Už jsem se několikrát setkal s pocitem, že provádět ve firmě HTTPS/TLS inspekce (inspection) internetové komunikace zaměstnanců "nemůžete". Proč by ne? Vždyť je to stejné, jako inspekce jakékoliv jiné komunikace. Pocit z toho, že "nabouráváte" zašifrovanou komunikaci je jenom lichý pocit. Zaměstnanci jen pracují na technických prostředcích zaměstnavatele a možná do nich dobrovolně vkládají své osobní údaje...
Sledovat vs. sledovat
Sledovat není vždycky jedno slovo. Můžeme je "inspektovat" automaticky a to je potřeba zdůraznit. Naopak zaměstnance nemůžeme nechat "sledovat", abychom z toho my, nebo jiní zaměstnanci, následně získavali jejich osobní data.
HTTPS inspekce
Co je HTTPS inspekce nebo obecně SSL/TLS? Nějaké technické řešení, například na firewallu, nebo na proxy serveru, které dovoluje dešifrovat některé typy SSL/TLS šifrovaného spojení - obvykle lze dešifrovat taková spojení, která nejsou vzájemně ověřena (mutual authentication) pomocí klientského certifikátu (client certificate), nebo vazbou TLS tunelu na další vnitřní přihlašovací údaje (extended protection for authentication).
Dělá se to tak, že se "fejkuje" serverový certifikát. Krásný příklad je třeba můj oblíbený fiddler. Umí to například i TMG. Nebo by to mohlo zkoušet HTTPS/SSL strip útok, což teď už dlouho nepůjde díky HSTS.
Z toho pramení ten špatný pocit. Jenže ono o nic nejde. Je to stejné, jako když je ta komunikace nezašifrovaná - viz následující:
Zaměstnanec pracující na technických výpočetních prostředcích svého zaměstnavatele (jako jsou počítače :-)) na nich používá, ukládá a zpracovává i svoje osobní data, která zůstávají na počítačích, prochází připojenou sítí apod. Tohle se děje vždycky, i kdyby ten zaměstnanec nedělal nic "mimopracovního". Vždycky tam bude psát své jméno, telefonní číslo (které je mnohdy i pro osobní účely) apod. V textu mailů se mnohdy vyskytují různé soukromější hlášky jak mezi kolegy, tak i mimo firmu k zákazníkům a partnerům. V Exchange a SharePoint máte fotky. A samozřejmě tam dělají vždycky i mimopracovní věci.
Takže výpočetní prostředky zaměstnavatele v každém případě přicházejí do styku s osobními údaji zaměstnanců. Tečka.
Na hardware výpočetních prostředcích má zaměstnavatel různé software zabezpečovací prostředky, něco jako antivirus a různé ochrany proti přístupu na škodlivé stránky a jejich blokování apod. Tyto všechny software také přicházejí do styku s osobními údaji zaměstnanců. A potom jejich prostřednictvím tedy přicházejí do styku s osobními údaji zaměstnanců jiní zaměstnanci. Například spráci počítačů a sítí.
Ti si musí prohlížet logy komunikace, virů a blokování, protože to patří k jejich práci. Ne že mohou, ale musí. Dělají to proto, aby zabránili rizikům pro svého zaměstnavatele a celý business.
Jestliže někdo nakládá s mými osobními údaji, musí mě o tom informovat. Musí mi být schopen říct, jaké údaje uchovává a jaké údaje zpracovává a jak s nimi dlouhodobě nakládá a kdo s nimi může přijít do styku a musí zajistit, aby se nedostaly do nepovolaných rukou.
Bez ohledu na to, jestli jsou data ukládána a přenášena zašifrovaná, nebo nezašifrovaná, stejně musíte zaměstnancům přesně popsat, co se kde může ukládat a kdo k tomu může mít přístup. Tohle sepíšete, seznámíte je s tím a necháte jim to obvykle podepsat.
Takže kde je rozdíl mezi HTTP a HTTPS? Pokud byste například měli inspekci HTTP komunikace přímo v prohlížeči, tak budete inspektovat ještě dříve, než k zašifrování vůbec dojde a nemusíte mít ani špatný pocit z "podvádění certifikátů".
Vzorové a zkrácené seznámení s nakládáním s osobními údaji pracovníka
Článek XY - veškeré osobní údaje, které pracovník sám uvede do, nebo použije na výpočetních prostředcích zaměstnavatele mohou být uchovány. Zejména se jedná o uchovávání celých obsahů elektronické pošty v provozních databázích mailových systémů a v jejich zálohách, které se uchovávají po dobu xx měsíců. Jedná se dále o soubory uložené na lokálních a síťových úložištích a jejich zálohy xy atd.. Adresy a obsahy internetové komunikace mohou být buď celé, nebo z části uchovávány v protokolech zařízení, přes která komunikace prochází ...
Článek YZ - k osobním údajům uchovávaným podle předchozího článku mohou mít přístup ostatní zaměstnanci. Zejména k nim mají přístup správci výpočetní techniky a komunikačních sítí a dále všichni zaměstnanci pověření zaměstnavatelem k práci s daty, která mohou obsahovat stopy osobních údajů ostatních zaměstnanců.
Článek XZ - všechny osobní údaje, které pracovník sám do systémů vloží mohou být automaticky inspektovány a komunikace a data případně automaticky blokována za účelem snížení rizik na informační systémy a data zaměstnavatele i osobní data zaměstnanců samotných.
Článek AB - zaměstnavatel se zavazuje, že nikdy nepověří jiného zaměstnance, ani sám nebude z takto uchovávaných dat záměrně čerpat osobní údaje zaměstnanců, kromě osobních údajů, které si od zaměstnanců výslovně vyžádal (například fotka).
Článek BC - zaměstnavatel se zavazuje, že veškerá takto uchovávaná data, i taková která mohou obsahovat stopy osobních údajů, nebo vyžádané osobní údaje zaměstnanců, bude chránit v maximální možné míře dané okolnostmi, proti tomu, aby se dostala do nepovolaných rukou :-)
A je to
Jak to to nějaké zařízení dělá, že loguje provoz, je přece jen technický prostředek, jehož fungování nás politicky nezajímá.