Quali problemi dovremo affrontare con l'uso dello strumento di sorveglianza della rete nella rete aziendale in relazione alla legge sull'intercettazione delle telecomunicazioni e la legge sulla privacy?
E quali politiche potrebbero essere implementate per mitigare questi problemi?
Se stai pensando di monitorare il traffico di rete dei tuoi dipendenti:
La cosa più importante che puoi fare è avvertire i tuoi utenti che le loro comunicazioni sono soggette al monitoraggio da parte dell'azienda in qualsiasi momento e che non dovrebbero avere alcuna aspettativa di privacy nelle loro comunicazioni.
Se stai pensando di creare funzionalità di sorveglianza nelle tue reti:
Un rischio per la sicurezza è che la capacità di sorveglianza consente agli aggressori di intercettare il traffico senza autorizzazione. So che la capacità di sorveglianza è intesa solo per l'uso da parte delle forze dell'ordine, ma la sua costruzione nei tuoi sistemi introduce il rischio che possa essere utilizzata in modo improprio.
Per un esempio geniale di questo rischio, ti incoraggio a leggere il caso delle intercettazioni greche nel 2004-2005, in concomitanza con i Giochi Olimpici di Atene. Nel 2005 è stato scoperto che i sistemi di sorveglianza dei vettori di telecomunicazioni greci erano stati compromessi ed erano sotto il controllo di agenzie esterne sconosciute, che utilizzavano la capacità di sorveglianza per intercettare più di 100 telefoni cellulari appartenenti a funzionari governativi chiave: il primo ministro, ministro della difesa, ministro degli affari esteri, parlamentari e così via. Le funzionalità di intercettazione erano state costruite solo per l'uso da parte delle forze dell'ordine greche, ma qualcun altro ha preso il controllo. Hanno intercettato i telefoni per 10 mesi prima che venisse rilevato il compromesso; nessuno ha mai capito chi l'ha fatto, ma data la sofisticazione dell'attacco, è naturale sospettare che le agenzie di spionaggio straniere.
Per ulteriori informazioni sui rischi legati alla creazione di sorveglianza nelle reti, consiglio i seguenti articoli:
Verifica con il tuo ufficio legale, ma tutto ciò che dovrebbe essere richiesto è che tu fornisca un'ampia notifica agli utenti che possono essere monitorati. Questi devono essere sotto forma di avvisi all'interno di una Politica di utilizzo accettabile firmata da dipendenti e collaboratori prima di concedere l'accesso alla rete, nonché di Banner di avvertimento implementati in una forma o nell'altra su tutte le apparecchiature e le applicazioni in rete.
Qualunque sia il modulo, la tua notifica dovrebbe coprire i seguenti punti:
(Non sono un avvocato, e questo non è un consiglio legale.)
Leggi altre domande sui tag legal privacy network corporate-policy compliance