Netwerkactiviteit loggen [techniek en juridisch]

Wat voor gebruiker is het?

Als het je eigen minderjarige kind is dan kun je logging tools installeren.

Ieder ander geval is gewoon schenden van privacy, daar is weinig 'eventueel' aan.

In een bedrijfsomgeving werk je vaak met een proxy server waarop je bepaalde website categorieen wel of niet toestaat. bijvoorbeeld: https://www.fortiguard.com/webfilter/categories

g1n0 schreef op vrijdag 13 januari 2023 @ 18:15:
Het gaat om een zakelijke setting. Gebruik van bedrijfscomputers op bedrijfsnetwerk. Lijkt me dat bedrijven dit toch wel (met enkele voorwaarden) mag monitoren?

Yup. 1 van de belangrijkste voorwaarden is dat van te voren expliciet duidelijk gemaakt is dat dit geld en bekeken wordt. En met expliciet bedoelen we dan dat er een handtekening van de gebruiker onder staat. Zonder dat is het nogsteeds gewoon illegaal.

Ook in een week situatie wordt enige mate van privacy als standaard gezien.

https://www.ictrecht.nl/b...emers-hoe-ver-mag-je-gaan

Een proxy is inderdaad veel gebruikt. Maar wat is je doel en waarom?

g1n0 schreef op vrijdag 13 januari 2023 @ 20:42:

***members only***

SVMartin schreef op vrijdag 13 januari 2023 @ 20:29:
https://www.ictrecht.nl/b...emers-hoe-ver-mag-je-gaan

Een proxy is inderdaad veel gebruikt. Maar wat is je doel en waarom?

g1n0 schreef op vrijdag 13 januari 2023 @ 20:42:
Dank, vind het juridische aspect wel heel risicovol en denk toch dat ik mn handen er niet aan ga branden.


***members only***

Monitoren gaat over monitoren van specifieke medewerkers waarbij gegevens te herleiden zijn naar personen.
Vanuit de Fortigate proxy krijgen wij rapportages welke websites, categorieen etc het meest benaderd worden.
Dit valt niet onder monitoren omdat de gegevens niet te herleiden zijn naar specifieke medewerkers.
Daarnaast is monitoren ook wat anders dan blokkeren, simpelweg dating sites blokkeren kan geen juridische gevolgen hebben.

[ Voor 14% gewijzigd door Bazvv op 13-01-2023 21:03 ]

Blokkeren lijkt me ook geen probleem, zolang je dat gewoon voor iedereen doet. Neem het ook op in een gedragscode zodat men het vooraf weet. En zorg er ook voor dat het echt geen monitoring is, en als het even kan leg het vast met een controle (als je bijv. Iso gecertificeerd bent).

Ik denk dat het belangrijkste is dat je start met het opstellen van een stukje beleid wat door het senior management wordt ondertekend.


Daarin stel je dat het privégebruik van internet in beperkte mate is toegestaan maar dat de werkgever bij vermoeden van misbruik het recht houdt om webdiensten te blokkeren.

Daarna kan je op basis van DNS verzoeken loggen wat er wordt opgevraagd.
Als je echt wilt weten wie en wanneer dat was zal je wat meer in moeten richten. Je begeeft je daarmee wel richting een grijs gebied van wat je wel en niet mag zien.

Het inrichten van een webfilter die bepaalde categorieën niet doorlaat is een goede manier om porno, streaming, sociale etc te blokkeren.

Maar alles valt en staat bij een geaccordeerd beleid over het gebruik van bedrijfseigendommen.

+1

Allicht ook handig onderscheid te maken tussen individuele bedrijfsmiddelen (laptops e.d.) en bedrijfskritische infra (systeem waar het hier over gaat). Of je mag tinderen onder werktijd is een interessante discussie, dat het niet handig is dat te doen vanaf je LDAP server is een behoorlijk andere zaak.

Eerst beleid maken dat communiceren vervolgens kan je dan gaan monitoren en eventueel sancties uitvoeren.
Al is dat laatste ook weer lastig als iemand het in zijn pauze doet. Meest verstandige is maak het eerst bespreekbaar. Grote kans dat het dan ook al stopt en is echt een stuk goedkoper.
De tijd dat IT iedere PC moet dichttimmeren en continu bepaald wat wel en niet mag hebben we toch wel gehad. Het vervelende daarvan is namelijk dat er heel veel volledig legitieme redenen zijn om iets te doen die IT/Management niet voorzien hadden en nu hopeloos gefrustreerd worden. Met als gevolg dat men creatief wordt.

Bazvv schreef op vrijdag 13 januari 2023 @ 21:02:
[...]


[...]


Monitoren gaat over monitoren van specifieke medewerkers waarbij gegevens te herleiden zijn naar personen.
Vanuit de Fortigate proxy krijgen wij rapportages welke websites, categorieen etc het meest benaderd worden.
Dit valt niet onder monitoren omdat de gegevens niet te herleiden zijn naar specifieke medewerkers.
Daarnaast is monitoren ook wat anders dan blokkeren, simpelweg dating sites blokkeren kan geen juridische gevolgen hebben.

Dan doe je iets nog niet helemaal volledig. Normaal dient je FW/proxy domain-integrated te zijn zodat je perfect kan zien welke userID welke activiteit doet. Dikwijls hebben bedrijfs-PC/laptops/tablets de nodige clients ingestalleerd (vb Forticlient voor Fortinet, GlobalProtect bij Palo Alto, ...) die naast een VPN-functie ook een identity functie hebben. (en nog wat andere dingen)
Bij onze klanten worden ook "niet business related" websites geblokeerd dikwils en kunnen specifieke white-listings natuurlijk aangevraagd worden.

jvanhambelgium schreef op zaterdag 14 januari 2023 @ 14:06:
[...]

Dan doe je iets nog niet helemaal volledig. Normaal dient je FW/proxy domain-integrated te zijn zodat je perfect kan zien welke userID welke activiteit doet. Dikwijls hebben bedrijfs-PC/laptops/tablets de nodige clients ingestalleerd (vb Forticlient voor Fortinet, GlobalProtect bij Palo Alto, ...) die naast een VPN-functie ook een identity functie hebben. (en nog wat andere dingen)
Bij onze klanten worden ook "niet business related" websites geblokeerd dikwils en kunnen specifieke white-listings natuurlijk aangevraagd worden.

Tuurlijk kan ik het zien per gebruiker maar daar rapporteren wij niet over, alleen geaggregeerde rapportages gebruiken we.

Je zal (als het juridisch al mag) een dikke analyser moeten gebruiken. DNS entries loggen is echt onvoldoende.
Als ik een nslookup doe naar www.lexa.nl heb ik dan de site bekeken of alleen de DNS opgevraagd? Juridisch onhoudbaar dus.
Je zal dus een full packet capture moeten hebben. Helaas voor jou is 99% van de tijd het verkeer encrypted en kan je alleen zien dat de site bezocht is (nieteens door wie: medewerker? of browser agent?) en niet wat er bekeken is.