No, non è sicuro. Hai detto che non è una piccola azienda, il che significa che probabilmente ci sono persone che non tutti si fidano completamente (il che è piuttosto impossibile per 10 dipendenti) e probabilmente significa anche che ci sono alcune posizioni occupate da persone diverse che entrano nell'azienda e le lasciano abbastanza frequentemente. Probabilmente anche solo poche settimane per esperienza lavorativa, un lavoro estivo o qualcosa di simile.
Non ci si può fidare di queste persone per non manipolare i sistemi IT ai quali hanno accesso. Quando si inviano dati non crittografati su Ethernet, tutti gli utenti possono leggerlo.
Non usi nemmeno l'autenticazione challenge-response ma una password. Questo significa che nessun attacco elaborato coinvolge la manipolazione del traffico in diretta o l'intercettazione di pacchetti e l'invio dopo averli manipolati o sperando che gli stessi pacchetti possano essere nuovamente inviati dopo averli manipolati quando sono stati inviati al server in precedenza (quindi la persona che usa il sito non lo fa) t notare perché ottengono la risposta dal server). Invece, si può semplicemente registrare il traffico, analizzarlo in seguito, ottenere la password e accedere al sito delle risorse umane fino a quando la password non viene cambiata e devono registrare nuovamente il traffico.
Se la manipolazione dall'interno della intranet è possibile, prima o poi qualcuno lo farà. Le persone addirittura inventano annunci ufficiali quando possono:
The employee in this case had altered the Company’s intranet
welcoming page with the following message: “500 jobs to be gone at
Waterford plant before end of first quarter 2008”.
( link )
Ci sono molti report (come link ) su Internet dove le persone ammettono di aver infranto le deboli misure di sicurezza. Questo non deve nemmeno essere malizioso. Può derivare dalla noia, dalla curiosità (nel caso della vostra azienda: il signor Smith davvero fa così tanto che è in grado di permettersi quelle 3 belle macchine?), Anche per aumentare la produttività, distruggendo le barriere di sicurezza.
Ci sono molti consigli simili a questo:
Every employer needs to have a detailed policy regarding use of company computers and resources accessed with computers, such as e-mail, Internet, and the company intranet, if one exists.
( link )
Ovviamente, vale la pena pochissimo se la conformità non viene applicata. E la tua connessione è il più aperta possibile all'interno dell'azienda, poiché non viene utilizzata alcuna crittografia di trasporto e persino le password vengono trasmesse in formato testo. Il modo migliore per applicare una politica è ignorarlo è impossibile. Certo, non è sempre possibile, ea volte ci sono modi migliori, ma sembra che questo sia il modo più semplice, migliore e più affidabile in questo caso.
Questo avviso è molto vicino a ciò che sta affrontando la tua azienda:
In addition to ensuring that they don't run afoul of HIPAA regs,
companies need to focus on another critical intranet security issue:
internal breaches. Internet security expert Norbert Kubilus, a member
of Tatum CIO Partners, said that in most cases, intranet "hackers" are
unhappy employees looking to inconvenience the company or gain some
personal advantage.
"Most of what I've heard about and observed is internal abuse,"
Kubilus said. "You can get a disgruntled employee who gets into the
intranet and raises havoc by changing vacation schedules or time
cards. If you don't have the right protections in place, or the right
education and process in place, you leave yourself vulnerable to a
disgruntled employee."
( link )
Se si considera che i dati a rischio sono piuttosto importanti, è chiaro che si tratta di un rischio inaccettabile. A seconda di dove si trova la tua azienda, potrebbe anche essere illegale gestire il sito in quel modo, ad es. perché contiene dati personali non sufficientemente protetti.
Dire alla direzione che questo è illegale (se lo è) probabilmente ha maggiori probabilità che la sicurezza sia migliorata piuttosto che dire che il sistema non è sicuro.
Non conosco la legge del Regno Unito, ma penso che sicuramente non si possa avere un tale sistema sotto il diritto dell'UE e quindi non sotto la legge del Regno Unito.
Dopo una ricerca rapida, ho trovato questo regolamento UE . Una citazione dell'articolo 32 che potrebbe darti la speranza che sia illegale:
Taking into account the state of the art, the costs of implementation
and the nature, scope, context and purposes of processing as well as
the risk of varying likelihood and severity for the rights and
freedoms of natural persons, the controller and the processor shall
implement appropriate technical and organisational measures to ensure
a level of security appropriate to the risk, including inter alia as
appropriate:
[...]
(b) the ability to ensure the ongoing confidentiality, integrity,
availability and resilience of processing systems and services;
Non puoi garantire la riservatezza e l'integrità se tutti gli utenti dell'azienda possono accedere al sito HR dopo aver visto un video YouTube di 10 minuti su come collegare i cavi Ethernet in modo che il laptop sia tra il server e un computer HR e un 5 minuti YouTube video su come utilizzare Wireshark per ottenere una password che è stata inviata attraverso la rete. Ovviamente, praticamente chiunque abbia mai giocato con Wireshark potrebbe farlo senza perdere 15 minuti guardando prima i video di YouTube. ; -)