Bedrijf man in the middle analyzer

even wat vraagjes over je OP
je zit op school, en hebt al een IT-carrière? (niet dat het één het ander uitsluit, maar toch)
zijn er veel bedrijven die internetverkeer analyseren/opslaan? waar baseer je dat op?
Welk programma wordt dan gebruikt?

Omschrijf 'iets' eens.

Hier is zeker geen pasklaar antwoord op. Er moet altijd een redelijk balans gevonden worden tussen 'privacy voor de medewerker', en 'bedrijfsbelang'. Daarnaast maakt het ook heel veel uit wat er aan (geschreven) regels en prvavcy policy is.

Zo zal een bank of bedrijf dat voor het nederlandse leger zaken ontwikkeld, zeker scherper toezicht kunnen/mogen houden, dan de Albert Heijn die de Wifi van vakkenvullers zou monitoren. Maar ook dan geldt - daar hoort over het algemeen - in beide gevallen - ook (zeker, eerst!) een duidelijk reglement bij.

Ook voor het geval een medewerker 'iets' gedaan heeft, ligt het bepaald niet makkelijk. Ten eerste hangt het er van af wat de 'overtreding' feitelijk is (even prive internetbankieren in de koffie pauze via de werkcomputer, of het pentagon hacken?). Bij strafbare feiten kan een werkgeven niet zomaar politie agentje gaan spelen; maar ook in andere gevallen is het niet simpel tegelijkertijd onderzoeken, aanklagen en veroordelen.

Voor wat betreft het opslaan en analyseren kom je overigens ook nog de 'gewone privacy wet' tegen (ik sla bewust even details als de nieuwe europese richtlijnen over). Kort gezegd moet je (als school/organisatie /bedrijf) altijd een grondslag ('goede reden') hebben om data te vewerken (=opslaan, analyseren, bewerken, aan iemand anders doorgeven, etc). "Zomaar, omdat het kan", is *geen* acceptabele reden. Het beschermen van bedrijfsgeheimen wel. Het 'voorkomen van strafbare feiten' weer niet; want dat is absoluut geen taak van de school of bedrijf.

Lang verhaal kort, dit is voer voor specialisten. Elk geval is weer anders...

Hier vind je een duidelijk stukje over dit onderwerp:

https://ictrecht.nl/jurid...ernetgebruik-op-het-werk/

Ik denk dat je de vraag iets specifieker kunt stellen.

Je kan namelijk ook zeggen dat ieder bedrijf met een leuke (next-gen) firewall het verkeer van haar medewerkers analyseert en logt - puur ter filtering/beveiliging. Daar is nog altijd niets mis mee.

Maar zodra ze puur verkeer gaan sniffen om eens te kijken wat medewerker X uitspookt (hele omslachtige manier trouwens) dan moet die medewerker specifiek geinformeert worden - en volgens mij moet er nog altijd een goede reden voor zijn; anders weegt het recht op privacy van de medewerker zwaarder dan de wens van het bedrijf.

zonderbloem schreef op vrijdag 10 november 2017 @ 10:55:

Mag dit eigenlijk wel van je medewerkers?

Laten we voorop stellen: een bedrijf is geen democatie dus als de baas iets wil en dat wettelijk zou mogen, staat dat dus in je contract. Als werknemer heb je daar niets tegenin te brengen anders dan niet in dienst treden.

Daarnaast is er een bewaarplicht maar ook een vernietigingsplicht. De werkgever moet hierop controleerbaar zijn, al dan niet door een interne commissie of een externe audit.

En dan de daadwerkelijk opgeslagen data: als er vermoedens zijn dat werknemer zich niet aan de gestelde regels houdt, is het toegestaan de opgeslagen data te analyseren, dit in een beoordeling mee te nemen en/of ten grondslag aan ontslag (op staande voet) valideert.

Ik moet zeggen; de discussie bij jou op school is waarschijnlijk een beetje "van horen zeggen" geweest zonder namen/produkten te hebben genoemd/onderzocht die dit daadwerkelijk mogelijk maken?

zonderbloem schreef op vrijdag 10 november 2017 @ 12:58:
[...]

<pfSense>

Ja en? Met de manier die jij beschrijft kan je absoluut geen HTTPS-traffic inzien/uitlezen. Met mijn Asus router kan ik ook "route print" doen en zie ik ook alle interne en externe IP's, poort/procotol etc.

Sterker nog; als ik een site maak zoals http://wwww.lekkeranoniem.nl en daar log je in in een iframe-SSL-portal van https://www.illegalezooi.nl, krijg je een SSL-certificaat en dus een slotje in je browser. Het enige wat jij als "pfSense-beheerder" ziet is dat er misschien 900MB aan data naar http://wwww.lekkeranoniem.nl gaat maar niet wat er encrypted vanaf illegalezooi.nl binnenkomt.

Desondanks; ik kan het verkeerd hebben. Misschien dat jij/jullie hele dure installaties van pfSense hebben. Trek je monitoring/tooling maar eens open en probeer maar eens dat iemand anders inlogt op internetbankieren en 1 cent overmaakt naar jou. Grote kans dat pfSense echt niet het IBAN-nummer van jou weet te decrypten van de overschrijfpagina.

Een beetje fatsoenlijk bedrijf heeft een "Code of conduct" waar ook het IT deel in staat beschreven.
Ik werk voor een technisch chemie bedrijf met veel beroepsgeheimen en daar staat dus ook in dat we alles monitoren en eventueel verder mogen onderzoeken, als een gebruiker in dienst komt moet hij dit verplicht doorlezen en tekenen. Zo is de werkgever gedekt en weet de werknemer waar hij aan toe is en dat hij niet stiekem word gemonitord.

En ja wij gebruiken ook next gen firewalls met man in the middle HTTPS inspectie.

zonderbloem schreef op vrijdag 10 november 2017 @ 13:08:
Mijn topic was meer de vraag waar de grens ligt

Volgens mij is dat antwoord al enkele keren gegeven maar het enige antwoord waar je mee kwam is dat je IP-adressen kan zien in pfSense?

Mogelijk, extra, zal je ook moeten kijken naar certificeringen van een bedrijf zoals ISO/NEN maar ook overkoepelende bepalingen zoals AFM.