Mag een bedrijf nog wel pakketten diep inspecteren?

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. De reden voor deze unieke wetgeving is vooral de heisa rond de bekentenis van KPN dat ze hun netwerkverkeer via DPI inspecteerden.

Regelmatig krijg ik mails van bedrijven die zich afvragen of dit betekent dat zij ook het internetverkeer van en naar hun bedrijven neutraal moeten behandelen. In principe niet. Netneutraliteit is geformuleerd als een eis aan aanbieders van “openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd”. Een bedrijf is, net als een vereniging, geen provider zolang ze niet het algemene publiek het internet laat opgaan.

Een bedrijf is dus niet gehouden om zich netneutraal op te stellen, en mag internettoegang filteren op elk criterium dat haar goeddunkt. Ook mag ze internetgebruik monitoren en filteren, hoewel ze dan rekening moet houden met de privacy van medewerkers.

Eén opmerkelijk punt is het “openbreken” van beveiligde verbindingen. Het is technisch mogelijk voor een bedrijf om een geavanceerde firewall te installeren die ook SSL-beveiligd verkeer kan onderscheppen. De firewall doet zich naar bedrijfscomputers voor als bijvoorbeeld Gmail of Facebook (inclusief certificaat dat de bedrijfscomputer als veilig accepteert), en naar Gmail toe als de computer van de eindgebruiker. Technisch gezien gaat het dan om vervalste certificaten (ik hoor diverse lezers nu “Diginotar” mompelen, inderdaad), maar binnen een bedrijf is dat minder een probleem.

Al het netwerkverkeer naar Gmail of Facebook komt nu op de firewall binnen en kan daar onversleuteld worden bekeken voordat het wordt doorgestuurd – of wordt weggegooid omdat het niet aan het bedrijfsbeleid voldoet. Ook kan er precies worden gelogd welke gebruiker hoe lang op welke dienst zit, welke bijlagen hij verzond via Gmail, of hij de bedrijfsnaam noemde in een statusupdate of Facebookchatbericht, en ga zo maar door.

Ik denk dat dit wel mag, mits je maar als bedrijf in je reglement (internetprotocol) duidelijk hebt aangegeven dat je dit doet en voor welke redenen. Plus, je mag natuurlijk niet verder gaan dan nodig is voor die redenen. Ben je bang dat er bedrijfsgeheimen lekken, dan is een dagelijks rapportje over wie hoe lang farmvillet natuurlijk nergens voor nodig. Mails waarin het omzetcijfer van het eerste kwartaal genoemd wordt, zouden daarentegen gerede vragen mogen oproepen bij het management.

Wel zou ik vooraf een duidelijke belangenafweging willen zien. Is het nu écht nodig om iedereen digitaal te fouilleren bij elk bezoekje aan een socialemediasite? Doe je dat aan de poort ook, als mensen naar huis gaan? Het lijkt me dat je alleen digitaal mag fouilleren onder dezelfde omstandigheden dat je dat ook aan de poort zou doen. De diamantslijper of de accountant die je jaarcijfers aan het opmaken is, mag verwachten dat zijn tas (en jaszak) extra goed gecontroleerd wordt, net als de researchmedewerker die aan een nieuw prototype werkt. Maar de receptioniste fouilleren lijkt me héél moeilijk uit te leggen. Digitaal én bij de poort.

Arnoud

17 reacties

  1. “Een bedrijf is, net als een vereniging, geen provider zolang ze niet het algemene publiek het internet laat opgaan” – Schiet mij te binnen, hoe zou dit in verhouding staan bet bijvoorbeeld horeca bedrijven die hun wifi-netwerk open stellen aan klanten (en een ieder in de buurt, zoals McDonnalds)? Mogen die dan nog enige vorm van filtering, controle, etc. uitvoeren?

  2. In de link achter ‘geen provider’ wordt precies dat besproken. Een horecabedrijf met open wifi is geen internetprovider. Hun internettoegang is beperkt tot de afgebakende groep ‘klanten die vandaag langskomen’.

    De McD mag dus filteren, afknijpen en pakketten diep inspecteren. Wel moeten ze rekening houden met de privacywet (die had ik nog even moeten noemen in de blog). De manager mag niet met mijn chats of mails meelezen, om eens wat te noemen.

  3. Voor mij is maar een ding duidelijk. Als een werkgever zijn bedrijfsmiddelen (hard en software) aan de werknemer ter beschikking stelt, dan moet de werknemer zich realiseren dat de werkgever het gebruik logt, altijd en overal. Helder en vooral duidelijk. Niks gedoe met privacy, gewoon loggen en op basis van Bedrijfsregelgeving corrigeren of zonodig afstraffen. We moeten geleidelijk aan de werkgever eens wat minder opzadelen met privacy zaken.

  4. @Pim: Uit onderzoek blijkt keer op keer dat werknemers die een beetje privé internetten, productiever en gelukkiger zijn. Plus, mensen die constant in de gaten gehouden worden, raken daarvan zeer gestresst (en dus minder productief). Ik heb liever productieve medewerkers. Wat is toch die gedachte dat werkgevers constant alles moeten kunnen zien, ongeacht reden?

  5. Gelukkig is voor het openbreken van die verbindingen het wel nodig dat in jouw browser het CA certificaat van die firewall als een van de trusted root-CAs geïnstalleerd is, dus dat werkt alleen geruisloos als je op de computer van dat openbrekende bedrijf bezig bent.

    Maar toch, bij het openbreken van SSL verbindingen vraag ik me altijd af wat voor een aansprakelijkheid de openbreker daarmee neemt. Het breekt immers een belangrijke stap in de beveiliging van mijn verbindingen, zonder dat dat voor de gemiddelde gebruiker zichtbaar is (en zelfs de Certificate Patrol plugin werkt maar beperkt in dit geval, het zou je alleen kunnen opvallen dat eenzelfde root-CA “openbrekend bedrijf” ineens certificaten uitgeeft). Wat nu als die openbrekende firewall gehacked wordt, zo toegang tot mijn bank rekening gekregen is en die geplunderd wordt? Kan ik dan bij de eigenaar van die openbrekende firewall de schade verhalen?

    In het kort: andermans beveiligingen actief en stil breken heeft hopelijk toch ook een juridisch risico of niet?

    (Even buiten dat je als bedrijf zelf ook ineens al je vertrouwen in de certificaat checks van die firewall doos legt, een doos die waarschijnlijk veel beperktere controles op de certificaten doet dan je browser en vast niet zo snel de Diginotar certificaten ingetrokken heeft…)

  6. Het doel van het openbreken van SSL verbindingen is (naast het beschermen van bedrijfsgegevens) het scannen van de inhoud op virussen en malware. Er is heel wat vervelende troep die je via HTTPS binnen kan halen. Dit centraal op de proxy te scannen is efficienter dan dit overlaten aan alle PC’s, en is vaak onderdeel van een gelaagd beveiliginsmodel.

  7. @richard: dan mag je ook toegang tot usb poorten en floppy 😉 en cd drives afsluiten. Of je installeert antivirus software met pittige scanpolicies…

    @wouter: Als de firewall/appliance ssl verkeer openbreekt lijkt het me dat de werkgever inderdaad verantwoordelijk is voor patchen/bijwerken vd cert store op dat apparaat.

    Uiteindelijk kan dat openbreken wel, maar lijkt me sociale controle icm monitoren van gelegde verbindingen (verkeersgegevens) handiger…

  8. Arnout schreef in het artikel:

    Technisch gezien gaat het dan om vervalste certificaten […]

    Niet alleen vervalst, maar ook gestolen, toch? Dit kan toch alleen als je een geheime sleutel bezit die alleen Gmail behoort te bezitten? (Maar ik begrijp en ken SSL onvoldoende, moet er eens dieper induiken.)

    Als dit kan, is de beveiliging van bijvoorbeeld een bank toch per definitie niks meer waard? Elke provider of node kan dan ‘man in the middle’ spelen, en bankwachtwoorden verzamelen en misbruiken, valse betaalopdrachten geven, enz. Ik dacht juist dat SSL zo ontworpen was dat dat niet kan? De certificaten dienen toch juist ter autenticicatie, dus tegen ‘man in the middle’??

    Wouter Slegers | 26 oktober 2011 @ 10:05

    Wat nu als die openbrekende firewall gehacked wordt, zo toegang tot mijn bank rekening gekregen is en die geplunderd wordt?

    Precies. En elk ander stukje software in een netwerk ook, als dat zich zo gedraagt als deze firewall, toch?

    Dit kan gewoon haast niet waar zijn (of ik begrijp het allemaal verkeerd), want dit zou SSL totaal lek maken. Dat kun je het net zo goed weglaten en alle wachtwoorden in klare taal verzenden.

  9. @Ruud: dit kan alleen als je controle hebt over de PCs in je eigen netwerk. Daar installeer je een nieuwe vertrouwde CA: namelijk de CA van je proxy die al het SSL verkeer openbreekt. Kortom: als de man-in-the-middle controle heeft over je PC dan kan dit heel goed (en heeft hij eigenlijk deze truuk niet nodig, want dan kan hij ook een keylogger installeren).

  10. Tricky, dat ‘openbreken van SSL verbindingen’. Ik merkte op een gegeven moment op dat het bedrijf waar ik voor werkte dat deed. Ik wist toen eigenlijk niet dat het technisch überhaupt mogelijk was zonder dat er een certificaat waarschuwing tevoorschijn komt. Voor mij was de opmerking in het regelement dat ???alles??? gemonitord kan worden dus misschien niet echt toereikend? Ofja, eigenlijk was mijn kennis niet toereikend.

  11. Ruud, Richard, Pieter: Voor de duidelijkheid, je kan dit type aanval wel degelijk detecteren. Hiervoor moet je wel enige moeite doen. Ongeveer werkt het als volgt: – ga thuis met je browser naar https://mijn.bank – klik op het slotje (of vergelijkbare optie in de browser, firefox heeft blauwe/groene balkjes) – klik als nodig op ‘view certificate’ – noteer de fingerprint (firefox laat je SHA1 en MD5 fingerprints zien; sommige browsers is het even zoeken) – ga naar je werk en herhaal de procedure – vergelijk de fingerprints

    Als je (enige) controle over het systeem hebt, kan je ook een browser plugin als certificate patrol gebruiken, die automatisch dit soort dingen doet.

  12. Mijn werkgever heeft een proxy geïnstalleerd die zonder dat te melden al het SSL verkeer omzet naar haar eigen certificaat.

    Als ik dus naar https://mijn.ing.nl/ ga zie ik keurig een slotje, maar als ik daar op klik zie ik pas dat dit niet van ING is maar van mijn werkgever: Root: werkgever, Sub: ProxyN van mijn werkgever, Sub: domeinnaam.

    Mag dat zomaar? Nu doet mijn werkgever zich toch voor als ING waar ze dat niet is? Sterker nog, collega’s hebben al een geblokeerde login bij hun bank gehad, vermoedelijk als gevolg hiervan.

    De werkgever geeft bij het opstarten aan dat de PC alleen gebruikt mag worden door medewerkers met de juiste toegangsrechten. Daarnaast staat in het regelement dat je de beschikbaargestelde middelen alleen voor je werktaken gebruiken mag. We hebben verder, op executables en goksites e.d. na volledige internet toegang.

    Maar mag een werkgever zomaar die SSL openenbreken en zich voordoen als mijn bank, zonder dit expliciet aan de medewerkers te communiceren in een brief of iets? Ik voel mij in het vertrouwen geschaad. Dit geld ook voor GMail e.d., namelijk voor alle SSL verbindingen.

    Ik heb later ook begrepen dat er ook monitor software op de PC draait die kan zien wat ik type en installeer en geautomatiseerd dingen, ongedaan maakt. Ik vraag me trouwens af hoe ze dan garanderen dat je vertrouwelijk contact met de ombutsman kan hebben of met HR…

  13. Klaas leuke case… je werkgever heeft op een duidelijke manier (reglement) paal en perk gesteld aan het gebruik van het netwerk voor privé doeleiden. Ik neem daarbij even aan dat het reglement op ordelijke wijze tot stand is gekomen (met de medezeggenschap)en deugdelijk gecommuniceerd. Ook ga ik er maar even van uit dat het reglement dekking biedt voor de acties via de proxy. Dat collega’s al een geblokkeerde account hebben gehad lijkt me te wijten aan aandere oorzaken. Dat kan niet het gevolg zijn van het ‘slotje’. Dat er logging plaats vindt via monitoring software gaat echter wel te ver. dit is zeker disproportioneel in het kader van de, overigens door mij gehate, privacy wetgeving. Ik vraag me daarbij overigens ook wel af of dat wel kan, want afhankelijk van de bewaartermijn vraagt dit wel heel veel capaciteit. Individuele monitoring kan naar mijn oordeel alleen als er een ernstig vermoeden bestaat van misbruik van de apparatuur voor meer dan privé doeleinden.

  14. @Pim Het is zelfs nog ‘mooier’ dan je denkt…

    1) in de richtlijn staat dat ik wel beperkt (in de zin van niet overmatig) prive gebruik mag maken van het internet op mijn werk. 2) ik heb als test ook ingelogt via het werk van mijn werkgever bij mijn bank en deze heeft ook bij mij de betaalfunctie daarna geblokkeerd omdat er is gedetecteerd dat anderen mijn gegevens hebben! (Opzich goed van de bank) 3) het besluit is een paar jaar oud, een buitenlandse or was betrokken. Wel is er een breed Nederlands expert team (hr, juridisch, data centrum, it security) bij de implementatie in Nederland betrokken geweest. Echter is dit wel buiten de normale project en programma procedures om gegaan. Argument was omdat het al in andere landen draait. 4) deugelijk comminiceren: een nieuwsbericht op intranet in een andere taal. Bekeken door nog geen vijf procent van de medewerkers, zonder uitleg wat de impact is, klachten/meld misbruik procedure en zonder uitleg wat ze precies doen. ( iets met slapende honden) 5) Volgens de stukken mag de werkgever de data enkele dagen onversleuteld bewaren. Niet om mensen te tracken maar wel voor fout analyse door een administrator (=persoon). 6) Elke proxy (dus niet slechts 1) geeft certificaten uit voor elk externe ssl site. Onder Sha1. 7) ik vermoed dat mijn werkgever zijn data centrum veiliger acht dan diginota….

    P.s. we hebben meer dan 200tb actieve storage in ons bedrijf, ik vermoed dat de logging op een de-duplicatie systeem redelijk beheersbaar is. Wel is het netwerk behoorlijk trager geworden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.