Pytanie:
Czy muszę przekazać prywatny klucz szyfrowania dyrektorowi instytutu?
emma
2020-01-09 18:50:45 UTC
view on stackexchange narkive permalink

Jestem doktorantem na niemieckiej uczelni. Zmotywowani dłuższą nieobecnością współpracownika (technicznego) z powodu choroby, omówiono dostępność danych członków mojego instytutu w takich przypadkach. Mój komputer jest własnością instytutu, ale tylko ja go używam i całkowicie go zainstalowałem i skonfigurowałem według własnych upodobań. W szczególności szyfruję swoje dane. Mam też na tym komputerze jakieś prywatne dane, np. e-maile, ponieważ moje prywatne konto e-mail jest połączone w moim programie pocztowym, ale także trochę muzyki i być może kilka zdjęć, mój prywatny klucz PGP itp. Konfiguracja jest bardzo podobna do niektórych moich kolegów.

Teraz , Poproszono mnie o fizyczne lub cyfrowe przekazanie mojego prywatnego klucza szyfrowania (lub hasła) w celu uzyskania dostępu w nagłych przypadkach. Najwyraźniej moi koledzy już to zrobili. Czuję się z tym bardzo dziwnie, ponieważ dorastałem, ucząc się, że hasła nigdy nie powinny być rozdawane. Zgłosiłem np., Że umożliwiłoby to również dostęp do prywatnych e-maili lub innych danych, a także pozwoliłoby na wysyłanie e-maili w moim imieniu, ale zostały one oznaczone jako nieważne, ponieważ dane prywatne nie mają nic wspólnego na moim komputerze w pracy (mimo że każdy używa tego w ten sposób). Alternatywnie powiedziano mi, że mogę odszyfrować swoje dyski twarde.

Moje pytania to:

  • Czy muszę przekazać mój prywatny klucz szyfrowania zgodnie z prawem?
  • Z moralnego punktu widzenia, jak najlepiej postąpiłbym w tej sytuacji?
  • Czy powinienem przekazać niewłaściwy (cyfrowy) klucz prywatny i mieć nadzieję, że taka sytuacja nigdy się nie wydarzy?
  • Zamiast się buntować, myślę o umożliwieniu dostępu tylko do części systemu, tj. umieszczeniu pewnych danych w zaszyfrowanym kontenerze, do którego nie mają dostępu? Nie muszę nigdzie o tym wspominać, jeśli wystarczająco dobrze ukryję pojemnik ... (może to nawet nie jest konieczne).

Prawdopodobnie warto zauważyć, że nikt tak naprawdę nie jest zaangażowany w mój temat badawczy, tj. nikt tak naprawdę nie polega na moich danych. Mogę jednak wyobrazić sobie kogoś, kto byłby zainteresowany możliwymi (niepublikowanymi) wynikami na wypadek, gdyby mnie nie było.

To świetny argument za odseparowaniem (całkowicie) osobistych rzeczy od swoich zawodowych.
Oczywiście musisz wziąć pod uwagę lokalne przepisy i regulacje uniwersyteckie.Możliwe, że to ignorowałeś, a teraz wróciło, by cię ugryźć.Uniwersytet jest właścicielem sprzętu i może mieć ważne prawo do wszystkich danych itp. Może to być ich, a nie Twoje.
Twoja instytucja prawdopodobnie ma inspektora ochrony danych (Datenschutzbeauftragte).Znajdź je, porozmawiaj z nimi.Inwazyjne praktyki, takie jak deponowanie hasła, nawet w przypadku urządzenia roboczego, prawdopodobnie i tak będą musiały zostać przez nich wylogowane.Twoje prawo do prywatności i prawo uniwersytetu do prowadzenia biznesu bez ciebie muszą być zrównoważone, i nie można zakładać, że żadne z tych praw nie ma automatycznie pierwszeństwa.Jeśli * naprawdę * chcesz z tym walczyć, porozmawiaj również ze swoim Personalrat.Są odpowiedzialni za negocjowanie ogólnych relacji między instytucjami a pracownikami, takich jak zasady osobistego użytku urządzeń roboczych.
Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/103140/discussion-on-question-by-emma-am-i-required-to-hand-out-private-encryption-klucz).
Jeśli to nie jest Twój komputer, klucz szyfrowania dysku nie należy do Ciebie.Jeśli masz również osobisty klucz szyfrujący, radzę umieścić go w innym miejscu, np.posiadana pamięć USB.
* Poproszono mnie o [...] przekazanie mojego prywatnego klucza szyfrowania * --- Kto cię dokładnie o to zapytał?Twój kierownik / przełożony czy personel IT?
Zapytał mnie drugi najwyższy członek instytutu, który zajmuje się wieloma sprawami organizacyjnymi, w imieniu dyrektora instytutu (który jest moim profesorem i kierownikiem).
@Buffy W Niemczech bardziej prawdopodobne jest, że OP ma rację, a uniwersytet się myli.W szczególności Uniwersytet zdecydowanie * nie * jest właścicielem wszystkich danych na tym komputerze.Pytanie dotyczyło dodatkowo * etyki * i uważam, że etyka w tym przypadku jest zgodna z prawem niemieckim.Tak jak w przypadku, fizyczne oddzielenie pracy od dokumentów prywatnych nie zawsze jest praktyczne ani konieczne.
Co się stanie, jeśli nagły wypadek, który wywołał tę potrzebę, polegał na wypadku samochodowym, podczas gdy laptop był na tylnym siedzeniu? Zarówno z praktycznego, jak i etycznego punktu widzenia, właściwym podejściem do rozwiązania tego problemu jest wymaganie regularnych kopii zapasowych informacji, których dotyczą obawy (które nie obejmują twojego prywatnego konta e-mail), na serwer w szkole, który jest albo niezaszyfrowany, albojest szyfrowany za pomocą kluczy kontrolowanych przez szkołę, podczas gdy samo szyfrowanie stacji roboczej pozostaje pod twoimi własnymi kluczami, które kontrolujesz.
„* Mój komputer jest własnością instytutu *” I oto Twoja odpowiedź.Jeśli są jej właścicielami, to z etycznego punktu widzenia mają prawo określić, w jaki sposób jest używany.
[Powiązane] (https://security.stackexchange.com/questions/5539/is-it-ok-to-tell-your-password-to-your-companys-sysadmin)
@RBarryYoung: nie, nie ma * nie * jest odpowiedzią.Dane nie są sprzętem i mogą obowiązywać prawa dotyczące własności danych, niezależnie od tego, kto jest właścicielem sprzętu, na którym się znajdują.I oczywiście istnieją różnice krajowe i lokalne - tylko dlatego, że Stany Zjednoczone nie traktują tego poważnie, inne jurysdykcje tak robią.
OP: kiedy mówisz * „W szczególności szyfruję swoje dane” *, nie masz na myśli szyfrowania dysków, które jest obecnie dość standardowe (przynajmniej w firmach, a nie na uniwersytetach).Czy Twoja motywacja to głównie prywatność, tj. Aby Twoi współpracownicy nie widzieli Twoich osobistych e-maili ani plików osobistych?Czy Twoje dane służbowe są poufne?pod NDA?Czy masz jakieś powody związane z pracą?
@smci Moją motywacją jest głównie prywatność, tj. Moje dane służbowe nie są poufne i nie ma żadnego realnego powodu związanego z pracą poza być może strategicznym (nie chcę porównywać się do gigantów, takich jak np.Leonardo da Vinci, który zaszyfrował swoje notatki lub AndrewWiles, który nawet nikomu nie powiedział, że pracuje nad FLT itp., Więc moim zdaniem motywacja nie jest czymś niezwykłym ...)
W takim razie dlaczego nie zaszyfrować tylko osobistych danych, ale nie pracy?Wtedy nie będą potrzebować Twojego osobistego klucza.
21 odpowiedzi:
#1
+104
Federico Poloni
2020-01-09 21:46:38 UTC
view on stackexchange narkive permalink

Wygląda na to, że jest to problem X-Y. Dlaczego ważne dane służbowe są przechowywane tylko na komputerze na biurku? Spodziewałbym się, że będzie w repozytorium Git lub we współdzielonej przestrzeni dyskowej serwera w miejscu pracy.

Po rozwiązaniu tego problemu wspomniany problem staje się nieistotny: dane nie zostaną utracone, jeśli dysk stanie się nagle niedostępny.

Dlatego praktycznym sposobem rozwiązania problemu może być oferując umieszczenie większej ilości danych roboczych na serwerach współdzielonych i repozytoriach git, aby problem zniknął. Zapytaj przełożonych, jakich danych się martwią, i zaproponuj, że zapobiegnie je udostępniając.

Mam pewne dane w repozytoriach git.Ale ponieważ żadna z moich uczelni tak naprawdę nie zajmuje się moim tematem, decyduję, co jest ważne.Ale pytanie dotyczy mniej kopii zapasowych ważnych danych (które mam), ale chęci uzyskania dostępu do wszystkich moich danych.
Używam [duplicity] (http://duplicity.nongnu.org/), aby co noc wypychać moje dane (a dokładniej delty) na serwer zewnętrzny w celu wykonania kopii zapasowej.Serwer jest następnie zapisywany na taśmie, a taśmy regularnie przenoszone do innej lokalizacji.Wszystko jest zaszyfrowane.Gdyby zginęli wszyscy posiadający hasła do zestawu danych, dane zostałyby utracone (być może agencja rządowa mogłaby złamać szyfrowanie, ale [klucz za 5 USD] (https://xkcd.com/538/) nie byłbyjakiegokolwiek zastosowania).
@emma Dość dyskusji na temat tego, że sposób korzystania z infrastruktury IT nie jest profesjonalny.Mam również nadzieję, że zgadzasz się z wieloma głosami sugerującymi udostępnienie danych związanych z pracą.Zamiast oddać klucz, jest to moment na zmianę obsługi danych.Proponuję porozmawiać z działem IT Twojej uczelni, jeśli może on udostępnić Ci część (z automatyczną kopią zapasową) współdzielonej pamięci sieciowej używanej przynajmniej do tworzenia kopii zapasowych danych związanych z pracą dla Ciebie i współpracowników.Tak to mamy na niemieckim uniwersytecie, a nawet przez większość czasu pracujemy bezpośrednio na tym magazynie.W wielu przypadkach sieć uniwersytecka jest wystarczająco szybka.
Zasadniczo nie rozwiązałoby to problemu zaszyfrowanych służbowych wiadomości e-mail.
Nie jest to w ogóle problem X-Y, ponieważ odpowiadamy na kwestię PO (jak odpowiedzieć na prośbę o klucze szyfrujące), a nie na problem uczelni (czy poprosić o klucze szyfrujące).Powiedzenie OP, że konfiguracja uniwersytetu jest niewłaściwa, nie pomaga jej w rozwiązaniu problemu.
@JBentley Dzieje się tak, jeśli stanowi alternatywę dla przekazywania kluczy prywatnych
[email protected] W bardzo podobnej pozycji roboczej miałem ostatnio awarię dysku twardego, bardzo przerażające.Wszystkie dane można było odzyskać, ale był to długi proces.Moja rada: poproś dział IT o skonfigurowanie dla Ciebie wirtualnego serwera, jeśli zajdzie taka potrzeba, z prawami dostępu tylko dla Ciebie.Bezpieczeństwo to ich problem i wiedza, a nie twoja.Dowiedz się o ich zasadach tworzenia kopii zapasowych.Potraktuj swój osobisty komputer służbowy jako kalkulator / przeglądarkę internetową / maszynę do pisania, wszelkie dane powinny być przesyłane (lub znajdować się na dysku twardym jako słaba kopia zapasowa).Użyj przeglądarki do prywatnych wiadomości.
Chociaż możesz (na podstawie opinii) mieć rację, to nie odpowiada na pytanie.
@Dubu OP nie wspomina o zaszyfrowanej służbowej poczcie e-mail, a jedynie o zaszyfrowanej prywatnej poczcie, która dla wygody jest obsługiwana przez tego samego klienta.Zakładam, że oba mają dwa oddzielne adresy i dwa oddzielne klucze szyfrujące (o ile służbowa poczta e-mail jest w ogóle zaszyfrowana);w tym przypadku nie ma problemu.
@JBentley Dodałem akapit z praktycznymi poradami, co robić.Mam nadzieję, że to odnosi się do twojej uwagi.
@JJMDriessen to świetny przykład tego, jak nie udzielenie odpowiedzi na (dosłowne) pytanie może czasami skutkować najlepszą rzeczywistą odpowiedzią.
@DanRomik Niezupełnie, ponieważ zakłada, że OP ma prawo skierować swoją uczelnię do zmiany polityki IT i unieważnienia żądania kluczy szyfrujących, co w żadnym wypadku nie jest rozsądnym założeniem (choć nowa edycja nieco złagodzi to założenie, aleodpowiedź nadal zależy od uczelni współpracującej z wnioskiem).W takich przypadkach lepiej jest przede wszystkim odpowiedzieć na pytanie dosłowne i podać tego rodzaju rady na marginesie.
@JBentley Z opisu OP wydaje się, że nie ma tutaj prawdziwej „polityki IT”, tylko chwila troski przełożonej (akademickiej), motywowanej niedawnym wydarzeniem.Z mojego doświadczenia wynika, że tego rodzaju zasady są o wiele bardziej rozmyte i podlegające negocjacjom na uniwersytecie niż w przemyśle: na przykład zobacz inne komentarze na tej stronie dotyczące użytku osobistego i zawodowego na uniwersytecie.Więc jeśli jesteś przyzwyczajony do tego, jak działają rzeczy w przemyśle, pamiętaj, że ten sposób myślenia nie może przenieść się bezpośrednio do środowiska akademickiego.
@JBentley głosujący nie zgadza się z tobą.Nie mówię, że ta odpowiedź jest doskonała ani nie mówi wszystkiego, co można powiedzieć na ten temat, ani że twoja krytyka jej nie ma żadnego znaczenia, ale po prostu mówiąc, jest to najbardziej wnikliwa i konkretna spośród istniejących odpowiedzi, i to prawdachociaż „nie odpowiada na pytanie” w wąskim technicznym sensie.
@Dan Romik Nie zgadzam się.Odpowiedź jest idealistyczna.Najprawdopodobniej, gdyby istniał sprawny system sieciowy obejmujący współdzielone repozytoria, to żądanie udostępniania haseł nie zostałoby w pierwszej kolejności zgłoszone.Co najwyżej PO mógłby zasugerować zastosowanie takiego systemu.A jeśli nie gryzą?Czy OP nadal wymaga podania swojego klucza szyfrowania?Mnie też interesuje odpowiedź na pytanie OP, ale szczerze mówiąc, ten post jej nie zawiera.Nie zmienia tego fakt, że otrzymał wiele głosów.
#2
+54
xLeitix
2020-01-09 21:41:53 UTC
view on stackexchange narkive permalink

Zamierzam (częściowo) nie zgodzić się z niektórymi odpowiedziami tutaj. Myślę, że to naprawdę zależy od tego, kto prosi o Twój klucz i w oparciu o jaką politykę.

Po pierwsze, jestem bardziej niż zdezorientowany wieloma odpowiedziami, które zapewniają, że uniwersytet generalnie nie ma interesu w uzyskiwaniu dostępu do informacji na komputerze, który Ci dostarczył - polityka użytkowania IT we wszystkich instytucjach, w których do tej pory pracowałem (w Austrii, Szwajcarii i Szwecji) z pewnością nie zgadzałaby się z tym stanowiskiem. Jasne, praktyką na żywo jest to, że dają ci komputer, a potem nie przejmują się tym, co z nim zrobisz, ale faktem jest, że jest to komputer uniwersytetu i ty też go używasz dla rzeczy prywatnych (być może za ich wyraźną zgodą) nie zmienia tego faktu.

Jednakże, czy (nieco głupi) plan zażądania kluczy prywatnych jest odpowiedni, zależy od tego, kto złożył to żądanie - jeśli faktycznie jest to część pisemnej polityki IT (bardzo mało prawdopodobne), możesz dać im klucz lub zaprzestać używania sprzętu, który dostarczają, ale jeśli jest to tylko szalony pomysł na Twój PI, masz pełne prawo powiedzieć nie. „Twój” komputer nie jest tak naprawdę Twój, ale nie jest też Twoim PI. Nawet jeśli zapłacili za to stypendiami, komputer należy do uniwersytetu, a polityka uniwersytetu reguluje sposób zarządzania nim. Jestem również całkiem pewien, że Twój dział IT poprze cię w tej sprawie, jeśli przyjdzie nam do głowy, ponieważ przełożony (lub ktokolwiek) przechowujący kilka kluczy prywatnych lub haseł brzmi jak koszmar odpowiedzialności / identyfikowalności, z którym nikt nie chce sobie poradzić.

Moralnie, jak najlepiej bym postąpił w tej sytuacji? Czy powinienem przekazać zły (cyfrowy) klucz prywatny i mieć nadzieję, że taka sytuacja nigdy się nie wydarzy?

Z pewnością nie - to tak samo głupie, jak proszenie o klucz w pierwszej kolejności, a jeśli Twój PI chce go przetestować (każde rozwiązanie do tworzenia kopii zapasowych jest tak dobre, jak podczas ostatniego testowania), możesz napotkać poważne konflikty . O wiele lepiej jest przyznać, że ich obawy nie są same w sobie bezpodstawne, nawet jeśli ich podejście do rozwiązania jest złe, i popracować z nimi nad lepszym rozwiązaniem. Posiadanie usługi w chmurze do tworzenia kopii zapasowych danych byłoby oczywistym podejściem.

Zamiast się buntować, myślę o udostępnieniu tylko części systemu, tj. Umieszczeniu pewnych danych w zaszyfrowanym kontenerze, który nie mają dostępu? Nie muszę nigdzie o tym wspominać, jeśli wystarczająco dobrze ukryję pojemnik ... (może to nawet nie jest konieczne).

Chyba że jest między wami głęboka nieufność, a jednak prosi ten klucz Nie rozumiem, dlaczego mieliby mieć coś przeciwko, gdybyś miał oddzielną partycję „niedziałającą” (zakładając, że w pierwszej kolejności pozwalają one na prywatne użycie). To powiedziawszy, jak wspomniałem wcześniej, cały pomysł zbierania kluczy / haseł prywatnych jest i tak złym rozwiązaniem problemu.

Jeśli chodzi o prywatny klucz szyfrujący, o który * ktoś * pyta mnie, mam głęboką nieufność do tej osoby, ponieważ, jak wspomniałeś, to po prostu nie brzmi jak właściwe rozwiązanie * żadnego * problemu.Pomysł z skontaktowaniem się z wydziałem IT uczelni jest dobry.
Dlaczego kierownik nie może poprosić o hasło?Osoba jest głównym badaczem, kierownikiem tego konkretnego badania.Nie ma więc sensu, aby PI nie miał dostępu do komputera, nawet jeśli był opłacany z dotacji.Nie sądzę, aby @emma miała uprawnienia, aby udać się do działu IT i poprosić o coś ponad swojego przełożonego.Zbiór haseł powinien być przechowywany w oprogramowaniu do obsługi haseł z wysokim szyfrowaniem.Prosty.Zgadzam się, że każdy kolega, bez nadzoru nadzorczego, powinien zapytać ją o hasło do swojego komputera.
@Mugé Nikt nie powinien pytać o niczyje hasło.Dane, które muszą być dostępne w nagłych przypadkach, powinny być przechowywane w miejscu, do którego mają dostęp określone osoby (kierownik naukowy, profesor, ...).Jeśli to miejsce jest rozumiane jako mój dysk twardy, cóż, czuję, że zaszyfrowana partycja niedziałająca na tym komputerze jest rozwiązaniem mojego problemu.
@emma Uważam, że ta ocena jest prawidłowa.Uważają, że Twój dysk twardy jest miejscem, do którego ludzie powinni mieć dostęp.Zgadzam się z twoim rozwiązaniem, że możesz po prostu oddzielić partycję na pracę i niepracę.
@Mugé PI! = Dyktator.Zasady dotyczące miejsca pracy mają również zastosowanie do PI, chociaż niektórzy z nich chcieliby, aby tak nie było.Odnośnie do tego, dlaczego PI nie powinien mieć hasła: rozważ przypadek, w którym laptop / konto Emmy jest wykorzystywane do czegoś nielegalnego, jak ustalić, kto z nich faktycznie to zrobił?Żaden dział IT nie chce się tym zajmować.
@xLeitix Dlaczego PI miałby sabotować swój własny projekt?Czy mówimy o tym samym PI, który jest głównym badaczem projektu badawczego, który, powiedzmy, jest odpowiedzialny za badanie, a nie jakiś inny PI.W rzeczywistości to ludzie IT nie powinni dostać się do danych / komputera bez zgody osoby upoważnionej.
@xLeitix Pamiętaj, miałem dyktatora, mikro-kierownika śledczego, który nawet robił moje notatki pod koniec badania.Nie jakieś obliczenia, ale mój notatnik.Wysłałem to do niej myślącej, powodzenia w czytaniu tego wszystkiego :)
@Mugé Posłużmy się realistycznym przykładem - powiedzmy, że komputer / konto zostało użyte do pobrania filmów chronionych prawem autorskim, a właściciel praw autorskich grozi pozwaniem.Kogo wini uniwersytet?(lub, jeśli chcesz bardziej drastycznego przykładu, zastąp filmy chronione prawem autorskim pornografią dziecięcą)
@xLeitix Dlatego w mojej izolowanej sekcji odpowiedzi stwierdza się, że w komputerze roboczym nie powinny znajdować się żadne osobiste rzeczy, a zwłaszcza wrażliwe.Nie należy mieć nawyku używania komputera służbowego do celów osobistych.Nawet jeśli dział IT potrzebuje dostępu do tego komputera, nadal będzie to wymagało pozwolenia każdego, kto jest odpowiedzialny.Niestety, twój przykład będzie miał wpływ na uniwersytet / miejsce pracy, a nie na osobę, która będzie pasować.Miejsce pracy będzie musiało za to zapłacić.
@emma _nie_ proszą o podanie hasła;proszą o twój klucz.Większość systemów szyfrowania na poziomie dysku obsługuje wiele „gniazd na klucze” specjalnie w celu obsługi tego scenariusza (klucz symetryczny jest szyfrowany pod Twoim hasłem, ale także kluczem odzyskiwania na poziomie organizacji).
#3
+36
Dan Romik
2020-01-09 23:21:30 UTC
view on stackexchange narkive permalink

Z moralnego punktu widzenia, jak najlepiej bym postąpił w tej sytuacji?

Moralną rzeczą jest przede wszystkim ponowne skalibrowanie swojego nieco niedojrzałego (moim zdaniem) stosunku do tego zadawaj pytania i przestań myśleć o nieuczciwych rozwiązaniach, takich jak podanie nieprawidłowego hasła lub cofnięcie szyfrowania całego systemu, ale ukrywanie zaszyfrowanych treści w systemie i nikomu o tym nie mówienie. To, czy powinieneś zgodzić się na podanie hasła, to osobne pytanie, na które odpowiedź byłaby bardziej zniuansowana, ale z pewnością, jeśli zależy Ci na moralnym zachowaniu, nie okłamuj swoich przełożonych . Każda opcja, która wiąże się z nieuczciwością, powinna być bezwarunkowo niedostępna.

Jeśli chodzi o pytanie, czy podać (poprawne) hasło: po pierwsze, myślę, że rozsądne jest uznanie tej polityki za nieco drakońską. Sam jestem osobą, która bardzo dba o prywatność i, jak większość naukowców, czasami używam mojej służbowej poczty e-mail do celów prywatnych, więc docieram tam, skąd pochodzisz. Nie chciałbym, aby moi pracodawcy przeglądali moje e-maile. Ale mam również pełną świadomość, że mają do tego prawo (i środki techniczne), więc jeśli muszę wysłać coś szczególnie prywatnego lub wrażliwego, używam innego, prywatnego e-maila, który jest chroniony oddzielnym hasłem i nie jest fizycznie przechowywane na moim komputerze służbowym.

Uważam jednak, że nierozsądne jest to, że narzekasz na tę politykę i sposób, w jaki narusza ona Twoje prawa do prywatności, bez patrzenia na sprawy z punktu widzenia instytutu, przyznając, że próbują rozwiązać co jest dla nich prawdziwym problemem lub zaproponowanie rozwiązania, które może sprawić, że naruszenie Twojej prywatności stanie się niepotrzebne. Byłoby całkowicie rozsądne i honorowe, gdybyś udał się do przewodniczącego swojego działu (lub innego odpowiedniego administratora), powiedział, że nie zgadzasz się z polityką i zaproponował alternatywny plan, który zapewni dostęp do twoich danych służbowych w nieoczekiwanych przypadkach. Sprytny administrator byłby skłonny wynegocjować rozwiązanie, które uszczęśliwi ich naukowców, a jednocześnie spełni potrzeby instytucji, więc jestem optymistą, że można znaleźć rozwiązanie. A jeśli się nie zgadzają i po prostu nalegają na przekazanie hasła? Cóż, więc dojrzałą, profesjonalną rzeczą do zrobienia jest przestrzeganie zasad swojej instytucji, nawet jeśli się z nimi nie zgadzasz, i ślubowanie, że będziesz zachowywał się bardziej rozsądnie w przyszłości, kiedy sam kiedyś zostaniesz administratorem.

Na koniec chcę podzielić się z wami spostrzeżeniem, które miałam kiedyś w czasie, gdy byłam kierownikiem działu. Zauważyłem, że zwykli pracownicy mają inne podejście do ryzyka (różnego rodzaju) niż administratorzy. Zwykły pracownik będzie często chciał zignorować możliwość wystąpienia zdarzeń o niskim prawdopodobieństwie i wybrać bardziej ryzykowną ścieżkę przy podejmowaniu decyzji, ale administratorzy są na takie rzeczy znacznie bardziej wyczuleni. Powodem jest to, że z twojego punktu widzenia, małe prawdopodobieństwo, że poważnie zachorujesz (posłuż się przykładem) lub w inny sposób nie będziesz w stanie zapewnić współpracownikom dostępu do twoich danych, wydaje się dziwnie nieprawdopodobnym zdarzeniem, którego nie doświadczyłeś dzieje się w twoim życiu. Ale z punktu widzenia administratora, w rzeczywistości widzą oni zdarzenia o niskim prawdopodobieństwie zachodzące cały czas , gdzieś w organizacji. Z ich punktu widzenia te zdarzenia wcale nie są „małe”, a zadaniem administratora jest wprowadzenie zasad, które chronią organizację w bardzo prawdopodobnym przypadku, gdy coś takiego przydarzy się komuś .

Mówię więc, że administratorzy niekoniecznie zachowują się tak nierozsądnie, jak myślisz, stosując swoje zasady ochrony danych. Oczywiście, jak powiedziałem, rozsądne jest pragnienie zachowania prywatności, więc nie jest dla mnie oczywiste, że Twoje zastrzeżenia są całkowicie błędne lub błędne. W każdym razie powodzenia.

Pytania niekoniecznie miały być ze sobą powiązane.Próbuję zrozumieć różne dostępne opcje i chociaż ogólnie uważam się za moralną stronę rzeczy, kłamstwo jest opcją.Nie sądzę, aby polityka rozpowszechniania gdziekolwiek prywatnych kluczy szyfrowania była możliwa.Ogólnie rzecz biorąc, masz rację co do różnych perspektyw ryzyka.Ale posiadanie (być może osobistych) kopii zapasowych i udostępnianie do nich to dwie różne historie.Potwierdzam również problem.Ale jak gdzieś skomentowano,
Uważam, że rozwiązanie jest bardzo złe - choć najłatwiejsze z technicznego punktu widzenia, ponieważ nie ma potrzeby rozwiązywania prawdziwego problemu: infrastruktura kopii zapasowych obejmująca cały instytut z dobrą kontrolą dostępu.I może to też jest powód, dla którego sugeruję to w pierwszej kolejności.
@emma zrozumiał i pochwalam Cię za otwartość na opinie ludzi i chęć poznania dostępnych opcji.Jednocześnie fakt, że nadal uważasz kłamstwo za opcję, utwierdza mnie w przekonaniu, że Twoje podejście do problemu jest nieco niedojrzałe.W każdym razie, jeśli chcesz kłamać, powstrzymywanie cię nie jest moim zadaniem.Mam nadzieję, że znajdziesz dobre rozwiązanie!
P.S.Odp .: „Nie sądzę, aby polityka rozdawała prywatne klucze szyfrowania w dowolnym miejscu”, myślę, że to mylące stwierdzenie.To Ty ustawiłeś „prywatny klucz szyfrowania” i nie ma sensu, abyś był automatycznie uprawniony do skonfigurowania takiego klucza na komputerze służbowym.Tak więc, jak powiedziałem w mojej odpowiedzi, myślę, że cierpisz z powodu martwego punktu i widzisz jednostronny pogląd na sytuację, który koncentruje się na twoich własnych prawach i własnym poczuciu uprawnień, ignorując uzasadnione prawa i obawy instytucji.
Nie zgadzam się.Tak, to ja skonfigurowałem szyfrowanie, ponieważ nie ma zasad, które uniemożliwiłyby mi to.Zrozumiałem i użyłem komputera jako narzędzia do rzeźbienia moich myśli, które, mam nadzieję, zaowocują jakimś naukowym rezultatem.Uważam te myśli za prywatne, o ile nie uważam ich za wystarczająco istotne lub jeśli uważam, że to nie jest na to odpowiedni moment (np. Ponieważ są na wpół upieczone lub cokolwiek innego).Myślę, że bez tej wolności pracowałbym zupełnie inaczej.W mojej (teoretycznej, matematycznej) dziedzinie potrzebuję przestrzeni do robienia głupich rzeczy bez uczuć
narażone każdemu, aby znaleźć kreatywne rozwiązania.Poza tym mogą istnieć strategiczne powody, dla których ktoś mógłby wstrzymywać pewne wyniki.
@emma jasne, rozumiem, dlaczego uważasz, że ta polityka jest nierozsądna.Nawet nie mówię, że się mylisz.Ale faktem pozostaje, że polityka jest tym, czym jest.Masz do wyboru kombinację: 1. przestrzegaj, 2. argumentuj, że zmienisz zasady lub uzyskaj wyjątek, 3. kup laptopa za własne pieniądze i użyj go do zapisania niedopieczonych myśli, które chcesz zachować dla siebie.To, co powiedziałeś, nie zmienia mojej opinii o tym, że masz martwy punkt.
Myślę, że twoje obserwacje dotyczące ryzyka są bardzo trafne.Co więcej, wszyscy w głębi duszy wiemy, że gdyby wydarzyło się coś, co wymagałoby od kogoś innego dostępu do twoich komputerów, praca byłaby prawdopodobnie najmniejszym z naszych zmartwień.Więc nawet jeśli myślimy o katastrofalnych wydarzeniach życiowych, rzadko robimy to w kategoriach „w jaki sposób wydział uzyska dostęp do średnich ocen moich studentów?”.
Uważam też, że analiza postrzegania ryzyka jest poprawna.Zdecydowanie nie zgadzam się jednak z czarno-białym podejściem do postępowania z przełożonymi / instytucją.To jest biznes.Jeśli nie zamierzasz chronić swoich interesów, nikt inny tego nie zrobi (w tym Twoi przełożeni).Uczciwość jest oczywiście ważna, ale tylko wtedy, gdy działa w obie strony w dobrej wierze.Bycie naiwnym i otwartym spowoduje, że zostaniesz wykorzystany.Dlatego obowiązują zasady, umowy, zobowiązania itp. - interpretując je, Ty i Twój pracodawca możecie chronić swoje interesy.
Słyszałem wystarczająco dużo anegdot informatycznych na temat „błędu magistrali” - pierwotny programista został potrącony przez autobus, więc dziesiątki lat kodu muszą zostać przepisane od nowa.Wygląda na to, że twoi „administratorzy mają tendencję do podejmowania mniejszego ryzyka” przynajmniej częściowo waży to.
@emma Podoba mi się twoja uczciwość.Zobacz, jaki rodzaj debaty stworzyłeś.Mam nadzieję, że zmienisz zdanie i stworzysz coś dla przyszłości Niemiec na swojej uczelni.Powinno to być wskazówką dla tych, którzy wiedzą lepiej.Ale miło, że zrobiłeś z tego problem.
#4
+26
StrongBad
2020-01-09 23:15:18 UTC
view on stackexchange narkive permalink

W mojej dziedzinie to z pewnością nie byłoby możliwe. Pracuję z ludźmi i naszymi listami akceptacji IRB, którzy mają dostęp do naszych danych. Te plany zarządzania danymi określają, kto, jak i gdzie dane są przechowywane i objęte kopiami zapasowymi. Oznacza to albo zaszyfrowane pliki (typowe), albo zaszyfrowane dyski / partycje. Nigdy nie widziałem planu zarządzania danymi, który dawałby działowi IT pozwolenie na dostęp do danych. Plany nie idą tak daleko, aby uniemożliwić „złym aktorom” dostęp do kluczy szyfrujących z pamięci RAM lub przeprowadzanie ataków zimnego rozruchu, ale prawie wszystkie wymagają, aby dostęp do danych był ograniczony do nazwanych osób.

I również działa Linux i wszystkie komputery w moim laboratorium używają pełnego szyfrowania dysku. Zakładam, że jeśli uczelnia chce odzyskać komputer (lub potrzebuje dostępu), wyczyści komputer i ponownie zainstaluje system operacyjny. Wszystkie dane i informacje na komputerach są przechowywane zgodnie z wymaganiami dotyczącymi przechowywania danych wydziałów / instytucji.

Jeśli szef działu chce określonego rodzaju danych przechowywanych w określonym formacie i w określonej lokalizacji, robisz to ( przy założeniu, że nie narusza to innych przepisów). Może to oznaczać, że wszystkie dane zostaną przesłane do sterownika USB lub serwera. Może to oznaczać, że uruchamiasz komputer i uruchamiasz go z pamięci USB i nigdy nie zapisujesz na dysku twardym.

* Nigdy nie widziałem planu zarządzania danymi, który dawałby działowi IT pozwolenie na dostęp do danych * ... w konkretnej dziedzinie, w której pracujesz. W innych miejscach jest to oczywiste rozwiązanie (na wypadek, gdyby coś się załamało z zaszyfrowanymi danymi)
IRB @WoJ są niezależne w terenie, a zarządzanie danymi dotyczy ochrony danych osobowych i informacji PHI.Oczywiście istnieją inne obawy (np.HIPPA i FERPA przychodzą na myśl), ale dane ludzkie pod kontrolą IRB są kawałkiem danych wytwarzanych w środowisku akademickim.
* dane ludzkie pod kontrolą IRB to porcja danych uzyskanych w środowisku akademickim * tak, to z pewnością prawda i jest przykładem wielu możliwych przypadków.PO ma ogólne pytanie, a ich systemy wydają się być dość dalekie od tego przypadku („Prawdopodobnie warto zauważyć, że nikt tak naprawdę nie jest zaangażowany w mój temat badawczy, tj. Nikt tak naprawdę nie jest zależny od moich danych.kogoś, kto mógłby być zainteresowany możliwymi (niepublikowanymi) wynikami na wypadek, gdyby mnie nie było. ”)
HIPAA (nie HIPPA) i FERPA nie mają znaczenia dla OP, chociaż w Niemczech mogą obowiązywać podobne przepisy.Nie wiem, jak żądanie dostępu odnosi się do RODO.
Możesz rozważyć unikanie nadmiernego stosowania akronimów specyficznych dla branży: dla laika Twój ostatni komentarz jest nieczytelny (IRB, PII, PHI, HIPPA, FERPA).
Oczywiście w wyjątkowym przypadku z nietypowymi wymogami regulacyjnymi.Nie należy oczekiwać, że typowe środowisko badawcze będzie musiało, a nawet byłoby dobrze zalecane, przestrzegać tych samych przepisów lub ram operacyjnych.
@J ... mój przykład, choć specyficzny, nie jest wyjątkowy, ponieważ wszystkie badania prowadzone przez ludzi wymagają etycznego zatwierdzenia.Chodziło o to, aby podkreślić, że polityka ogólnie nie działa i że istnieje cała grupa badaczy, która nie byłaby w stanie zastosować się do tego żądania.Następnie przejdę do wskazania możliwych rozwiązań, które nie wymagają oszukiwania kogokolwiek.
Tak, ale jednocześnie większość badań w świecie akademickim nie ma nic wspólnego z ludźmi i nie mamy powodu, aby sądzić, że instytut OP jest zaangażowany w takie badania.Często zdarza się, że pracodawcy zachowują pełną kontrolę administracyjną nad swoimi zasobami IT.Nawet gdyby OP miał takie ograniczenia co do miejsca, w którym ich dane musiały trafić (prawdopodobnie * nie * na laptopie), nie byłoby nierozsądne, aby dostarczony przez nich laptop, z wyjątkiem wrażliwych danych badawczych, pozostawał w pełni dostępny dla organizacji w inny sposób.
Założę się, że * ktoś * inny ma dostęp do zaszyfrowanych danych na Twoim dysku, nawet w dziedzinie medycyny.Bo inaczej co się z nim stanie, jeśli umrzesz?
Hojnie, że zakładacie, że laboratorium OP ma już (dobry) plan zarządzania danymi!Wygląda na to, że ta sytuacja była spowodowana tym, że zdali sobie sprawę, że jej nie mieli.
#5
+8
Erwan
2020-01-09 21:08:48 UTC
view on stackexchange narkive permalink

Z mojego doświadczenia wynika, że ​​pracownicy akademiccy (w tym doktoranci) mają zwykle dużą swobodę w zarządzaniu własnym komputerem, o ile sami są w stanie się nim zająć. Można to rozumieć jako efekt wolności akademickiej (w tym sensie, że badacz może swobodnie korzystać z narzędzi, które mu się podobają), ale na bardziej pragmatycznym poziomie oszczędza też instytucji część zasobów informatycznych, jeśli większość badaczy samodzielnie utrzymuje swoje urządzenie. Do pewnego stopnia to tak, jakby w środowisku akademickim panowała niepisana zasada, że ​​w zamian za niewymaganie zbyt dużej pomocy informatycznej, badacz może robić, co chce ze swoim komputerem. W każdym razie oznacza to, że surowe standardy branżowe rzadko mają zastosowanie w tej dziedzinie: naukowcy często używają swojej pracy i urządzeń osobistych zamiennie, w ten sam sposób, w jaki często nie dokonują ścisłego rozróżnienia między czasem pracy a czasem osobistym.

Biorąc pod uwagę tradycyjny brak zarządzania danymi w środowisku akademickim, wydaje mi się, że instytucja próbuje po prostu zastosować wątpliwą szybką naprawę nagłego problemu, zamiast poświęcać czas na zaprojektowanie odpowiedniego rozwiązania. Chciałbym zauważyć, że "rozwiązanie" raczej nie zadziała w dłuższej perspektywie, ponieważ wymaga:

  1. Dobrze utrzymane repozytorium urządzeń z odpowiadającymi im nazwami użytkownika i hasłami / kluczami szyfrowania
  2. Każdy personel musi przestrzegać i podawać swoje hasło za każdym razem, gdy je zmieni lub ponownie zainstaluje system operacyjny (jest mało prawdopodobne, że ludzie będą pamiętać po roku).
  3. Personel IT regularnie sprawdzał, czy mają dostęp każde urządzenie (to się po prostu nie zdarzy)

Dodatkowo, w zależności od sposobu utrzymania repozytorium, może to stanowić poważne zagrożenie bezpieczeństwa, ponieważ haker uzyskujący dostęp uzyskałby dostęp do wielu urządzeń i potencjalnie wiele wrażliwych danych. Jeśli jest przechowywany bardzo bezpiecznie i tylko jedna osoba ma do niego dostęp, nie rozwiązuje to pierwotnego problemu: co jeśli ta osoba zachoruje lub pogorszy się?

Nie jestem prawnikiem, ale wątpię, czy to rozwiązanie zostało i tak ocenione pod względem prawnym. Proponuję zapytać o dokładne szczegóły tej polityki i zapytać kolegów, jak sobie z nimi radzili. Możesz zasugerować alternatywne rozwiązania: oprogramowania do udostępniania danych i narzędzi do współpracy nie brakuje, moim zdaniem byłoby to znacznie bardziej odpowiednie podejście. Jako doktorant powinieneś prawdopodobnie omówić to ze swoim przełożonym, przynajmniej po to, aby zorientować się, jak poważne są te wymagania (możesz wspomnieć, że ta polityka może utrudniać twoją produktywność). Jeśli twój przełożony mówi ci, żebyś nie traktował tego zbyt poważnie, możesz uważać, że nie masz racji.

#6
+6
sapienswatson
2020-01-09 19:45:44 UTC
view on stackexchange narkive permalink

Nie rozumiem, dlaczego chcesz mieć prywatne dane na komputerze firmowym. Twoje twierdzenie, że nie możesz oddzielić życia zawodowego od prywatnego, jest wysoce dyskusyjne. Na komputerze w miejscu pracy powinny znajdować się tylko te dane, które mają związek z wykonywaną pracą i zostały uzyskane zgodnie z polityką informatyczną instytucji. Do innych rzeczy, takich jak muzyka i prywatne e-maile, możesz użyć telefonu.
Z etycznego punktu widzenia korzystanie z zasobów przestrzeni roboczej w celu osiągnięcia korzyści osobistych (w jakimkolwiek stopniu) jest nieprofesjonalne i może zaszkodzić Twojej reputacji. Jeśli chodzi o Twoje obawy, sugeruję usunięcie prywatnych danych z komputera w miejscu pracy i przestrzeganie polityki IT Instytutu .

Brałem udział w pogawędkach związanych z reputacją z dziesiątkami naukowców.Myśl o kimś, kto zyska złą reputację dzięki przechowywaniu prywatnych informacji na ich komputerze, brzmi dla mnie tylko głupio.
Nie posiadam smartfona.Laptop by się nadawał, ale prawdopodobnie od razu popracowałbym na swoim laptopie.Ja też się nie zgadzam.Na przykład słuchanie muzyki pomaga mojemu twórczemu myśleniu, które jest niezbędne do znalezienia rozwiązań.Osobista korzyść?Może, ale z pewnością także zysk zawodowy.
@lighthousekeeper, nie ma problemu, gdy jest to „ich komputer”.
Po prostu nie tak działa środowisko akademickie w wielu miejscach.Jeśli jem kolację i piję z kolegą, czy to służbowe czy osobiste?A co, kiedy wysyłają mi zdjęcie swoich dzieci (prawdopodobnie bawiących się z moimi dziećmi)?Większość z nas łączy pracę osobistą i pracę znacznie częściej niż w przemyśle.
@sapienswatson z „ich komputerem” mam na myśli „komputer dostarczony im przez ich uniwersytet / organizację”
@emma, nie dyskutuję o znaczeniu muzyki.Jestem informatykiem i wierzę, że przestrzeganie polityki IT przyniesie korzyści wszystkim.
@sapienswatson walczyliśmy z IT i zmieniliśmy zasady, ponieważ dział IT nie rozumiał, jak należy wykonać pracę.Właśnie wymyślił „zasadę”, która brzmiała dobrze ...
@lighthousekeeper, Z tego, co powiedział OP, założyłem, że istnieje polityka.Tak długo, jak zezwala na to polityka IT, nikt nie będzie Cię winić.Założyłem, że polityka IT nie pozwala na takie praktyki.
@StrongBad Jeszcze gorzej jest w niektórych instytutach, w których organizują wszelkiego rodzaju zajęcia w czasie wolnym dla uczelni, aby poczuły się, jakby to nie była praca, ponieważ w końcu spędziłbyś więcej czasu w pracy, rozmawiając z pasjonatami naukowców i ostatecznie produkując więcejwyniki też.Na przykład.co tydzień mają „godzinę na piwo” w jakimś instytucie, w którym pracowałem, gdzie poszerzyłbyś swoje horyzonty lub porozmawiał o sprawach prywatnych, jeśli masz na to ochotę. W końcu instytut nie będzie narzekał, jeśli osiągniesz dobre wynikibez względu na to, jak wyszły.
-1, ponieważ kupowanie własnego laptopa oddzielnie od profesjonalnego jest drogie (bardzo dużo dla kandydatów do doktoratu o niskich zarobkach) i niezwykle niewygodne.
@einpoklum, Nie lubisz reguły, zaczynasz negocjować.Nie łamiesz reguły, bo się na to nie zgadzasz.Nienawidzę płacić podatków!To spory ciężar, może po prostu spróbuję znaleźć sposób na oszukanie prawa.To była analogia do twojego dylematu.
#7
+6
Joachim Weiß
2020-01-12 13:09:29 UTC
view on stackexchange narkive permalink

Nigdy nie ujawniasz haseł ani kluczy prywatnych. W Niemczech nikt nie może cię do tego zmusić.

Zajrzyj do umowy. Czy użytkowanie prywatne jest dozwolone? (e-mail, surfowanie itp.). Następnie poproś o serwer, dysk zewnętrzny i przechowuj własność swojego instytutu.

Jeśli nie (komputer może być używany tylko do celów roboczych). Więc weź swoje prywatne rzeczy z komputera, odszyfruj je i przekaż.

Ale najlepszym miejscem / osobą do omówienia jest inspektor bezpieczeństwa danych (niem. Datenschutzbeauftragter).

Ponieważ korzystanie z prywatnych danych nie jest oczywiście jasno zakomunikowane, a użycie szyfrowania na urządzeniach osobistych wydaje się nieco niejasne, skontaktowałbym się z nim na podstawie art. 39c DGSVO (Ogólne rozporządzenie o ochronie danych) -> https://dsgvo-gesetz.de/art-39-dsgvo/. Ponieważ mogą wystąpić problemy z obsługą przekazywania komputerów w twoim instytucie. Należy je rozwiązać na przyszłość i dla Ciebie. (-> https://dsgvo-gesetz.de/art-35-dsgvo/ i https: // dsgvo-gesetz .de / erwaegungsgruende / nr-75 /)

Jednak pracownik ochrony danych jest zwykle miłym facetem i znajdzie rozwiązanie, a rozwiązaniem nigdy nie będzie ujawnienie klucza.

#8
+6
Frank Hopkins
2020-01-10 14:14:22 UTC
view on stackexchange narkive permalink

Myślę, że masz jedno podstawowe błędne przekonanie: maszyna jest maszyną roboczą, ponieważ nie jest to Twój prywatny klucz szyfrowania, jest to niestandardowe szyfrowanie zastosowane do maszyny firmy / instytutu. To maszyna instytutu, a przede wszystkim jego dane i prawo do decydowania o tym, jak z niej korzystasz. Mogą zezwalać na prywatny użytek i mogą pozwalać na szyfrowanie rzeczy, ale to zależy od nich. Jeśli Twój osobisty schemat szyfrowania jest sprzeczny z ich polityką, przegrywasz. Otóż, typowym właściwym przypadkiem użycia czegoś takiego jest to, że dział IT ma klucz główny, którego może użyć w określonych regulowanych warunkach do wyszukiwania danych potrzebnych do celów zawodowych. Potencjalnie z procedurą na cztery oczy, aby upewnić się, że nie patrzą na rzeczy, które nie leżą w ich interesie zawodowym.

Jednak, jak to często bywa w środowisku akademickim, sprawy nie są dobrze zorganizowane i stosowane jest bardziej pragmatyczne podejście. Wydaje się, że tak jest w tym przypadku: nie ma standardowego szyfrowania i możesz robić prywatne rzeczy na swoim komputerze. Możesz nawet samodzielnie zarządzać swoimi zabezpieczeniami, ale w nagłych przypadkach proszą o dostęp do nich. Chociaż metoda zapytania o hasło może nie być najlepsza, wydaje się rozsądnym sposobem zaspokojenia potrzeby szyfrowania i dostępu do danych.

Oczywiście możesz zasugerować alternatywne rozwiązania, takie jak posiadanie centralnych serwerów, które przechowują wszystkie dane i nie możesz mieć żadnych podstawowych danych wyłącznie na swoim komputerze (możesz uzyskać sporo argumentów od swoich kolegów , jeśli wolą przechowywać swoje dane na swoich komputerach) lub mają oddzielne dyski twarde / partycje i tym podobne. Osobisty kontener z prywatnymi danymi może być w porządku. Ale ostatecznie musisz ich przekonać, a jeśli nie, to oni mają w tym ostatnie słowo. Dają ci możliwość niezaszyfrowania, co nie wiąże się z przekazywaniem hasła, jeśli jest to dla Ciebie tak duży problem.

Uwaga: hasło szyfrowania nie powinno być takie samo jak hasło użytkownika systemu itp., tak aby nadużycie ograniczało się do bezpośredniego fizycznego nadużycia dostępu, czemu powinieneś być w stanie zapobiec, mając przy sobie laptopa przez cały czas.

Czy rozdanie hasła jest problematyczne z punktu widzenia bezpieczeństwa? tak, w tym sensie, że obniża to bezpieczeństwo. Czy to ich decyzja, jak korzystać z maszyny? Tak! (Zgodnie z prawem, ale powołanie się na przepisy może oznaczać, że będą musieli opracować odpowiednią politykę, która ogranicza cię znacznie bardziej niż ich obecne podejście).

#9
+4
user2768
2020-01-09 19:04:39 UTC
view on stackexchange narkive permalink

Rozwiązanie tej instytucji wydaje się niewykonalne.

Powszechnie wiadomo, że profesjonalne zasoby - np. sprzęt (w tym komputery, kserokopiarki i niszczarki) oraz kancelaria pocztowa (gdzie można wysyłać rzeczy osobiste) - są wykorzystywane przez pracowników. Powszechnie wiadomo również, że zasoby osobiste - np. Sprzęt (w tym smartfony i podręczniki) oraz biura domowe - są wykorzystywane do celów służbowych. Takie zastosowanie przynosi korzyści zarówno pracodawcom, jak i pracownikom.

Zamiast ulegać wymaganiom instytutu, można zaproponować praktyczne rozwiązanie. Na przykład przeniesienie udostępnionych danych na serwer dostępny dla współpracowników.

Tak, wydaje mi się, że właśnie to oznaczało odszyfrowanie dysku twardego (= udostępnienie go niektórym członkom instytutu).
@emma Myślę, że serwer zapewnia lepsze rozwiązanie niż komputer osobisty
Ale wymaga administrowania serwerem.
Scentralizowane rozwiązania zapewniają większą dostępność (co jest tutaj celem), a administrację można delegować do działu IT.
Jeśli zrobisz to dobrze, sprawa, którą obecnie masz, może zostać wykorzystana do zdecydowanego poparcia dla serwera.Wyobraź sobie, że dana osoba nie tylko zniknęła na kilka tygodni, ale nagle opuściła instytut.Lub jeśli jeden z Twoich komputerów ulega awarii i nie można go odzyskać.Lub przypadkowo usuwasz wszystkie swoje rzeczy.Lub ... Każde środowisko pracy powinno mieć odpowiednią procedurę przechowywania i tworzenia kopii zapasowych, w miarę możliwości konfigurowane i administrowane przez specjalistów IT.
#10
+4
cbeleites unhappy with SX
2020-01-11 04:35:23 UTC
view on stackexchange narkive permalink

Oto moje zrozumienie, w tym sytuacja prawna w Niemczech. IANAL, ale miałem okazję poczytać o takich kwestiach.

Przede wszystkim

Motywowany dłuższą nieobecnością (technicznego) współpracownika z powodu choroby , w takich przypadkach omówiono dostępność danych członków mojego instytutu.

Wydaje mi się, że Twój instytut jest teraz w trakcie opracowywania takiej strategii. To dobra wiadomość dla Ciebie, ponieważ daje Ci szansę zasugerowania ulepszeń.

Zatem myślę, że masz prawdziwą i właściwie rzadką szansę, aby konstruktywnie przyczynić się do tego, aby twój instytut stał się znacznie lepszy pod tym względem niż większość instytutów. Zrób to zamiast się buntować.


Szyfruję swoje dane.

W porządku. Mimo to

  • czynnik autobusowy twojego doktoratu wynosi oczywiście 0, ponieważ musisz przekazać znaczną część oryginalnej własnej pracy. Jeśli jednak nagle opuścisz projekt, inni mogą potrzebować dostępu do Twojej pracy, aby zapisać jak największą część projektu. Jest to prawdopodobnie część strategii ryzyka przedstawionej we wniosku o dofinansowanie, a to oznacza, że ​​twój instytut podpisał umowę z agencją finansującą, że ma ona rozsądne środki na uratowanie projektu na wypadek, gdybyś rzucił / zachorował.

  • Uczelnia / Twój instytut / Twój specjalista są zazwyczaj zobowiązani przez agencję finansującą projekt do zagwarantowania dostępności danych badawczych należących do projektu.
    Więc to nie tylko swoim kaprysem podpisali, że w razie potrzeby mogą pokazać wszystko, od surowych danych pomiarowych po książki laboratoryjne.

Konkluzja: prosić Cię o zapewnienie innym dostępu do Twojego projektu dane powiązane są rozsądne i rozsądne, i prawdopodobnie podpisali umowy, które faktycznie tego wymagają.

  • Jeśli masz umowę o pracę z uniwersytetem, to uniwersytet jest właścicielem Twojej pracy. W konsekwencji mają oni prawo dostępu do nich, a Ty musisz zapewnić im w tym celu odpowiednie środki. W rzeczywistości mogą zgodnie z prawem poprosić Cię, abyś nie przechowywał nawet kopii danych projektu, kiedy wychodzisz.

    Z mojego doświadczenia wynika, że ​​niektóre instytucje wykonują to prawo, podczas gdy wiele instytutów zgadza się na przechowywanie kopii zapasowej danych: na wypadek, gdyby coś było potrzebne / pojawiły się później pytania, często łatwiej jest zadać wysyłanie im danych (i oczywiście możliwość odpowiadania na pytania bez dostępu do danych jest ograniczona) i oczywiście jest to rodzaj rozproszonej strategii tworzenia kopii zapasowych.

    Osobiście ja Jestem nieco zaniepokojony prośbą o nieprzechowywanie jakichkolwiek kopii, ponieważ moja reputacja zawodowa potencjalnie zależy od tego, czy po latach potrafię odpowiedzieć na pytania (i ewentualnie pokazać dane) na temat moich prac. Jednak z prawnego punktu widzenia nie ma tu wyboru: odpowiedzialność za wykonanie swojego prawa do wyłącznej własności danych ponosi pracodawca (instytut).


Teraz poproszono mnie o fizyczne lub cyfrowe przekazanie mojego prywatnego klucza szyfrującego (lub hasła) [...] Czuję się z tym bardzo dziwnie, ponieważ dorastając ucząc się, że hasła nigdy nie powinny być rozdawane.

Masz rację, nie udostępniając swojego klucza prywatnego ani hasła.

  • Prawdopodobnie podpisałeś / aś politykę informatyczną (patrz poniżej) , że nikomu nie przekażesz swojego hasła.

  • Jak słusznie zauważyłeś, ktoś może uzyskać dostęp do twoich kont i może zrobić złe rzeczy (TM) w twoim imieniu: udostępnianie haseł stwarza koszmar. odpowiedzialność (nie można wiedzieć, kto dokładnie zrobił X - a dla Ciebie nie można udowodnić, że to nie byłeś Ty)

  • Ściśle związaną kwestią jest integralność danych . Jeśli przyznasz komukolwiek uprawnienia do zmiany / zapisu (za pomocą hasła lub w inny sposób), jak możesz mieć pewność, że wszystko jest tak, jak zostało przez Ciebie pozostawione?
    Odpowiedzią na to jest jednak podpisywanie , a nie szyfrowanie.

  • Co więcej, nie jest to konieczne, ponieważ możesz nadać uprawnienia (np. do odczytu grupowego) zgodnie z wymaganym poziomem dostępu .
    Więc to właśnie powinieneś zrobić: ewentualnie utworzyć użytkownika „projektu”, sprawić, by odpowiednie dane były czytelne dla tego użytkownika i przekazać ten login do swojego PI.

    Alternatywą jest posiadanie współdzielonego dysku na serwerze plików dla projektu - ale to jest infrastruktura IT, na którą nie masz wpływu. Jeśli istnieje, prawdopodobnie dobrze z tego skorzystać, ponieważ z mojego doświadczenia wynika, że ​​są one zwykle uruchamiane z kopiami zapasowymi itp.


Chciałbym nieco rozszerzyć mój zrozumienie sytuacji prawnej w Niemczech wrt .:

Mam również pewne prywatne dane na tym komputerze

Prawdopodobnie podpisałeś dokument „wykorzystanie IT "dokument rozpoczynający pracę jako doktorant. Czas to sprawdzić.

Niezależnie od tego, czy polityka informatyczna Twojej uczelni zezwala na prywatne korzystanie z uniwersyteckiej IT na małą skalę, IMHO najlepszym pojemnikiem na Twoje prywatne prywatne dane to prywatna pamięć zewnętrzna, którą zachować.

Jednak możesz mieć również prywatne związane z pracą dane => patrz poniżej.

AFAIK, dwa scenariusze są powszechne w Niemczech wrt. Zasady korzystania z IT:

  • Pracodawca / uczelnia zezwala na prywatny użytek na małą skalę. Nie mają dostępu do Twoich prywatnych danych. Ponieważ zezwalają na prywatny użytek, domyślnym założeniem jest, że Twój komputer zawiera prywatne dane i dlatego nie powinien być dostępny dla wszystkich.
    Jeśli więc taka jest polityka w Twoim instytucie, możesz zachować takie dane osobowe we własnym zaszyfrowanym magazynie.

  • Jednak pracodawcy AFAIK mogą również wymagać, aby ich infrastruktura informatyczna służyła wyłącznie do celów zawodowych / badawczych. W takim przypadku można oczekiwać, że prawie wszystko będzie co najmniej czytelne dla innych pracowników.

  • Mimo to, jak wskazuje @StrongBad, szyfrowanie jest dość powszechne ( lub fizyczne ograniczenie dostępu) np przez

    • Wymagania dotyczące prywatności w projektach z udziałem ludzi,
    • Niektóre stanowiska zawodowe oznaczają również, że część danych dotyczących pracy nie powinna być dostępna dla całej grupy, a nawet do swojego kierownika / profesora. Przykładami są dane związane z zajmowaniem stanowiska rzecznika praw obywatelskich, pracy Fachschaft [związku studenckiego] lub Personalrat [komitetu pracowniczego] oraz wszystko, co dotyczy oceniania uczniów.

Wniosek jest taki, że instytut faktycznie potrzebuje bardziej szczegółowej polityki dostępu niż tylko „każdy może uzyskać dostęp do wszystkiego, jeśli zajdzie taka potrzeba być ”.

Posiadanie plików z prawami dostępu do odczytu przez grupę tak naprawdę nie działa, gdy dane (lub dysk) są zaszyfrowane.
@PaŭloEbermann: Nie jestem specjalistą od szyfrowania, tylko zainteresowanym użytkownikiem, ale co powiesz na to: grupa może mieć parę kluczy, tak jak każdy użytkownik.Użytkownik może mieć wiele par kluczy w swoim pęku kluczy, więc np.własne i grupowe pary kluczy.Folder grupowy można następnie zaszyfrować za pomocą / dla klucza grupy.Oczywiście, dopóki jest zaszyfrowany dla prywatnego klucza prywatnego, dostęp do grupy nie będzie działał.
#11
+4
Mad Scientist
2020-01-10 14:49:18 UTC
view on stackexchange narkive permalink

Od jakiegoś czasu pomagam zarządzać IT w grupie akademickiej, a studenci lub pracownicy przechowują dane badawcze tylko na swoich komputerach osobistych, było bardzo typowym problemem. Uczelnia i opiekun naukowy powinni upewnić się, że dysponują danymi, które tworzysz. Jest to również wymagane w przypadku wielu grantów, które faktycznie opłacają badania, Twój przełożony jest zobowiązany do zapewnienia, że ​​utworzone dane są przechowywane w przystępny sposób. To nie jest przypadkowa prośba, Twój przełożony prawdopodobnie narusza warunki jakiegoś grantu badawczego, jeśli nie zapewnia właściwego zarządzania uzyskanymi danymi.

Nie oznacza to, że musisz dać im swój klucz prywatny, znacznie lepszym sposobem jest upewnienie się, że wszystkie istotne dane są przechowywane w innym miejscu niż tylko na komputerze. Na przykład centralny serwer plików z odpowiednimi procedurami tworzenia kopii zapasowych.

To, o co prosi Twój instytut, jest złym sposobem rozwiązania podstawowego problemu, zwłaszcza, że ​​nie rozwiązuje to głównego powodu utraty danych, takiego jak awaria sprzętu. Mają jednak prawo nalegać na dostęp do twoich danych badawczych i powinieneś zaproponować alternatywę, która spełnia ten wymóg, np. synchronizowanie danych z serwerem plików instytutu.

#12
+3
Dubu
2020-01-10 16:46:09 UTC
view on stackexchange narkive permalink

Porozmawiaj ze swoim komitetem zakładowym („Betriebsrat”). Powinni wiedzieć, do czego jesteś prawnie zobowiązany, a czego nie. I nie są one głosem twojego pracodawcy (uniwersytetu), ale pracowników.

Większość tego, o co pytasz, zależy od polityki IT właściwej dla twojego instytutu. Ogólnie rzecz biorąc, jeśli nie zabraniają tego zasady instytutu, możesz mieć prywatne dane na swoim komputerze roboczym. Możesz również zezwolić na korzystanie z Internetu do celów prywatnych. Taka jest również umowa w naszym instytucie, a każdy dostęp do komputera pracownika przez osobę trzecią (dowolnego współpracownika, szefa, informatyka, dyrektora instytutu) bez ich obecności musi być nadzorowany przez przedstawiciela pracowników, aby mieć pewność, że tylko praca- dostęp do powiązanych dokumentów (i e-maili). Zaleca się przechowywanie wszelkich dokumentów osobistych w wyraźnie oznaczonym folderze (np. „Prywatny”).

Odnośnie klucza szyfrowania: Ze względów prawnych pracodawca musi mieć dostęp do wszelkiej komunikacji służbowej! Jeśli chodzi o depozyt kluczy, ponownie zapytaj komitet zakładowy.

#13
+3
Industrademic
2020-01-10 01:17:50 UTC
view on stackexchange narkive permalink

1) Posiadasz tylko to, co jest w twojej głowie.

2) Najmniej bezpiecznym miejscem, w którym możesz usunąć rzeczy, które przenosisz, jest miejsce, którego nie jesteś właścicielem (pracodawca, na przykład przykład), po którym następuje własność.

3) Istnieją różne sposoby (legalne i / lub etyczne), aby zmusić Cię do przeniesienia rzeczy z głowy na świat oraz zmusić Cię do przeniesienia rzeczy z miejsca, którego jesteś właścicielem, do miejsc, które robisz nie. Znajomość ich jest ważna.

Znakomity komentarz @ buffy odnosi się do 3. Twój pomysł na ukrycie zaszyfrowanego kontenera za pomocą hasła, które znasz, jest interesującym wydobyciem # 1: lokalizacja i hasło prawdopodobnie istniałyby w twojej głowie. Zobacz nr 3.

Wielu badaczy nie posiada tego, co jest w ich głowie, jeśli te pomysły powstały, gdy byli zatrudnieni.
@StrongBad To staje się filozoficzne… I nie zgadzam się.Jak uzasadniasz swoje stwierdzenie?
@emma w Wielkiej Brytanii ”[Pracownik, który tworzy własność intelektualną w ramach normalnych obowiązków, nie może rościć sobie prawa do tej własności intelektualnej] (https://www.business.qld.gov.au/running-business/protecting-business/ip-kit / przeglądaj-ip-tematy / własność-własności-intelektualnej-stworzonej-przez-twoich-pracowników-i-podwykonawców-lub-konsultantów / własność) ”zobacz przykład 2 osoby wpadającej na pomysł wprysznic.
Och, rozumiem, co masz na myśli.Ten przykład brzmi rozsądnie… Chociaż nie jestem zbyt wielkim przyjacielem patentów, a raczej przyjacielem otwartego dostępu do publikacji (to brzmi trochę sprzecznie w tej dyskusji).Ale znowu, istnieją dobre strategiczne powody w sensie akademickim, aby powstrzymywać pewne pomysły lub wyniki, np.przemyślenia lub czekania na konferencję z lepszą publicznością / reputacją, itp. Ponadto w środowisku akademickim jest duża presja, więc wszyscy oczekują
publikacje.Im mniejszy postęp zostanie opublikowany, tym gorsza jakość.Ponadto różnica między pomysłem a wynikiem nie zawsze jest jasna.
@emma, dlaczego odpowiadasz w sposób, który brzmi przekonująco, że udostępnienie własnego działu IT jego sprzętu w magiczny sposób oznacza, że wszystkie Twoje genialne pomysły zostaną udostępnione publicznie i wszyscy je zobaczą.Wygląda na to, że po prostu usprawiedliwiasz swoją z góry określoną postawę i odmawiasz zaakceptowania, że nie ma ona podstaw po stronie akademickiej
@user-2147482637 Nie chciałem tak brzmieć, a 95% moich pomysłów to totalne bzdury.Ale już wcześniej doświadczyłem czegoś podobnego.Mój były opiekun pracy magisterskiej, który wtedy był doktorantem, wziął moje pomysły i nie wspominając, skąd one pochodzą, opublikował je w swojej pracy (nigdy nie spodziewałem się, że powie, że te pomysły są wyłącznie moje, ale przynajmniej że się pojawiły
do * nas * podczas pracy nad moją pracą magisterską ...) - chociaż zwykle jest kimś, kto jest bardzo czuły na ten temat.On i ja nadal jesteśmy w instytucie, obaj o jeden stopień wyżej na drabinie akademickiej i przez chwilę wydawało się, że to się powtarza.
#14
+2
J. Chris Compton
2020-01-10 22:36:26 UTC
view on stackexchange narkive permalink

Z moralnego punktu widzenia, jak najlepiej postąpiłbym w tej sytuacji?
Czy powinienem przekazać niewłaściwy (cyfrowy) klucz prywatny

Moralnie nie jest w porządku celowe wykonywanie fałszywej pracy

Mój komputer jest własnością instytutu ... i całkowicie go zainstalowałem i skonfigurowałem zgodnie z własnymi upodobaniami.

W takim razie jesteś wystarczająco techniczny, aby to zrobić:

Kup niedrogi komputer w chmurze do swoich osobistych rzeczy (Azure, AWS itp.)
Zdalnie do ten komputer za pośrednictwem komputera uniwersyteckiego i możesz robić / przechowywać, co chcesz (zaszyfrowane + anonimowe).

Lub nawet zdalnie za pośrednictwem smartfona (jeśli go kupisz).

To jest całkowicie przenośne.
Jest całkowicie zgodne z polityką uniwersytetu

Poza tym nigdy nie będziesz mieć bólu serca i / lub wydatków związanych z próbą usunięcia danych z komputera który został skradziony, upadł na krawędź, ponieważ zbliżał się do ciebie fałszywy fajerwerk, został przejechany, zapalił się itp.

Zaimplementuj to i możesz dać im klucz prywatny, o który prosili (więcej pracy, jeśli ponownie użyłeś tego klucza prywatnego ... ale to zależy od ciebie).


To także błąd każdej osoby z technicznymi umiejętnościami, polegający na tym, że nie ma kopii zapasowej (pracy) tam, gdzie inni mogą się do niej dostać.
Takie jest moje zdanie, ale jest szeroko rozpowszechniane w 2020.

Dla ścisłości wspomnę, że posiadanie smartfona ułatwiłoby Ci życie.
Ponieważ znasz się na technologii, zakładam, że ta opcja z jakiegoś powodu nie jest dla Ciebie atrakcyjna ( i jest kilka dobrych powodów).

Nigdy o tym nie myślałem.Dobra odpowiedź!Na marginesie, ponieważ nigdy nie jestem tego pewien, ile kosztowałoby miesięczne minimalne użycie takiej chmury?
@Mugé Wystarczy się rozejrzeć, cena może zależeć od Twojej lokalizacji.Będzie to zależeć od tego, z czym chcesz się połączyć (i czy jest to automatycznie załatane).Użyłem Azure, HostGator i DigitalOcean.Azure jest tani, jeśli wyłączysz go, gdy nie jest używany - sprawdź, czy kwalifikujesz się do miesięcznego kredytu - nie najmniej drogi, jeśli zostawisz go zawsze włączony (ja tego nie zrobiłem).Mogą również istnieć usługi oferujące „tylko zdalne” na maszynie z gołą kością, które są tańsze niż to, o czym wspomniałem.
FYI: Obecnie używam HostGator do swoich osobistych rzeczy ... ale minęło kilka lat, odkąd robiłem zakupy.Uzupełniam maszyny Azure (można to zrobić na godzinę, jak DigitalOcean), gdy potrzebuję czegoś, co jest albo mocniejsze, albo do jednorazowego użytku / testowania.Jestem programistą, możesz nie chcieć tego samego rodzaju opcji.Niektóre z obecnie oferowanych gier prywatności (myślę o Nortonie) kierują tylko przeglądanie przez usługi anonimizacji - nadal używasz `` roboczego komputera '', który nie działa dla oryginalnego plakatu (OP).
#15
+2
emma
2020-02-03 19:23:38 UTC
view on stackexchange narkive permalink

Rozmawiałem z inspektorem ochrony danych na mojej uczelni, który wydawał się bardzo wrażliwy na moje obawy. W rzeczywistości uniwersytet oficjalnie zezwala na niewielką ilość prywatnego użytkowania komputerów - bez jednoznacznego definiowania małej ilości . Istnieją również zasady dotyczące nagłych przypadków , w których szef instytutu nie ma po prostu dostępu do komputera, ale zamiast tego inspektor ochrony danych (lub jakiś członek jego zespołu) zapewnia, że ​​żadne prywatne / dane wrażliwe są udostępniane i dopiero wtedy kierownik instytutu ma dostęp do danych. Następnie zasadniczo potwierdził, że jest to problem z infrastrukturą i że uniwersytet oferuje narzędzia do obejścia wszelkiego rodzaju wydawania haseł (np. Tworzenie kopii zapasowych i przechowywanie na serwerze ze szczegółową kontrolą dostępu, listy mailingowe itp.).

Wspomniał również, że istnieją różne sposoby postępowania (które mogę wybrać): generalnie mógłby porozmawiać z moim instytutem bez odwoływania się do mnie lub jakichkolwiek szczegółów bieżącej dyskusji, tylko w celu ogólnego wyjaśnienia. Albo zamiast tego odnieś się do mnie i porozmawiaj z instytutem. Albo w ogóle nie rozmawiaj z instytutem, a sam wymyślę, co muszę zrobić.

W każdym razie powiedział, że wręczanie kluczy prywatnych lub haseł jest złym rozwiązaniem problemu, który nie powinno nawet istnieć przy korzystaniu z odpowiednich narzędzi oferowanych przez uniwersytet.

Ciesze się że to słysze;dziękuję za powrót tutaj, aby podzielić się rozwiązaniem, które działało dla Ciebie!
#16
+2
Daniel K
2020-01-09 19:52:15 UTC
view on stackexchange narkive permalink

Mój komputer jest własnością instytutu

W takim razie musisz przestrzegać zasad instytutu, jakiekolwiek by one nie były. Jeśli nie lubisz tych zasad, oddaj im komputer i wykonuj całą pracę na swoim osobistym urządzeniu.

Pomyśl o tym z punktu widzenia instytutu. Prawdopodobnie pracujesz nad projektem badawczym, który jest gdzieś finansowany. Może na przykład rząd przyznał twojemu instytutowi grant w wysokości 10 milionów euro. Dla instytutu bardzo ważne jest, aby pokazali rządowi, że zrobili coś pożytecznego z pieniędzmi, aby otrzymać kolejne 10 mln euro dotacji. Wyobraź sobie, że potrąca Cię autobus. Jeśli nikt nie może dostać twoich danych, to musi powiedzieć rządowi: „Przepraszam, wszystkie dane, które wygenerowaliśmy dzięki dotacji w wysokości 10 milionów euro, znajdują się na tym jednym komputerze i nie mamy hasła, czy możemy prosić o kolejne 10 milion euro, aby zacząć od nowa? ” To sprawi, że instytut będzie wyglądał wyjątkowo źle. Dlatego mają taką politykę, że każdy musi udostępniać swoje dane na wszelki wypadek.

Zamiast się buntować, myślę o umożliwieniu dostępu tylko do części systemu, tj. umieszczeniu pewnych danych w zaszyfrowanym kontenerze, do którego nie mają dostępu?

Wydaje mi się to rozsądnym kompromisem. Upewnij się, że Twoje dane badawcze są dostępne i zaszyfruj prywatne rzeczy.

Ta odpowiedź jest nieświadoma niemieckich przepisów dotyczących pracy i prywatności.
Cóż, nie pamiętam podpisywania jakichkolwiek zasad, które mówiły, że muszę podać mój prywatny klucz [email protected], czy możesz podać bardziej szczegółowe informacje?
@lalala Stosowne prawo jest takie, że praca, za którą jest on wynagradzany, nie należy do niego, ale raczej do instytutu.Stąd instytut ma prawo dostępu do niego.Przepisy dotyczące prywatności mówią, że nie mogą zmusić go do ujawnienia swoich osobistych rzeczy.Nie robią tego, on może przenieść swoje osobiste rzeczy do swojego osobistego IT przed udzieleniem im dostępu do posiadanego komputera.Przepisy dotyczące prywatności nie mówią, że ma on prawo do posiadania prywatnych rzeczy na majątku instytutu, których instytut nie może zobaczyć, tak nie działają przepisy dotyczące prywatności.
@quarague,, jeśli masz jakąś wiedzę na temat niemieckiego prawa i praktyki uniwersyteckiej, być może powinieneś udzielić formalnej odpowiedzi i ją przedstawić.Wiele z tego, co tu jest, całkowicie ignoruje ten kontekst i szuka ideału, którego nie ma.
@lalala Przyznam się, że nie jestem niemieckim prawnikiem.Ale może możesz wyjaśnić, jak odpowiedziałbyś na to pytanie?Jak myślisz, co konkretnie w mojej odpowiedzi jest błędne?
-1 za uświęcenie własności mienia.Jeśli polityki są nieodpowiednie w kontekście własnych celów instytutu, opresyjne lub szkodliwe dla OP osobiście, ich legitymacja - etyczna i być może prawna - nie jest określona.
_ „Jeśli nie podoba Ci się te zasady, oddaj im komputer i wykonuj całą pracę na swoim osobistym urządzeniu”. _ To krok wstecz.Ponieważ teraz będą nalegać na pełny dostęp do twojego osobistego urządzenia, _ plus_ używasz własnego sprzętu do cudzej pracy.
#17
+1
rath
2020-01-10 16:15:19 UTC
view on stackexchange narkive permalink

Masz prawo się martwić. Nie bez powodu klucze prywatne są nazywane prywatnymi.

Instytut ma również uzasadnioną obawę, że nie będzie mógł uzyskać dostępu do danych, jeśli jesteś niedostępny. Problem polega na tym, że gdy przekażesz klucz, ktoś będzie mógł się pod Ciebie podszyć. Nie musisz być szczególnie ważny, aby być podszywanym; jeśli masz kartę kredytową, jesteś już celem. Meta-zagrożenie polega na tym, że podobnie jak w przypadku informacji o karcie kredytowej, jeśli je podasz, możesz mieć trudności z poradzeniem sobie z przyszłym naruszeniem, ponieważ to ty przekazałeś dane.

Rozwiązanie:

Depozyt kluczy : porozmawiaj ze swoim działem IT o skonfigurowaniu depozytu kluczy. Możliwe, że już to robią, ale wątpię, ponieważ poprosili o klucz w tekście jawnym. Zapytaj więc dział IT i zdobądź od nich dokumentację techniczną ze szczegółami schematu. Nie chodzi tu o szczegóły, ale o zasygnalizowanie im, jak tego oczekujesz.

Automatyczne kopie zapasowe : Dokładnie tak, jak to brzmi. Utwórz kopię zapasową katalogu ~ / project i poproś dział IT o sprawdzenie rozwiązania. Lub użyj współdzielonego obszaru roboczego (np. Repozytorium git).

Oddzielne klucze Możesz poprosić uniwersytet o dostarczenie klucza publicznego, do którego można będzie przechodzić wszystkie e-maile związane z pracą UDW. W ten sposób uzyskują dane, a Twój klucz nie jest zagrożony.

#18
+1
fraxinus
2020-01-10 19:21:04 UTC
view on stackexchange narkive permalink

To już nie lata 90. XX wieku, a zarówno dostęp do Internetu, jak i osobiste urządzenia cyfrowe nie są aż tak rzadkie. W tamtych czasach było to normalne, a nawet oczekiwano, że pracodawca zezwala na pewne osobiste korzystanie z komputerów i dostępu do Internetu. W tamtych czasach Internet był o wiele bezpieczniejszy.

Obecnie nadal istnieje pewna akceptacja tej praktyki, a nawet pewne oczekiwania dotyczące prywatności w sprawach osobistych, ale ogólny trend jest dokładnie odwrotny. Sprawy prywatne są prywatne i wykonywane na urządzeniach prywatnych (laptop, tablet, telefon), praca jest pracą i jest przechowywana oddzielnie na komputerze służbowym.

Zawsze mogą istnieć kwestie konkurencji między różnymi pracownikami (szczególnie w badania lub marketing), które muszą być utrzymywane w tajemnicy lub dane, które są częścią Twojej pracy, ale jesteś osobiście odpowiedzialny za ich bezpieczeństwo. Zapasowe na nie (i mogą być przechowywane w osobnym, zaszyfrowanym pojemniku), pracodawca jest w stanie powiedzieć Ci, co masz robić, a czego nie, za pomocą dowolnego komputera lub innego narzędzia lub jakichkolwiek danych związanych z pracą .

Co więcej, Twój pracodawca jest prawdopodobnie odpowiedzialny za wiele rzeczy związanych z „Twoim” komputerem (powiedzmy, oprogramowanie nielicencjonowane lub złośliwe). Kiedy pracownicy sami zarządzają swoimi komputerami, dzieje się tak tylko z powodu odważnego założenia, że ​​wiedzą, co robią. Dzisiaj to założenie jest prawie zawsze błędne (hej, jest to nawet błędne dla większości ludzi IT, których znam, ale to zupełnie inna sprawa).

Krótko mówiąc, najlepszą strategią jest segregacja osobista (lub a przynajmniej wrażliwe osobiste) ma znaczenie dla innego urządzenia. Równie dobrze może to być zewnętrzna pamięć flash USB lub dysk, który w razie potrzeby łączy się z komputerem roboczym lub całkowicie oddzielne urządzenie (laptop lub tablet). Następnie zastosuj się do wszystkich zapytań kierownictwa dotyczących komputera w pracy - czy to odszyfrowania, czy „depozytu klucza”.

p.s. w tych sprawach uczeń jest tym samym, co pracownik.

#19
+1
dex
2020-01-10 16:11:23 UTC
view on stackexchange narkive permalink

Ponieważ nie jestem prawnikiem ani nie jestem zdalnie aktywny w tej dziedzinie, powstrzymam się od odpowiedzi na pierwsze pytanie.

Ogólnie jestem wielkim zwolennikiem uczciwości. To najlepszy wybór w każdej chwili, przynajmniej w perspektywie długoterminowej. Dlatego uważam, że przekazanie złego klucza to oczekiwanie na konflikt. A ukrywanie pojemnika może nawet nie być konieczne.

Jednak mocno sympatyzuję z poczuciem prywatności. Miałem wcześniej podobne obawy i problemy. Dla jasności: uważam, że ogólnie rzecz biorąc, udostępnianie danych uwierzytelniających jest złym pomysłem. Pozostaje więc pytanie: jak postępować zgodnie z polityką i zachować prywatność swoich prywatnych danych.

I przychodzi mi do głowy kilka możliwych rozwiązań:

  • Udostępnione repozytoria / kopie zapasowe dla dane związane z pracą.
    • Pro: nie ma potrzeby włamywania się do urządzenia w dowolnym momencie. Ogólnie rzecz biorąc, wygodne. Co się stanie, jeśli sprzęt ulegnie całkowitej awarii? (Uderzenie piorunem.)
    • Przeciw: będziesz odpowiedzialny za synchronizację tego.
  • Zaszyfrowane rozwiązanie kontenerowe (np. Veracrypt) Nie Muszę to naprawdę ukryć.
    • Zaleta: Bardzo wygodne w przypadku plików i tworzenia kopii zapasowych prywatnych par kluczy.
    • Wada: Może niezbyt dobrze zintegrować się z konfiguracją poczty itp.
  • Użyj zewnętrznego dysku z automatycznym podłączeniem, aby utrzymać kontener.
    • Pro: fizycznie oddziela dane.
    • Wada: Może nie obejmować wszystkich przypadków użycia. (Np .: konfiguracja poczty) I może być trochę uciążliwa.
  • Możesz użyć klucza bezpieczeństwa (np. Yubikey, ale masz wybór, wiele istnieje.)
    • Pro: To sprzęt, ten, który trzyma klucz, może się zalogować. Nie musisz podawać im hasła ani klucza odszyfrowywania, ale możesz to napisać, jeśli wpadniesz w śpiączkę (miejmy nadzieję, że nie! ) mogą uzyskać dostęp do klucza.
    • Wada: Jeśli zgubisz klucz, również wypadniesz.
  • Użyj własnego sprzętu.
    • Zaleta: możesz mieć to tak, jak lubisz, i nic nie mogą o tym powiedzieć.
    • Wada: To może być drogie. A jeśli podstawowym problemem jest utrata danych, nie rozwiązałeś go.

Ostatecznie myślę, że ostateczny cel instytutu (dostęp do badań dane?) jest bardzo rozsądne i uzasadnione. Ale może są lepsze rozwiązania, które należy zasugerować, aby rozwiązać problem. Więc może twoją strategią byłoby dowiedzieć się, czego się najbardziej boją. Jeśli jest to utrata danych, z pewnością istnieją lepsze rozwiązania tego problemu i może są skłonni posłuchać innych rozwiązań.

#20
+1
Mugé
2020-01-09 19:17:01 UTC
view on stackexchange narkive permalink

Ponieważ komputer należy do uniwersytetu, musisz pomyśleć o następujących ograniczeniach. Nawet jeśli przyniesiesz do pracy własny laptop, aby wysyłać prywatne wiadomości e-mail itp., Wiele miejsc pracy nie pozwoli Ci dziś używać ich sieci do celów prywatnych.

Jestem zaskoczony, że skonfigurowałeś Twój komputer według własnych upodobań. Jeśli chodzi o powód, oznacza to, że Twoja konfiguracja miejsca pracy / środowiska akademickiego jest otwarta dla intruzów. Jako informatyk nawet ja korzystam z komputera, nie korzystam z ekranów administratora. Wyznaczam sobie jak ekran gościa i chronię hasłem stronę administratora, ponieważ nawet jeśli nie widzisz jej w widoczny sposób, rzeczy mogą pobierać się na twój komputer i przez twoją sieć, rozprzestrzeniać na inne komputery. Dzisiejsze miejsca pracy nie pozwalają na pobieranie rzeczy. Informatycy zrobią to zgodnie z polityką akademicką.

Po drugie, chociaż wszyscy inni mogą sprawdzać swoje prywatne adresy e-mail w pracy, wszyscy to robimy, ale niektóre miejsca pracy nie pozwalają na używanie komputera w pracy do celów prywatnych . Zostanie zamknięty dla „prywatnych rzeczy”, ponieważ może to nie tylko spowodować problemy z bezpieczeństwem, ale także utratę godzin pracy. Tylko mówię.

Po trzecie, powiedzmy, że nie masz dobrych intencji i używasz sieci uniwersyteckiej do hakowania miejsc. Nie zostaniesz zidentyfikowany, dopóki nie zalogujesz się do jakiegoś systemu, który rejestruje, kim jesteś, kiedy jesteś zalogowany i jakie czynności wykonujesz.

Przykro mi to mówić, nie rozumiem, na co pozwala twoja uczelnia takie stracone praktyki, zwłaszcza w naszych czasach. Łał! ORAZ starasz się trzymać komputer w pracy tak, jakby był własnym.

Zbudowaliśmy i prowadziliśmy własną stronę internetową jako badacze na Uniwersytecie - poza kontrolą IT i została ona podpisana przez wszystkie strony.Pamiętaj, że w tym czasie przyszli do nas po pomoc związaną z Uniksem, więc prawdopodobnie miało to coś wspólnego - gdyby zablokowali naszą stronę internetową, mogliby stracić naszą pomoc ... IT powinien pamiętać, że to branża USŁUGOWA ...
Powinienem prawdopodobnie wspomnieć, że mój instytut jest na tyle blisko wydziału informatyki, że 90 +% moich uczelni (w tym ja) jest głęboko zaangażowanych w Linuksa, szyfrowanie i prywatność.Mamy personel techniczny, który konfigurowałby komputery i / lub asystował, a także dział informatyki administracyjnej dla całej uczelni dla tego rodzaju wsparcia.
Jednak ze względu na wysoki poziom techniczny mamy możliwość samodzielnej instalacji Linuksa (dla Windows obowiązują inne zasady).I tak, nie używam sudo, jeśli nie jest to konieczne (jest oczywiste).Na uczelni obowiązują mniej lub bardziej rygorystyczne zasady korzystania z sieci - uważam, że są one podobne do reguł na innych uczelniach.Zgodnie z tymi zasadami mogę używać mojego osobistego laptopa do celów osobistych w sieci uniwersyteckiej.
@SolarMike Przepraszamy, nie rozumiem, co masz na myśli.Uniwersytet zapewnia studentom lub personelowi przestrzeń do tworzenia własnych stron internetowych, o ile nie jest to komercyjne.Ogólnie rzecz biorąc.Jednak nawet jeśli jesteś w bibliotece, musisz zalogować się do systemu uniwersyteckiego za pomocą swoich poświadczeń, więc nie dzieje się nic zabawnego, a przynajmniej mogą cię złapać, jeśli tak jest.Imponujące, że możesz pomóc informatykom.Czy nie logujesz się gdzieś, kiedy coś robisz?
Powinienem też dodać następującą sytuację: Powiedzmy, że chcę uczestniczyć w konferencji.Najpierw muszę wpłacić opłatę konferencyjną ze swojego prywatnego konta bankowego, a zaraz po konferencji otrzymam zwrot pieniędzy.Tak więc czasami muszę przelać pieniądze za pośrednictwem mojego prywatnego konta bankowego, co jest jednym z powodów, dla których mam (zaszyfrowaną) bazę danych haseł z loginem bankowym na moim komputerze służbowym.Czy dostęp do mojego prywatnego banku w godzinach pracy w tym celu jest aktem prywatnym czy zawodowym?
Aha, a także mój komputer jest połączony ze statycznym adresem IP, więc jestem odpowiedzialny za to, co dzieje się za pośrednictwem tego adresu IP.W przypadku komputerów prywatnych połączonych za pośrednictwem sieci uniwersyteckiej logują się za pomocą osobistych danych uwierzytelniających, więc także tutaj odpowiadają za to, co się stanie.Ale to wszystko jest naprawdę trochę nie na temat.
@emma Wiem, że w Niemczech system bankowy jest inny niż w Kanadzie.Jeśli dobrze zrozumiałem, ekran logowania do banku znajduje się na pulpicie lub komputerze, ale nadal potrzebujesz do niego hasła i numeru banku.na przykład.Oczywiście nie powinieneś podawać swojego prywatnego hasła.Chodzi mi o to, że personel / twój przełożony (ktokolwiek jest przydzielony) powinien mieć dostęp do twojego komputera podczas twojej nieobecności.Zmień hasło, którego może używać twój kolega / szef.Nie musisz tam przechowywać swojego osobistego hasła.Otrzymaliśmy hasła od personelu IT.Nie mogliśmy nawet wybrać własnego.
@Mugé Nasz dział IT podaje pierwsze hasło, używane do początkowej konfiguracji konta, następnie jesteśmy ** wymagane **, a IT zmusza nas do zmiany hasła przy pierwszym logowaniu. IT może wtedy wymusić zmianę hasłahasło, kiedy tylko chcą, ale nie używaj naszego.Brak możliwości wybrania własnego hasła, o ile ma ono wielką literę, liczbę itp., Wydaje się nieco drakoński lub z kamienia ...
@Mugé To brzmi okropnie: mamy bardzo surowe zasady, aby jak najszybciej zmienić początkowe hasło podane przez uniwersytet.Oznacza to, że zawsze jest ktoś, kto zna Twoje hasło.Zresztą nie chodziło mi o podanie hasła do konta bankowego.Chodziło o oddzielenie danych prywatnych i zawodowych.
@SolarMike Draconian czy nie, nasz przełożony potrzebował dostępu do naszych komputerów badawczych.IT i tak może uzyskać dostęp do wszystkiego.Mogą nawet zobaczyć, o czym rozmawiasz prywatnie, gdy jesteś celem, a twój szef chce wiedzieć, co robisz, przekaże twoją aktywność.
@Mugé Kiedyś napisałem wiadomość bezpośrednio na ekranie kolegi - ignorowali e-maile.NIE mógł zrozumieć, co zrobiłem ... i nie powiedziałem im :)
@emma i tak nie używa Twojego prywatnego hasła.Nie umieszczaj prywatnych zdjęć w komputerze służbowym, po prostu nie.Niech to będzie nawyk.Jeśli chodzi o słuchanie muzyki, nie wiedziałbym o polityce twojego uniwersytetu, gdyby zezwalały ci na pobieranie plików muzycznych.Jeśli chcesz słuchać muzyki, najczęściej ludzie pobierają muzykę na swoje iPhone'y lub są pod ręką i słuchają z zatyczkami do uszu.
@SolarMike lol jeszcze, to jest zabawne.Chciałbym być kreatorem sieci.
Robisz nieprawidłowe założenie dotyczące bezpieczeństwa.Kiedy ludzie otrzymują laptopy, zabierają je do domu, robią z nich użytek własny itp. - nierozsądne jest wierzyć, że systemy te nie są zagrożone.Są po prostu częścią „zewnętrznego” systemu, który należy zabezpieczyć.Instytut / uniwersytet musi spróbować zabezpieczyć mniej miejsc.I nie tylko wyrażam tutaj swoją opinię - pracowałem w kilku miejscach, w których takie podejście jest takie.
@einpoklum Masz rację, kiedy poruszasz kwestie bezpieczeństwa wszystkich pochodnych środków zapobiegawczych, a uniwersytet, jako instytucja, musi mieć wystarczającą swobodę inwencji.Rozumiem, że.Jednak samodzielne skonfigurowanie komputera roboczego, bez żadnych ograniczeń, poprzez swobodne korzystanie z sieci uniwersyteckiej, to otwarte drzwi na katastrofę.Pracując na uniwersytecie iw szpitalach, żaden nie pozwoliłby na swobodne korzystanie z ich sieci.Jeśli ktoś chce testować poza granicami, może to zrobić na własnym terenie.W końcu instytucja byłaby odpowiedzialna za wszelkie szkody.
@einpoklum Na mojej stronie internetowej otrzymuję ruch z uniwersytetów i szkół wyższych.Niektóre zapewniają dobry ruch.Czuję się dobrze, gdy ktoś chce przestudiować moje kody, pobrać niektóre rzeczy lub chce zobaczyć, jak robię.Jednak od czasu do czasu spotykam się z niezbyt przyjaznym ruchem ze strony studentów.Gdy uderzają nas zachowania powodujące szkody, podejmujemy coraz więcej środków zapobiegawczych.Czy nam się to podoba, czy nie.
Ta odpowiedź jest całkowicie nieistotna w niemieckich ramach prawnych: prywatne korzystanie z komputerów roboczych w granicach rozsądku jest prawnie chronione, więc twoje twierdzenie, że nie możesz tego robić, jest po prostu bezpodstawne.
@KonradRudolph Dziękujemy za wkład.Zdaję sobie sprawę, jak funkcjonują Niemcy pod względem użytkowania komputera i jak daleko są, jeśli chodzi o wdrażanie najnowszych.Powiem, że inwencja jest niesamowita.Jest wiele, jeśli chodzi o open source, i tak dalej, ale ogólne wykorzystanie technologii informacyjnej jest dość niskie.Stosowanie takich technologii przebiega bardzo wolno.Może więc jesteś bardziej ufny, tak jak my w latach 90-tych.W przeciwnym razie zasugeruję, moja odpowiedź jest do przemyślenia.Przeczytaj także niektóre odpowiedzi między komentarzami tutaj.
#21
  0
WoJ
2020-01-10 03:48:18 UTC
view on stackexchange narkive permalink

Po pierwsze, jeśli dział IT jest prawidłowo zarządzany, Twoje prywatne dane mogą być już dostępne, ponieważ zostały utworzone ich kopie zapasowe.

W takim przypadku możliwość przechowywania prywatnych danych na urządzeniu zależy od lokalne prawo. Możesz mieć przypadek, w którym wszystko należy do firmy / szkoły, aż do przypadku, gdy masz prawo do posiadania danych osobowych i są one prawnie chronione.

W pierwszym przypadku celowo działasz przeciwko Twoja instytucja, broniąc ich dostępu. Nie ma znaczenia, co myślisz, to, jak oni obchodzą się ze swoimi danymi, jest ich decyzją.

W drugim przypadku sprawa staje się bardziej skomplikowana. Jest część, w której aktywnie działasz przeciwko swojej instytucji, tak jak powyżej - za część, która należy do instytucji (bo chyba jest coś, co należy do nich, prawda?). Nie możesz zaszyfrować tej części.

Jeśli masz zgodne z prawem dane osobowe, możesz z nimi zrobić, co chcesz, a Twoja instytucja i tak nie będzie miała do nich dostępu (ponownie, jeśli takie są ramy prawne). Skomplikowaną częścią jest poczta elektroniczna, gdy dane osobiste i zawodowe są mieszane.

To jest źle!Gromadzone przeze mnie dane o ludziach są własnością uniwersytetu, ale według IRB nie mają one prawa wglądu do tych danych.W rzeczywistości IRB mówi mi, że muszę zaszyfrować dane.Następnie dział IT tworzy kopię zapasową zaszyfrowanych danych w swoim systemie, ale nie ma klucza.
@StrongBad:, co jest nie tak?Oczywiście możesz mieć miliardy konkretnych przypadków, od danych osobowych po technologię wojskową.Co to ma wspólnego z ogólnym pytaniem i moją ogólną odpowiedzią?Jeśli masz konkretny przypadek, inne przypadki z definicji nie są nieprawidłowe.
Pierwsze zdanie sugeruje, że kopie zapasowe danych muszą być niezaszyfrowane, co jest prawie komicznie błędne.„Pierwszy przypadek” sugeruje, że jeśli uczelnia posiada dane, to uzyskuje nieograniczony dostęp, co, jak wskazałem, nie jest generalnie prawdą.Mówisz, że nie możesz szyfrować danych, które do nich należą, a ja zwracam uwagę, że istnieje cała klasa danych, które należy zaszyfrować.
@StrongBad Jeśli masz pełne szyfrowanie dysku, kopia zapasowa zostanie zaszyfrowana (z wyjątkiem bardzo egzotycznych przypadków tworzenia kopii zapasowych surowych partycji).Nie jestem pewien, co jest w tym komiczne, możesz sprawdzić w prawdziwym IT.Pierwszy przypadek jest zdecydowanie najbardziej typowy - możesz być w innym.Nie jestem pewien, ile systemów nadzorowałeś, ale jeśli nie jest to setki tysięcy w kilku dużych firmach, to prawdopodobnie mamy inne spojrzenie na słowo „większość”.
@StrongBad A potem następuje ostatnia część, w której instytucja decyduje, co zrobić z ich danymi - możesz być w szczególnym przypadku, gdy TY decydujesz o ICH danych, ale nie jest to typowe.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...