ABN vs personeelsgebruik Spotify etc vs belasting netwerk

Het lijkt me op meerdere vlakken niet onbegrijpelijk dat een dergelijk bedrijfsnetwerk voor privedoeleinden gebruikt wordt:
- beveiliging bedrijfsnetwerk: waarom alle priverommel over het bedrijfsnetwerk met alle risico's vandien (het is potentieel een extra ingang voor hackers, anders als internet)
- zoals aangegeven kosten en bandbreedte
- privacy van de werknemer: wat monitort de werkgever
Gooi die vpn gewoon dicht als er niet gewerkt wordt en blokkeer /verbied privegebruik via de vpn, je kan met diezelfde laptop prima over je eigen internetverbinding surfen.
Mocht er gevoelige data op de laptop zelf aanwezig zijn dan lijkt me het verstandiger om privegebruik van die laptop helemaal uit te sluiten.

Anoniem: 392841 schreef op vrijdag 26 mei 2017 @ 02:38:
Is dit een foute inrichting, zo ja waar waarschijnlijk, of een onontkombaar probleem van de cloud voor banken?

Niet per se. Ze laten blijkbaar alle laptops van hun medewerkers alleen het internet op via een VPN naar de bank toe. Dat deelt enigszins capaciteit met de systemen van de bank zelf en heeft dus invloed op elkaar. Normaal niet zo'n punt, totdat iedereen opeens gaat zitten netflixen. Bovendien kost 't geld, en laat 't duidelijk zijn dat netflix privégebruik is.

Een prima legitieme vraag imo om medewerkers te vragen dat niet te doen op de laptops van de zaak maar daarvoor eigen apparatuur te gebruiken.

Op het moment dat personeel tijd heeft om te Netflixen is er te weinig werk. Dit betekent dat er te veel mensen rond lopen. Daar ligt een flinke besparing voor de bank.

Wanneer het om het netwerk gaat lijkt het mij niet zo handig om klanten via ditzelfde netwerk te laten werken. Ik mag hopen dat het netwerk waar het hele internet bankieren op draait gescheiden is van het interne netwerk.

sypie schreef op vrijdag 26 mei 2017 @ 06:16:
Op het moment dat personeel tijd heeft om te Netflixen is er te weinig werk. Dit betekent dat er te veel mensen rond lopen. Daar ligt een flinke besparing voor de bank.

Wanneer het om het netwerk gaat lijkt het mij niet zo handig om klanten via ditzelfde netwerk te laten werken. Ik mag hopen dat het netwerk waar het hele internet bankieren op draait gescheiden is van het interne netwerk.

Waar het hier om gaat, is dat alle laptops (en andere apparaten waarschijnlijk ook) alles via een VPN met de infra van de bank doen (dus geen split tunneling). Dus er gaat een VPN naar de infra van de bank en vanuit daar gaat het apparaat pas (beveiligd) het internet op. De systemen voor internetbankieren zullen niet in hetzelfde LAN zitten, maar waarschijnlijk wel gebruik maken van dezelfde infra.

Als er dus 100 mensen op hun vrije dag buiten de bank met een laptop gaan zitten Netflixen enzo, dan ga je die infra daarmee dus (onnodig) belasten. Dat is niet alleen een kwestie van de capaciteit van internetlijnen, maar ook capaciteit van firewalls, proxies, VPN servers en IPS systemen. Dit is een dure (maar veilige) manier van werken.

Deze manier heeft voor de medewerker 1 nadeel: grote kans dat men op detailniveau kan rapporteren over het gebruik van diensten zoals Netflix. Mocht het inderdaad problemen veroorzaken en men gaat op zoek naar de oorzaak, dan zal men dus ook kunnen zien welke apparaten op dat tijdstip "illegale dingen" aan het doen waren. Het zou zelfs zomaar kunnen dat men zelfs kan zien welk AD user account betrokken is.

Geen idee hoe de laptops er tegenwoordig aan toe zijn bij de ABN maar in een aantal gevallen "moest" je eerst een VPN opzetten voordat er op de machine enige vorm van internet-connectivity mogelijk was via de browser/OS. Allerlei verplichte/dichtgetimmerde settings omtrent proxies waardoor je dus zonder VPN geen enkel antwoord kreeg van, bijvoorbeeld, Netflix of Tweakers.

Neemt niet weg dat het nieuwsbericht echt een BS-verhaal is. Als de ABN het wel nodig vindt dat mensen een VPN gebruiken maar niet iets als NetFlix mogen gebruiken, gooi je die protocollen/IP's toch lekker dicht in je firewall-rule? Of een ontmoedigingsbeleid; zet een maximale bandwidth van 50KB/s neer op bepaald verkeer en mensen stoppen dan vanzelf met het gebruik van een dienst.

Maar blijkbaar is er een structureel probleem binnen de ABN; je krijgt een laptop van de zaak, daar hoort een gebruikersovereenkomst bij, die overeenkomst wordt dus relatief veel/vaak geschonden en maatregelen helpen niet dus maken we er een nieuwsbericht van? Roep lekker die dames & heren ter verantwoording intern? Of hou bij welke persoon hoeveel bandbreedte verbruikt en factureer de hele bende door naar de betreffende afdelingsmanager?

MAX3400 schreef op vrijdag 26 mei 2017 @ 08:07:
Maar blijkbaar is er een structureel probleem binnen de ABN; je krijgt een laptop van de zaak, daar hoort een gebruikersovereenkomst bij, die overeenkomst wordt dus relatief veel/vaak geschonden en maatregelen helpen niet dus maken we er een nieuwsbericht van? Roep lekker die dames & heren ter verantwoording intern? Of hou bij welke persoon hoeveel bandbreedte verbruikt en factureer de hele bende door naar de betreffende afdelingsmanager?

Let even op je aannamens....
Zakelijke laptops van ABN mogen wel prive ingezet worden echter kan/mag dit alleen als ze een VPN connectie hebben en zodoende gebruik maken van het beveiligde netwerk van de bank ((beveiligings)vereisten van de bank). Er wordt niets geschonden.

De NOS had er gisteren al een artikel over. Niet heel uitgebreid en gebaseerd op FD maar goed.

Enige wat ik me afvraag waarom er geen scheiding is. Maar goed, wellicht hebben ze een prima FW cluster waar alles overheen moet...zowel kantoor als vpns als extern web/betalings-verkeer.

Dan maar Netflixen en Spotifyen op een prive-device ipv de werkbak.

[ Voor 4% gewijzigd door eric.1 op 26-05-2017 08:45 ]

eric.1 schreef op vrijdag 26 mei 2017 @ 08:30:
[...]

Enige wat ik me afvraag waarom er geen scheiding is. Maar goed, wellicht hebben ze een prima FW cluster waar alles overheen moet...zowel kantoor als vpns als extern web/betalings-verkeer.

Dan maar Netflixen en Spotifyen op een prive-device ipv de werkbak.

De scheiding is er niet omdat je met een split tunnel verkeer op je domein computers toelaat dat je er liever niet op hebt. Zeker bij een bank kan ik me heel goed voorstellen dat je complete controle over je devices wil hebben voor de beveiliging.
En ik ben het met je eens dat je niet je werkcomputer voor privezooi moet gebruiken. Heb ook nooit gesnapt dat mensen hun zakelijke nummer ook privé gebruiken.

Wat ik niet helemaal begrijp is waarom ABN blijkbaar het netwerkverkeer voor personeel (VPN, etc) over dezelfde infra laat lopen als het netwerkverkeer voor hun websites en achterliggende systemen.

Nu is het netwerk van ABN oneindig veel groter dan wat ik beheer, toch zou ik persoonlijk het verkeer juist bij zo'n omvang splitsen. Liefst over zo veel mogelijk gescheiden infra en internet verbindingen.

Andere optie is bandwidth throttling, gewoon al het verkeer van bezoekers van de website (klanten) voorrang geven boven de rest.

Wat ik me nog wel kan voorstellen is dat dit zo word gebracht, om personeel bewust te maken. Bij zo'n bank zit het overgrote deel niet-technisch personeel en om hen aan te spreken, moet je andere taal gebruiken, soms zelfs dingen iets anders vertellen dan ze werkelijk zijn, om de boodschap over te brengen.

Ik vond de berichtgeving op het journaal gewoon lachwekkend.
Er werden in het korte bericht alleen maar 'grote' namen geroepen, imho vooral "zwartmaken" van de ABN.
Er wordt gesuggereerd dat de medewerkers vooral op streamingdiensten rondhingen, EN dat dit de pinbetalingen in gevaar brengt, qua snelheid.

Pas achteraf, door zelf doorzoeken, kom je erachter dat het niet persé onder werktijd is, maar gebruik van apparatuur in gebruik en door routering over de VPN.
Dat dit niet handig is ( aan de kant van de bank ) is één, maar dat dit zo gechargeerd ingezet word op streaming-gebruik vs pinbetalingen vind ik eerder komkommertijd dan nieuwswaardig.

Hun servicedesk zal nu vooral opmerkingen gaan krijgen of ze wéér film aan het kijken waren, omdat het zo lang duurde

Ik vind het niet per so onhandig van de bank.

Je kan niet de verantwoordelijkheid voor het gebruiken van een veilige verbinding bij thuiswerken bij je medewerkers neerleggen, voordat je het weet zitten ze toch op een wifi-netwerk waarvan de beveiliging niet zo optimaal is en dan is je laptop een heel stuk kwetsbaarder voor aanvallen.
Een VPN-verbinding afdwingen op het moment dat een laptop niet direct aan het bedrijfsnetwerk hangt vangt een hoop kwetsbaarheden af, maar dan zit je dus wel met alle verkeer over je eigen infrastructuur.
Prima als mensen thuis een beetje nu.nl lezen (dat doen ze onder werktijd vast ook), maar lekker Netflix in bed dat merkt de infrastructuur wel. Volgens mij kost dat, met of zonder splitsing en tunneling etc. altijd gewoon resources op het bedrijfsnetwerk.

Logische keus om dat dus onmogelijk te maken, genoeg bedrijfsnetwerken waar veel meer dichtgetimmerd zit.

ABN Amro had beter de statistieken achter de maatregel voor zich kunnen houden, dan was het een stuk lastiger zulke aandachtstrekkende nieuwskoppen te genereren.

unezra schreef op vrijdag 26 mei 2017 @ 09:31:
Wat ik niet helemaal begrijp is waarom ABN blijkbaar het netwerkverkeer voor personeel (VPN, etc) over dezelfde infra laat lopen als het netwerkverkeer voor hun websites en achterliggende systemen.

Nu is het netwerk van ABN oneindig veel groter dan wat ik beheer, toch zou ik persoonlijk het verkeer juist bij zo'n omvang splitsen. Liefst over zo veel mogelijk gescheiden infra en internet verbindingen.

Andere optie is bandwidth throttling, gewoon al het verkeer van bezoekers van de website (klanten) voorrang geven boven de rest.

Wat ik me nog wel kan voorstellen is dat dit zo word gebracht, om personeel bewust te maken. Bij zo'n bank zit het overgrote deel niet-technisch personeel en om hen aan te spreken, moet je andere taal gebruiken, soms zelfs dingen iets anders vertellen dan ze werkelijk zijn, om de boodschap over te brengen.

Vanuit een security point of view kan ik mij juist heel goed voorstellen dat ze dit doen.
Wat als iemand over zijn eigen internet lijntje besmet raakt met weet ik veel wat voor virus/locker/etc. Dan weet je niet wat je vervolgens je bedrijfsnetwerk op laat. En dus toegang geeft tot heel wat gevoelige gegevens!

Door zelf al het internet verkeer te controleren proberen ze dat blijkbaar onder controle te houden. Want geef toe het thuisnetwerk van medewerker X is ook gewoon een security risk.

Meekoh schreef op vrijdag 26 mei 2017 @ 09:52:
[...]
Vanuit een security point of view kan ik mij juist heel goed voorstellen dat ze dit doen.
Wat als iemand over zijn eigen internet lijntje besmet raakt met weet ik veel wat voor virus/locker/etc. Dan weet je niet wat je vervolgens je bedrijfsnetwerk op laat. En dus toegang geeft tot heel wat gevoelige gegevens!

Door zelf al het internet verkeer te controleren proberen ze dat blijkbaar onder controle te houden. Want geef toe het thuisnetwerk van medewerker X is ook gewoon een security risk.

Dat is niet wat ik zeg...

Wat ik zeg is dat als ik ABN zou zijn, ik de verkeersstromen zo veel mogelijk gescheiden zou houden en over eigen infra zou lopen.

Dus ja, absoluut al het verkeer door een VPN tunnel laten lopen maar die tunnel termineren op andere infra dan de websites waar klanten gebruik van maken en de uitgaande verkeersstromen over diezelfde gescheiden lijnen naar buiten laten lopen.

Op die infra pas je dan natuurlijk uitgebreide security toe, juist daar wil je deep packet inspection doen en herleiden wel pakketje bij welke user vandaan komt zodat als er ellende komt, je met anderhalve druk op de knop weet wie je van zijn bureaustoel moet tillen.

unezra schreef op vrijdag 26 mei 2017 @ 09:56:
[...]


Dat is niet wat ik zeg...

Wat ik zeg is dat als ik ABN zou zijn, ik de verkeersstromen zo veel mogelijk gescheiden zou houden en over eigen infra zou lopen.

Dus ja, absoluut al het verkeer door een VPN tunnel laten lopen maar die tunnel termineren op andere infra dan de websites waar klanten gebruik van maken en de uitgaande verkeersstromen over diezelfde gescheiden lijnen naar buiten laten lopen.

Op die infra pas je dan natuurlijk uitgebreide security toe, juist daar wil je deep packet inspection doen en herleiden wel pakketje bij welke user vandaan komt zodat als er ellende komt, je met anderhalve druk op de knop weet wie je van zijn bureaustoel moet tillen.

dan nog, het verkeer moet uiteindelijk naar buiten het internet op. Zowel dat van de website als het prive Netflix verkeer. Dat kost bandbreedte, bandbreedte kost geld. Waar geef jij liever als bank je geld aan uit, het beschikbaar zijn van diensten voor klanten (en dus inkomsten) of voor prive gebruik medewerkers?

Meekoh schreef op vrijdag 26 mei 2017 @ 10:01:
[...]

dan nog, het verkeer moet uiteindelijk naar buiten het internet op. Zowel dat van de website als het prive Netflix verkeer. Dat kost bandbreedte, bandbreedte kost geld. Waar geef jij liever als bank je geld aan uit, het beschikbaar zijn van diensten voor klanten (en dus inkomsten) of voor prive gebruik medewerkers?

Tuurlijk, maar het argument hier is "het kost bandbreedte die ten koste gaat van de bandbreedte die beschikbaar is voor klanten / bezoekers van de website" en er zijn prima manieren te verzinnen dat te voorkomen.

Gewoon het zo veel mogelijk scheiden van je verkeersstromen en je bent er. Kun je specifieker je security bepalen ook, wat in mijn beleving de totale veiligheid ten goede komt en security iets minder log maakt.

Anoniem: 392841 schreef op vrijdag 26 mei 2017 @ 02:38:
In het kort - ABN AMRO heeft de medewerkers gevraagd voortaan niet meer streaming-diensten via de bedrijfsapparatuur zoals laptops e.d. af te spelen, m.u.v. YouTube aangezien ABN dat zelf ook voor promotiedoeleinden gebruikt. Tot dusver niks opvallends... maar dan komt het aparte: "Het afspelen van de video's en muziek kost de bank 15 procent van de capaciteit. Daardoor vreest de bank dat het netwerk overbelast kan raken. Met als mogelijk gevolg dat klanten niet meer kunnen internetbankieren."

Is dit een foute inrichting, zo ja waar waarschijnlijk, of een onontkombaar probleem van de cloud voor banken?

Ik lees dit en denk, man man man. Ik mag toch hopen dat ABN zijn internetbankieren omgeving en zijn werknemers omgeving compleet los van elkaar heeft draaien. Laat ik het zo stellen ik weet zeker dat ze dit compleet los van elkaar hebben draaien. En dat geen enkele laptop met VPN daarbij kan. Waarom? Omdat deze gegevens en de internetbankieren omgeving bloed interessant zijn voor hackers etc etc. Waarom zou je dan ontzettende veel moeite stoppen om het via de voorkant zo moeilijk mogelijk te maken voor hackers, terwijl ze zo via een VPN overal bij kunnen...

De mail die je hebt ontvangen met dit domme zinnetje erin is bedacht door marketing om je gevoel van verantwoordelijkheid aan te spreken, want jij wilt toch niet dat een klant! van het bedrijf waar jij voor werkt niet kan internetbankieren omdat jij zit te bingewatchen

inbedrijf schreef op vrijdag 26 mei 2017 @ 10:20:
[...]
Waarom zou je dan ontzettende veel moeite stoppen om het via de voorkant zo moeilijk mogelijk te maken voor hackers, terwijl ze zo via een VPN overal bij kunnen...

Ik vind het wel knap hoe je van een nieuwsbericht dat stelt 'het gaat via dezelfde internetverbinding en zit elkaar dus dwars' in twee zinnen naar "ze zo via een VPN overal bij kunnen" gaat. Ik snap zelf ook niet zo heel goed waarom dit (schijnbaar) dusdanig is opgezet dat het internetverkeer van medewerkers de bandbreedte voor de publieke sites in de weg zit, maar wat jij stelt slaat echt nergens op.

Als je in je vrije tijd wil Netflixen of dergelijks, doet dat lekker mobiel. Het netwerk van een bedrijf is voor werkzaamheden binnen het bedrijf, of het nu ABN of anders is.

jpiwf schreef op vrijdag 26 mei 2017 @ 09:04:
[...]

De scheiding is er niet omdat je met een split tunnel verkeer op je domein computers toelaat dat je er liever niet op hebt. Zeker bij een bank kan ik me heel goed voorstellen dat je complete controle over je devices wil hebben voor de beveiliging.

De split tunnel snap ik volkomen, daar doelde ik ook niet op. Anders kun je net zo goed geen VPN connectie verplichten.

Ik zat me alleen even af te vragen waarom interne medewerkers (en systemen) precies dezelfde infra en bandbreedte gebruiken als de extern geinitieerde web- en betaalsessies (van de "klanten"). Maar goed..op zich niet vreemd; kan je op een "punt" een batterij aan Firewall, IDS en IPS systemen en configuraties op het verkeer los te laten.

MAX3400 schreef op vrijdag 26 mei 2017 @ 08:07:
Neemt niet weg dat het nieuwsbericht echt een BS-verhaal is. Als de ABN het wel nodig vindt dat mensen een VPN gebruiken maar niet iets als NetFlix mogen gebruiken, gooi je die protocollen/IP's toch lekker dicht in je firewall-rule? Of een ontmoedigingsbeleid; zet een maximale bandwidth van 50KB/s neer op bepaald verkeer en mensen stoppen dan vanzelf met het gebruik van een dienst.

Bij ons was YouTube ook zo'n data vreter. En toen hebben ze inderdaad ook gewoon YouTube geblokkeerd omdat het niet nodig was voor je werk. En als je het toch nodig hebt, kijk je het maar via je mobiel. Ik zou als ik de ABN was, gewoon de poorten of IP adressen van Spotify dichtgooien. Als mensen willen luisteren, doen ze dat maar via hun eigen mobiel.

Laptops van ABN zijn gewoon te gebruiken, zonder de VPN te starten (cisco), en zo lekker te surfen! Non-discussie dus

Tot het tegendeel bewezen is gaat het volgens mij alleen om Netflix/Spotify gebruik in privetijd op de bedrijfslaptop. Ik vind het allemaal niet zo spannend, logisch dat die laptop zo dichtgetimmerd zit dat je wel over de vpn moet. Wanneer heel veel mensen dit doen kan dit wel eens netwerk problemen opleveren. Blijkbaar heeft ABN Amro veel mensen die voor hun werk ook moeten reizen, zo gebruik ik ook regelmatig Netflix op mijn werklaptop vanuit de hotelkamer. Waarom zou je thuis op je bedrijfslaptop gaan netflixen? een simpele chromecast is dan toch veel relaxter via de tv.

edit: vorige reactie, blijkbaar zonder VPN ook te gebruiken, tja dan is het helemaal logisch dat je het op de vpn niet toe staat.

[ Voor 10% gewijzigd door My Tec Master op 26-05-2017 17:55 ]

menn0 schreef op vrijdag 26 mei 2017 @ 14:10:
Laptops van ABN zijn gewoon te gebruiken, zonder de VPN te starten (cisco), en zo lekker te surfen! Non-discussie dus

Zal vast kunnen, maar zoals ik het begrijp is dat dus niet toegestaan. Geen non-discussie dus?

Robkazoe schreef op vrijdag 26 mei 2017 @ 11:53:
[...]

Ik zou als ik de ABN was, gewoon de poorten of IP adressen van Spotify dichtgooien.

Dat is niet te doen. Het verkeer loopt gewoon over poort 443, en al die IP adressen blacklisten is ook niet aan te beginnen. Gelukkig hebben firewalls daarvoor "application control". Hiermee blokeer je gewoon de applicatie Netflix/Spotify en je bent klaar. Daarvoor hoef je niet eens deep inspection te doen.

Daar heb je gelijk in, het was nog vroeg in de ochtend, maar het hoeft inderdaad niet zo te zijn dat de VPN daar iets mee heeft te maken.

Orion84 schreef op vrijdag 26 mei 2017 @ 10:27:
[...]

Ik vind het wel knap hoe je van een nieuwsbericht dat stelt 'het gaat via dezelfde internetverbinding en zit elkaar dus dwars' in twee zinnen naar "ze zo via een VPN overal bij kunnen" gaat. Ik snap zelf ook niet zo heel goed waarom dit (schijnbaar) dusdanig is opgezet dat het internetverkeer van medewerkers de bandbreedte voor de publieke sites in de weg zit, maar wat jij stelt slaat echt nergens op.

Ben ik dan de enige die het raar vind dat de laptops van werknemers blijkbaar op hetzelfde netwerk zitten als waar de servers van internetbankieren staan? Zal wel aan mij liggen maar dat lijkt me een gevalletje slechte netwerkinrichting.

Ramon schreef op vrijdag 26 mei 2017 @ 21:57:
Ben ik dan de enige die het raar vind dat de laptops van werknemers blijkbaar op hetzelfde netwerk zitten als waar de servers van internetbankieren staan? Zal wel aan mij liggen maar dat lijkt me een gevalletje slechte netwerkinrichting.

Lees het bedricht van @inbedrijf nog eens.
Hij geeft aan dat dit dus _niet_ het geval is.

Het lijkt vooral een stukje awareness te zijn waarom ze dit zo naar buiten brengen maar technisch zit de vork naar alle waarschijnlijkheid net even iets anders in de steel. Lijkt me logisch ook. Ook in grote organisaties werken randdebielen maar toch vind ik dat je redelijkerwijs mag aannemen dat er bij een bank als de ABN, techneuten zitten die weten hoe het moet en managers die luisteren naar die techneuten.

Ik denk dat dit gewoon een bezuinigingsmaatregel is, om zo het personeel minder af te laten leiden.

Zie bijvoorbeeld ook http://www.nu.nl/carriere...s-fruit-personeel-af.html
waarin ook de besparing in uren en kosten worden genoemd.

unezra schreef op zaterdag 27 mei 2017 @ 08:44:
[...]


Lees het bedricht van @inbedrijf nog eens.
Hij geeft aan dat dit dus _niet_ het geval is.

Je beseft dat die uitspraak op niets anders gebaseerd is dan vermoedens en een onjuiste redenering dat het vanwege Security nooit zo in elkaar kan zitten?

Orion84 schreef op zaterdag 27 mei 2017 @ 08:58:
[...]

Je beseft dat die uitspraak op niets anders gebaseerd is dan vermoedens en een onjuiste redenering dat het vanwege Security nooit zo in elkaar kan zitten?

Ik moet heel eerlijk zeggen dat ik zijn zinnen anders interpreteerde.

Wat ik las is "ik heb inside kennis en daarom weet ik dat", niet "het lijkt me onwaarschijnlijk dat, want security".

Misschien is dat een verkeerde aanname van mij.