De bedreiging van binneninRapportering over Internet- en e-mailgebruik

Pivo, 6 juni 2005

Freddy Deprez

Inleiding

• Zowel bij e-mail als bij Internetgebruik is officieel en privégebruik moeilijk van elkaar te (onder-)scheiden

• Hierdoor ontstaat een indruk dat teveel bedreigingen ontstaan – voor de informatieveiligheid – voor het wettelijk gebruik van de middelen.

• We moeten alleen niet het idee hebben dat we vroeger alles onder contrôle hadden en nu niets

• We moeten ons ook niet in de verleiding laten brengen om van de controlemiddelen een ongeoorloofd gebruik te maken

• VERA stelt een dienst voor

– die voldoende soepel is om uw controlefunctie uit te oefenen

– Die gekaderd wordt in een wettelijk kader

Berichtenverkeer : formeel, officieel gebruik

• E-mail vervangt de briefwisseling van vroeger

• E-mail bevat de documenten van vroeger, maar nu elektronisch

• E-mail zet de bode zonder werk

• E-mail als een onderdeel van een e-loket

• E-mail als alternatief voor telefoneren

• E-mail als alternatief voor nieuwsbrieven, reclamedrukwerk

Berichtenverkeer : Informeel, privé

• E-mail vervangt de briefwisseling van vroeger

• Door e-mail loopt het personeel niet meer naar het postkantoor

• E-mail als alternatief voor telefoneren

• E-mail voor het ontvangen van nieuwsbrieven en reclamedrukwerk

• E-mail bevat de cd’s, de foto’s, de tijdschriften van vroeger

• Meedoen aan kettingbrieven voor een goed doel

• Mopjes naar verzendlijsten doorsturen

Internetverkeer : Formeel, officieel

• Een toepassing gebruiken (Kruispuntbank, Publilink…), Isabel, enz.

• Webmail (van VERA), gebruikersbeheer, LIPS beheer…

• Telefoonboek, gouden gids

• Routeplanner gebruiken om kilometervergoeding te berekenen

• Informatie, documentatie zoeken

• Iets kopen (software, boeken, …), prijzen vergelijken

• Trein, hotel, vlucht reserveren en betalen

Internetverkeer : Informeel, privé

• Internetbanking, Hotmail, telefoonboek, routeplanner, iets kopen, vakantie, uitstap boeken

• Naar de radio luisteren, filmpje kijken

• Chatten in plaats van te bellen

• Internetbellen (Skype, …)

• Informatie en informatie = 2

• Downloaden

• Niet alles is legaal

• Niet alles is virusvrij

Behoefte aan controle

• Niet alleen voor informatiebeveiliging• Ook vorm van personeelsbeheer• Ook vorm van sturing van werkzaamheden,

processen• Niet om te spioneren• Niet omdat het pikante informatie is• Niet omdat het u macht over anderen verschaft

Verschuiving van de controle• Vroeger wist de secretaresse van de chef alles (nog meer dan

de chauffeur) : alle geheimen van de baas, en de meeste geheimen van het personeel

• En de chef wist dat en duldde dat• Nu weet de systeembeheerder alles• Of de baas dat nu wil of niet• En kennis is macht

Controle in een niet-digitale wereld

In lang vervlogen tijden:In lang vervlogen tijden:• Informatie-uitwisseling volgt de hiërarchische wegInformatie-uitwisseling volgt de hiërarchische weg

• Correspondentie komt binnen en wordt centraal ingeschreven, Correspondentie komt binnen en wordt centraal ingeschreven, ingekeken door de secretaris, verdeeld aan de diensteningekeken door de secretaris, verdeeld aan de diensten

• Na behandeling volgde de informatie de omgekeerde wegNa behandeling volgde de informatie de omgekeerde weg

• Men kon elk dossiertje opvragen - iedereen vond dat normaalMen kon elk dossiertje opvragen - iedereen vond dat normaal

• De secretaris had zonder computer alles onder controleDe secretaris had zonder computer alles onder controle

Taràra

• Veel informatie werd niet ingeschreven

• De secretaris keek al die dingen echt niet in

• Veel informatie vertrok/vertrekt onder handtekening van een diensthoofd, van een ambtenaar

• Wat men zegt aan de balie en aan de telefoon en onder elkaar ontsnapt aan controle

• De informele wereld is misschien omvangrijker dan de formele wereld

• En daar was geen controle op – en iedereen vond dat normaal

Digitale wereld : behoefte aan controle

• Informatie komt niet meer op één punt binnen, maar zowat bij iedereen

• Informatie vertrekt van bij iedereen, ook officiële informatie

• E-mail verkeer maakt geen omweg : ook als de secretaris in cc wordt geplaatst, is de informatie al weg

• Het lijkt wel een onbeheersbare boel

• Terwijl het allemaal geautomatiseerd is : – De gesprekken tussen de personeelsleden verlopen via msn– De gesprekken aan de e-balie verlopen via computers– Het bellen naar familie is vervangen door een e-mail

Alles kan gecontroleerd worden

• Wie naar wie mailt, wat er in die mail staat en wat er bij wordt gevoegd

• Wie, welke mail van wie ontvangt

• Wie naar welke site surft, hoe vaak, wanneer

• Wie naar de radio luistert, naar welk station en hoe lang

• Wie naar blote mensen kijkt of naar seks

• Wie muziekbestanden downloadt van welke site

• Wie chat

Dus ook alle communicatie die vroeger aan de contrôle ontsnapte

Hieruit kan men vanalles te weten komen

• Wie virussen binnenhaalt of verspreidt

• Wie waarmee bezig is voor zijn werk

• Wat iemand antwoordt aan het (elektronisch) loket

• Wie te weinig werk krijgt van zijn chef

Maar ook zaken die vroeger aan de controle ontsnapten• Wie bij welke bank is, bij welk ziekenfonds, welke politieke partij

• Wie een nieuwe partner zoekt, informatie wil over echtscheidingen, over kanker

• Wie welke soort seks, welke soort muziek,… interessant vindt, waar iemand op vakantie zal gaan

• Mopjes over elkaar, over de chef

VERA beschikt over al die informatie

• Wij zijn uw Internet-leverancier• Wij zijn uw e-mailaanbieder• De overheid verplicht ons om steeds meer informatie te

bewaren• (Niemand die de verplichtingen volledig naleeft, maar toch…)• Wij hebben ook software om daar lijstjes, tabellen, grafieken

van te maken• Wij stellen deze informatie onder bepaalde voorwaarden ter

beschikking• Alsof we uw lokale systeembeheerder zouden zijn, maar toch

weer niet helemaal

Welke informatie

• Wij hebben alles wat u zelf zoudt hebben met eigen voorzieningen

• Niets belet een bestuur om een apparaatje op de lijn te zetten en het surfgedrag zelf te registreren en te analyseren

• Of een mail-relay server, of een eigen mailserver• Sommige besturen hebben dat om die reden gedaan• Wij bieden u à la limite dezelfde informatie aan• Op voorwaarde dat u daarvoor de verantwoordelijkheid neemt• Op een wijze dat de rechter nooit kan zeggen: « VERA maakt

er zich te gemakkelijk van af »

Voorwaarde 1

• Het bestuur heeft een kader waarin controle van het personeel geregeld is

• VERA heeft daarvoor modeldocumenten laten opstellen : « Intern reglement voor het gebruik van elektronische communicatiemiddelen» (of « internet en e-mail policy » - op VERA-extranet-site)

• Vormt eigenlijk een onderdeel van het personeelsreglement• (VERA kan consultancy leveren voor de invoering)• En laat aan VERA officieel weten dat dit geregeld is

Voorwaarde 2

• Het bestuur sluit met VERA een overeenkomst af• Voor de toelevering van informatie• Vakjargon : een « interchange agreement »

– Waarin staat dat het bestuur recht heeft op updates van niet gepersonaliseerde informatie

– Waarin het bestuur afspreekt dat het alleen dan gepersonaliseerde informatie (= over een individu) zal opvragen

– Wanneer dit verantwoord is in het kader van de geldige « Internet en e-mail policy »

Welke dienst

• Op regelmatige basis rapporten met niet gepersonaliseerde informatie

• Indien verantwoord in het kader van het bestaande reglement, ook informatie over gebruik door een individu

• Procedure van aanvraag af te spreken (vb. minimaal faxen)• VERA interpreteert niets. Wij kijken ook niet in uw reglement

om te zien of u zelf wel het reglement respecteert (daar gaan we krachtens de interchange agreement van uit)

• De niet-gepersonaliseerde informatie krijgt u tegen een jaarabonnement

• De gepersonaliseerde (= over een individu) tegen kostprijs

Voorbeelden van niet-gepersonaliseerde rapporten

• E-mail rapport• Surfrapport

Opmerking: niet te veel interpreteren

• Een webpagina met 20 foto’s kan als meer dan 20 ‘hits’ voorkomen

• Als een dergelijke pagina blijft opstaan, en er een mechanisme ingebouwd is dat de pagina om de halve minuut ververst wordt, kan dit nog meer aantikken

• Sommige elektronische nieuwsbrieven (bvb die van VERA) worden als een webpagina geteld (soms met veel foto’s : kassa!)

• Popups die mee geopend worden tellen mee (soms pornosites)

• Sommige anti-virus softwares gaan om de enkele minuten kijken (« pollen ») of er updates zijn, maar ook Microsoft zelf

• MSN moet niet gebruikt worden om te pollen, als het geïnstalleerd is doet het dat vanzelf

• Abonneren op RSS-feeds (bvb bij kranten) veroorzaakt pollen van websites

Promotie-aanbod

• Op eenvoudige vraag van de secretaris van uw bestuur• Aan Carl Possemiers• Ontvangt u eenmalig een echt niet-gepersonaliseerd rapport

van uw bestuur (zie voorbeeld)• Op voorwaarde dat u dit alleen ten informatieven titel gebruikt• Waarbij VERA ook de interpretatie geeft • Dit aanbod is 6 weken geldig

Carl.possemiers@vera.be