Juridische vraag: mag een IDS het bedrijfsnetwerk monitoren?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij ons bedrijf wil men een Intrusion Detection Systeem (IDS) opzetten waarmee het netwerk kan worden gemonitord. Een aantal mensen maakt zich zorgen over de privacy en stelt dat een IDS niet mag van de Wet bescherming persoonsgegevens. Er is immers geen toestemming om IP-adressen en andere persoonsgebonden data te loggen! Klopt dat?
Antwoord: Onder de Wet bescherming persoonsgegevens is toestemming inderdaad de hoofdregel: je mag alleen persoonsgegevens, oftewel direct of indirect tot personen herleidbare informatie, verzamelen of gebruiken met duidelijke toestemming van die personen. En wel nadat je ze hebt uitgelegd wat je allemaal van plan bent.
Dit werkt natuurlijk niet in alle situaties. Vandaar dat de wet een uitzondering kent: de eigen dringende noodzaak. Kort gezegd moet je dan een eigen belang hebben dat het moet winnen van de privacy, in een situatie waarin toestemming vragen geen reële optie is.
Security en toezicht geeft zo'n eigen belang en dat kán het winnen van de privacy, afhankelijk van hoe je het inricht. Je maatregelen moeten noodzakelijk en proportioneel zijn voor je securitydoel gezien de privacy.
Bij cameratoezicht in een winkel tegen diefstal zou een camera op de personeelstoiletten niet noodzakelijk zijn, immers daar zullen geen stelende klanten zijn. Alle medewerkers een headcam geven zodat je alles kunt zien, is niet proportioneel want je filmt te veel niet-relevante zaken dan.
Bij een IDS is het dus de vraag of het echt wel noodzakelijk is dat je monitort wat je monitort en logt wat je logt. Kan het niet een logje minder? Moet dat echt, die hele berg data in realtime getoond aan de beheerder? Moet je werkelijk SSL verkeer openbreken en scannen op keywords en een dagelijks rapportje naar management sturen? Of doe je dat alleen maar omdat het handiger is en de securitymensen tijd bespaart? Dat laatste is nadrukkelijk géén argument. Noodzaak is nóódzaak, geen comfort.
Kortom, de inzet van een IDS mag zonder toestemming van de werknemers maar wel moet duidelijk zijn wát de inzet gaat worden en waarom dit gerechtvaardigd wordt als dringende noodzaak voor de werkgever.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ik ben benieuwd of de klagers uberhaupt snappen wat een IDS is. Met een IDS zal je niet het gedrag van normale gebruikers in de gaten kunnen houden (tenzij deze bezig zijn met hacking en dergelijke). Op basis van de signatures wordt immers enkel van te voren als kwaadaardig vastgesteld gedrag gedetecteerd, en wat gebruikers verder doen kan je helemaal niet zien.
Vinden deze werknemers het nou echt zo slecht indien hun werkgever met behulp van een IDS in de gaten houden of systemen bijvoorbeeld worden gehacked, of dat er raar verkeer te zien is ten gevolge van malware ?
"Kortom, de inzet van een IDS mag zonder toestemming van de werknemers maar wel moet duidelijk zijn wát de inzet gaat worden en waarom dit gerechtvaardigd wordt als dringende noodzaak voor de werkgever."
Een juridische dooddoener, die in de praktijk totaal niet op gaat. Heb je in de praktijk ooit wel eens een bedrijf gezien dat bij de inzet van een IDS eerst een dringende noodzaak aangeeft, om het installeren van zo'n systeem te rechtvaardigen ? Dat vraag je toch ook niet wanneer een bedrijf een firewall gaat implementeren ?
"Bij een IDS is het dus de vraag of het echt wel noodzakelijk is dat je monitort wat je monitort en logt wat je logt. Kan het niet een logje minder? Moet dat echt, die hele berg data in realtime getoond aan de beheerder?"
Nou Arnoud, leg eens uit. Hoe doe je met een IDS ''een logje minder'' ? Signatures voor bepaalde aanvallen wegdonderen, zodat je een beperkter aantal aanvallen op je IT infrastructuur kunt detecteren ?
"Moet je werkelijk SSL verkeer openbreken en scannen op keywords en een dagelijks rapportje naar management sturen?"
Op wat voor keywords denk jij dat een IDS scant Arnoud, en met welke doelstelling ? Wat is daarbij het bezwaar ?
Ik heb jarenlang IDS meldingen geanalyseerd, en het vertelde mij vrijwel niets over de vraag wat de gemiddelde medewerker zoal aan het doen was. Simpelweg omdat een IDS daar ook helemaal niet voor is bedoelt.
Had je een meer proportioneel alternatief in gedachten, wat meer tijd kost ? Ik ben erg benieuwd naar enige uitleg m.b.t. deze opmerking. Immers lijkt het alternatief om dan maar handmatig door al het netwerkverkeer te gaan. Dat is tijdrovender, maar tegelijkertijd veel minder proportioneel.
De privacy van medewerkers is dan juist wel in het geding, omdat je niet werkt met signatures voor bepaalde aanvallen, maar omdat je dan door al het netwerkverkeer moet gaan pluizen. Dat lijkt mij nou juist niet de bedoeling.
Zou het ook zo kunnen zijn dat het tijd besparen, door enkel te kijken naar meldingen op basis van signatures voor specifieke aanvallen de privacy van de medewerker juist ten goede komt ?
Handig werken, en tijd besparen, houdt niet per definitie in dat dat ten koste gaat van de privacy.
Voor logging rules in firewalls moet voortaan ook eerst toestemming worden gevraagd ? Ik ben benieuwd hoe mensen die dit soort uitspraken doen denken dat IT-ers hun werk moeten doen, indien er niets meer wordt gelogd. Stel je hebt een malware uitbraak in je bedrijf. Hoe stel je dit vast, en hoe identificeer je besmette systemen, indien je niets mag loggen ?
Sommigen mensen denken kennelijk dat logging enkel bestaat om in de gaten te houden of zij wel hun werkzaamheden verrichten, en niet voor tal van andere meer legitieme operationele zaken. Dat een beheerder jou IP logt hoeft *niets* te maken te hebben met jouw gedrag, of wat jij verder uitspookt.
Wanneer is iets "comfort"? Het grote probleem is dat individuele log regels (events) doorgaans geen indicatie zijn van een probleem, maar dat een combinatie van events een indicatie kan zijn van een beveiliging probleem. Om dat boven tafel te krijgen moeten er dus heel veel regels automatisch gecorreleerd en geanalyseerd worden. Pas als daar iets uit komt zal er een mens aan te pas komen om de "false positives" eruit te filteren. Dat je dit automatiseerd is dus niet een gevalletje "comfort" maar pure noodzaak
De meeste IDS systemen, die ik ken, zijn te configureren. Zo kun je bijvoorbeeld domeinen e.d. opnemen. Dat betekent dus dat je kunt controleren of iemand tijdens werktijd naar bol.com, dumpert.nl e.d. gaan. Allemaal zaken die niet stroken met wat volgens mij het oorspronkelijke doel van de IDS is, maar die een manager maar wat graag zou willen weten. Probeer dan als beheerder maar eens nee te zeggen onder verwijzing naar de privacy wetgeving.
Peter
Voor zover http(s) verkeer gelogd wordt, betreft dit alleen verdacht verkeer.
Non-issue dus
Mocht je druk maken om je 'prive zaken' op werk dan moet je maar gebruik maken van end-to-end encryption.
Technisch gezien is dat mogelijk ja, maar het is niet de doelstelling van een IDS, en ik heb nog nooit gehoord van een bedrijf waar men een IDS voor dat soort zaken inzette.
Indien een bedrijf dat in de gaten wil houden, is het toch wel ietsje gemakkelijker om bijvoorbeeld proxy of netcache logs door te nemen, dan om allemaal custom IDS rules te gaan schrijven voor dergelijke onzin.
Ik ben ook erg benieuwd hoeveel custom rules zo'n wereldvreemde manager zou willen aanmaken, gezien de ontelbare websites op het internet die een werknemer zou kunnen bezoeken. Dat vervuilt slechts een IDS.
"Probeer dan als beheerder maar eens nee te zeggen onder verwijzing naar de privacy wetgeving."
Nou, als beheerder van een IDS zou ik zeker bezwaar maken indien managers zouden voorstellen om een IDS voor dit soort zaken te misbruiken. Nee zeggen is onderdeel van mijn vak als IT beveiliger, ook tegen managers binnen de organisatie ;)
Verder kan je zo op allerlij manieren met in theorie mogelijke problemen verzinnen; dat het theoretisch mogelijk is, wil niet zeggen dat het in de praktijk ook binnen je organisatie wordt gedaan, en wat dat betreft is het een beetje vreemd om op basis daarvan bezwaar te maken tegen een IDS.
Maak je ook bezwaar tegen een firewall, omdat er in theorie uitgaand een logging rule gemaakt zou kunnen worden, die verbindingen naar Bol of Dumpert bijvoorbeeld zouden kunnen registreren (ongeacht of dat ook daadwerkelijk gebeurt) ?
Je zult verbaasd staan als je ziet wat sommige managers willen doen met een IDS.
Dat weet een manager dan weer niet.
Ik ben Security Manager en beheer zelf niets, maar ik heb deze week al wel een aantal mensen aan het huilen gekregen die dachten dat beveilliging (of misbruik daarvan) geen issue is in onze organisatie. In ieder geval wel zolang ik Security manager ben.
Logging in een firewall is minder specifiek. Je weet niet wat er allemaal nog meer op het IP adres zit. Daarnaast hebben managers niet zo veel kaas gegeven van IP adressen. Die komen daar dus niet zo vaak om vragen.
Anecdote: Na een overzicht van het aantal uniek MAC-adressen op het netwerk, vroeg een manager wie de aanschaf van al die Apple computers had goedgekeurd.
Peter
Een IDS is niet geintereseerd in je facebook berichtjes of prive mail het gaat hem alleen om ruwe netwerk data
Het is niet zinvol om alleen maar naar één functionaliteit te kijken. Kijk naar het geheel aan maatregelen op de infrastructuur om het bedrijfsnetwerk te beveiligen en hoe dat is georganiseerd.
Hoe is de beveiliging van de beveiliging geregeld? Wie mag waarbij? Hoe is de retentie geregeld?
Er bestaat geen checklist waarbij de uitkomst is: Ja, je acteert binnen de regels van de wet - Nee, dit mag je niet.
Anecdote: Na een overzicht van het aantal uniek MAC-adressen op het netwerk, vroeg een manager wie de aanschaf van al die Apple computers had goedgekeurd.
Peter
Alsjeblieft, vertel mij dat deze manager belangrijke IT-gerelateerde besluiten moet nemen.
Noodzaak is er vanwege bedrijfsvoering en alles wordt gelogd in de SIEM, daar zitten de rules in die een echt security incident triggeren. Daarbij zet je ook een FLOW collector in om de payload binnen het eigen netwerk vast te leggen (ook met decryptie). Ergo, als je het goed uitrolt worden alle activiteiten van medewerkers gelogd. Eventueel nog een DLP agent op de lattop om dumpen op USB (en het daarna verliezen van die USB) te bdetecteren/lokkeren.
Al die Privacy discussies leiden maar tot 1 ding: meer criminaliteit en fraude. Iedereen heeft een smartphone of PC in prive bezit waarmee je privacy in eigen hand hebt. Dus niet op kantoor.
Is een bedrijf verplicht om vast te leggen wie welke gevoelige bedrijfs-data heeft benaderd en wanneer?
Is een bedrijf verplicht om een gedegen ICT infrastructuur the hebben waar mogelijk onbevoegd gebruik tijdig gesignaleerd wordt.? Voor beide vragen is het antwoord JA. (Iso 27k, NEN7510 ea) .
Hoe de invulling technisch moet plaatsvinden is niet vastgelegd.
Ergo: het invoeren van een IDS (Intrusion Detection Systeem) mag geen probleem zijn (technisch).
Het wordt pas leuk als blijkt dat de log-gegevens zelf gevoelig zijn doordat het bijvoorbeeld herleidbare persoonsgegevens zijn. Dan moet als consequentie het raadplegen van die gegevens zelf ook gemonitored worden met een toelichting van de reden. Inbreuk op prinvacy mag niet ongegrond. Het is pas op dat moment waar het privacy argument om de hoek komt. Gelijkwaardig aan het willen kunnen inkijken van de persoonlijke mail.
Een IDS is niet geintereseerd in je facebook berichtjes of prive mail het gaat hem alleen om ruwe netwerk data
Hear hear!
Een IDS logt in principe niets totdat er afwijkend verkeer wordt geconstateerd. Wat de afwijkend verkeer is kan per IDS ingesteld worden. Eindgebruikers die 'bang' zijn zullen een betere uitleg over een IDS moeten krijgen zodat ze begrijpen dat Facebook een grotere aanslag op je privacy is dan een IDS!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
