Dolgozzunk vagy netezzünk? Bízzunk vagy ellenőrizzünk?
Hír küldése
A személyes adatok védelme alapvető jog, ugyanakkor a vállalatoknak is joguk van ellenőrizni hálózatuk forgalmát.
Washingtonban kilenc városi alkalmazottat bocsátottak el, mert "hallatlan" mennyiségű pornóoldalt tekintettek meg a munkahelyi gépükről. Az elbocsátásokat egy belső vizsgálat előzte meg, amely "botrányos" eredményeket hozott. Végül kilenc notórius vétkest vontak felelőségre, példát statuálva több ezer másik hivatalnok számára. A város - tanulva az esetből - webes tartalomszűrő eszközöket vásárolt. Jobb későn, mint soha. A fenti hírben tulajdonképpen nincs semmi újdonság; valószínűleg nem telik el nap, hogy hasonló ügyekből kiindulva ne kezdeményeznének fegyelmi eljárásokat a világon valahol. Ami említésre méltóvá teszi a dolgot, az a hasonló esetek kapcsán újra és újra kibontakozó vita a dolgozók munkahelyi tevékenységének ellenőrzéséről. Ebéd közben mi is sokat vitáztunk, hogy mihez is van jogunk, mint alkalmazottaknak, illetve mit ellenőrizhetünk, mint biztonságtechnikai szakemberek.
A levéltitok és a személyes adatok védelme igen mélyen gyökerezik az európai jogban és kultúrában. Ugyanakkor ahhoz sem férhet kétség, hogy a vállalatoknak joguk van ellenőrizni a hálózatuk forgalmát. Ez a két jog gyakran ütközik, és a törvényi szabályozás egyelőre még nem érte utol a technika által támasztott kihívásokat.
A vállalatok feladata éppen ezért egyértelműen a tiszta helyzet megteremtése ezen a területen. Vagyis, az alkalmazottakat írásban tájékoztatni kell, hogy mire használhatják a vállalati informatikai rendszert, valamint, hogy a vállalat saját érdekében, milyen ellenőrzéseket végezhet. A hír nem szól arról, hogy előzőleg volt-e írásos szabályzat a washingtoni hivatalokban ezzel kapcsolatban, ám ne legyenek illúzióink! Ha valaki a munkaideje jelentős részét bizonyítottan nem a feladataival tölti, az akkor is cassus belli, ha nincs külön szabályzat az internethasználatra.
A leghelyesebb eljárás valószínűleg az lenne, ha a vállalatok olyan rendszert működtetnének, amelyben az alkalmazottak levelezési és böngészési forgalmához csak indokkal, az alkalmazott előzetes tájékoztatását követően férhetnének hozzá az arra jogosult személyek, természetesen jegyzőkönyvezve az eljárást. Azt is definiálni kellene, hogy mik ezek az esetek. A folyamatos monitorozást pedig automatikus tartalomszűrő motoroknak kellene végezniük, amelyek csak statisztikai adatokat gyűjtenek. Ha például egy ilyen motor azt jelzi, hogy egy személy naponta 178 darab pornográf oldalt nézett meg, akkor ezért felelőségre lehet vonni az alkalmazottat, amennyiben ezzel megszegte az ide vonatkozó belső szabályzatot. Viszont, hogy konkrétan mit nézett meg, csak akkor lehetne elővenni a titkosított archívumból, ha az alkalmazott fellebbez, vagyis nem fogadja el a statisztikát hitelesnek.
Mint IT biztonsági eszközöket fejlesztő cég, gyakran kapunk olyan kritikákat, hogy a termékeink alkalmasak a totális megfigyelés megvalósítására. Ezzel kapcsolatban mindig azt válaszolom, hogy a szabályozatlanság senkinek nem tesz jót. Jobb megengedni valamit, mint egyszerűen nem venni tudomást róla, hogy megtörténik. Még akkor is, ha sokan nem látnak lényegi különbséget.
A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.
Hozzászólások