it-swarm.com.de

Ist es akzeptabel, dass eine interne HR-Site über HTTP ausgeführt wird?

Unsere interne HR-Site, auf der unsere persönlichen Daten, Gehaltsabrechnungen, Urlaubsdaten usw. gespeichert sind, basiert vollständig auf einer einfachen http-Site. Die Site ist nur innerhalb des Unternehmensnetzwerks zugänglich und kann z. von Mitarbeitern zu Hause (außer über ein VPN). Es kann über unser internes Wifi-Netzwerk zugegriffen werden.

Ich weiß, dass https nicht das A und O der Netzwerksicherheit ist, aber ist das jemals "OK"?

Dies ist kein kleines Unternehmen - es ist ein großes börsennotiertes britisches Unternehmen, das Zehntausende beschäftigt. Ich hatte mich zurückgehalten, etwas zu sagen, da sie dieses Jahr das gesamte System Q1 ersetzen sollten, aber dies wurde jetzt auf 2018 verschoben.

Lust zu verstehen

  1. Ob dieses Setup ein erhebliches Risiko birgt
  2. Ob damit ein möglicher Verstoß gegen die Gesetze des Vereinigten Königreichs/der EU (z. B. das britische Datenschutzgesetz) verbunden ist
  3. Wenn es bestimmte Schritte gibt, die ich als Einzelperson tun kann, um meine Exposition (außer die Nichtnutzung der Website!) Dem Abfangen zu minimieren.

Netzwerk ist eine Mischung aus Kabel und WLAN. Auf die Site kann nur intern oder über VPN zugegriffen werden.

37
aldredd

Die Hauptmotivation für HTTPS besteht darin, zu verhindern, dass ein Angreifer Ihre Kommunikation mit einer Website liest und manipuliert. Die Entscheidung, es auf internen Websites bereitzustellen, hängt also davon ab, ob das Risiko besteht, dass jemand Ihren Datenverkehr innerhalb des Unternehmensnetzwerks manipuliert.

Wenn die interne HR-Site nur statische Inhalte bereitstellt, auf die bereits jeder im Intranet des Unternehmens zugreifen kann, könnte man argumentieren, dass HTTPS keine Sicherheit bietet, da das Abfangen des Datenverkehrs auf dieser Seite innerhalb des internen Netzwerks sinnlos wäre.

Wenn die Site jedoch ein Anmeldesystem verwendet und den Mitarbeitern nicht vertraut wird, dass sie das interne Netzwerk nicht stören, oder Gäste darauf zugreifen dürfen, sollte auf die Site immer über eine sichere Verbindung zugegriffen werden.

es ist eine Site, auf der wir uns anmelden (mit einem Passwort, das wir nur auf maximal 8 Kleinbuchstaben beschränken müssen), auf der wir Lohnabrechnungen, persönliche Adressen/Kontaktdaten usw. anzeigen können.

Das ist besorgniserregend. Nicht nur das künstliche Passwortlängenlimit ist wirklich niedrig und die Einschränkung nur in Kleinbuchstaben fraglich. Wenn die Site einfaches HTTP verwendet, kann ein betrügerischer Mitarbeiter (oder Malware auf seinem Computer) Ihre Verbindung zur Seite abfangen, Ihr Kennwort abhören und Ihre Interaktionen mit dieser Site aufzeichnen. Da Sie sagen, dass es sich um ein großes Unternehmen handelt, ist möglicherweise nicht jeder, der darauf zugreift, vollständig vertrauenswürdig. Daher sollten sie die Bereitstellung von HTTPS in Betracht ziehen.

43
Arminius

Nein, das ist nicht sicher. Sie sagten, es ist kein kleines Unternehmen, was bedeutet, dass es wahrscheinlich Menschen gibt, denen nicht jeder vertraut (was für> 10 Mitarbeiter ziemlich unmöglich ist), und wahrscheinlich sogar, dass es einige Positionen gibt, die von verschiedenen Personen besetzt werden, die in das Unternehmen eintreten und es ganz verlassen häufig. Wahrscheinlich sogar nur ein paar Wochen für Berufserfahrung, einen Sommerjob oder ähnliches.

Diesen Personen kann nicht vertraut werden, dass sie IT-Systeme, auf die sie Zugriff haben, nicht manipulieren. Wenn unverschlüsselte Daten über Ethernet gesendet werden, kann jeder dazwischen sie lesen.

Sie verwenden nicht einmal die Challenge-Response-Authentifizierung, sondern ein Passwort. Dies bedeutet, dass kein aufwändiger Angriff erforderlich ist, bei dem der Datenverkehr live manipuliert oder Pakete abgefangen und nach der Manipulation gesendet werden oder in der Hoffnung, dass dieselben ansonsten Pakete nach der Manipulation erneut gesendet werden können, wenn sie zuvor an den Server gesendet wurden (die Person, die die Site verwendet, tut dies also nicht). t bemerken, weil sie die Antwort vom Server erhalten). Stattdessen kann man einfach den Datenverkehr aufzeichnen, ihn später analysieren, das Kennwort abrufen und auf die HR-Site zugreifen, bis das Kennwort geändert wird und der Datenverkehr erneut aufgezeichnet werden muss.

Wenn eine Manipulation innerhalb des Intranets möglich ist, wird dies früher oder später jemand tun. Die Leute machen sogar offizielle Ankündigungen, wenn sie können:

In diesem Fall hatte der Mitarbeiter die Begrüßungsseite des Unternehmens im Intranet mit der folgenden Meldung geändert: "500 Arbeitsplätze sollen vor Ende des ersten Quartals 2008 im Werk Waterford weg sein".

( http://www.cpaireland.ie/docs/default-source/media-and-publications/accountancy-plus/it/email-and-internet-use-by-employees.pdf?sfvrsn=2 )

Es gibt viele Berichte (wie http://www.askamanager.org/2014/02/ive-been-breaking-into-my-companys-computer-network.html ) im Internet, wo Die Leute geben zu, dass sie schwache Sicherheitsmaßnahmen gebrochen haben. Dies muss nicht einmal bösartig sein. Es kann aus Langeweile und Neugier resultieren (Im Fall Ihres Unternehmens: Macht Mr. Smith wirklich so viel, dass er sich diese 3 schönen Autos leisten kann?) , sogar um die Produktivität durch Zerstörung von Sicherheitsbarrieren zu steigern.

Es gibt viele ähnliche Empfehlungen:

Jeder Arbeitgeber muss über detaillierte Richtlinien zur Verwendung von Unternehmenscomputern und Ressourcen verfügen, auf die über Computer wie E-Mail, Internet und das Unternehmensintranet zugegriffen wird, sofern vorhanden.

( http://www.twc.state.tx.us/news/efte/monitoring_computers_internet.html )

Das ist natürlich sehr wenig wert, wenn die Einhaltung nicht durchgesetzt wird. Und Ihre Verbindung ist innerhalb des Unternehmens so offen wie möglich, da keinerlei Transportverschlüsselung verwendet wird und sogar die Passwörter im Klartext übertragen werden. Der beste Weg, eine Richtlinie durchzusetzen, besteht darin, sie nicht zu ignorieren. Natürlich ist das nicht immer möglich, und manchmal gibt es bessere Wege, aber es scheint sehr, dass dies in diesem Fall sowohl der einfachste, beste als auch der zuverlässigste Weg ist.

Diese Warnung kommt dem, was Ihr Unternehmen gegenübersteht, sehr nahe:

Unternehmen müssen sich nicht nur darauf konzentrieren, dass sie nicht gegen HIPAA-Vorschriften verstoßen, sondern sich auch auf ein anderes kritisches Problem der Intranetsicherheit konzentrieren: interne Sicherheitsverletzungen. Der Internet-Sicherheitsexperte Norbert Kubilus, Mitglied von Tatum CIO Partners, sagte, dass Intranet-Hacker in den meisten Fällen unglückliche Mitarbeiter sind, die das Unternehmen stören oder einen persönlichen Vorteil erlangen möchten.

"Das meiste, was ich gehört und beobachtet habe, ist interner Missbrauch", sagte Kubilus. "Sie können einen verärgerten Mitarbeiter dazu bringen, in das Intranet zu gelangen und Chaos zu verursachen, indem Sie Urlaubspläne oder Zeitkarten ändern. Wenn Sie nicht über den richtigen Schutz oder die richtige Ausbildung und den richtigen Prozess verfügen, sind Sie anfällig für a verärgerter Angestellter. "

( http://www.techrepublic.com/article/intranet-data-requires-a-good-security-review/ )

Wenn man bedenkt, dass die gefährdeten Daten sehr wichtig sind, ist klar, dass dies ein inakzeptables Risiko ist. Abhängig davon, wo sich Ihr Unternehmen befindet, kann es auch illegal sein, die Site auf diese Weise zu betreiben, z. weil es unzureichend gesicherte personenbezogene Daten enthält.

Wenn Sie dem Management mitteilen, dass dies illegal ist (falls dies der Fall ist), besteht wahrscheinlich eine höhere Wahrscheinlichkeit, dass die Sicherheit verbessert wird, als wenn Sie ihnen mitteilen, dass das System unsicher ist.

Ich weiß nichts über britisches Recht, aber ich denke, Sie können ein solches System definitiv nicht nach EU-Recht und daher nicht nach britischem Recht haben.

Nach einer kurzen Suche fand ich diese EU-Verordnung . Ein Zitat aus Artikel 32, das Ihnen Hoffnung geben könnte, dass es illegal ist:

Unter Berücksichtigung des Standes der Technik, der Kosten der Umsetzung sowie der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere der Rechte und Freiheiten natürlicher Personen setzen der für die Verarbeitung Verantwortliche und der Verarbeiter um geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus, unter anderem gegebenenfalls:

[...]

(b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten sicherzustellen;

Sie können weder Vertraulichkeit noch Integrität garantieren, wenn jeder im Unternehmen auf die HR-Website zugreifen kann, nachdem er sich ein 10-minütiges YouTube-Video über das Anschließen von Ethernet-Kabeln angesehen hat, sodass sich sein Laptop zwischen dem Server und einem HR-Computer befindet, und ein 5-minütiges YouTube-Video darüber, wie Wireshark verwenden, um ein Passwort zu erhalten, das über das Netzwerk gesendet wurde. Natürlich kann praktisch jede Person, die jemals mit Wireshark gespielt hat, dies tun, ohne 15 Minuten damit zu verschwenden, sich zuerst YouTube-Videos anzusehen. ;-);

11
UTF-8

Das Fehlen von HTTPS ermöglicht es einem Angreifer im selben Netzwerk, die Verbindungen zu diesem Server abzuhören und Anforderungen und Antworten zu ändern. Dies kann beispielsweise zum Aufspüren von Passwörtern verwendet werden, die von HR-Personen verwendet werden.

Was genau "dasselbe Netzwerk" ist, hängt von Ihrer Netzwerkkonfiguration ab und davon, wie viel Arbeit der Angreifer bereit ist, in dieses Netzwerk zu investieren. Es ist ziemlich wahrscheinlich, dass Sie einen Angriff von Ihrem Firmencomputer aus ausführen können. Manchmal ist ein Man-in-the-Middle-Angriff vom Parkplatz aus über das WLAN des Unternehmens möglich.

1
Sjoerd

Es gibt verschiedene Probleme mit HTTP und HTTPS, und wenn Sie sich in einem internen Netzwerk befinden, sollten einige Probleme behoben werden.

  • keine starke Serveridentifikation: In einem internen Netzwerk nicht wichtig. Es ist unwahrscheinlich, dass im internen Netzwerk ein gefälschter Server vorhanden ist. Normalerweise erfordert ein solcher MITM-Angriff Administratorrechte, und in einer Unternehmensorganisation müssen Sie den Administratoren bereits vertrauen, da sie alle Netzwerkgeräte und Clientcomputer verwalten.
  • vertraulichkeit von Antworten auf Anfragen von autorisierten Mitarbeitern: Es hängt davon ab, ob alle autorisierten Zugriffe von demselben Büro stammen (nur Administratoren oder Mitarbeiter mit gleichwertigen Zugriffsberechtigungen sollten in der Lage sein, auszuspionieren (*)) oder ob ein Manager Anfragen ausführen kann. Im letzteren Fall ist das Risiko des Abfangens vertraulicher Daten wichtig, aber der (interne) Angreifer kann nicht im Voraus wissen, welche Informationen er erhalten wird.
  • schutz der Anmeldeinformationen: Wenn selbst das Authentifizierungsverfahren einfaches HTTP verwendet, ist das Problem viel schwerwiegender. In diesem Fall könnte ein Angreifer Anmeldeinformationen erhalten und Anforderungen (einschließlich Änderungen) im Namen eines legitimen Benutzers ausstellen: Die Integrität wird nicht mehr garantiert, wenn nicht von Vertraulichkeit gesprochen wird

Wenn es sich um einen schreibgeschützten Server handelt und die Vertraulichkeit keine Rolle spielt, kann natürlich HTTP verwendet werden. Sobald wir jedoch von HR sprechen, sollte die Vertraulichkeit sofort auf ein mittleres bis hohes Niveau angehoben werden.


(*) In gängigen Unternehmensnetzwerken ermöglicht die Verwendung von Switches und Proxys nur den Spionageaustausch in demselben Subnetz, mit Ausnahme von Netzwerkadministratoren, die den gesamten unverschlüsselten Datenverkehr ihrer Domäne sehen können.

1
Serge Ballesta

Nein, dies ist absolut nicht akzeptabel und kann je nach Rechtsprechung bis zur strafrechtlichen Verantwortlichkeit rechtswidrig sein.

In den meisten Ländern gibt es Gesetze, die im Wesentlichen besagen, dass sensible personenbezogene Daten - und Beschäftigungsnachweise fast immer in diese Kategorie fallen - durch "angemessene technische Mittel" geschützt werden müssen.

Während die genaue Bedeutung dieses Begriffs absichtlich interpretiert werden kann, interpretieren Gerichte ihn in der Regel als eine Technologie, die leicht verfügbar und allgemein ist und dem Schutz der Daten dient. Mit anderen Worten: Sie müssen keine neue Sicherheitsmaßnahme erfinden, aber wenn andere Benutzer eine einfache Sicherheitsmaßnahme von der Stange verwenden und Sie dies nicht tun, schützen Sie die Daten nicht angemessen.

HTTPS ist sehr, sehr verbreitet und wird typischerweise für genau solche Zwecke verwendet. Nicht zu benutzen ist sehr wahrscheinlich grobe Vernachlässigung. Spezifischere Gesetze in Ihrer Gerichtsbarkeit könnten dies in die Höhe treiben.

0
Tom

Da es sich um HR handelt und HR normalerweise Leistungen verwaltet, ist es wahrscheinlich, dass sie nicht HIPAA-konform sind.

Mit anderen Worten, die Verwendung von SSL und TLS muss den in NIST 800-52 angegebenen Details entsprechen. Dies bedeutet, dass andere Verschlüsselungsprozesse, insbesondere solche, die schwächer sind als in dieser Veröffentlichung empfohlen, nicht gültig sind.

Link

0
John Wu

Natürlich ist es keine gute Idee, aber es gibt viele Wenn und Aber, abhängig von der gesamten Netzwerkkonfiguration.

Es ist erwähnenswert, dass ein böswilliger Administrator ein vertrauenswürdiges Zertifikat auf allen Computern installieren und trotzdem den gesamten Datenverkehr abfangen kann. Sie können fast nichts tun, um einen böswilligen Administrator zu stoppen.

Aus rechtlicher Sicht muss das Unternehmen angemessene Schritte unternehmen, um Ihre Daten zu schützen. Wenn ein Sommerpraktikant die Daten während des Transports abfangen kann, indem er seinen eigenen Laptop anschließt, kommt er seiner gesetzlichen Haftung nicht nach. Wenn ein erfahrener Pentester einen unbeaufsichtigten physischen Zugang benötigt, ist dies wahrscheinlich der Fall.

0
ste-fu