Mag een bedrijf met DPI ons netwerkverkeer inspecteren?

| AE 9449 | Ondernemingsvrijheid | 28 reacties

Een lezer vroeg me:

Vraag: Ons bedrijf beheert voor klanten grote hoeveelheden gevoelige data, waaronder persoonsgegevens. Nu is recent een nieuwe firewall geïnstalleerd met DPI, die ook ssl-verkeer kan decrypten en inspecteren. Dit zou zijn om datalekken te voorkomen. Maar nu wordt al mijn beveiligde internetverkeer bekeken! Mag dat zomaar?

Vanwege de Wet meldplicht datalekken van januari vorig jaar, en de aankomende Algemene Verordening Gegevensbescherming in mei 2018 zie je steeds meer bedrijven hard aan de weg timmeren ten aanzien van datalekken en informatiebeveiliging.

Inspectie van in- en vooral uitgaand netwerkverkeer is daarbij een relevant aandachtspunt. Immers, een hoop datalekken of security breaches gebeuren per ongeluk: een bestand naar de verkeerde persoon gemaild, een stukje malware dat iets naar buiten wil smokkelen of een gevolg van social engineering. (Om niet te spreken van mensen die willens en wetens data stelen.)

Diverse moderne firewalls zijn in staat om uitgaand SSL-verkeer open te breken. Logisch vanuit een security-gedachte: het is wel erg eenvoudig om de beveiliging te omzeilen anders. Je moet eigenlijk wel even kijken in die beveiligde verbindingen.

Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.

Hier moet de werkgever dus een balans in vinden. Een belangrijke voor mij is daarbij hoe geautomatiseerd dit proces gaat. Wordt er door een automatisch proces gecheckt op een serie keywords of fingerprints van de te beschermen data, dan is dat privacytechnisch héél wat minder ernstig dan een steekproefsgewijze controle door een persoon.

Ook zou belangrijk zijn dat de data niet wordt gelogd (tenzij de automatische scan natuurlijk aangeeft dat er iets mis is) en dat inspectie bij afgaande alarmbellen onder strikte geheimhouding gebeurt. Dergelijke waarborgen moeten in een reglement zijn uitgeschreven, zodat je als werknemer weet waar je aan toe bent. Maar als het zorgvuldig wordt uitgewerkt en ingevoerd, dan denk ik dat het wel kan.

Arnoud

‘Meeste bedrijfssites versturen gevoelige gegevens onveilig’

| AE 9215 | Ondernemingsvrijheid, Privacy | 25 reacties

Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd. Dat meldde Nu.nl onlangs. De ‘gevoelige gegevens’ zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte sites doet dat zonder ‘slotje’, https dus. Maar is dat dan verplicht?

Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt. Er is dus geen eis dat je beveiliging gecertificeerd moet zijn of zelfs maar aan bepaalde specifieke eisen moet voldoen.

De vraag wat ‘adequaat’ is, is dus een lastige om in het algemeen te beantwoorden. Je moet een afweging maken van de risico’s bij een lek tegenover de kosten en moeite om maatregelen te nemen. Perfectie wordt niet verlangd, en het kan ook prima zo zijn dat je bij formulier A een andere beveiliging hanteert dan bij formulier B. Waar het vooral om gaat, is dat je kunt onderbouwen waaróm je voor die of die maatregelen hebt gekozen (of juist waarom je die hebt weggelaten).

Specifiek bij contactformulieren kun je je afvragen of het echt wel nodig is, een SSL-certificaat. Ik zie het nog steeds niet, dat risico. Daar staat tegenover dat SSL tegenwoordig best goedkoop is (zowel qua cpu als qua prijs) en dus eigenlijk een no-brainer zou moeten zijn om toe te voegen. Dus dan wordt het wel een beetje theoretisch verhaal, er kan weinig misgaan maar hoe moeilijk is de maatregel nou?

Bij een login/wachtwoord voelt dat net anders. Daar is er voor mij geen excuus om zonder ssl te werken. Met dat account kun je allerlei dingen, en daarmee zijn er reële mogelijkheden voor fraude of overlast. Dan is de afweging snel gemaakt: no-brainer ter voorkoming van overlast, dat moet gewoon.

Arnoud

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Security | 37 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel kleine ondernemers als klant die hier écht steken laten vallen en ik wil ze tegen zichzelf beschermen.

Ik denk dat dit in principe wel kan. Je kunt in je algemene voorwaarden opnemen dat je verlangt dat klanten hun websites en software goed beveiligen, en dat jij maatregelen mag nemen, zoals SSL/TLS beveiligde verbindingen, om dat af te dwingen.

Dit is wel een tikje ongebruikelijk (helaas) dus je moet de klant daar wel expliciet over informeren. Ik zou zelf dat heel proactief willen zien: stuur ze een mail dat er wat mis is, vraag of ze dat binnen 14 dagen willen herstellen en anders doe jij het. Aangenomen dat dit geen nadelige effecten heeft voor de site, zie ik dan het probleem niet.

Maak je dingen wél stuk, dan komt dat op jouw bordje te liggen. En natuurlijk heb je als hoster in je algemene voorwaarden je aansprakelijkheid beperkt, maar bij dit soort handelen gaat dat niet zomaar op. Voor opzettelijk handelen ben je altijd volledig aansprakelijk, en dit neigt daar toch wel een tikje naar. Een hoster zou er dan ook voor kunnen kiezen om te zeggen, binnen 14 dagen herstellen en anders de site in een sandbox of op zwart. (Ja, de wet vindt het erger dat je iets half doet dan wanneer je iemand op zwart zet.)

Arnoud

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

| AE 8139 | Privacy, Security | 9 reacties

Een lezer vroeg me: Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan? Er is geen wettelijke regel die… Lees verder

Xs4all-gebruiker krijgt certificaat Xs4all.nl in handen, mag dat?

| AE 7591 | Security | 33 reacties

Een abonnee van Xs4all is erin geslaagd om een ssl-certificaat voor Xs4all.nl aan te maken, las ik bij Tweakers. Met behulp van het e-mailadres administrator@xs4all.nl, dat hij als alias voor zijn privéadres aanmaakte, wist de gebruiker bij certificaatautoriteit Comodo een ssl-certificaat voor Xs4all.nl te genereren. Comodo dacht kennelijk dat ze met een administrator van XS4All… Lees verder

Mag Kliksafe https verkeer openbreken?

| AE 6515 | Security | 11 reacties

Via Twitter kreeg ik de vraag: Kliksafe heeft tegenwoordig een speciaal filter voor HTTPS, waarin ze het verkeer decrypten. In hoeverre is dat toegestaan? Kliksafe is een aanbieder van gefilterd internet. Wie deze dienst afneemt, kan voorkomen dat er ongewenste websites en diensten opgeroepen kunnen worden. De dienst kent een blacklist, whitelist en contentfilter –… Lees verder

Nokia ontsleutelt SSL-verkeer van gebruikers

| AE 4956 | Security | 32 reacties

De Nokia Xpress browser voor Asha en Lumia-toestellen heeft een proxy-server die vertrouwelijk HTTPS-verkeer middels een eigen certificaat ontsleutelt, zonder dat gebruikers zijn geïnformeerd. Dat schreef Webwereld vrijdag. Met die proxserver versnellen ze het verkeer naar mobiele apparaten, wat op zich handig is, maar dat bij versleuteld verkeer doen is opmerkelijk: alsof de taxichauffeur je… Lees verder