KRETYN

  • Marian(2016-02-18 12:22) Odpowiedz 10

    Można też mieć szczere wątpliwości co do skuteczności takich rozwiązań w dzisiejszych czasach, kiedy antyvirusy oparte na sygnaturach plików są w gruncie rzeczy totalnie bezużyteczne. Wspominał o tym nie kto inny, jak Netflix, który w zeszłym roku postanowił zrezygnować z używania antyvirusów opartych na sygnaturach, przerzucając się na na tzw. end-point security, który ma dużo bardziej obiecujące rezultaty. Wziąć, nie jest to coś nie do obejścia, lecz stanowi dużo bardziej skuteczną ochronę, firmy raczej powinny iść w tym kierunku, niż łamać protokoły szyfrowania (tak długo, jak przeglądarki im na to pozwolą) w celu bezsensownej analizy ruchu.

  • Slick(2016-03-01 09:22) Odpowiedz 00

    Tłumaczenie jest ciekawe. Niektórzy ludzie czepiają się producentów broni, a oni też produkują tylko narzędzia, z którymi właściciel robi, co chce.

  • Ankod(2016-03-05 11:12) Odpowiedz 00

    Instalując takie rozwiązanie warto pamiętać, że bierze się też odpowiedzialność za przesyłane dane. Firma, a konkretnie jej proxy staje się potencjalnym punktem wycieku informacji, od tego tematu odpytywany uciekł zaznaczając, że banki powinny być wyłączone z monitorowania. Firma często niecelowo może w każdej chwili wpaść w regulacje i wymogi, których nie przewidziała (tajemnica korespondencji, tajemnica bankowa, tajemnica lekarska itd., hasła do stron to najmniejszy problem), a odpowiedzialność nie ogranicza się jedynie do swoich pracowników, ale też osób trzecich, których dane mogą znaleźć się w systemie. Takie rozwiązanie jest w dużej mierze ryzykowne prawnie, warto w nie inwestować w sytuacji, gdy dane przetwarzane w firmie same w sobie są chronione (bank, placówki medyczne... ).

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Dowiedz się więcej

Prawo na co dzień

Galerie

Polecane

Reklama