GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Zagrożenia pracy zdalnej oraz jak się przed nimi zabezpieczyć?

Pracodawca ukarany za korzytsanie z e-mial pracownika

Nowelizacja kodeksu pracy w zakresie dotyczącym pracy zdalnej niesie ze sobą wiele wyzwań, związanych nie tylko z przygotowaniami w zakresie prawnym i organizacyjnym (zmiany w regulaminach, politykach i procedurach), ale również z  cyberbezpieczeństwem i ochroną danych osobowych. Mimo tego, iż praca zdalna z domów lub podczas podróży służbowych nie jest niczym nowym, to jednak jej obecność w przepisach prawa można uznać za swojego rodzaju wymuszoną nowość. Niestety konieczność uregulowania niektórych elementów życia pracownika podczas pracy zdalnej nie wyniknęła z naturalnej ewolucji w sposobie świadczenia pracy, lecz z rewolucji, jaką przyniosła pandemia oraz zmiany geopolityczne na świecie.

Ogólne zagrożenia związane z cyberbezpieczeństwem

Pandemia COVID-19 i związane z tym masowe przejście na pracę zdalną, w części wyedukowało społeczeństwo na temat zagrożeń związanych z tym szczególnym trybem pracy. Teraz gdy na stałe przyjęła się w polskim systemie prawnym, warto zwracać uwagę na zagrożenia z nią związane.

Praca zdalna wiąże się z wyjściem z  miarę hermetycznego środowiska pracy stacjonarnej do środowiska, będącego pod mniejszą kontrolą pracodawcy. W związku z tym organizacje powinny podejmować działania nakierowane na zabezpieczenie największego potencjalnego źródła wszelkich naruszeń cyberbezpieczeństwa – pracownika i jego urządzeń. Wobec powyższego urządzenia pracowników powinny posiadać aktualne zabezpieczenia, takie jak antywirusy, firewalle, czy aplikacje do szyfrowania.

Wzrost zagrożeń cyberbezpieczeństwa

 

Firmy powinny również korzystać z narzędzi pomagających kontrolować urządzenia wynoszone przez pracowników. Firmy stosujące narzędzia służące do globalnego zarządzania urządzeniami (typu MDM – Mobile Device Management, kontrolery domeny etc.) mogą pozwolić administratorom na szybsze i skuteczniejsze reagowanie na incydenty. Dodatkowo możliwość wymuszenia „globalnych polityk” na urządzeniach pozwala na standaryzację w zakresie konfiguracji, czy też aktualizacji oprogramowania.

Pracownicy powinni być zachęcani do konsultowania się z zespołami pomocy technicznej IT w przypadku jakichkolwiek wątpliwości, zamiast samodzielnie rozwiązywać problemy techniczne. Zapewni to szybkie i bezpieczne wsparcie, oraz może pomóc w uniknięciu większych problemów w przyszłości. Ważnym podczas regulowania pracy zdalnej jest określenie zasad autoryzacji oraz preferowanych ścieżek komunikacji. Pracownik musi mieć możliwość skutecznej weryfikacji, że osoba po drugiej stronie słuchawki (podczas kontaktu telefonicznego) faktycznie jest pracownikiem IT uprawnionym do podejmowania czynności na urządzeniach. Również pracownik IT, z którym kontaktują się pracownicy firmy musi mieć możliwość zweryfikowania, że osoba z którą rozmawia jest faktycznie autoryzowana do dostępu do sprzętu czy informacji.

Przeprowadzanie kontroli w okresie pandemii oraz  kwestia taryfikacji kar –  stanowiska organów europejskich

Powyższe przykłady pokazują jak wiele zagrożeń dla cyberbezpieczeństwa wynika z pracy zdalnej. Najważniejsze zagrożenia, o których powinien pomyśleć każdy pracodawca, to:

Video konferencje

Należy upewnić się, że narzędzia używane do komunikacji w całej firmie spełniają uznane standardy bezpieczeństwa. Ponadto należy stosować odpowiednie środki bezpieczeństwa w celu ochrony przed udziałem w video konferencji osób nieuprawnionych. Pracownicy w związku z tym nigdy nie powinni np. dzielić się ID spotkania z osobami postronnymi.

Najlepszą praktyką przy video konferencjach jest tworzenie poczekalni dla uczestników, aby uniemożliwić im wejście na spotkanie bez uprzedniego zezwolenia gospodarza. Oczywiście gospodarz powinien być obecny przed rozpoczęciem spotkania, a jeśli wszyscy uczestnicy już dołączyli, można je zablokować tak, aby nikt inny nie mógł dołączyć. Organizacje powinny również uniemożliwić uczestnikom innym niż gospodarz udostępnianie swojego ekranu i zapewnić ochronę spotkań – hasłem. Możliwe jest wyegzekwowanie ściślejszej kontroli w organizacji, zezwalając na dołączanie tylko osobom z określoną domeną e-mail.

Praca zdalna – czyli ile pracodawca dołoży do rachunków pracownika?

 

Szkolenia z cyberbezpieczeństwa

Przy wprowadzaniu pracy zdalnej, organizacje powinny pamiętać o przeszkoleniu swoich pracowników. Szkolenia powinny obejmować m.in. sposoby wykrywania wiadomości phishingowych oraz zasad bezpiecznej pracy zdalnej. Ponadto należy regularnie monitorować przestrzeganie zasad bezpieczeństwa i zwracać uwagę na nowe pojawiające się zagrożenia, i jeżeli zachodzi potrzeba – przeszkalać w tym zakresie personel.

Ransomware

Ataki ransomware to jedne z najgroźniejszych, a jednocześnie w ostatnich czasach najczęściej występujących zagrożeń dla organizacji. Szkolenia odgrywają istotną rolę w ochronie przed takimi atakami, jednak nie zastąpią stosowania zaawansowanych narzędzi typu Intrusion Detection System/Intrusion Prevention System czy też zautomatyzowanych skanerów behawioralnych i automatycznej analizy podejrzanych plików w środowiskach sandbox’owych. Należy jednak pamiętać, że żadne zabezpieczenie nie jest idealne i trzeba przygotować organizacje na możliwość jego przełamania lub obejścia. Regularne tworzenie i testowanie kopii zapasowych, ich odpowiednie przechowywanie oraz utylizacja po okresie retencji jest jednym z najlepszych sposobów radzenia ze skutkami skutecznego ataku ransomware. Każda organizacja powinna opracować odpowiednie instrukcje postępowania na wypadek wykrycia ataku (lub prób ataku) oraz odpowiednio przeszkolić (i przede wszystkim trenować) zespół odpowiedzialny za reagowanie na incydenty.

Posłuchaj podcastu

Ochrona danych osobowych, a praca zdalna

Kontrola pracowników podczas pracy zdalnej wiąże się ze zwiększonym zagrożeniem naruszenia prywatności pracowników oraz ochrony danych osobowych. Kontrola może obejmować monitoring naciśniętych klawiszy, pulpitu, i odwiedzanych stron internetowych. Ponadto w przypadku wykorzystania przez pracowników własnych urządzeń, pracodawca może uzyskać dostęp do ich danych osobowych w szerszym zakresie. Dodatkowo ujawnianie domowego (salonu, sypialni, biura) tła w rozmowach wideo lub publikowanie zdjęć biur domowych w Internecie może spowodować ujawnienie innych danych osobowych (np. zainteresowań, hobby), które mogą być dalej wykorzystywane w atakach socjotechnicznych.

Bezpieczeństwo przy pracy zdalnej

Praca zdalna odkrywa przed pracodawcami wiele nowych elementów, na które muszą zwrócić uwagę. Wdrożenie nowej konstrukcji zdalnej pracy wiąże się z wprowadzeniem odpowiednich regulaminów i polityk, dostosowaniem procesów związanych z onboardingiem, offboardingiem, kontrolami BHP etc. Ponadto prawidłowo wdrażając zasady dotyczące pracy zdalnej należy przeszkolić personel, w szczególności w zakresie ochronie danych osobowych. Prawidłowe przygotowanie pracowników do nowego sposobu realizowania pewnych procesów w organizacji to wyzwanie, przed którym stoi obecnie każdy pracodawca pragnący wprowadzić nową konstrukcję pracy zdalnej.

Bibliografia: