Krzysztof Kroczyński:

Po pierwsze, monitoruje się ruch sieciowy pomiedzy adresami IP, a adres IP nie jest osobą, która podlega ochronie przed inwigilacją.

Tak to się zgadza:)

Po drugie dobrym prawem pracodawcy jest uzyskanie wiedzy, do czego pracownik wykorzystuje służbowa infrastrukturę w godzinach pracy.

Dokładnie. Dlatego żywo zainteresowany tematem, ale nie ma stricte przepisu prawa lub innej regulacji, która sankcjonowałoby takie zachowanie pracodwacy wobec pracownika. Owszem pracodwaca może przygotować zapisy przy podpisywaniu umowy z pracownikiem, że wykorzystuję sprzęt i oprogramowanie do celów służbowych, ale nie można mu zabronić korzystania z dostępu np. do swojej korespondencji prywatnej.

Choćby dlatego, że przecież za to płaci, ale także dlatego, że jeśli pracownik ściąga nielegalnie pirackie filmy (jak w omawianym przypadku), to ścigany będzie pracodawca.
Jeśli jest jakiś przepis, który tego zabrania, bardzo proszę żeby zechciał go Pan podać.

Tutaj podał Pan dobry argument jakim jest nielegalne oprogramowanie.

PS> już rozumiem. Pan widzi tu analogie do zakazu wglądu w korespondencje wysyłana przy wykorzystaniu służbowej infrastruktury. Tylko, ze w omawianym przypadku nie monitoruje się treści, tylko rodzaj aktywności, a tajemnica korespondencji też ma swoje ograniczenia, o czym świadczą systemy DLP i ADM.

Dokładnie, niestety problemy z wdrażaniem DLP i ADM jeśli chodzi o tajemnicę korespondencji oraz prywatność pracownika to temat rzeka. Rozwiał teraz Pan moje niejasności, dziękuję.

Dariusz K.:

Dlaczego bzdury? A czy zna Pan jakieś przepisy prawa polskiego, na podstawie których może Pan wygzekwować do pracownika ile czasu spędził czasu ...

A zna Pan jakieś przepisy prawne, które pracownikowi na to zezwalają? Przepisów prawa nie ma i nie może być na wiele, często "codziennych", rzeczy co generalnie nie oznacza, że coś "wolno" albo czegoś "nie wolno" bo prawo o tym wyraźnie nie mówi. Pracodawca ma prawo wiedzieć i już, a uzasadnić dlaczego nie jest aż tak trudno.

Czyli wniosek jest następujący (zapewne zaraz będą protesty :) ): W polskiej firmie stosujemy w chwili naruszenia bezpiczeństwa metodę prób i błedów i założenie - może się uda - bez przygotowanej (przed szkodą) koncepcji postępowania oraz odpowiednich procedur.
...Ot mądry Polak po szkodzie ......

Krzysztof Kroczyński:

Jarosław Postawa:

Patrycja Gadomska:
Chciałam poprostu przeanaliować ogólnie panujące stwierdzenie, że Polskie Firmy mają dobrą ochrone proaktywną (zabezpiczenia przed atakami),

Pozwolę sobie nie zgodzić się z tym twierdzeniem. Jest sporo firm, które taką ochronę rzeczywiście mają, ale znacznie więcej jest takich, które zabezpieczeń nie mają wcale lub w najlepszym wypadku są one niewystarczające.

Bardzo wiele polskich firm stosuje swoiście pojęta analizę ryzyka. Oceniając prawdopodobieństwo wystąpienia ryzyka kierują się doświadczeniem, jak często to ryzyko występowało w przeszłości: "Nasza aplikacja nie jest monitorowana w żaden realny sposób, ale tak jest od pięciu lat i jak dotąd nic się nie stało. Zatem możemy uznać, że nasza aplikacja jest bezpieczna i nie ma sensu inwestować w system typu APM / ADM." Jest to tak samo rozsądne, jak twierdzenie "od godziny siedzę na torach kolejowych na trasie Warszawa - Katowice i jak dotąd nie przejechał mnie żaden pociąg. Dlatego mogę uznać, że dalsze siedzenie na torach kolejowych jest bardzo bezpieczne".
Ale paradoksalnie - nie można twierdzić, ze zabezpieczenia są niewystarczające. One na ogół sa całkiem wystarczające, tylko celem nie jest perfekcyjna ochrona danych, a realizacja zapisów regulacji. I do tego stosowane rozwiazania całkowicie wystarczają.

Patrycja Gadomska:
Czyli wniosek jest następujący (zapewne zaraz będą protesty :) ): W polskiej firmie stosujemy w chwili naruszenia bezpiczeństwa metodę prób i błedów i założenie - może się uda - bez przygotowanej (przed szkodą) koncepcji postępowania oraz odpowiednich procedur.
...Ot mądry Polak po szkodzie ......
Patrycja Gadomska:

Nie chodzi o protesty tylko generalizowanie :) Nie każdy rodzaj danych wymaga takiej samej ochrony. Jeżeli zrobimy analizę ryzyka i stwierdzimy, że metodami organizacyjnymi możemy to ryzyko zmniejszyć do poziomu akceptowalnego to nam to wystarczy. Jeżeli mała firma ma sklep internetowy przez, który rocznie przewinie się 100 klientów i nie stosuje płatności online nie musi od razu "szaleć" z zabezpieczeniami. Generalizowanie super ważności bezpieczeństwa jest szkodliwe. Poziom świadomości pracowników różnego szczebla jest różny. Poziom świadomości administratorów IT też jest różny, ale to nie do administratorów IT należy ocena ryzyka i kreowanie polityki bezpieczeństwa. Jeżeli działalność jakiejś firmy jest szczególnie narażona na różnego rodzaju "szpiegostwo" to powinna stosować środki zmniejszające to ryzyko. Na podstawie analizy wybiera się odpowiednie metody i je realizuje. Jeżeli chodzi o bezpieczeństwo osobowe w firmach/instytucjach zatrudniających wielu pracowników to tylko kombinacja metod organizacyjnych i technicznych jest w stanie zminimalizować wpływ czynnika ludzkiego na bezpieczeństwo danych. Każdą firmę/instytucję należy traktować indywidualnie i tyle.
Stwierdzenie "W polskiej firmie stosujemy ..." jest nieprawdziwe.Bogdan Pieńkowski edytował(a) ten post dnia 18.10.12 o godzinie 12:12

Krzysztof Kroczyński:

Ale paradoksalnie - nie można twierdzić, ze zabezpieczenia są niewystarczające.

Czasami są wystarczające tylko dlatego, że nikomu się nie chciało tam włamać. :) Miałem jednak już parokrotnie sytuację, gdy po włamaniu na szybko klient chciał kupić zabezpieczenia. Inny przykład - firma ma IPSy za ok 80k$, które nie są wykorzystywane "bo blokowały biznes" - nikt ich poprawnie nie skonfigurował lub nie zapłacił za to firmie zewnętrznej i tylko mielą powietrze. Na papierze wygląda pięknie - system jest.

One na ogół sa całkiem wystarczające, tylko celem nie jest perfekcyjna ochrona danych, a realizacja zapisów regulacji.

Z tymi zapisami regulacji też jest czasami wesoło. W dużej spółdzielni mieszkaniowej (a więc dane osobowe) jest jedynie firewall. Brak zabezpieczeń przed pobraniem szkodliwej treści z Internetu, brak monitorowania działań użytkowników, brak systemu backupu, a istotne dane pracownicy archiwizują na prywatnych pendrivach.

Nakłady na bezpieczeństwo oczywiście należy dostosować do wielkości firmy i wagi danych przechowywanych w systemach IT, ale proszę mi uwierzyć - nie jest tak dobrze, jak się powszechnie uważa.

Andrzej Pieniazek:

Dariusz K.:
Dlaczego bzdury? A czy zna Pan jakieś przepisy prawa polskiego, na podstawie których może Pan wygzekwować do pracownika ile czasu spędził czasu ...

A zna Pan jakieś przepisy prawne, które pracownikowi na to zezwalają? Przepisów prawa nie ma i nie może być na wiele, często "codziennych", rzeczy co generalnie nie oznacza, że coś "wolno" albo czegoś "nie wolno" bo prawo o tym wyraźnie nie mówi. Pracodawca ma prawo wiedzieć i już, a uzasadnić dlaczego nie jest aż tak trudno.

Każde pytanie można odwrócić, ale nie taki cel był mojej wypowiedzi. Odnośnie monitorowania pracowników to brak jest kompleksowych uregulowań prawnych, ale są inne ramy prawne, które powinny być uregulowane, m.in. art. 47, 49, 51 Konstytucji RP, art. 23 Kodeksu cywilnego, art. 23-27 Ustawy o ochronie danych osobowych, art. 11 Kodeksu pracy, oraz dział VII Prawa telkomunikacyjnego. Zapraszam do zapoznania się z tymi regulacjami. Warunki dopuszczania monitorowania pracowników powinny być zgodne z prawem, posiadać usprawiedliowiny cel, powinny być odpowiednio zastosowane czyli jeśli to konieczne tzn. powinny posiadać usprawidliwiony cel i powinny być transparentne.

Patrycja Gadomska:
Czyli wniosek jest następujący (zapewne zaraz będą protesty :) ): W polskiej firmie stosujemy w chwili naruszenia bezpiczeństwa metodę prób i błedów i założenie - może się uda - bez przygotowanej (przed szkodą) koncepcji postępowania oraz odpowiednich procedur.
...Ot mądry Polak po szkodzie ......

[...]
Tu wszystko zalezy od podejścia:

Jeśli wychodzimy od strony compliance, to oczywiście najlepsze jest podejście minimum. Jeśli w zapisach jest, ze mamy coś tam monitorować trzy razy dziennie, to wcale nie będzie lepiej, jeśli zmonitorujemy cztery razy dziennie. Jeśli trzy razy dziennie to za mało - z realnego, bezpieczniackiego punktu widzenia - to należy zmienić zapis.

Możemy wyjść też od strony regulacji - przepisów prawa i naszej polityki bezpieczeństwa. Rewelacyjnie produkuje sie w ten sposób dupokrytki. Szefostwo IT security, które opanuje metodę raportowania da zarządu zgodności z regulacjami i polityka bezpieczeństwa ma zagwarantowana karierę, jeśli oczywiście nie ma pecha. Ale nawet jak ma, zawsze może wskazać, powołujac sie na wspomniane dupokrytki, ze zawinił system, nie człowiek.

No i trzecie podejście - realne: przepisy prawa i polityka bezpieczeństwa oznaczają minimum. Powinny być uzupełnione o działania wynikające z best practices i doświadczenia administratorów bezpieczeństwa. Jest to podejście bardzo trudne. Także dlatego, że chcąc robić więcej, niż minimum trzeba dostać budżet na te działania. Zarządy niechętnie finansują takie działania, chyba ze wynikają one z oficjalnie przeprowadzonej analizy biznesowej. Ale jeśli już z analizy biznesowej wynika, ze coś należy zrobić, staje się to dla Zarządu prawda objawioną. Niekiedy wyobrażamy sobie, że w Zarządach siedzą głupki nie zdające sobie sprawy z ryzyka. Najczęściej doskonale sobie zdaja sprawę, tylko z analizy biznesowej wynika, ze opłaca sie ryzyko zaakceptować, albo przykład fikcyjnie je transferować. Polskie banki chronią swoje dane właśnie kierując się analiza biznesową. Do żadnych konkretnych działań nie zmusza ich żaden konkretny przepis. Jeden amerykański spec od security, który wspierał nas przy jakims wdrożeniu powiedział, że w Polsce powszechne sa praktyki, za które w USA idzie sie siedzieć. I obawiam się, ze nie ma innej metody, żeby zmusić zarządy do wydawania kasy na coś tak nieproduktywnego, jak bezpieczeństwo.

Jarosław Postawa:
Nakłady na bezpieczeństwo oczywiście należy dostosować do wielkości firmy i wagi danych przechowywanych w systemach IT, ale proszę mi uwierzyć - nie jest tak dobrze, jak się powszechnie uważa.

Skoro jest tak źle to:
1. ile polskich firm upadło lub miało problemy w związku z ujawnieniem danych handlowych lub ważnych ze względu na działalność firmy?
2. Ile procesów o ujawnienie danych osobowych założyli obywatele?
3. Ile procesów o nieuprawnione posłużenie się danymi "wykradzionymi" jest na wokandzie?

Może nie jest super, ale nie jest aż tak źle. Jeszcze raz powtarzam, jeżeli spółdzielni mieszkaniowej wystarczy firewall do ochrony systemu i jest to świadome działanie to znaczy, że wystarczy by osiągnąć akceptowalny poziom ryzyka.

Dariusz K.:
A czy zna Pan jakieś przepisy prawa polskiego, na podstawie których może Pan wygzekwować do pracownika ile czasu spędził czasu komunikując się z jakimś adrsem poświęcając czas służbowy? Proszę podać takie przepisy.

Art 100 KP. Ściśle trzymając się przepisów prawa, pracownik ma poświęcać na pracę 100% swojego czasu pracy. A jakby chcieć interpretować dział 6 KP we wredny sposób, to prywatne działania w czasie pracy powinny być odejmowane od czasu pracy. W praktyce nigdy tak nie jest, ale przepis istnieje. Dalej się przerzucamy regułkami?

Dariusz K.:
Owszem pracodwaca może przygotować zapisy przy podpisywaniu umowy z pracownikiem, że wykorzystuję sprzęt i oprogramowanie do celów służbowych, ale nie można mu zabronić korzystania z dostępu np. do swojej korespondencji prywatnej.

Oczywiście że można zabronić, a nawet zablokować. Nawet nie trzeba pytać o zgodę. Inna sprawa jest z monitorowaniem.

Jarosław Postawa:

proszę mi uwierzyć - nie jest tak dobrze, jak się powszechnie uważa.

A nawet jest tragicznie. Tylko czemu się dziwić skoro:
1. u nas chyba jeszcze nikt nie zbankrutował w wyniku kradzież danych. Więc niech kradną skoro nas to nie boli a na zabezpieczenia trzeba wydać kasę. I to nie raz na ich zakup ale cały czas na monitorowanie i analizowanie zdarzeń.
2. u nas nie ma rynku na kradzione dane bo i tak wszyscy wszystko wiedzą a im większa tajemnica tym szybciej się rozprzestrzenia, czy to państwowa czy przedsiębiorstwa. O poufnych projektach znajomi rozmawiają w publicznej kafejce albo chwalą się nimi w internecie. A jak premier dostaje pismo z klauzulą ściśle tajne to następnego dnia wie o tym połowa dziennikarzy w kraju.
3. u nas obywatel nie uzyska odszkodowania od podmiotu któremu skradziono dane tegoż obywatela i chociaż teoretycznie jest to do osiągnięcia to nie znam przypadku gdy tak się stało i ktoś wywalczył "realne" odszkodowanie. Jedynie incydentalne przypadki gdy bank ujawnił żonie pana Kowalskiego informacje o kredycie który w tajemnicy przed żoną wziął pan Kowalski - bank wykpił się odszkodowaniem bodajże 500 zł. Zawiedli ludzie, zawiodły procedury, ale taniej wypłacić jakieś śmieszne zadośćuczynienie niż inwestować w nowe szkolenia i nowe procedury dla setek pracowników banku.
4. u nas totalnie olewa się przepisy bo "kasa" - przykładowo urzędy gmin mają obowiązek budowy kancelarii tajnej - proszę mi wskazać jaki procent gmin w kraju spełniło obowiązek narzucony przez MSWiA i zbudowało kancelarię tajną? Dokumentacja leczenia szpitalnego ma zgodnie z ustawą o informacji niejawnej status informacji zastrzeżonej - który szpital się tym przejmuje? Szpitale mają na głowie większe problemy - za co leczyć. A jak jest przechowywany papier - a kogo obchodzi papier jak na ratowanie ludziom życia brak środków.

I tak długo jeszcze by można. Czasem tylko wybuchnie afera że jedna firma budowlana kradła dokumentację przetargowej drugiej firmie budowlanej a robiła to dziewczyna zatrudniona przez okradaną firmę jako .... sprzątaczka. Ale u nas szpiegostwo przemysłowe to temat traktowany z przymrużeniem oka - bardziej się pilnuje czy pracownicy nie okradają firmy z papieru toaletowego albo nie używają firmowego ksero do celów prywatnych. Inna sprawa że co u nas kraść jak R&D w naszych firmach praktycznie nie istnieje. Wystarczy porównać jaki jest udział R&D w kosztach firm u nas i gdzie indziej w świecie.

Chyba jedyny sektor biznesu jaki był u nas przedmiotem poważnego zainteresowania świata przestępczego to sektor bankowy z tym że ataki były kierowane w kierunku użytkowników indywidualnych.

Krzysztof Kania:

A nawet jest tragicznie. Tylko czemu się dziwić skoro:

5. kradzież informacji o klientach, kontraktach, wewnętrznych procedurach itp. przez odchodzących pracowników :)

Ciekawe, czy ktoś kiedyś oszacował, ile jego firma przez to straciła.

Jarosław Postawa:
5. kradzież informacji o klientach, kontraktach, wewnętrznych procedurach itp. przez odchodzących pracowników :)

Ciekawe, czy ktoś kiedyś oszacował, ile jego firma przez to straciła.

Każdy wychodzi z założenia że bilans się wyrównuje bo odchodzący ukradł, przychodzący przyniósł ;) Skoro nawet w ogłoszeniach o pracę czyta się "zatrudnię handlowca z portfolio klientów" co jest jawnym namawianiem do przestępstwa (czyn nieuczciwej konkurencji) bo nie handlowiec ma klientów a firma dla której pracował, to co się dziwić.

Krzysztof Kania:

4. u nas totalnie olewa się przepisy bo "kasa" - przykładowo urzędy gmin mają obowiązek budowy kancelarii tajnej - proszę mi wskazać jaki procent gmin w kraju spełniło obowiązek narzucony przez MSWiA i zbudowało kancelarię tajną?

Proszę podać podstawę prawną nakładającą taki obowiązek na urząd gminy.

Banki i duże firmy zwykle ukrywają fakt naruszenia ich bezpieczeństwa teleinformatycznego. Nie chcą również dopóścić nikogo z zewnątrz do sprawdzenia słabości systemowych.
I zgodzę się z Panem Jarosławem, że nikt w Polsce nie wyciąga konsekwencji za tego typu naruszenia.
Na szczęście już nie długo.....

Bogdan Pieńkowski:

Proszę podać podstawę prawną nakładającą taki obowiązek na urząd gminy.

Szczerze? Ani trochę mnie nie interesuje jaka jest podstawa prawna i nie zamierzam jej teraz szukać. Informację mam ze szkolenia bo każdy posiadacz poświadczenia bezpieczeństwa osobowego ma obowiązek odbyć szkolenie z zakresu informacji niejawnej. Zresztą nie sądzę by to wprost było napisane że UG ma mieć kancelarię tajną - wynika raczej z zakresu informacji jakie UG przechowuje i przetwarza.

Patrycja Gadomska:
Banki i duże firmy zwykle ukrywają fakt naruszenia ich bezpieczeństwa teleinformatycznego.

A mają taki obowiązek? A dlaczego miałyby ujawniać? One odpowiadają za skutki więc w czym problem?

Nie chcą również dopóścić nikogo z zewnątrz do sprawdzenia słabości systemowych.

no tak pojawiłoby się nowe źródełko do łojenia kasy i wci$kania uzgodnionych z dostawcami rozwiązań.

I zgodzę się z Panem Jarosławem, że nikt w Polsce nie wyciąga konsekwencji za tego typu naruszenia.
Na szczęście już nie długo.....

??? groźba, czy obietnica bo nie wiem jak to traktować ? :)

Patrycja Gadomska:
Banki i duże firmy zwykle ukrywają fakt naruszenia ich bezpieczeństwa teleinformatycznego. Nie chcą również dopóścić nikogo z zewnątrz do sprawdzenia słabości systemowych.

Tyle że przepisy i wymagania nakazują im robienie okresowych audytów przez firmy zewnętrzne. Sam parę takowych robiłem. Tak więc chcą dopuścić, chociaż pewnie nie każdego :)

Krzysztof Kania:

Szczerze? Ani trochę mnie nie interesuje jaka jest podstawa prawna i nie zamierzam jej teraz szukać. Informację mam ze szkolenia bo każdy posiadacz poświadczenia bezpieczeństwa osobowego ma obowiązek odbyć szkolenie z zakresu informacji niejawnej.

A co to ma wspólnego z kancelarią tajną?

Zresztą nie sądzę by to wprost było napisane że UG ma mieć kancelarię tajną - wynika raczej z zakresu informacji jakie UG przechowuje i przetwarza.

Więc jakie to dokumenty UG przetwarza, że musi mieć kancelarię tajną?

Bogdan Pieńkowski:
Więc jakie to dokumenty UG przetwarza, że musi mieć kancelarię tajną?

A taki pierwszy przykład z brzegu z jednego UG:

2. Informacjami niejawnymi o klauzuli „zastrzeżone" w Urzędzie Gminy są informacje dotyczące m.in.:
1) Załącznik do „Planu operacyjnego funkcjonowania Gminy Leżajsk w warunkach zewnętrznego zagrożenia bezpieczeństwa państwa i w czasie wojny" - Karty realizacji zadań operacyjnych,
2) Dokumentacja Akcji Kurierskiej,
3) Wnioski o nadanie medalu za długoletnie pożycie małżeńskie.
4) Inne wg decyzji osób uprawnionych do podpisania dokumentów zastrzeżonych.

Właśnie, problem w tym, że nie jest to kwestia tylko szkód finansowych, ale także kradzieży danych osobowych klientów oraz inf. o ich majątkach.