您是否知道有些雇主會在員工上網時有系統地解密他們的 HTTPS 流?他們為此稱為“SSL 代理”的設備它位於使用者和 Web 伺服器之間。這個魔術盒透過使用偽造的憑證模擬所要求的服務(例如 google.com)來解密所有交換。這種做法並不是最近才出現的,但由於法律上的不確定性以及這項措施在員工中不受歡迎,所以是以某種隱藏的方式進行的。因此,IT 主管並沒有太大的意願去宣傳它。
但雇主可以放心:CNIL 剛剛發布了一份說明,澄清了事情。因此,委員會認為 HTTPS 流的解密是完美的“ 合法的 ”,因為它可以讓雇主確保“其資訊系統的安全性”,透過阻止在那裡發現的任何惡意軟體。顯然,這不是唯一的原因:該設備也用於防止資訊外洩。因此,向競爭對手發送機密文件的員工很容易被發現。
是否構成刑事犯罪?
然而,CNIL 有一個(小)警告。使用這種監控技術必須“被框住了”。因此,必須事先以某種方式告知員工“精確的”關於這項措施:給出的原因、受影響的人、進行的分析的性質、保留的數據、調查方法等。雇主還必須制定“嚴格管理管理員郵件存取權限”。換句話說:阻止 IT 部門的所有成員透過電子郵件進行搜尋。此外,“保留痕跡”應減少到最低限度。
然而,CNIL 解釋說,仍然存在一小部分法律不確定性。事實上,刑法理論上禁止“阻礙或扭曲自動資料處理系統(STAD)的運作”。然而,當該公司解密員工的 Gmail 流量時,我們可以估計這會扭曲第三方(即 Google)的 STAD 功能。因此,這可能構成犯罪。 CNIL 的結論:也許應該修改《刑法》,讓雇主能夠真正放心地監控這些加密的流量。顯然,情況還沒有完全明朗…
另請閱讀:
數以千計的 Android 和 iOS 應用程式仍然容易受到 HTTPS 漏洞 Freak 的影響– 18/03/2015
來源 :
法國國家資訊實驗室
