Gå til innhold

NRK lot IT-sikkerhets­avdeling lese utgående epost fra journalister


Anbefalte innlegg

Videoannonse
Annonse

Hvis det i mitt spamfilter (20.000 klienter) havner 1.000 eposter i utgående spamfilter som trigger på heuristic eksempelvis: kun store bokstaver, "Nigeria" osv. osv. Så ønsker jeg å ta affære fra IT-avdelingens side. Det er helt naturlig at jeg leser innholdet i en eller noen av disse epostene. Kanskje de er legitime og ment som en advarsel til andre om Nigeriabrev, micro-learning el.l.?? Og som Johosianna påpeker: Dette er jobbens ansvar å sikre at kommunikasjon internt OG eksternt følger gjeldende retningslinjer i tjenesteøyemed. Hvis man sitter og leser eks-kjærestens kommunikasjon fordi man er en sjalu/uprofesjonell jævel - så er noe helt annet og bør føre til personalsak evt. oppsigelse. Og ja jeg har opplevd at nysgjerrig kollega fikk sparken på timen i et graverende tilfelle av oppslag han overhodet aldri skulle ha toucha! Bra IT i NRK følger med og har logger og noenlunde styr på dette synes jeg.

mvh

Lenke til kommentar

Siden dette gjelder journalister, kan jo forhold som anonymitet og kildevern stå i fokus! Dette kan jo være informasjon som kan være svært alvorlig for mennesker og samfunnet. Varsling eller tips f.eks. Kunne kanskje heller brukt en kryptert (ekstern) dropbox utenfor IT-avdelingens management. som kun journalister har tilgang til.. ?? Kommer kun med forslag, ikke _svaret_ :))

 

Lenke til kommentar

Jeg tror du tolker regelverket feil. Dersom det er nødvendig av hensyn til sikkerheten er det selvsagt anledning til å se på e-post og annen trafikk som traverserer nettverket. Dessuten er det forskjell på personlig e-post og virksomhetens e-post.

Hva som faktisk har skjedd i NRK og hvorfor dette er et problem, fremgår ikke av artikkelen.

  • Liker 1
Lenke til kommentar

Det som er mest avgjerande for om denne saka om innsyn i epostar er kritkkverdig eller heilt innafor er for det fyrste vurderinga av om dette var nødvendig for å ivareta verksemda. Det kan fort bli vurdert som nødvendig og legitimt å ta stikkprøver av epostar som filteret har flagga.
Det andre avgjerande forholdet er om det har blitt informert om at andre enn motakaren av eposten skal inn og lese den. Dette punktet omtalar ikkje artikkelen, men ettersom denne saka har blitt blåst opp som problematisk så er det nærliggande å tru at det ikkje har blitt gitt utfyllande informasjon til dei tilsette med informasjon om: kva som skal kontrollerast, kven som skal kunne lese eposten, kva opplysningane skal brukast til, osv.
For ei verksemd som NRK så vil det også være naturleg at det blir laga klare reglar for kva jobbeposten kan brukast til. Sensitive opplysningar som berører kjeldevern eller personalhandsaming verksen skal eller bør gå som epost, til slike ting bør ein ha på plass andre løysningar.

Det er også eit krav at nødvendig overvåkning skal foregå så skånsomt som råd, i dette tilfellet kunne det kanskje vært løyst ved å annonymisere dei kontrollerte epostane slik at den som les innhaldet ikkje har tilgang til å sjå kven som er mottakar/avsendar.

  • Liker 2
Lenke til kommentar

Jeg ser det ikke umiddelbart en feil, av IT-sikkerhetsmessige hensyn. Det er en langt mørkere situasjon om ledelsen sitter og leser ansattes epost.

-Det her er jo mer et spørsmål om bedriften har en taushets-klausul i kontrakten til de gjeldende IT-arbeidere (sysadmins) med tilgang til ansattes epost.

Endret av Sandormen
  • Liker 1
Lenke til kommentar

Hvis jeg var journalist så ville jeg vært HELT sikker på at mine kilder ble beskyttet, og at de er sikre på at de blir beskyttet. Nå setter jeg ikke i tvil de to IT-medarbeiderene det gjelder sin integritet, men systemene burde vært beskyttet mot man-in-the-middle. Nysgjerrighet eller mer ondsiktede hensikter? Tenk hvis man kommer tilfeldig og ærlig (i jobbsammenheng) kommer over f.eks.: Tilståelsen Hvem Drepte Palme (det var hans fru og Säpo har skjult det hele tiden og det kommer med dokumentasjon) Alle (de fleste) har sin pris i en slik sammenheng. Anbefaler DKIM, SPF og DMARC slik at man ikke enkelt kan hijacke MX oppføringer, og ende til ende kryptering, identifikasjon og autentisering med sertifikater (for epost). Sikkert mange som har tenkt på dette så jeg overlater til neste..

takk

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...