Nowelizacja kodeksu pracy w zakresie dotyczącym pracy zdalnej niesie ze sobą wiele wyzwań, związanych nie tylko z przygotowaniami w zakresie prawnym i organizacyjnym (zmiany w regulaminach, politykach i procedurach), ale również z cyberbezpieczeństwem i ochroną danych osobowych. Mimo tego, iż praca zdalna z domów lub podczas podróży służbowych nie jest niczym nowym, to jednak jej obecność w przepisach prawa można uznać za swojego rodzaju wymuszoną nowość. Niestety konieczność uregulowania niektórych elementów życia pracownika podczas pracy zdalnej nie wyniknęła z naturalnej ewolucji w sposobie świadczenia pracy, lecz z rewolucji, jaką przyniosła pandemia oraz zmiany geopolityczne na świecie.
Ogólne zagrożenia związane z cyberbezpieczeństwem
Pandemia COVID-19 i związane z tym masowe przejście na pracę zdalną, w części wyedukowało społeczeństwo na temat zagrożeń związanych z tym szczególnym trybem pracy. Teraz gdy na stałe przyjęła się w polskim systemie prawnym, warto zwracać uwagę na zagrożenia z nią związane.
Praca zdalna wiąże się z wyjściem z miarę hermetycznego środowiska pracy stacjonarnej do środowiska, będącego pod mniejszą kontrolą pracodawcy. W związku z tym organizacje powinny podejmować działania nakierowane na zabezpieczenie największego potencjalnego źródła wszelkich naruszeń cyberbezpieczeństwa – pracownika i jego urządzeń. Wobec powyższego urządzenia pracowników powinny posiadać aktualne zabezpieczenia, takie jak antywirusy, firewalle, czy aplikacje do szyfrowania.
Firmy powinny również korzystać z narzędzi pomagających kontrolować urządzenia wynoszone przez pracowników. Firmy stosujące narzędzia służące do globalnego zarządzania urządzeniami (typu MDM – Mobile Device Management, kontrolery domeny etc.) mogą pozwolić administratorom na szybsze i skuteczniejsze reagowanie na incydenty. Dodatkowo możliwość wymuszenia „globalnych polityk” na urządzeniach pozwala na standaryzację w zakresie konfiguracji, czy też aktualizacji oprogramowania.
Pracownicy powinni być zachęcani do konsultowania się z zespołami pomocy technicznej IT w przypadku jakichkolwiek wątpliwości, zamiast samodzielnie rozwiązywać problemy techniczne. Zapewni to szybkie i bezpieczne wsparcie, oraz może pomóc w uniknięciu większych problemów w przyszłości. Ważnym podczas regulowania pracy zdalnej jest określenie zasad autoryzacji oraz preferowanych ścieżek komunikacji. Pracownik musi mieć możliwość skutecznej weryfikacji, że osoba po drugiej stronie słuchawki (podczas kontaktu telefonicznego) faktycznie jest pracownikiem IT uprawnionym do podejmowania czynności na urządzeniach. Również pracownik IT, z którym kontaktują się pracownicy firmy musi mieć możliwość zweryfikowania, że osoba z którą rozmawia jest faktycznie autoryzowana do dostępu do sprzętu czy informacji.
Powyższe przykłady pokazują jak wiele zagrożeń dla cyberbezpieczeństwa wynika z pracy zdalnej. Najważniejsze zagrożenia, o których powinien pomyśleć każdy pracodawca, to:
- Ataki phishingowe – podszywanie się pod pracownika lub pod managerów, działy IT itp.;
- Złośliwe oprogramowanie – malware, ransomware etc. – pracownicy, których urządzenia wychodzą z „bezpiecznej” sieci wewnętrznej pracodawcy mogą być bardziej narażeni na pobranie niebezpiecznych skryptów;
- Ataki DDoS – mogą zaburzyć ciągłość działania w departamentach, które normalnie mogłyby działać w sposób niezakłócony, gdyby pracowały z wewnątrz biura;
- Ataki typu man-in-the-middle, sniffery – pracownicy łączący się do różnych, nie zarządzanych przez organizację sieci WiFi mogą być narażeni na podsłuchy;
- Kradzieże sprzętu/dokumentów;
- Utrata sprzętu/dokumentów w wyniku pożaru, zalania, zapylenia, nadmiernej wilgotności powietrza etc. – warunki, w jakich pracownicy przechowują sprzęt/dokumenty papierowe mogą być niestandardowe i często szkodliwe;
- Nieprawidłowe wykorzystywanie sprzętu służbowego do celów prywatnych / udostępnianie w użytkowanie sprzętu służbowego nieautoryzowanym osobom (członkom rodziny, znajomym etc.);
- Praca hybrydowa sprawia, że pracownik może częściej podróżować między domem, a biurem przenosząc sprzęt i dokumenty papierowe, co może podnieść prawdopodobieństwo utraty w wyniku kradzieży lub zagubienia.
Video konferencje
Należy upewnić się, że narzędzia używane do komunikacji w całej firmie spełniają uznane standardy bezpieczeństwa. Ponadto należy stosować odpowiednie środki bezpieczeństwa w celu ochrony przed udziałem w video konferencji osób nieuprawnionych. Pracownicy w związku z tym nigdy nie powinni np. dzielić się ID spotkania z osobami postronnymi.
Najlepszą praktyką przy video konferencjach jest tworzenie poczekalni dla uczestników, aby uniemożliwić im wejście na spotkanie bez uprzedniego zezwolenia gospodarza. Oczywiście gospodarz powinien być obecny przed rozpoczęciem spotkania, a jeśli wszyscy uczestnicy już dołączyli, można je zablokować tak, aby nikt inny nie mógł dołączyć. Organizacje powinny również uniemożliwić uczestnikom innym niż gospodarz udostępnianie swojego ekranu i zapewnić ochronę spotkań – hasłem. Możliwe jest wyegzekwowanie ściślejszej kontroli w organizacji, zezwalając na dołączanie tylko osobom z określoną domeną e-mail.
Praca zdalna – czyli ile pracodawca dołoży do rachunków pracownika?
Szkolenia z cyberbezpieczeństwa
Przy wprowadzaniu pracy zdalnej, organizacje powinny pamiętać o przeszkoleniu swoich pracowników. Szkolenia powinny obejmować m.in. sposoby wykrywania wiadomości phishingowych oraz zasad bezpiecznej pracy zdalnej. Ponadto należy regularnie monitorować przestrzeganie zasad bezpieczeństwa i zwracać uwagę na nowe pojawiające się zagrożenia, i jeżeli zachodzi potrzeba – przeszkalać w tym zakresie personel.
Ransomware
Ataki ransomware to jedne z najgroźniejszych, a jednocześnie w ostatnich czasach najczęściej występujących zagrożeń dla organizacji. Szkolenia odgrywają istotną rolę w ochronie przed takimi atakami, jednak nie zastąpią stosowania zaawansowanych narzędzi typu Intrusion Detection System/Intrusion Prevention System czy też zautomatyzowanych skanerów behawioralnych i automatycznej analizy podejrzanych plików w środowiskach sandbox’owych. Należy jednak pamiętać, że żadne zabezpieczenie nie jest idealne i trzeba przygotować organizacje na możliwość jego przełamania lub obejścia. Regularne tworzenie i testowanie kopii zapasowych, ich odpowiednie przechowywanie oraz utylizacja po okresie retencji jest jednym z najlepszych sposobów radzenia ze skutkami skutecznego ataku ransomware. Każda organizacja powinna opracować odpowiednie instrukcje postępowania na wypadek wykrycia ataku (lub prób ataku) oraz odpowiednio przeszkolić (i przede wszystkim trenować) zespół odpowiedzialny za reagowanie na incydenty.
Posłuchaj podcastu
Ochrona danych osobowych, a praca zdalna
Kontrola pracowników podczas pracy zdalnej wiąże się ze zwiększonym zagrożeniem naruszenia prywatności pracowników oraz ochrony danych osobowych. Kontrola może obejmować monitoring naciśniętych klawiszy, pulpitu, i odwiedzanych stron internetowych. Ponadto w przypadku wykorzystania przez pracowników własnych urządzeń, pracodawca może uzyskać dostęp do ich danych osobowych w szerszym zakresie. Dodatkowo ujawnianie domowego (salonu, sypialni, biura) tła w rozmowach wideo lub publikowanie zdjęć biur domowych w Internecie może spowodować ujawnienie innych danych osobowych (np. zainteresowań, hobby), które mogą być dalej wykorzystywane w atakach socjotechnicznych.
Bezpieczeństwo przy pracy zdalnej
Praca zdalna odkrywa przed pracodawcami wiele nowych elementów, na które muszą zwrócić uwagę. Wdrożenie nowej konstrukcji zdalnej pracy wiąże się z wprowadzeniem odpowiednich regulaminów i polityk, dostosowaniem procesów związanych z onboardingiem, offboardingiem, kontrolami BHP etc. Ponadto prawidłowo wdrażając zasady dotyczące pracy zdalnej należy przeszkolić personel, w szczególności w zakresie ochronie danych osobowych. Prawidłowe przygotowanie pracowników do nowego sposobu realizowania pewnych procesów w organizacji to wyzwanie, przed którym stoi obecnie każdy pracodawca pragnący wprowadzić nową konstrukcję pracy zdalnej.
Bibliografia:
- Florian Malecki, Overcoming the security risks of remote working, Computer Fraud & Security Vol. 2020, No. 7.
- Kevin Curran, Cyber security and the remote workforce, Computer Fraud & Security Vol. 2020, No. 6
- Sarah Hutchins; Steve Britt, Cybersecurity Policies for Remote Work, Risk Management; New York Tom 67, Nr/wydanie 9
- Jason R. C. Nurse; Nikki Williams; Emily C. Collins; Niki Panteli; John M. Blythe; Ben Koppelman; Remote working pre- and post-COVID-19: an analysis of new threats and risks to security and privacy, In: Stephanidis, C., Antona, M., Ntoa, S. (eds) HCI International 2021 – Posters. HCII 2021. Communications in Computer and Information Science, vol 1421. Springer, Cham.
