Frage:
Ist es akzeptabel, dass eine interne HR-Site über HTTP ausgeführt wird?
aldredd
2017-02-22 21:48:00 UTC
view on stackexchange narkive permalink

Unsere interne HR-Site, auf der unsere persönlichen Daten, Gehaltsabrechnungen, Urlaubsdaten usw. gespeichert sind, basiert vollständig auf einer einfachen http-Site. Die Site ist nur innerhalb des Unternehmensnetzwerks zugänglich und kann z. von Mitarbeitern zu Hause (außer über ein VPN). Auf kann über unser internes WLAN-Netzwerk zugegriffen werden.

Ich weiß, dass https nicht das &-A und O der Netzwerksicherheit ist, aber ist dies jemals in Ordnung?

Dies ist kein kleines Unternehmen - es ist ein großes börsennotiertes britisches Unternehmen, das Zehntausende beschäftigt. Ich hatte mich zurückgehalten, etwas zu sagen, da sie dieses Jahr das gesamte System Q1 ersetzen sollten, aber dies wurde jetzt auf 2018 zurückgeschoben.

Ich wollte unbedingt verstehen

  1. Gibt es ein erhebliches Risiko bei dieser Einrichtung?
  2. Gibt es einen möglichen Verstoß gegen die Gesetze des Vereinigten Königreichs / der EU (z. B. das britische Datenschutzgesetz), der damit verbunden ist?
  3. Wenn es welche gibt Spezifische Schritte, die ich als Einzelperson ausführen kann, um meine Gefährdung (außer die Nichtbenutzung der Website!) durch Abfangen zu minimieren.
    4. ol>

    Netzwerk ist eine Mischung aus kabelgebundenem &-WLAN. Auf die Site kann nur intern oder über VPN zugegriffen werden.

Danke für die schnelle Antwort.Mein persönliches ist jedoch, dass es wahrscheinlich nicht besonders schrecklich ist, dass es über http ist.Natürlich wäre es vorzuziehen, TLS zu verwenden. Wenn das Unternehmensnetzwerk jedoch ordnungsgemäß geschützt ist (Firewall, IPS / IDS usw.), ist dies möglicherweise in Ordnung.Ich würde auf jemanden warten, der mehr Erfahrung hat, um zu antworten
Akzeptabel?Überraschend?Traurig?Traurig!
@TessellatingHeckler Ich weiß, dass Sie sich an aldredd und nicht an mich wenden, aber um meine Absicht zu klären, indem Sie "außerhalb des Netzwerks" sagen, meinte ich ausdrücklich * nur über von Unternehmen bereitgestellte Maschinen in einem internen Netzwerk oder über eine gesicherte VPN-Verbindung zugänglich. * Ich verstehe vollkommenwarum die Leute in diesem Fall immer noch TLS wollen (vertrau mir; das tue ich auch), aber ich denke, dass es schlimmere Übel gibt, die begangen werden könnten, vorausgesetzt, meine Annahme zur Barrierefreiheit ist richtig.Dies ist in meinen Augen keine super große rote Fahne, bei der ich sagen würde, dass Sie jetzt TLS von Ihrem Arbeitgeber verlangen sollten.
Um aus unserer [Hilfe / zum Thema] zu zitieren: "Sicherheit ist ein sehr kontextbezogenes Thema: Bedrohungen, die in Ihrer Umgebung als wichtig erachtet werden, können für andere Personen keine Rolle spielen und umgekehrt. [..] Um die hilfreichsten Antworten zu erhaltensollte uns sagen: Welche Vermögenswerte möchten Sie schützen? Wer nutzt das Asset, das Sie schützen möchten, und wer möchte es möglicherweise missbrauchen (und warum)? Welche Schritte haben Sie bereits unternommen, um diesen Vermögenswert zu schützen? Welche Risiken Sie Ihrer Meinung nach noch mindern müssen? "Auch" akzeptabel "ist subjektiv. Bitte bearbeiten Sie die Frage, um diese Art von Kontext bereitzustellen.
@D.W - stimme voll und ganz zu, dass es ein subjektives Thema ist.Da ich eher von einem Endbenutzer als vom Netzwerk- / Systemadministrator stamme, habe ich versucht, die Frage ein wenig neu zu formulieren, um spezifischere Fragen zu stellen.Hoffe das ist akzeptabler
Nein, es sollte über Gopher zugänglich sein.
Vielen Dank für die Kommentare und Antworten.Einige gute Denkanstöße in Bezug auf das Risiko.Es scheint ein starkes Element der Subjektivität zu geben, ob es einen Gesetzesverstoß geben könnte (insbesondere der britische Datenschutz ist das, was ich im Sinn hatte).In Bezug auf die nächsten Maßnahmen - Ich möchte unserem HR-Team eine Nachricht im Sinne von "Angesichts der Tatsache, dass das HR-Projekt auf 2018 verschoben wird, welche Schritte unternommen werden, um das derzeitige System in der Zwischenzeit sicher zu machen" senden.
Ich weiß nichts über Verstöße gegen das britische Recht, aber als Sicherheitsexperte für Webanwendungen kann ich Ihnen sagen, dass dies so falsch ist, wie es nur geht.Und nein, das ist keine Ansichtssache.Ich habe vorgestern auf einer Konferenz einen Vortrag gehalten.Mein Vortrag befasste sich mit der Sicherheit von Webanwendungen, und der erste Punkt zu den "Grundlagen" der Angriffsminderung war "SSL erforderlich".Sie denken vielleicht, dass die Verwendung nur intern das Gerät schützt, es jedoch nicht vor einem böswilligen oder verärgerten Mitarbeiter schützt. Abhängig von der Verschlüsselung Ihres WLAN kann es recht trivial sein, vom Parkplatz aus darauf zuzugreifen.
Ich kann nicht glauben, dass jemand, der überhaupt Erfahrung mit der Sicherheit von Webanwendungen hat, sagen kann, dass es in Ordnung ist, eine Webanwendung über http auszuführen, wenn sie systemweite Passwörter und Zahlungsinformationen enthält.Auch wenn es sich nur um eine interne Website handelt, in einem Unternehmen mit Zehntausenden von Mitarbeitern ... fehlen mir die Worte!Wenn ich ein böswilliger Hacker wäre, würde ich jetzt tanzen und denken, ich hätte gerade eine Goldmine gefunden.Was meinst du mit "meinungsbasiert"?Alles was es braucht ist ein verärgerter Angestellter oder eine Öffnung in Ihrer Poststelle oder ein wahrscheinlich schwaches WLAN, und ich würde den Gehaltsscheck Ihres CEO auf mein Bankkonto umleiten.
Sieben antworten:
Arminius
2017-02-22 21:58:33 UTC
view on stackexchange narkive permalink

Die Hauptmotivation für HTTPS besteht darin, zu verhindern, dass ein Angreifer Ihre Kommunikation mit einer Website liest und manipuliert. Die Entscheidung, es auf internen Websites bereitzustellen, hängt also davon ab, ob das Risiko besteht, dass jemand Ihren Datenverkehr innerhalb des Unternehmensnetzwerks manipuliert.

Wenn die interne HR-Website nur statische Inhalte bereitstellt, auf die bereits jeder zugreifen kann Im Intranet des Unternehmens könnte man argumentieren, dass HTTPS keine Sicherheit hinzufügt, da das Abfangen des Datenverkehrs auf dieser Seite innerhalb des internen Netzwerks sinnlos wäre.

Wenn die Site jedoch ein Anmeldesystem verwendet und die Mitarbeiter nicht Wenn Sie nicht darauf vertrauen, das interne Netzwerk nicht zu stören, oder Gäste darauf zugreifen dürfen, sollte auf die Site immer über eine sichere Verbindung zugegriffen werden.

Es handelt sich um eine Site, bei der wir uns anmelden (mit einem Passwort, das wir verwenden) Ich bin gezwungen, maximal 8 Kleinbuchstaben zu verwenden, wo wir Lohnabrechnungen, persönliche Adresse / Kontaktdaten usw. anzeigen können.

Das ist besorgniserregend. Nicht nur die künstliche Kennwortlängenbeschränkung ist wirklich niedrig und die Beschränkung nur auf Kleinbuchstaben fraglich. Wenn die Site einfaches HTTP verwendet, kann ein betrügerischer Mitarbeiter (oder Malware auf seinem Computer) Ihre Verbindung zur Seite abfangen, Ihr Kennwort abhören und Ihre Interaktionen mit dieser Site aufzeichnen. Da Sie sagen, dass es sich um ein großes Unternehmen handelt, kann es sein, dass nicht jeder, der darauf zugreift, vollständig vertrauenswürdig ist. Daher sollten sie die Bereitstellung von HTTPS in Betracht ziehen.

Ja, das kurze Passwort macht mir Sorgen (ironischerweise müssen wir Online-Schulungen zur Verwendung sicherer Passwörter durchführen!). Da wir jedoch ein systemübergreifendes Passwort haben - von HR über Google Apps bis hin zum Mainframe-System -, handelt es sich um den Mainframe der 60er JahreSystem, das keine längeren Passwörter / Großbuchstaben / Zeichen zulässt.Sehr frustrierend.
@Arminius Einige Systeme (insbesondere ältere Legacy-Systeme) weisen aufgrund der Speicher-Engine solche Einschränkungen auf.Ich habe für ein Unternehmen mit einem IBM AS / 400 gearbeitet, das eine Kennwortbeschränkung von Alpha (ohne Berücksichtigung der Groß- und Kleinschreibung) und Zahlen mit nur bis zu 15 Zeichen hatte.Leerzeichen am Ende des Passworts wurden ignoriert - alle Passwörter wurden mit Leerzeichen für insgesamt 15 Zeichen aufgefüllt.
@Arminius Dies war auch für alle Benutzer, Administratoren, HR, sogar Kunden.Und alle Passwörter waren im Klartext, wenn es jetzt nicht offensichtlich ist.
Beachten Sie, dass nicht einmal der interne Datenverkehr gestört werden muss.Stellen Sie sich vor, jemand mit einem Notebook, das an einen Switch angeschlossen ist, der die Site lädt, steht plötzlich auf und trennt das Ethernet-Kabel.Die überwiegende Mehrheit der Switches überflutet jetzt alle Pakete, die zuvor nur an diesen einen Ethernet-Port gesendet werden sollten, an alle anderen, die sehr oft ein TCP-Paket für die schnelle erneute Übertragung von dieser laufenden Übertragung enthalten.Sie brauchen also nur jemanden, der mit Wireshark oder ähnlichem zuhört.
@aldredd "Wir haben ein gemeinsames Passwort für alle Systeme" macht dies zu einer ernsthaften Bedrohung - solange * eines * dieser Systeme HTTP verwendet, kann jeder das gemeinsame Passwort eines jeden, der über den unsicheren HTTP-Kanal und gesendet wird, abhören, auch wenn es für sich genommen nicht vertraulich istVerwenden Sie diese Option, um auf alle anderen Systeme zuzugreifen.
Um dies hinzuzufügen, [müssen Sie nicht einmal mehr für SSL bezahlen] (https://letsencrypt.org/) ... und die Einrichtung ist ziemlich trivial.Ehrlich gesagt sehe ich keinen Grund, warum es überhaupt Zögern gibt, es umzusetzen, * besonders * für so etwas wie die * Personalabteilung *, die ** sensible Informationen über Mitarbeiter ** behandelt!
UTF-8
2017-02-22 22:17:46 UTC
view on stackexchange narkive permalink

Nein, das ist nicht sicher. Sie sagten, es ist kein kleines Unternehmen, was bedeutet, dass es wahrscheinlich Menschen gibt, denen nicht jeder vertraut (was für> 10 Mitarbeiter ziemlich unmöglich ist), und wahrscheinlich sogar, dass es einige Positionen gibt, die von verschiedenen Personen besetzt werden, die in das Unternehmen eintreten und es ganz verlassen häufig. Wahrscheinlich sogar nur ein paar Wochen für Berufserfahrung, einen Sommerjob oder ähnliches.

Diesen Personen kann nicht vertraut werden, dass sie IT-Systeme, auf die sie Zugriff haben, nicht manipulieren. Wenn Sie unverschlüsselte Daten über Ethernet senden, kann jeder dazwischen sie lesen.

Sie verwenden nicht einmal die Challenge-Response-Authentifizierung, sondern ein Kennwort. Dies bedeutet, dass kein aufwändiger Angriff erforderlich ist, bei dem der Datenverkehr live manipuliert oder Pakete abgefangen und nach der Manipulation gesendet werden oder in der Hoffnung, dass dieselben Pakete nach der Manipulation erneut gesendet werden können, wenn sie zuvor an den Server gesendet wurden (die Person, die die Site verwendet, tut dies also nicht) t bemerken, weil sie die Antwort vom Server erhalten). Stattdessen kann man einfach den Datenverkehr aufzeichnen, ihn später analysieren, das Kennwort abrufen und auf die HR-Site zugreifen, bis das Kennwort geändert wird und der Datenverkehr erneut aufgezeichnet werden muss.

Wenn Manipulation von innerhalb des Intranets ist möglich, früher oder später wird es jemand tun. Die Leute machen sogar offizielle Ankündigungen, wenn sie können:

Der Mitarbeiter hatte in diesem Fall die Begrüßungsseite des Unternehmens im Intranet mit der folgenden Meldung geändert: „500 Jobs müssen vor dem Ende des ersten Werks im Werk Waterford weg sein Quartal 2008 ”.

( http://www.cpaireland.ie/docs/default-source/media-and-publications/accountancy-plus/it/email-and -internet-use-by-employee.pdf? sfvrsn = 2)

Es gibt viele Berichte (wie http://www.askamanager.org/2014/02/ive-been-breaking-into-my-companys-computer-network.html) über das Internet, in dem die Leute zugeben, schwache Sicherheitsmaßnahmen gebrochen zu haben. Dies muss nicht einmal bösartig sein. Dies kann aus Langeweile und Neugier resultieren (im Fall Ihres Unternehmens: Verdient Mr. Smith wirklich so viel, dass er sich diese drei schönen Autos leisten kann?), Um sogar die Produktivität durch Zerstörung von Sicherheitsbarrieren zu steigern.

Es gibt viele ähnliche Empfehlungen:

Jeder Arbeitgeber benötigt eine detaillierte Richtlinie zur Verwendung von Unternehmenscomputern und Ressourcen, auf die mit Computern zugegriffen wird, z. B. E-Mail , Internet und das Firmenintranet, falls vorhanden.

( http://www.twc.state.tx.us/news/efte/monitoring_computers_internet.html)

Das ist natürlich sehr wenig wert, wenn die Einhaltung nicht durchgesetzt wird. Und Ihre Verbindung ist innerhalb des Unternehmens so offen wie möglich, da keinerlei Transportverschlüsselung verwendet wird und sogar die Passwörter im Klartext übertragen werden. Der beste Weg, eine Richtlinie durchzusetzen, besteht darin, sie nicht zu ignorieren. Natürlich ist das nicht immer möglich, und manchmal gibt es bessere Wege, aber es scheint sehr, dass dies in diesem Fall sowohl der einfachste, beste als auch der zuverlässigste Weg ist.

Diese Warnung ist sehr In der Nähe dessen, was Ihr Unternehmen vor sich hat:

Neben der Sicherstellung, dass sie nicht gegen HIPAA-Vorschriften verstoßen, müssen sich Unternehmen auf ein anderes kritisches Intranetsicherheitsproblem konzentrieren: interne Sicherheitsverletzungen. Der Internet-Sicherheitsexperte Norbert Kubilus, Mitglied von Tatum CIO Partners, sagte, dass Intranet- "Hacker" in den meisten Fällen unglückliche Mitarbeiter sind, die versuchen, das Unternehmen zu belästigen oder einen persönlichen Vorteil zu erlangen.

"Das meiste von dem, was ich ' Ich habe von internem Missbrauch gehört und beobachtet ", sagte Kubilus. "Sie können einen verärgerten Mitarbeiter bekommen, der in die Intranet und Chaos durch Änderung der Urlaubspläne oder Zeitkarten. Wenn Sie nicht über den richtigen Schutz oder die richtige Ausbildung und den richtigen Prozess verfügen, sind Sie einem verärgerten Mitarbeiter ausgesetzt. "

( http: // www.techrepublic.com/article/intranet-data-requires-a-good-security-review/)

Wenn man bedenkt, dass die gefährdeten Daten sehr wichtig sind, ist dies klar Ein inakzeptables Risiko. Je nachdem, wo sich Ihr Unternehmen befindet, kann es auch illegal sein, die Website auf diese Weise zu betreiben, z. B. weil sie nicht ausreichend gesicherte personenbezogene Daten enthält.

Teilen Sie dem Management mit, dass dies illegal ist (falls dies der Fall ist) is) hat wahrscheinlich höhere Chancen, dass die Sicherheit verbessert wird, als ihnen mitzuteilen, dass das System unsicher ist.

Ich weiß nichts über britisches Recht, aber ich denke, dass Sie ein solches System nach EU-Recht definitiv nicht haben können und daher nicht nach britischem Recht.

Nach einer kurzen Suche fand ich diese EU-Verordnung. Ein Zitat aus Artikel 32, das Ihnen Hoffnung geben könnte, dass es illegal ist:

Unter Berücksichtigung von th Nach dem Stand der Technik, den Kosten der Umsetzung sowie Art, Umfang, Kontext und Verwendungszweck sowie dem Risiko unterschiedlicher Wahrscheinlichkeiten und Schweregrade für die Rechte und Freiheiten natürlicher Personen setzen der für die Verarbeitung Verantwortliche und der Verarbeiter geeignete technische und technische Maßnahmen um organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus, einschließlich unter anderem:

[...]

(b) die Fähigkeit, die fortlaufende Vertraulichkeit und Integrität sicherzustellen , Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten;

Sie können weder Vertraulichkeit noch Integrität garantieren, wenn jeder im Unternehmen auf die HR-Website zugreifen kann, nachdem er sich ein 10-minütiges YouTube-Video über das Anschließen von Ethernet-Kabeln angesehen hat, sodass sich sein Laptop zwischen dem Server und einem HR-Computer und einem 5-minütigen YouTube befindet Video, wie wir Wireshark verwenden, um ein Passwort zu erhalten, das über das Netzwerk gesendet wurde. Natürlich kann praktisch jede Person, die jemals mit Wireshark gespielt hat, dies tun, ohne 15 Minuten damit zu verschwenden, sich zuerst YouTube-Videos anzusehen. ;-)

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/54148/discussion-on-answer-by-utf-8-is-it-acceptable-for-an-internal-hr-Site-to-Run-Ov).
Sjoerd
2017-02-22 21:57:36 UTC
view on stackexchange narkive permalink

Das Fehlen von HTTPS ermöglicht es einem Angreifer im selben Netzwerk, die Verbindungen zu diesem Server abzuhören und Anforderungen und Antworten zu ändern. Dies kann verwendet werden, um beispielsweise Passwörter zu ermitteln, die von HR-Personen verwendet werden.

Was genau "dasselbe Netzwerk" ist, hängt von Ihrer Netzwerkkonfiguration ab und davon, wie viel Arbeit der Angreifer bereit ist, in dieses Netzwerk zu stecken. Es ist ziemlich wahrscheinlich, dass Sie einen Angriff von Ihrem Firmencomputer aus ausführen können. Manchmal ist ein Man-in-the-Middle-Angriff vom Parkplatz aus über das WLAN des Unternehmens möglich.

Vielen Dank für die Antwort. Die Hauptbedrohung besteht also wahrscheinlich darin, dass jemand absichtlich Details abfangen möchte, anstatt versehentlich über sie stolpern zu können.
Nein, jeder Netzwerkadministrator mit Wireshark könnte im Rahmen seiner Aufgaben versehentlich auf vertrauliche Daten oder Anmeldeinformationen stoßen.Sie erfassen möglicherweise sogar eine Sitzung in einer Paketerfassungsdatei und wissen nicht einmal, dass sie diese Art von Daten protokolliert haben.Wenn Ihr Unternehmen keine Webadministratoren hat, die HTTPS ordnungsgemäß konfigurieren können, ist es natürlich auch möglich, dass Ihre Netzwerkadministratoren den Netzwerkverkehr nicht sehr gut überwachen können.: - /
Serge Ballesta
2017-02-22 22:33:48 UTC
view on stackexchange narkive permalink

Es gibt verschiedene Probleme mit HTTP und HTTPS, und wenn Sie sich in einem internen Netzwerk befinden, sollten einige Probleme gemindert werden.

  • Keine starke Serveridentifikation: In einem internen Netzwerk nicht wichtig, es ist unwahrscheinlich, dass eine Fälschung vorliegt Server könnte im internen Netzwerk vorhanden sein. Normalerweise erfordert ein solcher MITM-Angriff Administratorrechte. In einer Unternehmensorganisation müssen Sie den Administratoren bereits vertrauen, da sie alle Netzwerkgeräte und Clientcomputer verwalten.
  • Vertraulichkeit der Antworten auf Anfragen autorisierter Mitarbeiter: Dies hängt davon ab, ob alle autorisierten Zugriffe von demselben Büro stammen (nur Administratoren oder Mitarbeiter mit gleichwertigen Zugriffsberechtigungen sollten in der Lage sein, auszuspionieren (*)) oder ob ein Manager Anforderungen ausführen kann. Im letzteren Fall ist das Risiko des Abfangens vertraulicher Daten wichtig, aber der (interne) Angreifer kann nicht im Voraus wissen, welche Informationen er erhalten wird.
  • Schutz der Anmeldeinformationen: Wenn selbst das Authentifizierungsverfahren einfaches HTTP verwendet, liegt das Problem darin viel ernster. In diesem Fall könnte ein Angreifer Anmeldeinformationen erhalten und Anforderungen (einschließlich Änderungen) im Namen eines legitimen Benutzers ausstellen: Die Integrität ist nicht mehr garantiert, wenn nicht von Vertraulichkeit gesprochen wird.

Natürlich, wenn Es ist ein schreibgeschützter Server, und wenn die Vertraulichkeit nicht wirklich ein Problem darstellt, kann HTTP verwendet werden. Sobald wir jedoch von HR sprechen, sollte die Vertraulichkeit sofort auf ein mittleres bis hohes Niveau angehoben werden.

(*) In gängigen Unternehmensnetzwerken ermöglicht die Verwendung von Switches und Proxys nur das Ausspionieren des Austauschs dasselbe Subnetz, außer für Netzwerkadministratoren, die den gesamten unverschlüsselten Datenverkehr ihrer Domäne sehen können.

* Keine starke Serveridentifikation: Nicht wichtig in einem internen Netzwerk. Es ist unwahrscheinlich, dass ein gefälschter Server im internen Netzwerk vorhanden ist. * - Ich schließe einen Computer an, er teilt DHCP-Adressen und meinen eigenen DNS-Server aus und antwortet, dass derDie HR-Site befindet sich auf meinem Server, leitet jedoch alle anderen DNS-Anforderungen an die Hauptserver weiter.Wie wahrscheinlich ist es, dass dieses Unternehmen kontrolliert, was an das Netzwerk angeschlossen werden kann oder ob es sich um unerwünschte DHCP-Server handelt?
@TessellatingHeckler In einem Unternehmensnetzwerk haben Computer häufig feste Adressen, feste DNS-Server und feste Proxys.Sie können Ihren DHCP-Server zwar anschließen, aber Sie könnten Ihr einziger Client sein.
Ich bin nicht damit einverstanden, dass statische Adressen für Benutzermaschinen üblich sind.Drucker, Zeitschaltuhren usw. sicher, aber keine Desktops und Laptops.
Die meisten Geräte (Desktops usw.) sind nicht fest, sondern auf DHCP.
Ich habe in großen Organisationen (mehrere Tausend bis Hunderttausend Mitarbeiter) gearbeitet, in denen die Sicherheit ein Problem darstellt und alle Desktops und Laptops von Systemadministratoren (der Benutzer ist kein Administrator seines Computers) mit festen IP-Adressen konfiguriert werden.
John Wu
2017-02-23 01:41:41 UTC
view on stackexchange narkive permalink

Da es sich um HR handelt und HR normalerweise Leistungen verwaltet, ist es wahrscheinlich, dass diese nicht HIPAA-konform sind.

Mit anderen Worten, die Verwendung von SSL und TLS muss den angegebenen Details entsprechen in NIST 800-52. Dies bedeutet, dass andere Verschlüsselungsprozesse, insbesondere solche, die schwächer sind als in dieser Veröffentlichung empfohlen, nicht gültig sind.

Link

HIPAA ist ein komplexer Satz von Richtlinien, und die Haftung für Verstöße (AFAIK) wird von Fall zu Fall entschieden.Es gibt keine strengen Anforderungen für die Verschlüsselung, und ich bin mit dem luxsci.com-Blog nicht vertraut genug, um zu sagen, ob sie befugt sind, solche Behauptungen darüber aufzustellen, was die Richtlinien über eine schwächere Verschlüsselung "implizieren".
Und während die Einhaltung von HIPPA für diejenigen, die sich mit Krankenakten in den USA befassen, Schritt halten muss, ist dies für Info Sec in Großbritannien nicht besonders relevant.(OP diskutiert ein britisches Unternehmen)
ste-fu
2017-02-23 04:29:42 UTC
view on stackexchange narkive permalink

Natürlich ist es keine gute Idee, aber es gibt viele Wenn und Aber, abhängig von der gesamten Netzwerkkonfiguration.

Es ist erwähnenswert, dass ein böswilliger Administrator ein vertrauenswürdiges Zertifikat auf allen Computern und installieren kann fange sowieso den ganzen Verkehr ab. Es gibt fast nichts, was Sie tun können, um einen böswilligen Administrator zu stoppen.

Aus rechtlicher Sicht muss das Unternehmen angemessene Schritte unternehmen, um Ihre Daten zu schützen. Wenn ein Sommerpraktikant die Daten während des Transports abfangen kann, indem er seinen eigenen Laptop anschließt, kommt er seiner gesetzlichen Haftung nicht nach. Wenn ein erfahrener Pentester einen unbeaufsichtigten physischen Zugang benötigt, ist dies wahrscheinlich der Fall.

Es gibt wirklich kein Wenn und Aber in dieser speziellen Frage.Es ist eine große Firma, Punkt.Angriffsvektoren sind reichlich vorhanden, vom Praktikanten bis zum Administrator, über LAN oder WiFi, und obwohl https sie nicht 100% sicher macht, gibt es immer noch einen Unterschied zwischen nicht 100% sicher und 100% weit offen.
"Aus rechtlicher Sicht muss das Unternehmen angemessene Schritte unternehmen, um Ihre Daten zu schützen."Nach welchen Gesetzen?
@jpmc26 Ich habe uk dpa aus dem Gedächtnis paraphrasiert.Genaue Formulierung hier http://www.legislation.gov.uk/ukpga/1998/29/schedule/1 Absatz 7
@ste-fu Danke.Wäre wahrscheinlich gut, diese Quelle in Ihrer Antwort zu zitieren.;)
@jpmc26 ... ja, ich habe es von meinem Handy im Bett aus gemacht und war faul
Tom
2017-02-23 15:41:14 UTC
view on stackexchange narkive permalink

Nein, dies ist absolut nicht akzeptabel und kann je nach Rechtsprechung bis zur strafrechtlichen Verantwortlichkeit illegal sein.

In den meisten Ländern gibt es Gesetze, die im Grunde sagen, dass sensible personenbezogene Daten - und Beschäftigungsaufzeichnungen fast fallen immer in diese Kategorie - müssen durch "angemessene technische Mittel" geschützt werden.

Während die genaue Bedeutung dieses Begriffs absichtlich interpretiert werden kann, interpretieren Gerichte ihn typischerweise als eine Technologie, die leicht verfügbar ist und gemeinsam und dient dem Schutz der Daten. Mit anderen Worten: Sie müssen keine neue Sicherheitsmaßnahme erfinden, aber wenn andere Benutzer eine einfache Sicherheitsmaßnahme von der Stange verwenden und Sie dies nicht tun, schützen Sie die Daten nicht angemessen. P. >

HTTPS ist sehr, sehr verbreitet und wird normalerweise für genau solche Zwecke verwendet. Nicht zu benutzen ist sehr wahrscheinlich grobe Vernachlässigung. Spezifischere Gesetze in Ihrer Gerichtsbarkeit könnten dies in die Höhe treiben.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...