Monitorování internetu v práci

Re:Monitorování internetu v práci
« Odpověď #45 kdy: 26. 11. 2014, 13:29:32 »
Ono záleží na oboru.. Někde je to šaškárna,  že maximálně ti po chybě spadne letadlo, zkrachuje banka, čert to vem..
Ale pokud to je obor, kde po chybě nastupuje aktivace legislatovy o krizivém řízení státu,  přsouváš tisíce lidí a podobné, tam už to má smysl. :-)
Jasne, ale predpokladam, ze se bavime o normalni firemni siti, ne o nejakem intranetu raketove zakladny :) Ale jinak si myslim rozumime, nejsme ve sporu. Chtel jsem jenom rict, ze se neda zavery pravniku z najekeho prostredni slepe prenaset do jineho...

Něco nám snad napraví legislativa o kybnetické bezpečnosit od příštího roku, aspoň pro některé subjety.
To jsem ani nezaznamenal, ze se chysta. Mas nejaky dobry tip, kde si o tom neco precist?

Posuzovat to bude soudní znalec, který by měl říci, že děláš vše, co je dneska v oboru obvyklé (a budeš doufat, že postupuje podle něčeho roumného a ne doporučení nedělních IT přííloh novin) a řekne, že je to OK a rozumně si splnil, co můžeš očekávat.  [...] Soud by měl "objektivně" posoudit velikost vzniklé škody a jak jsem k ní svým chováním přispěl, zda k dané situaci na co jsem spolehal a jak moc a dle toho případně přisoudit podíl na hrazené škodě. Takže je to o tom, jak se vyspí....
Mne na tom porad nesedi jedna vec: nakolik ma jakykoli subjekt povinnost zabezpecit svuj majetek proti moznosti jeho zneuziti treti stranou. Ja mam skoro pocit, ze takovou povinnost nemas vubec, kdyz pominu specialni pripady jako zbrane apod.

Timpadem mi ani nesedi ta uvaha "co je tolerovatelne u domaci site, neni tolerovatelne u firemni". Z hlediska principu, ne miry.

Pokud bych totiz jako firma takovou povinnost mel, dostanu se do uplnych absurdit - mel bych napr. povinnost zabezpecit, ze zamestnanci nepouzivaji vykon mych pocitacu k tomu, aby louskali SHA?! -- nejde mi o to, jestli to je mozne po nekom "rozumne ocekavat", ale o to, na zaklade jakeho titulu to vubec muze nekdo ocekavat... Proto ten priklad s lopatou - ja prece nemam povinnost lopaty zamykat a jestlize A pomoci me lopaty zpusobi skodu B, tak to neni ani trochu moje chyba (pokud s A ani B nejsem v zadnem pravnim vztahu).


Re:Monitorování internetu v práci
« Odpověď #46 kdy: 26. 11. 2014, 13:31:48 »
zas sa to tu strhava na nejake pravnicke dohady, co nebolo ani predmetom toho, na co som sa pytal :D
Tvuj dotaz byl zodpovezeny: jde to - pomerne snadno a velmi podrobne. Pokud nejsi jediny, kdo ma na danem stroji admina, tak s tim ani nic nemuzes delat.

Takze kdyz tohle uz mame vyresene, muzeme se trochu pobavit o necem, co s tim uzce souvisi a zajima to pro zmenu nas, ne?

j

Re:Monitorování internetu v práci
« Odpověď #47 kdy: 26. 11. 2014, 17:27:46 »
...

Boze, ty ses tak naprosto mimo.... Firma zodpovida za skody, ktere zpusobi pri sve CINNOSTI, a to samozreme POUZE a VYHRADNE takove, kde ji nejake POVINOSTI primo uklada ZAKON. Variantne, za skody ktere plynou z dalsich smluvnich vztahu, ale to sem nepatri.

Takze pokud ZAKON firme uklada, ze ma zamestnancum pridelit prilby, a ze ma dohlizet, ze je musi nosit, a ona to nedela, pan nese nekdo nejakou odpovednost. NEEXISTUJE ani JEDINY zakon, ktery by zcela jakkoli resil zabezpeceni naprosto cehokoli v IT. 99% firem nema naprosto nikoho, kdo by aspon tusil jak pocitac nebo cokoli kolem IT fungovalo, presto to kupodivu vesele pouzivaji. Jiste, podle tebe by si mela parta zedniku najmou aspon 10 pravniku a 20 Itku. lol.

M.

Re:Monitorování internetu v práci
« Odpověď #48 kdy: 26. 11. 2014, 18:02:02 »
Jasne, ale predpokladam, ze se bavime o normalni firemni siti, ne o nejakem intranetu raketove zakladny :) Ale jinak si myslim rozumime, nejsme ve sporu. Chtel jsem jenom rict, ze se neda zavery pravniku z najekeho prostredni slepe prenaset do jineho...

Jenomže tohle se týká obecně všech. Jenom k rizikovějšímu prostředí se to podrobně řeší i to, an co řada jiných subjektů kašle a obvykle netuší, že by s ejich nějak týkalo.

Něco nám snad napraví legislativa o kybnetické bezpečnosit od příštího roku, aspoň pro některé subjety.
To jsem ani nezaznamenal, ze se chysta. Mas nejaky dobry tip, kde si o tom neco precist?

Kde spíš poslední rok? Ale je fakt, týká se to všech ISP a telko operátorů  (pokud to je veřejná síť) a pak subjektů, co padají do skupin, kde jejich selhání může způsobit rozsáhlé škody (jako nejmenší subjekt je asi sídlištní kotelna, která může svým výbuchem ohrozit 500+ lidí) nebo výpadek způsobit potíže v zásobování a provozu státu nebo ohrožení úniku osobních informací rozsáhlého dopadu (zpracování osobních informací pro 5000+ lidí), takže plyn, elektro, teplo, finance, státní správa, zdravotnická velká sřediska, třeba i zemědělství, pokud mám třeba velké chovy.
Ti všichni pak budou muset řešit otázku bezpečnosit a dodržení stanovených postupů (aktivní monitoring, vyhondocování, akce, reportování, ...). V některých případech je čeká, že správný postup dokladování, že dělám vše kal mám bude i audit ISO 27.001.

Posuzovat to bude soudní znalec, který by měl říci, že děláš vše, co je dneska v oboru obvyklé (a budeš doufat, že postupuje podle něčeho roumného a ne doporučení nedělních IT přííloh novin) a řekne, že je to OK a rozumně si splnil, co můžeš očekávat.  [...] Soud by měl "objektivně" posoudit velikost vzniklé škody a jak jsem k ní svým chováním přispěl, zda k dané situaci na co jsem spolehal a jak moc a dle toho případně přisoudit podíl na hrazené škodě. Takže je to o tom, jak se vyspí....
Mne na tom porad nesedi jedna vec: nakolik ma jakykoli subjekt povinnost zabezpecit svuj majetek proti moznosti jeho zneuziti treti stranou. Ja mam skoro pocit, ze takovou povinnost nemas vubec, kdyz pominu specialni pripady jako zbrane apod.

Timpadem mi ani nesedi ta uvaha "co je tolerovatelne u domaci site, neni tolerovatelne u firemni". Z hlediska principu, ne miry.

Pokud bych totiz jako firma takovou povinnost mel, dostanu se do uplnych absurdit - mel bych napr. povinnost zabezpecit, ze zamestnanci nepouzivaji vykon mych pocitacu k tomu, aby louskali SHA?! -- nejde mi o to, jestli to je mozne po nekom "rozumne ocekavat", ale o to, na zaklade jakeho titulu to vubec muze nekdo ocekavat... Proto ten priklad s lopatou - ja prece nemam povinnost lopaty zamykat a jestlize A pomoci me lopaty zpusobi skodu B, tak to neni ani trochu moje chyba (pokud s A ani B nejsem v zadnem pravnim vztahu).

INAL, takže IMHO.
Buď to máš stanoveno výslověně legislativně specializujícím zákonem a není co řešit, posuuješ ne/dodržení dané legislativy, což bude aspoň ten kyberzákon pro některé.

Průser nástává tam, kde to není takto specifikováno a platí to obecná předcházne škodám, kam padá úplně vše, co nemá svůj specifický zákon V tomto případě to má být tak, že se vyhodnocuje každý případ nezávisle a když to není taxativně stanoveno zákonem, tak se přihlíží i k dobrým mravům a obvyklým postupům a zvyklostme v daném oboru a vyhodnocuje se i individuálně, zda daný, o kterém se ta klasifikace rozhoduje je schopen posoudit případné rizika, nápravné opatření a co s tím jde dělat (ten proces posuzování a stanovení co zná a má chápat průměrný člověk je snad i řešen někde v občanském zákoníku).
A u soukromé osoby se v tkaovém opřípadě posuzuje, zda to chápe a pokud ne, tka je z obliga a pokud je v oboru profík, tak se po ní chce, že se má chovat profesionálně.
Bohužel u firmy je to jinak, tam máš opět obecnou povinnost, že všechny činnosti ve firmě zajišťuješ odborně vzdělaným personálem, takže máš vědět jak to má být a chovat se dle toho.

To je roziko toho obecného stanovení, že se vždy posuzuje konkrétní situace s ohledem na aktéry, způsob, škodu, což dává slušnou obecnou nejistotu, jak to dopadne.

Jinak, pokud is pamatuji, kdysi vyšel i právní rozbor od JUDr. Jána Matejky, který se k tomu stavěl nějak podobně (samozřejmě ho jiní za to i cupovali), ale jako prezident Společnosti pro právo informačních technologií a i tomu, že právu v IT věnoval, tak jeho právní názor asi jakousi váhu může mít i když je to spoustu lez zpět a od té doy je spousta jiných zákonů, které to mohly ovlivnit. Základ byl stejný, obor není taxativně legislativou řešen, asinení potřeba, ale nese to nejistotu v případu sporu.

M.

Re:Monitorování internetu v práci
« Odpověď #49 kdy: 26. 11. 2014, 18:20:46 »
Boze, ty ses tak naprosto mimo.... Firma zodpovida za skody, ktere zpusobi pri sve CINNOSTI, a to samozreme POUZE a VYHRADNE takove, kde ji nejake POVINOSTI primo uklada ZAKON. Variantne, za skody ktere plynou z dalsich smluvnich vztahu, ale to sem nepatri.

Takze pokud ZAKON firme uklada, ze ma zamestnancum pridelit prilby, a ze ma dohlizet, ze je musi nosit, a ona to nedela, pan nese nekdo nejakou odpovednost. NEEXISTUJE ani JEDINY zakon, ktery by zcela jakkoli resil zabezpeceni naprosto cehokoli v IT. 99% firem nema naprosto nikoho, kdo by aspon tusil jak pocitac nebo cokoli kolem IT fungovalo, presto to kupodivu vesele pouzivaji. Jiste, podle tebe by si mela parta zedniku najmou aspon 10 pravniku a 20 Itku. lol.

Myslím, že nikoliv. Pokud firma jako součást své činnosti, byť jen podpůrně provozuje informační sytém, tak odpovídá za škody jím způsobené. Jako úplně z čehokoliv, co se ve firmě pro její chod děje. A toto buď řeší specifický zákon, jako zmíněná legislativa o BOZP nebo pokud není, nastupuje občasnký zákon a jeho obecná proklamace o předcházní škodám. A v tom je to riziko. Máš "zákon na helmy", máš jasně dáno, kdy, kde nosit a co se děje když neplníš... Pokud by neexistoval a zrakvil se ti pracovník, tak se situace bude posuzovat dle toho obecného ustanovení a zde jsi silně na vodě, co z toho bude, protože půjd eo vyjadřování znalců, co je obvkylé, co se díá očekávat, co je zvykem,.... pokud se dospěje k toum, že obecně je dobré mít helmu a lidi ji neměli, tak to odsereš na nedodržení této obecné odpovědnosti i v tomto případě, a to s celkoem slušnou sazbou, pokud povede k smrti. Takže ten zákon o BOZP ti dává jasnou právní jistotu pro daný obor. Pro oblast IT (vyjma pár secifických oblastí) a řadu dalších, kde není specifický zákon, se to opírá jen o tuto obecnou proklamaci v občanském zákoně, která na tebe i na firmu platí úplně stejně, jako všechny ostatní zákony. Jenom v tomto obecném příadě jsi v slušné nejsistotě, jak který konkrétní případ dle toho bude posuzován, jak se k tomu kdo bude vyjadřovat.... Takže problém je v tom, že specifický zákon není a ani není možné, aby legislativa přesně podchycovala úpln vše. :-)

A ano, upřimně, řada firme neřeší sposutu důleitějších věcí, než bezpečnosti IT, beru to jako fakt, kolik těch zednických firem vůbec bere v pozat i jen to zmíněné blbé BOZP, práce ve výškách, takže nečekej cokoliv nad... a na všem z toho můžeš dojet při průlseru.


Re:Monitorování internetu v práci
« Odpověď #50 kdy: 26. 11. 2014, 18:51:55 »
Pokud firma jako součást své činnosti, byť jen podpůrně provozuje informační sytém, tak odpovídá za škody jím způsobené.
Ano, maximalne tak jim zpusobene. Tj. pokud ten informacni system zajde do mesta a tam nekomu rozmlati auto, tak za to firma ruci.

A u software specialne obvykle neruci prakticky za nic, protoze si to nejak osuli ve smlouve, ted mnohem jednoduseji nez driv - http://computerworld.cz/ostatni/kdo-zaplati-skodu-zavinenou-chybou-softwaru-49293

Ja ale porad mluvim o zneuziti meho majetku NEKYM CIZIM a me udajne povinnosti TOMU BRANIT. Uz fakt nevim, jak to vic zduraznit.

jirtos

Re:Monitorování internetu v práci
« Odpověď #51 kdy: 26. 11. 2014, 18:58:42 »
Tak som skusil pozriet aky certifikat sa pouziva napr. na gmail.com, a je tam certifikat od google, ziaden certifikat nasej firmy.
Pokud je admin obzvláště zákeřný, může udělat i tohle. Pro rozumnou jistotu bys musel ještě porovnat fingerprint :)

Čistě teoreticky by mohl i instalovat upravený prohlížeč, který by tě ošálil čímkoli, ale to snad nikdo nedělá. Taky proč, že...

V podstatě nic jiného než ověření fingerprintu fungovat nebude - podívejte se jak fungují aplikační brány pro HTTPS inspekci (např. Checkpoint, McAffe, Fortigate, Juniper SRX ...) ve firemní síti - ten hlavní certifikát brány se skrze politiku (nejčastěji GPO) prohlásí za důvěryhodný a všechny ty podstrčněné certifikáty které podstrkuje taková brána klientům v rámci MiTM (nic jiného to vlastně není) jsou tedy pro klientské prohlížeče (je jedno jestli IE, FF, GCH,..) důvěryhodné a v pořádku. Proto ani upravený prohlížeč prostě není a nebude třeba.

j

Re:Monitorování internetu v práci
« Odpověď #52 kdy: 26. 11. 2014, 19:27:16 »
Ja ale porad mluvim o zneuziti meho majetku NEKYM CIZIM a me udajne povinnosti TOMU BRANIT. Uz fakt nevim, jak to vic zduraznit.

On to nepochopi ...

Trebas u auta ti zakon uklada, jej radne zabezpecit (=muzes dostat penezni flastr, pokud auto nechas nekde odemceny s klicema v zapalovani), ale ani tak nezodpovidas za to, ze snim nekdo odjede, a nekoho sejme.

Dtto, pokud mas zbrojak a zbran. Zakon ti uklada zbran zabezpecit. Pokud se zjisti, zes nezabezpecil, muzes opet dostat nejaky flastrik ($$$), ale rozhodne nejsi zodpovedny za to, ze tvoji pistoli, kterou si bez dozoru nechal na zahrade, nekdo nekoho zastreli. Muzes ale prijit o ten zbrojak.

Pokud nechas na stejny zahrade valet kudlu, a nekdo si ji veme a nekoho sni zapichne, nehrozi ti nic, protoze ti zadnej zakon neuklada, ze bys mel kudlu zabezpecit.

Ale podle nej si dej kolem firmy ostnaty draty a pust do nich aspon par kV, protoze nedej boze, aby nekdo pripojenej na tvoji free zakaznickou wifi poslal tomu matlafousovi (mailem) rm -rf. Za to bys dostal nejmit 100let natvrdo.

Lupex

Re:Monitorování internetu v práci
« Odpověď #53 kdy: 26. 11. 2014, 19:38:56 »
Pro kontrolu nemusíte detekovat jen použitím webfilteru (detekce url u https funguje bez narušení certifikátu) na jemnější práci máme  detekci aplikací, ja jsem schopen třeba na  Fortigatech detekovat aplikace, ikdyž komunikují skrze ssl,  v korporátech automaticky blokujeme veškeré proxy, tor, hamachi atd,  ohledně Facebooku, jsem schopen třeba zakazovat celek, ale nebo jen vybrané komponenty jako je chat, ostatní nechat nechat nebo shapovat. Stejně to platí i pro ostatní aplikace. Samozřejmě monitorovat jak dlouho, který uživatel a kolik dat se přeneslo, a to včetně uživatelů na terminal serverech, které vystupují pod jednou IP.
SSL proxy funguje přesně tak jak je popsáno výše.

Re:Monitorování internetu v práci
« Odpověď #54 kdy: 26. 11. 2014, 19:43:22 »
Proto ani upravený prohlížeč prostě není a nebude třeba.
Tim jsem chtel rict, ze v takove situaci nad pocitacem nemam kontrolu, takze ciste teoreticky muze byt prohlizec upraveny tak, aby mi ukazoval spravny fingerprint.

Pokud nechas na stejny zahrade valet kudlu, a nekdo si ji veme a nekoho sni zapichne, nehrozi ti nic, protoze ti zadnej zakon neuklada, ze bys mel kudlu zabezpecit.
Jo, presne tak jsem to myslel.

Kolemjdoucí

Re:Monitorování internetu v práci
« Odpověď #55 kdy: 26. 11. 2014, 20:29:17 »
(detekce url u https funguje bez narušení certifikátu)

Povedzte Kefalín, čo vy si predstavujete pod takým "detekce url u https funguje bez narušení certifikátu" ? Nejste vy z obchodního ? ;)

greatlama

Re:Monitorování internetu v práci
« Odpověď #56 kdy: 26. 11. 2014, 21:26:37 »
Hosi hosi... jenom dve poznamky:
1) at vymyslite cokoli (tor, vpn, tunelovani provozu ven) porad staci uplne obycejny key-loger a snimani screenshotu. Kdyz budu chtit bejt vostrej, tak treba i nahravani videa z pracovni plochy (netvrdim ze budu nahravat celej den) a s tim proste nic nevymyslite.

2) pokud smiruju zamestnance je mi nejaka legalita / nelegalita vcelku jedno, protoze
a) chci udelat jen bububu mezi 4 ocima
b) chci nekoho vyhodit, pak zamestnanec odejde v 99% na dohodu po bububu mezi 4 ocima

Pripadnou legalitu smirovani dle meho soudu resi to, ze zamestnantec (temer vzdy) podepsal, ze sverene prostredky bude pouzivat pouze k pracovnim ucelum, takze o nejakem soukromi nemuze byt rec.

M.

Re:Monitorování internetu v práci
« Odpověď #57 kdy: 26. 11. 2014, 22:44:55 »
A u software specialne obvykle neruci prakticky za nic, protoze si to nejak osuli ve smlouve, ted mnohem jednoduseji nez driv - http://computerworld.cz/ostatni/kdo-zaplati-skodu-zavinenou-chybou-softwaru-49293

Ja ale porad mluvim o zneuziti meho majetku NEKYM CIZIM a me udajne povinnosti TOMU BRANIT. Uz fakt nevim, jak to vic zduraznit.

Odpovědnsot za software je jiný případ.

Ach  jo, říkám, nejsem právník, beru na co jsme upozorňování, že je riziko odpobědnosti za škodu pokud si to nebudeme hlídat a někdo to zneužije. Hledal jsem a ta dy je jedne podobný nátzor, který to vidí podobně, od toho zmíněnho Matejky:
http://www.itpravo.cz/index.shtml?x=113206
Je to 12 let staré, takže už máme jiný OZ a další, ale pořád to dovozuje na obecné odpovědnosti nebo provozní odpovědnosti, které jsou i v současném OZ, v některých bodech i šířeji.

On to nepochopi ...

Jinak, děkuji za připomenutí příkladu s autem. Ano, to je v postatě stjená situace jako výše u té sítě, když nechám auto s klíčky v zapalování a odejdu, jednak to je postih dle zákona o provozu na pozemních komunikacích, protože to jepřesný příklad vědomé nedbalost. Dále to má tu složku odpovědnosti za škodu. Ta zní:
"Místo provozovatele nahradí škodu ten, kdo použije dopravního prostředku bez vědomí nebo proti vůli provozovatele. Provozovatel nahradí škodu společně a nerozdílně s ním, pokud mu takové užití dopravního prostředku z nedbalosti umožnil."
Takže v tomot případě se v tom vezete s ním (respektive klidně i 100% pokud ten zloděj zdrhen a nenajde se).

Případ s tím vraždením se do tohoto asi nehodí, odškodnění na člověku má svá vlastní pravidla.

j

Re:Monitorování internetu v práci
« Odpověď #58 kdy: 27. 11. 2014, 15:19:28 »
Hosi hosi... jenom dve poznamky:
1) at vymyslite cokoli (tor, vpn, tunelovani provozu ven) porad staci uplne obycejny key-loger a snimani screenshotu. Kdyz budu chtit bejt vostrej, tak treba i nahravani videa z pracovni plochy (netvrdim ze budu nahravat celej den) a s tim proste nic nevymyslite.

2) pokud smiruju zamestnance je mi nejaka legalita / nelegalita vcelku jedno, protoze
a) chci udelat jen bububu mezi 4 ocima
b) chci nekoho vyhodit, pak zamestnanec odejde v 99% na dohodu po bububu mezi 4 ocima

Pripadnou legalitu smirovani dle meho soudu resi to, ze zamestnantec (temer vzdy) podepsal, ze sverene prostredky bude pouzivat pouze k pracovnim ucelum, takze o nejakem soukromi nemuze byt rec.

Jsi veliky naivista a dalo by se rict i trouba. Zamestnanec je ten, kdo zpusobi zamestnavateli radove vetsi potize, nez on jemu. Pokud nekoho nelegalne smirujes, tak ti hrozi desitky milionu az odebrani ZL/likvidace firmy. Cast z toho zaplatis na pokutach, cast klidne jako odskodneni poskozenym zamestnancum a dalsi cast klidne poskozenym tretim osobam, jejiz komunikaci si nelegalne smiroval. A bohate na to staci, aby si jeden jediny postezoval, klidne zcela anonymne.

Veskera komunikace je ve 100% pripadu soukroma. Na tom nic nezmeni ani 150 podpisu. Nemluve o tom, ze te uplne vklidu muze zalovat zcela kdokoli zvenku, protoze ty si nemas co cist kuprikladu mail, ktery ja nekomu do tvy firmy poslu (a v nem trebas napisu, ze si mamlas).

2M.: Zase zcela mimo, auto je (pro tebe velky prekvapko) povine pojisteny, a veskery skody ... se hradi z te pojistky. Zazrak co? Ovsem porad sme u toho, ze si jaksi nedodal onen §, podke ktereho mam zabezpecovat sit. Takze porad jen zvanis zcela z cesty.

Re:Monitorování internetu v práci
« Odpověď #59 kdy: 27. 11. 2014, 19:15:08 »
Veskera komunikace je ve 100% pripadu soukroma. Na tom nic nezmeni ani 150 podpisu.
Tak že v pracovní době, v kanceláři zaměstnavatele, na počítači zaměstnavatele s jeho software, na jeho síti a jeho internetu je podle tebe veškerá komunikace ve stovprocentech případů soukromá ... tak to by byl dlouhý soýd proti zdravému rozumu který si asi moc zaměstnanců co si místo práce řeší porno nedovolí.