Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Lagar angående lokalt nätverk

1
Skriv svar
Permalänk
Medlem

Lagar angående lokalt nätverk

Har lite funderingar angående lagar och deras tillämpning i lokala nätverk.

Vi har ett mindre nätverk på jobbet, som är fristående från företagsnätverket.
Har idag runt 40-50 klienter anslutna, och upplever lite problem i nätverket.
Broadcasts som fullkomligt regnar ut över nätverket osv, i min felsökning använder jag wireshark för att få en blick över trafiken på nätverket.

Idag fick jag frågan av en kollega vad jag gjorde, jag visade på några datapaket i wireshark, endast trafik mot min dator, ingen "ManInTheMiddle" eller så.
Då frågade han om jag kunde se vad "folk gjorde på internet". Ganska löst taget uttryck men i alla fall.
Då svarade jag att i princip tiillåter ju tekniken det, (pfsense router), så möjligheten finns ju.

Man kan ju säga att det tog skruv, massa påhopp om hur olagligt det var, fast det var mest antaganden att det skulle vara olagligt.
Hittar inget bra om detta, hittar en lag som känns som det närmsta jag kommer:

Citat:

§ Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift. Lag (2007:213).

Någon som har lite mer kött på benen angående detta ?

Vänlig Hälsning
/Tobias

Redigera
Citera flera Citera
Permalänk
Medlem

Jag tror den springande punkten är 'olovligen'. Jag förutsätter att du har företagets godkännande att felsöka företagets nätverk? Är problemet trafiken i nätverket är det ju självklart att du måste använda ett verktyg som analyserar just den.

Redigera
Citera flera Citera
Permalänk
Medlem

Finns ju oftast en företagspolicy som reglerar vad man får använda företagsnätet till, inklusive internet.
Och jag kan garantera att ett företag får kontrollera att policyn efterföljs då företaget i princip kan göras ansvarig för eventuella olagligheter som pågår.
Om du däremot inte har som jobb att just felsöka nätverket så ligger du risigt till

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Cryptomast3r:

Vi har ett mindre nätverk på jobbet, som är fristående från företagsnätverket.

Gå till inlägget

Vad betyder det? Vem äger LANet?

Redigera
Citera flera Citera
Permalänk
Medlem

Ja det är på företagets order jag utför felsökning så den biten är klar.

Jag är lite fundersam på punkterna som nämns efter olovligen:

Citat:

ändrar, utplånar, blockerar eller i register för in en sådan uppgift

Detta är det ju inte, jag analyserar bara, för inget register.

Du kanske menade mer på den här ?

Citat:

bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling

Det låter ju väldigt nära faktiskt, men just om datorn gör en broadcast, så är det ju faktiskt den automatiserade behandlingen som ger mig tillgång till den informationen.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Cryptomast3r:

Ja det är på företagets order jag utför felsökning så den biten är klar.

Gå till inlägget

Som ägare till LANet har du fulla rättigheter att lagra, logga eller göra vad du vill med trafiken. (att det sedan finns etiska aspekter på det är en annan diskussion). Har du ett uppdrag av ägaren är det inga problem.

Redigera
Citera flera Citera
Permalänk
Rekordmedlem

Företaget bör ha en it-policy som reglerar det här, de bestämmer där vad som är tillåtet och inte, att ni har ett eget nät låter väldigt konstigt i mina öron, är nätet på företaget och använder företagets hårdvara ? Eller vad menar du egentligen med ett eget nät ? Vad har ni ett privat nät till på företaget ?

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Redigera
Citera flera Citera
Permalänk
Medlem

Om du bara kör med wireshark utan att ha monitoring på portarna i switchen mm så ser du ju bara broadcasts mm. ingen trafik ifrån klienterna ut mot nätet. Skulle du göra det för att samla in lösenord etc så kanske det är lite känsligt.Men som övriga säger det är ju ett verktyg som man använder dagligen i arbetet i felsökningssyfte mm.
Företagen idag kör ju med övervakning mot web för att föra statestik på besökta sidor etc så det är ju i princip samma sak.

Visa signatur

Vad vore världen utan silvertejp?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Svensktiger:

Finns ju oftast en företagspolicy som reglerar vad man får använda företagsnätet till, inklusive internet.
Och jag kan garantera att ett företag får kontrollera att policyn efterföljs då företaget i princip kan göras ansvarig för eventuella olagligheter som pågår.
Om du däremot inte har som jobb att just felsöka nätverket så ligger du risigt till

Gå till inlägget

Detta är inte vårat "företagsnätverk", där finns det policy's och väldigt hårt reglerat.
Detta är ett nätverk som vi byggt upp vid sidan av för att kunna arbeta, väldigt mycket av kärnverksamheten har sådana krav att vi inte kan utföra dom över företagsnätverket. Ja, det är mitt jobb att felsöka nätverket

Skrivet av Tanis:

Vad betyder det? Vem äger LANet?

Gå till inlägget

Det är företaget, lokalt, som äger nätverket. Det är jag som ansvarar för konfigurering och underhåll. Monterar all aktiv utrustning, samt drar kompletterande kablage.

Redigera
Citera flera Citera
Permalänk
Rekordmedlem

Ni har alltså ett annat fysiskt nät med helt egen hårdvara i stället för vlan? Hur ansluter ni till nätet, har ni separata hostar ?

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Cryptomast3r:

Har lite funderingar angående lagar och deras tillämpning i lokala nätverk.

Vi har ett mindre nätverk på jobbet, som är fristående från företagsnätverket.
Har idag runt 40-50 klienter anslutna, och upplever lite problem i nätverket.
Broadcasts som fullkomligt regnar ut över nätverket osv, i min felsökning använder jag wireshark för att få en blick över trafiken på nätverket.

Idag fick jag frågan av en kollega vad jag gjorde, jag visade på några datapaket i wireshark, endast trafik mot min dator, ingen "ManInTheMiddle" eller så.
Då frågade han om jag kunde se vad "folk gjorde på internet". Ganska löst taget uttryck men i alla fall.
Då svarade jag att i princip tiillåter ju tekniken det, (pfsense router), så möjligheten finns ju.

Man kan ju säga att det tog skruv, massa påhopp om hur olagligt det var, fast det var mest antaganden att det skulle vara olagligt.
Hittar inget bra om detta, hittar en lag som känns som det närmsta jag kommer:

Någon som har lite mer kött på benen angående detta ?

Vänlig Hälsning
/Tobias

Gå till inlägget

Om det är företagets nätverk som du felsöker med dess godkännande har du solklart rätt att kolla utgående trafik hursom helst och rapportera vidare till företaget vad du hittar. Därutöver, om företaget har en nedskriven IT-policy som är tillgänglig för anställda så kan företaget göra vad den vill med sina ettor och nollor inom vad som sägs i policyn. Däremot, om det inte är uttryckt i någon policy så finns det begränsningar för vad företaget aktivt får snoka i. Tex så kom ett domstolsutslag för några år sen att företag inte får genomsöka en enskild anställds epost av uppenbart privat karaktär, även om det är på företagsmailen. Osäker på om lagen kan ha ändrats sen dess (typ fem år sen). Det är också (enligt min icke juridiskt skolade tolkning) i såna fall tveksamt i vilken grad du får aktivt söka igenom en viss användares surfning tex genom sökmotorhistorik.

Men hursomhelst så har du i det fall du beskriver med generell genomsökning av nätet på nätägarens uppdrag/godkännande full rätt att söka igenom internettrafiken och rapportera det du hittar, och sen är det inte ditt ansvar (antar jag ) vad företaget sen gör med den informationen inkl kunskap om vilken användare det är knutet till.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tanis:

Som ägare till LANet har du fulla rättigheter att lagra, logga eller göra vad du vill med trafiken. (att det sedan finns etiska aspekter på det är en annan diskussion). Har du ett uppdrag av ägaren är det inga problem.

Gå till inlägget

Precis vad jag tänkte, förstår ju helt klart det etiska med det och det finns inget mindre intressant för mig än vad folk surfar på eller deras lösenord.
Alla användare är både nära vänner och arbetskollegor till mig.

Skrivet av mrqaffe:

Företaget bör ha en it-policy som reglerar det här, de bestämmer där vad som är tillåtet och inte, att ni har ett eget nät låter väldigt konstigt i mina öron, är nätet på företaget och använder företagets hårdvara ? Eller vad menar du egentligen med ett eget nät ? Vad har ni ett privat nät till på företaget ?

Gå till inlägget

Det är ett nät med egen ISP. Egen aktiv utrustning. Ingen koppling alls till det riktiga företagsnätverket.

Skrivet av mrqaffe:

Ni har alltså ett annat fysiskt nät med helt egen hårdvara i stället för vlan? Hur ansluter ni till nätet, har ni separata hostar ?

Gå till inlägget

Precis, helt egen aktiv utrustning, och separat ISP från stadsnätet på orten.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Cryptomast3r:

Precis vad jag tänkte, förstår ju helt klart det etiska med det och det finns inget mindre intressant för mig än vad folk surfar på eller deras lösenord.
Alla användare är både nära vänner och arbetskollegor till mig.

Det är ett nät med egen ISP. Egen aktiv utrustning. Ingen koppling alls till det riktiga företagsnätverket.

EDIT: Enda restriktionerna för ett företag -om det inte finns reglerat i IT-policy eller anställningsavtal - är alltså uppenbart privat data, dvs data som företaget inte har något med att göra. Men nättrafik som surf är aldrig så privat i den bemärkelsen eftersom trafiken genom IP:n kan spåras till företaget och det alltså kan påverka företagets anseende.

Precis, helt egen aktiv utrustning, och separat ISP från stadsnätet på orten.

Gå till inlägget

Det kvittar vilken ISP etc. Det väsentliga är vem som äger nätverket och det gör uppenbarligen företaget även om det är ett separat nät.
Du har därmed full rätt att felsöka och sniffa och snoka i nätet. Hur företaget sen har rätt att hantera informationen beror på hur generella formuleringarna i IT-policyn är , dvs om delar är så pass generellt formulerade att de gäller även för det nätet

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Whippoorwill:

Om det är företagets nätverk som du felsöker med dess godkännande har du solklart rätt att kolla utgående trafik hursom helst och rapportera vidare till företaget vad du hittar. Därutöver, om företaget har en nedskriven IT-policy som är tillgänglig för anställda så kan företaget göra vad den vill med sina ettor och nollor inom vad som sägs i policyn. Däremot, om det inte är uttryckt i någon policy så finns det begränsningar för vad företaget aktivt får snoka i. Tex så kom ett domstolsutslag för några år sen att företag inte får genomsöka en enskild anställds epost av uppenbart privat karaktär, även om det är på företagsmailen. Osäker på om lagen kan ha ändrats sen dess (typ fem år sen). Det är också (enligt min icke juridiskt skolade tolkning) i såna fall tveksamt i vilken grad du får aktivt söka igenom en viss användares surfning tex genom sökmotorhistorik.

Men hursomhelst så har du i det fall du beskriver med generell genomsökning av nätet på nätägarens uppdrag/godkännande full rätt att söka igenom internettrafiken och rapportera det du hittar, och sen är det inte ditt ansvar (antar jag ) vad företaget sen gör med den informationen inkl kunskap om vilken användare det är knutet till.

Dold text
Gå till inlägget

Det finns ingen IT-Policy för detta nätverk, det började i princip som ett "hemmanätverk" mellan ett fåtal datorer, tänk i princip en D-Link 655 + 8-port switch, den storleken på det. Idag är det lite större då företaget har system för CCTV och Digital Signage bland annat.

Min tanke är ju lite att det är ingen som blir "påtvingad" att använda nätverket, man tar t ex och ansluter med sin privata mobiltelefon för att komma åt att surfa internet på raster osv.
I och med att man inte tvingar in folk att använda nätverket utan det är på eget initiativ (i jakt på internetuppkoppling då) som man använder detta, så är det ju lite av ett okänt nätverk för användaren, man har ingen vetskap om vad det sitter för utrustning och dess syfte i nätverket, eller tänker jag fel ?

Känns som att generell felsökning skall kunna göras på detta nätverk utan att bli stämd av en "gäst" som kommit och lånat internet.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Whippoorwill:

Det kvittar vilken ISP etc. Det väsentliga är vem som äger nätverket och det gör uppenbarligen företaget även om det är ett separat nät.
Du har därmed full rätt att felsöka och sniffa och snoka i nätet. Hur företaget sen har rätt att hantera informationen beror på hur generella formuleringarna i IT-policyn är , dvs om delar är så pass generellt formulerade att de gäller även för det nätet

Dold text
Gå till inlägget
Skrivet av Whippoorwill:

EDIT: Enda restriktionerna för ett företag -om det inte finns reglerat i IT-policy eller anställningsavtal - är alltså uppenbart privat data, dvs data som företaget inte har något med att göra. Men nättrafik som surf är aldrig så privat i den bemärkelsen eftersom trafiken genom IP:n kan spåras till företaget och det alltså kan påverka företagets anseende.

Dold text
Gå till inlägget

Jaha, bra du sa det, då är jag med lite mer hur det ser ut. Nu fick jag lite mer vinkling på situationen och med den paketanalysen jag gör i felsökningssyfte är inte i närheten av att ge några juridiska problem. Om det genereras uppenbart privat trafik så är det väldigt ointressant för mig och företaget. Det kan knappast uppta så mycket bandbredd att det skulle vara ett problem av det skälet.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Cryptomast3r:

Det finns ingen IT-Policy för detta nätverk, det började i princip som ett "hemmanätverk" mellan ett fåtal datorer, tänk i princip en D-Link 655 + 8-port switch, den storleken på det. Idag är det lite större då företaget har system för CCTV och Digital Signage bland annat.

Min tanke är ju lite att det är ingen som blir "påtvingad" att använda nätverket, man tar t ex och ansluter med sin privata mobiltelefon för att komma åt att surfa internet på raster osv.
I och med att man inte tvingar in folk att använda nätverket utan det är på eget initiativ (i jakt på internetuppkoppling då) som man använder detta, så är det ju lite av ett okänt nätverk för användaren, man har ingen vetskap om vad det sitter för utrustning och dess syfte i nätverket, eller tänker jag fel ?

Känns som att generell felsökning skall kunna göras på detta nätverk utan att bli stämd av en "gäst" som kommit och lånat internet.

Gå till inlägget

Ja solklart. Du kan sniffa och logga allt om du vill. Däremot är det tveksamt om företaget kan göra något annat än ett påpekande om det kommer fram att någon tex porrsurfat (lagligt snusk alltså -barnporr som är olagligt får och bör man såklart anmäla ) eller laddat ner upphovsrättskyddat material etc.

Redigera
Citera flera Citera
Permalänk
Rekordmedlem

Erat nät faller under PUL, finns det ingen it policy eller andra avtal så lär det vara lagen som gäller rakt av och då får ni inte lagra/snoka personuppgifter hur som helst, ni borde fixa en it policy och informera användarna, för troligen är nätet inte ok enligt PUL idag.
Ni är ute på juridiskt osäker mark här, och att ni ansluter med privata enheter gör det inte enklare, ni kanske även överför info som bryter mot era anställningsavtal eller andra avtal.
www.datainspektionen.se/Documents/faktabroschyr-pul-arbetsliv...

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mrqaffe:

Erat nät faller under PUL, finns det ingen it policy eller andra avtal så lär det vara lagen som gäller rakt av och då får ni inte lagra/snoka personuppgifter hur som helst, ni borde fixa en it policy och informera användarna, för troligen är nätet inte ok enligt PUL idag.
Ni är ute på juridiskt osäker mark här, och att ni ansluter med privata enheter gör det inte enklare, ni kanske även överför info som bryter mot era anställningsavtal eller andra avtal.
www.datainspektionen.se/Documents/faktabroschyr-pul-arbetsliv...

Dold text
Gå till inlägget

Tackar, där hade vi en hel del nyttigt i PDF'en. Har letat på datainspektionen tidigare men lyckades inte med att hitta den.
Känns som att PUL skyddar rätt bra för dagens användning faktiskt, skyddar båda parter så att säga.
Något som jag kan tänka direkt såhär är ett avtal som måste godkännas innan användandet av det trådlösa nätverket, det är ju där man ansluter med sina privata enheter.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mrqaffe:

Erat nät faller under PUL, finns det ingen it policy eller andra avtal så lär det vara lagen som gäller rakt av och då får ni inte lagra/snoka personuppgifter hur som helst, ni borde fixa en it policy och informera användarna, för troligen är nätet inte ok enligt PUL idag.
Ni är ute på juridiskt osäker mark här, och att ni ansluter med privata enheter gör det inte enklare, ni kanske även överför info som bryter mot era anställningsavtal eller andra avtal.
www.datainspektionen.se/Documents/faktabroschyr-pul-arbetsliv...

Gå till inlägget

Hm, PUL tänkte jag inte på iofs.. men ( min kursivering) "...många av hanteringsreglerna inte längre behöver tillämpas på viss
hantering av personuppgifter i ett ostrukturerat material. Syftet är
att underlätta vardaglig hantering av personuppgifter som inte medför
integritetsrisker. Lättnaderna gäller för vardaglig ostrukturerad
behandling av personuppgifter som löpande text i ordbehandlingssystem,
löpande text på Internet,.."

Det står sen under rubriken Loggning att man får utföra loggning av tekniska och säökerhetsmässiga skäl och sen allmänt att om loggen inte går att knyta till en enskild person så är de inte att betrakta som personuppgifter.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mrqaffe:

Erat nät faller under PUL, finns det ingen it policy eller andra avtal så lär det vara lagen som gäller rakt av och då får ni inte lagra/snoka personuppgifter hur som helst, ni borde fixa en it policy och informera användarna, för troligen är nätet inte ok enligt PUL idag.
Ni är ute på juridiskt osäker mark här, och att ni ansluter med privata enheter gör det inte enklare, ni kanske även överför info som bryter mot era anställningsavtal eller andra avtal.
www.datainspektionen.se/Documents/faktabroschyr-pul-arbetsliv...

Gå till inlägget

bara för att det inte finns någon policy för nätverket betyder det inte att nätet faller under PuL... ett nätverk faller aldrig under PuL

Redigera
Citera flera Citera
Permalänk
Rekordmedlem

Nä nätet har inget med pul att göra, men att kolla på trafiken i det kan däremot göra det om nätet används av personalen på företaget, det kan även påverkas av kollektivavtal, det har ju hänt att det skett "prestationsövervakning" via nätverk, det är hursomhelst väldigt dumt att inte ha en it policy och det kan uppstå besvärliga situationer om det skulle användas som slagtä vid en rättslig prövning, jag vet för lite detaljer om just det här nätet, men vet så pass mycket som att det är obra skött just nu, och en it policy som informeras ut till alla användare och sedan godkänns med signering gör rättsläget mycket tydligare.

Visa signatur

R5 5600G, Asus ROG STRIX X470-F Gaming, WD SN850X 2TB, Seasonic Focus+ Gold 650W, Aerocool Graphite v3, Tittar på en Acer ET430Kbmiippx 43" 4K. Lyssnar på Behringer DCX2496, Truth B3031A, Truth B2092A. Har också oscilloskop, mätmikrofon och colorimeter.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av mrqaffe:

Nä nätet har inget med pul att göra, men att kolla på trafiken i det kan däremot göra det om nätet används av personalen på företaget, det kan även påverkas av kollektivavtal, det har ju hänt att det skett "prestationsövervakning" via nätverk, det är hursomhelst väldigt dumt att inte ha en it policy och det kan uppstå besvärliga situationer om det skulle användas som slagtä vid en rättslig prövning, jag vet för lite detaljer om just det här nätet, men vet så pass mycket som att det är obra skött just nu, och en it policy som informeras ut till alla användare och sedan godkänns med signering gör rättsläget mycket tydligare.

Gå till inlägget

Även fast personalen använder nätet tillämpas inte PuL. Däremot håller jag med om att nätverket är dåligt skött.

Redigera
Citera flera Citera
Permalänk
Medlem

Däremot borde ju Pul gälla, helt logiskt, om man kommer över personuppgifter vid felsökning ?

Edit:
Företaget regionalt har en it-policy, som tillämpas företagets riktiga nätverk. Denna policy borde ju gå att tillämpa på vårat lokala nätverk som vi gjort ?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Ledsen för bump här nu men för att knyta igen historien lite.

Har nu fått fatt i företagets IT-Policy. Visst fanns den, bara man får prata med rätt person som vet
Den omfattar att trafiken kan granskas för att se att IT-Policyn följs.

IT-Policyn accepteras så fort du skriver på anställningsavtalet.
Vad jag skall ordna är att vid anslutning mot trådlösa gästnätverket skall man vara tvungen att acceptera IT-Policyn innan man kan nyttja nätverket.
Detta för att inte ha någon gråzon om nyttjaren vet om policyn eller ej.

Tack för alla svaren jag fått !

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara