Als je als werkgever zover wilt gaan , kun je beter internet toegang geheel blokkeren op het bedrijfsnetwerk en en speciaal netwerk voor internet activiteiten opzetten.

Ja, zulke tools bestaan, en werken ook bij https.

Er zijn honderden sites waar mensen files of text kunnen dumpen, van grote sites als rapidshare tot een http-interface op een NAS bij iemand thuis. Die zal je nooit allemaal kunnen blokeren. Iemand die wel lekken vind wel een manier.

Los van de juridische vraag, het heeft weinig zin, er zijn legio risico's mbt lekken via internet, die kun je nooit allemaal technisch afdekken, behalve door internet toegang geheel af te sluiten en een eigen (intranet) omgeving te creeeren. De oplossing ligt in awareness bij de medewerkers en die aanspreken op hun verantwoordelijkheid in deze.

Het enige dat je niet met software alleen kunt voorkomen is het maken van foto's van beeldschermen.

Wat alleen vervelend is, is dat steeds meer applicaties juist toegang vereisen tot het Internet. En om het iets erger te maken, de introductie van OpenID maakt het mogelijk om web-applicaties te maken die de authenticatie van gebruikers koppelen aan hun Google-, Yahoo-, Hotmail-, Facebook en zelfs Twitter-account. Dan heb je juist toegang nodig om een applicatie te kunnen gebruiken!
Gelukkig zijn er nog niet al te veel sites die gebruik maken van OpenID. Maar over 5 jaar kon het wel eens de authenticatie-standaard worden, mede omdat je dan niet je eigen authenticatie-systeem hoeft te ontwikkelen.
Het is vreemd want steeds meer bedrijven willen graag software die bestaat uit diverse websites, web services en wat desktop tooltjes. Vooral het feit dat web services de gegevens centraal kan opslaan terwijl men decentraal toegang heeft, maakt het geheel enorm populair. Maar ja, dan is wel Internet-toegang nodig.

En ook vervelend: Google maakt steeds meer gebruik van SSL om te voorkomen dat men kan meeluisteren met het dataverkeer om te zien wat gebruikers binnen het netwerk doen. Dat maakt controle door werkgevers op de inhoud van de internet-pagina's een stuk lastiger.

In ieder geval, het opzetten van blokkades zonder dat je werknemers er hinder van ondervinden tijdens hun werk kan soms knap lastig zijn.

"Nu overwegen we webmaildiensten (Hotmail, Gmail etc.) te blokkeren omdat je ook daarmee gegevens zou kunnen laten lekken. Maar mag dat eigenlijk wel, dit i.v.m. de privacy van onze werknemers? "

Wat heeft het blokkeren van websites te maken met privacy ? Overigens vraag ik mij wel af wat de doelstelling is van deze akties; indien het gaat om het voorkomen van het opzettelijk lekken door insiders, dan is deze aktie vrijwel nutteloos. Immers zijn er nog honderdduizenden andere websites die je hiervoor kunt gebruiken, van webmail providers tot zaken als scribd, slideshare en google docs. Indien het gaat om dergelijke zaken, dan denk ik dat bovenstaande maatregelen vallen onder het kopje 'schijnveiligheid'.

Ik ben zelf geen jurist, dus misschien kan Arnoud er zelf iets meer over vertellen, maar ik heb mij ooit wijs laten maken dat het scannen en sniffen van verkeersstromen binnen het domein van een organisatie wel degelijk mag, mits er maar een heldere policy aan de gebruiker is overlegd over de do's en don'ts en de maatregelen die genomen worden ter handhaving.

Ofwel een gedragscode met "doe dit, laat dat" en hier tekenen voor gelezen en begrepen. Akkoord is niet nodig.

Privacy op de werkplek geldt maar tot zover en het is met name het beleid van de organisatie die bepaalt hoever. De wet roept alleen maar wat de kaders zijn. Daarbinnen mag men eigen beslissingen nemen, mits kenbaar gesteld.

Zelfde als het filmen van inbrekers in je eigen huis. Een bordje ophangen met "hier is camerabewaking" is voldoende om zijn 'privacy' volkomen op te blazen. Hij is vantevoren op de hoogte en de consequentie is voor hem als ie alsnog binnenkomt. Ik heb in mijn eigen domein zijn toestemming niet nodig.

Beste Arnoud,

Reagerend op je vraag:
"Ik heb geen idee of zulke tools bestaan en of ze ook werken bij https"

Palo Alto Networks heeft hiervoor Firewall-appliances die dergelijk uploads kan detecteren en blokkeren.
Zelfs als HTTPS wordt gebruikt.

A. Chan

Dit vind ik wel een interessante..
IANAL, maar.. de internet verbinding is *helemaal niet* van 'hun' (de diverse werknemers): die staat op naam van het bedrijf. Dus zou ik denken dat het bedrijf, binnen legale etc grenzen, mag bepalen wat zij met die verbinding doet. Dat sniffen niet zonder meer is toegestaan snap ik en ben ik ook voor, maar mensen moeten zich niet teveel willen toe eigenen.

Ik lees in een eerdere post dat sniffen wel zou zijn toegestaan als dit helder en duidelijk is vermeld en dat alle medewerkers daarvoor tekenen. Dat is ook wat ik altijd heb begrepen, en als Arnoud dat kan ontkrachten, bevestigen of nuanceren dan zou dat voor mij ook zeer welkome info zijn.

Hoe meer je werknemers beperkt, hoe meer ze naar systemen gaan die helemaal niet zo goed beveiligd zijn als je originele systeem. Het paard achter de wagen spannen.

Veelal staat er in de arbeidsovereenkomsten dat je ter beschikking gestelde zaken door het bedrijf alleen voor bedrijfsdoeleinden mag gebruiken. Daarnaast als de baas je surfgedrag wil controleren moet hij dit vooraf kenbaar hebben gemaakt, tenzij er een vermoede van fraude is. Imago schade is nl zo opgelopen als je bedrijfsgegevens verliest. Als werknemer dien je hier ook rekening mee te houden. Immers je komt om te werken en niet voor privé doeleinden.

"Nu overwegen we webmaildiensten (Hotmail, Gmail etc.) te blokkeren omdat je ook daarmee gegevens zou kunnen laten lekken."

Wat zou je hiermee willen bereiken? Tegenwoordig kunnen via het bedrijfsnetwerk vaak al bestanden van zo'n 15 MB worden verstuurd. Dit kunnen een hele boel vertrouwlijke documenten zijn, worden die dan ook gecontroleerd?

De oplossing is DLP wat staat voor Data Loss Prevention is de manier om dataleakage tegen te gaan en niet een oplossing wat slechts een druppel op de gloeiende plaat is.

Blokkade van webmail zou wel overwogen kunnen worden om de kans kleiner te maken dat schadelijke phishing mails op een bedrijfscomputer geopend kunnen worden, maar hiertegen werkt alleen een goede awareness campagne. Mijn advies zou zijn om in awareness te investeren en het optuigen van een goede security organisatie.

Deze vraag is niet op een verantwoorde wijze te beantwoorden zonder dat er meer details bekend zijn. Om te beginnen het juridische aspect:

De vrije toegang tot Internet is een essentieel deel van de secundaire arbeidsvoorwaarden aan het worden en bij grotere organisaties geregeld via een reglement. Wat bovendien eerst bij aanpassing om wettelijke redenen dient te worden aangeboden aan de OR. Dus de opmerking het mag is lang niet altijd, zonder enige mitsen en maaren correct.

Dan het security aspect. Het doel is data lekkage tegen te gaan. Een nutteloze exercitie omdat het met behulp van steganografische technieken relatief simpel is om bepaald data lekkage te verstoppen in andere communicatie stromen die wel correct lijken te zijn. Naast het feit dat een gehackte printer of een lekke appliance ook uitstekend data, al dan niet draadloos, naar buiten kan lekken. Veelal zijn dergelijke componenten helemaal niet met de reguliere anti data lekkage produkten te beschermen. Een gerichte aanval door iemand is dus niet gemakkelijk tegen te houden. In de praktijk is het dan ook veel gemakkelijker om domweg via DRM en vergelijkbare technieken (watermarking, fake records) vertrouwelijke documenten c.q. bestanden te detecteren op IDS/IPS, proxies en mail servers te registreren. Ook crypted data kan gepakt worden maar de technieken hiervoor zijn nog in ontwikkeling.

Het compliance aspect. Er is geen wet of regelgeving die expliciet eist dat toegang tot externe webmail als dienst voorkomen dient te worden. Logisch omdat het inderdaad schijnveiligheid is zoals eerder gemeld in een bovenstaande reactie. Wel kan om compliance redenen vereist worden dat servers met gevoelige data volledig netwerk technisch worden afgeschermd en geautoriseerde toegang alleen volledig gelogged mag plaats vinden. Dit is een veel realistischer aanpak omdat je hiermee inderdaad een hek om een applicatie heen zet in plaats van alleen om een van de 10 USB poorten bij wijze van spreken.

Het recherche aspect.
Bij een serieuze en bewijsbaar gegronde verdenking van bedrijfsspionage heeft men namelijk het recht om met behulp van een tap ALLE verkeer af te luisteren in het kader van het onderzoek. Ongeacht het type verkeer en de gebruikte componenten. Dat is ook nodig omdat in de praktijk de meeste mensen zaken versleutelen... Want ook de gemiddelde criminele organisatie heeft nog wel iets geleerd in de afgelopen jaren wijst de praktijk uit...

Conclusie:
Security is een proces waarbij je naar de hele keten moet kijken. Het dichtzetten van een paar webmail diensten getuigt van gebrekkige kennis van informatiebeveiliging. Dus aan de vragensteller het advies om de persoon die dat heeft voorgesteld niet meer serieus te nemen als het gaat om informatiebeveiliging. Het lost niks op.

My two cents...

Fubar

Het gebruik van steganografische technieken of hacken van printers is niet zo voor de hand liggend.

Het mailen van een bestandje ligt meer voor de hand, of het op een sticky zetten. Het voorkomen van downloads en uploads en het blokkeren van memory sticks helpt dan in ieder geval tegen al te makkelijk ongewenst gedrag.
Als je geen files kunt uploaden of attachen is het gebruik van gmail of hotmail weer niet echt een probleem.
Alles wat je intikt kun je ook schrijven, of in je mobiel kloppen. Maar het even expres of per ongeluk sturen van adresbestanden is dan weer lastig voor de meeste mensen. En dat zijn de meeste mensen.

Ik snap het nut van deze aktie niet.
Je wil niet dat mensen bestanden of andere zaken naar buiten kunnen brengen,
maar ze hebben wel laptops!!!!!!!!!!!!

onzinnig allemaal dus.

Je snapt het niet en het is -dus- onzinnig?

De harde schijf is geencrypt, kan dus naar buiten. Memory stick gedisabled, klantenbestand niet te dumpen via memory stick. ben je in het bedrijf, kun je vast inloggen. Is toch redelijk dicht ? Ik snap het wel.

"De vrije toegang tot Internet is een essentieel deel van de secundaire arbeidsvoorwaarden aan het worden en bij grotere organisaties geregeld via een reglement. Wat bovendien eerst bij aanpassing om wettelijke redenen dient te worden aangeboden aan de OR. Dus de opmerking het mag is lang niet altijd, zonder enige mitsen en maaren correct."

Totale onzin, want uitgaande van jouw argument zou je dus al de OR moeten raadplegen op het moment dat je een firewall installeert, of een router met access control lists.

"Dan het security aspect. Het doel is data lekkage tegen te gaan. Een nutteloze exercitie omdat het met behulp van steganografische technieken relatief simpel is om bepaald data lekkage te verstoppen in andere communicatie stromen die wel correct lijken te zijn."

Het gaat daarbij dan wel om de vraag of diegenen die je wilt stoppen te goeder trouw zijn, of niet. Werknemers die wel eens t.b.v. werk wat doorsturen naar een webmail account kan je ontmoedigen. Werknemers die te kwader trouw zijn, die gebruiken wel een andere webmail dienst die niet is geblokkeerd, danwel steganografie, encryptie of andere methodes op hun activiteiten te verhullen.

"Je wil niet dat mensen bestanden of andere zaken naar buiten kunnen brengen, maar ze hebben wel laptops!!!!!!!!!!!!"

Zoals je in het artikel kunt lezen zijn er dus ook maatregelen genomen om te voorkomen dat men materiaal van de laptops kan kopieren (al denk ik dat dat weinig zin heeft, immers is de ethernet port nog altijd aktief, dus je kunt via het netwerk data naar andere devices kopieren?).

"De harde schijf is geencrypt, kan dus naar buiten. Memory stick gedisabled, klantenbestand niet te dumpen via memory stick. ben je in het bedrijf, kun je vast inloggen. Is toch redelijk dicht ? Ik snap het wel."

Hoe zie jij dat dan als redelijk dicht ? Immers kan je een USB device gewoon aansluiten op je netwerk en sharen, waarna je data kunt kopieren. Ook kan je data op andere systemen op je netwerk plaatsen (i.e. je prive desktop), of je kunt de data op systemen op internet plaatsen via email, via websites, via ftp en ga zo maar door.

Volgens mij is het zo lek als een mandje, tenzij er ook maatregelen genomen zijn om te voorkomen dat je data via andere uitgangen dan USB kan kopieren ;)