Ochrana soukromých souborů na PC v doméně Windows

[Marek Staněk]

Protože právě od toho tam to šifrování je. Mimo jiné je na tom postavená třeba technologie Always encrypted v MS SQL serveru, kde se počítá s tím, že admin nemůže vidět data takto zašifrovaná (a ten způsob zašifrování je prakticky stejný jako u těch souborů na disku - je k tomu certifikát v profilu uživatele, který může vidět pouze uživatel pod svým přihlášením, pokud mu někdo násilně nezměnil heslo, protože pak o ten přístup přijde).

Můžu tě ujistit, že pokud si uživatel s členstvím v patřičné SQL roli (ať už db_owner, nebo sysadmin nebo server_admin) v SQLku přiřadí členství v roli datareader, tak si ta data přečte úplně stejně jako každý jiný autorizovaný uživatel.

[Reklama]

[Marek Staněk]

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.

To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.

[Marek Staněk]

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí,

To je dobrá poznámka. Pokud by malá firma zavedla takový IT fašismus, který je běžný v korporátech, tak jí odejde polovina zaměstnanců. Ta polovina, která nemá pocit, že musí vzít všechno.

Trestní zákoník, §230, odst.2)d). Žádnou směrnici a firemní fašismus nepotřebuješ.

[Zopper]

Kde není žalobce, tam není soudce. Takže reálně prochází různé věci různě a ten paragraf začne být zajímavý až ve chvíli, kdy se k tomu dostane policie. Vždycky ale existuje riziko, že se tolerantní přístup náhle změní, nebo že to výrazně zhorší pozici někoho, když bude jiný průser. Pokud člověk pustí dovnitř firmy vetřelce a ukáže se, že na tom počítači chodil na porno a měl warez, bude na tom nejspíš o dost hůř, než když otevřel pdf z emailu, který se tvářil, že je od pana ředitele.

[Marek Staněk]

Přesně o tom mluvím.
Toleruje se to jen tak dlouho, dokud není průšvih nebo není potřeba někoho potopit, protože to se může hodit vždycky.
Jde o to, že pokud nemáš soukromé použití techniky písemně schváleno zaměstnavatelem, vydáváš se mu na milost i když se žádný problém nestane.
V reálu to vůbec nechceš řešit, protože tam máš obrovská rizika, i když žádná škoda nevznikne. Protože to provinění je tam VŽDYCKY, a jako takové proti tobě může být v plném rozsahu použito doslova kdykoli.

[Reklama]

[HermaneusMora]

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.
U nás je třeba používání firemního HW k nepracovním věcem tolerováno (malá firma do 100 lidí,

To je dobrá poznámka. Pokud by malá firma zavedla takový IT fašismus, který je běžný v korporátech, tak jí odejde polovina zaměstnanců. Ta polovina, která nemá pocit, že musí vzít všechno.

Trestní zákoník, §230, odst.2)d). Žádnou směrnici a firemní fašismus nepotřebuješ.

U soudu je soudce, který rozhodne, jestli soukromý mail na firemním počítači je  odstavec 2)d). A on tak nerozhodne. Takový judikát neexistuje. Vyboxovat si, že soukromý mail je neoprávněné vložení dat podle 2)d) je teoreticky možné, ale byl by to běh na dlouhou trať s velmi nejistým výsledkem.
Takže rozhodně potřebuješ interní směrnici.

A interní směrnice nestačí. Je potřeba ji aktivně vynucovat (a pro všechny stejně). Pokud máte interní směrnici, že soukromé maily se číst nesmí, ale nikdo to nevynucuje a lidé běžně soukromé maily na firemních počítačích čtou (a nikdo je netrestá), tak je velmi malá šance, že by soud posvětil takovou šikanu, že za to bude trestán jeden konkrétní zaměstnanec. Na tohle je judikátů spousta (asi ne přímo z IT vnitřních předpisů, ale z obecných vnitřních předpisů ano).

[Marek Staněk]

Jenže to bude platit jen za předpokladu, že půjde JENOM o použití k soukromým účelům. Ve chvíli, kdy z toho vznikne škoda kvůli např ransomwarovému útoku, tam bude soud o náhradu škody, který zaměstnanec prohraje, protože strop na násobek platu platí jen v případě, že škoda nevznikla v důsledku protiprávního jednání.

[HermaneusMora]

Jenže to bude platit jen za předpokladu, že půjde JENOM o použití k soukromým účelům. Ve chvíli, kdy z toho vznikne škoda kvůli např ransomwarovému útoku, tam bude soud o náhradu škody, který zaměstnanec prohraje, protože strop na násobek platu platí jen v případě, že škoda nevznikla v důsledku protiprávního jednání.

Jsem na tenkém ledě, ale hádám, že 2)d) musíte spáchat vědomě a úmyslně, že ho nemůžete spáchat z nedbalosti, takže vám ho při stahováním soukromých mailů, ze kterých vyskočí ramsomware nepřišijí.
Strop na 4,5násobek platu se ruší při opilosti a úmyslném jednání (protiprávní jednání nehraje roli).

[WIFT ​​​​​​​​​​]

WIFT: sifrovaci klice uzivatelu muze AD admin zalohovat. A to znamena, ze je taky muze obnovovat. A to treba i na jinem pocitaci. A na ten pocitac si muze zkopirovat zasifrovane soubory/slozky. Atd.

OK, tohle je relevantní odpověď, díky.

[Tomas-T]

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.

To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.

Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.

Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".

[Marek Staněk]

To není o žádným moralizování. Je to o tom, jaké to má právní důsledky.
A ano, vzato do důsledků je otevření soukromého emailu v pracovní době a tím spíš na firemním stroji porušením pracovní kázně, zakládajícím důvod pro vytýkací dopis a při opakování okamžitý vyhazov.

Pouze pokud je něco takového uvedené ve firemních směrnicích a ty se kontrolují a prosazují.

To je hluboký omyl. Možná sis nevšiml, ale existuje trestní skutek § 230 Neoprávněný přístup k počítačovému systému a nosiči informací (http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230), který ti to v odstavci 2)d) řeší značně nepříjemně. A nepotřebuješ na to vůbec žádnou interní směrnici, protože ten odstavec to bezezbytku pokrývá dokonce i trestní odpovědností, nejen pracovněprávní.

Nějak nechápu souvislost uvedeného §230 s mnou popsanou situací.
Ten paragraf se jmenuje "Neoprávněný přístup k počítačovému systému a nosiči informací" a v 1. odstavci specifikuje:
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci.
Další odstavce pak specifikují následné možné činnosti provedené po získání takového neoprávněného přístupu a tresty za ně.

Já o žádném neoprávněném přístupu a překonávání bezpečnostních opatření nepsal - tím, že si přečtu soukromý email doručený do mojí schránky a určený mně jsem nikam nezískal žádný neoprávněný přístup a tedy další odstavce a jejich písmena jsou irelevantní.
A pokud to nezakazuje firemní směrnice, tak to nemůže být ani "porušení pracovní kázně".

Tedy představa, že pokud systém není zabezpečen, nelze skutek spáchat? Hodně štěstí.
Odstavec 2) je nejen o neoprávněném vložení dat po překonání zabezpečení, ale vejde se do něj i neoprávněné vložení dat která tam nemají co dělat, přestože uživatel je oprávněn systém k pracovním záležitostem používat. Je to ekvivalent neoprávněného užívání cizí věci, tedy např neschválených soukromých jízdách služebním vozem.
To že máš přístup do informačního systému a technické oprávnění do něj instalovat aplikace, neznamená že si do něj smíš nainstalovat bitcoinminer. Používání ke zpracování soukromých dat je úplně totéž a záleží jenom na tom, jestli zaměstnavatel bude sankce aplikovat nebo ne.

[Wasper]

Páni akademici, co tady házíte Tresním zákoníkem, můžete prosím dát link na konkrétní rozhodnutí soudu v podobném případě, které by Váš názor podpořilo?

děkuji.

[LivingLegend]

Nejlepším řešením jsou dvě zařízení, což nechceš. Pokud ti jde o záložky, tak tam stejně bude mít vždy administrátor přístup, minimálně síťový, protože bude probíhat hloubková analýza paketů.

Ale pokud chceš mít své záložky, soubory atd., vyzkoušel bych https://kasmweb.com/

[hmmmw]

Zopper, a podobní: Soukromá data na firemním stroji, byť by to porušovalo interní směrnice, se nepovažují za Hrubé porušení pracovní kázně, takže hrozí možná tak vytýkací dopis, a pak další, pokud nekázeň pokračuje, a pak se můžeme bavit o výpovědi. O žádném padáku na hodinu rozhodně nemůže být řeč.

A jak se píše dále, dodržování interní směrnice se musí vymáhat po všech zaměstnancích, nejde ji využít pro zbavení se konkrétního zaměstnance, a ostatním stejné jednání tolerovat.

Právníci, co tu vytáhli §230TZ: Já pochopil, že ten noťas patří tazateli, který si nepřeje, aby mu tam šmejdila firma. Takže defakto ten paragraf porušuje firma. :-D

Pro tazatele: Jako kontraktor si sjednej podmínky podle představ. Jako zaměstnanec měj oddělený pracovní a soukromý stroj.

[Rovano _]

Ironie, že to říkáš zrovna Ty – nyní předpokládám, že shoda není náhodná a máš co dočinění s jedním hobby portálem. Pokud to tak není, omlouvám se a dál to neřeš.  Tam ti podřízení svévolně a skrytě zasahují do dat (textů), tu si umažou větu a pak mastí ego svou reakcí, jako by to byl nepozměněný originál. Že proběhla úprava nezjistíš, tedy kromě té drobnosti, že můžeš porovnat text s původním (Typio/Form Recovery/…). Mám takový pocit, že se to maskuje za boj s prázdným místem. Ty osobně třeba ne, ale ty pod tebou ano. Máš pravdu, pak se není čemu divit.

Nerozumím tomu, co to má společného s mým textem zde.

A na cloudu takové věci nemáš? Má je tam miliardy lidí, fotky koupajících se dětí. Nebo se něco změnilo a už je to také zakázáno?
Taky z toho kvete byznys potom na černém trhu. Fotky celebrit, děcek, ...

Ve výsledku tedy zakážeme všechno všude navždy! A zapomeneme, že jsme jen lidi.

Já když to tady čtu tak už přesně chápu, proč si lidi o ajťácích myslí svoje. A to můžu vynechat i tu skupinu, co se vzpírá až moc.

Nemám nic společného s tím, že jsi se na hobby portálu poštěkal s místními moderátory a poté ?dobrovolně? odešel.
Samotnému se mi to tam stalo také. Jen mě to neurazilo natolik, abych odešel.
Jsme jen lidi.