Praca zdalna, a bezpieczeństwo danych

Podziel się z innymi

W czasie trwania stanu epidemii, zdecydowanie na znaczeniu i popularności zyskała praca zdalna. To właśnie taki system jej wykonywania pozwala wielu przedsiębiorstwom w miarę normalnie funkcjonować, by przetrwać ten trudny czas. Jednakże należy w tym temacie mieć świadomość, iż taki rodzaj świadczenia pracy wymaga większych zabiegów, służących bezpieczeństwu danych.

Jak zatem podejść do tematu bezpieczeństwa danych w kontekście wykonywania pracy w formie zdalnej?

Otóż stosunkowo niedawno zarówno Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), jak i Urząd Ochrony Danych Osobowych (UODO) przedstawiły rekomendacje dotyczące technicznych możliwości zabezpieczenia danych osobowych przez przedsiębiorstwa, korzystające ze świadczenia pracy w formie zdalnej.

Zdaniem obu agend taki rodzaj pracy generuje bowiem większe ryzyko naruszenia przepisów RODO, a to z kolei może wiązać się z nałożeniem sankcji. Stąd też pracodawca, który do tej pory nie wdrożył w swej polityce bezpieczeństwa żadnych procedur lub wytycznych dotyczących korzystania z różnych urządzeń podczas wykonywania pracy w formie zdalnej, powinien niezwłocznie się tym zająć.

Samo opracowanie i wdrożenie odpowiedniej procedury będzie miało fundamentalne znaczenie przy ocenie dokonywanej przez organ kontrolny w przypadku wystąpienia incydentu powiązanego z wyciekiem danych czy też nieuprawnionym dostępem osób trzecich. Jednakże zdecydowanie ważniejszym od posiadania procedur będzie to, czy były one rzeczywiście stosowane w praktyce.

Jakie zalecenia prezentuje ENISA i UODO względem korzystania ze smartfonów i komputerów?

Zdaniem owych urzędów, urządzenia do wykonywania pracy zdalnej powinny podlegać szczególnemu zabezpieczeniu. Zgodnie z przepisami pracodawca może zakazać pracownikowi instalowania aplikacji i oprogramowania, niezgodnych z obowiązującą u niego procedurą bezpieczeństwa, na udostępnionych urządzeniach służbowych.

Urzędy zalecają też korzystanie z programów antywirusowych, szczególnie zaś takich, które posiadają możliwość automatycznej aktualizacji baz wirusów. Ponadto zaleca się, by na bieżąco aktualizowane były programy (jak chociażby przeglądarki internetowe i programy pocztowe), jak i systemy operacyjne. Aktualizacje bowiem mogą eliminować stwierdzone przez producentów oprogramowania luki w zabezpieczeniach, które mogłyby stanowić potencjalne źródło zainfekowania urządzenia.

Kolejną rekomendacją urzędów jest zabezpieczanie komputerów poprzez używanie silnych haseł dostępowych, a nawet wielopoziomowe uwierzytelnianie. Zalecanym jest też, by pracownicy blokowali dostęp do urządzeń, gdy odchodzą od stanowiska pracy, co powinno ustrzec przed niepowołanym wglądem do poufnych dokumentów osób postronnych.

A jakie zalecania prezentują urzędy wobec procedur i zdalnej pomocy serwisowej?

Szczególnie ENISA rekomenduje, by pracownicy zostali przeszkoleni na okoliczność sposobu dokonywania rozmów z telefonów służbowych. Mowa jest tutaj szczególnie o możliwości prowadzenia rozmów zagranicznych. Mocno zalecane jest też korzystanie z takich narzędzi, które umożliwiają zdalne połączenie się z urządzeniem służbowym pracownika. Dzięki temu bowiem przykładowo informatyk będzie miał możliwość świadczenia usług wsparcia technicznego w formie zdalnej.

Nieodzownym jest też zweryfikowanie, czy na pewno odpowiednie osoby mają dostęp do poufnych danych przy wykorzystaniu zdalnych narzędzi pracy. Ponadto warto też przestrzec pracowników przed atakami hakerskimi, które tym bardziej podczas wykonywania pracy w formie zdalnej mogą się pojawić. Mowa tutaj o fałszywych ponagleniach do zapłaty, pismach urzędowych wzywających do weryfikacji konta bankowego i temu podobnych. W tym kontekście ze szczególną rozwagą należy też podchodzić do e-maili domagających się z zmiany haseł i danych dostępowych.

Co ważne, nie można też całkowicie zaufać e-mailom otrzymywanym od znanych kontaktów, szczególnie, gdy jest tam prośba o pilne podanie poufnych danych. Rekomendowane jest wówczas telefoniczne potwierdzenie prawdziwości otrzymanego żądania. Nadto agencje rekomendują pracownikom wykonującym pracę w formie zdalnej, by nie mieszali czynności służbowych z czynnościami pozasłużbowymi.

Czy agencje mają też jakieś rekomendacje i zalecenia odnośnie korzystania z sieci?

W tym przypadku agencje zalecają, iż jeśli pracownik korzysta z własnego połączenia internetowego, to powinien zadbać o to, by było ono zabezpieczone silnym hasłem. ENISA wręcz przestrzega, iż przy otwartej sieci Wi-Fi osoby z najbliższego otoczenia mogą przechwycić przesyłane w ten sposób dane.

Przedsiębiorcom zaleca się z kolei rozważenie wprowadzenia szyfrowania wiadomości e-mailowych na poczcie służbowej, bądź też korzystanie z takich narzędzi, które owo szyfrowanie umożliwiają. Urzędy zdecydowanie przestrzegają w tym względzie przed korzystaniem z prywatnych skrzynek e-mailowych pracowników do celów służbowych, gdyż są one bardziej narażone na włamanie.

Ponadto eksperci ds. bezpieczeństwa sieci polecają korzystanie z płatnych komunikatorów internetowych, posiadających zdecydowanie trudniejsze do załamania zabezpieczenia. Ich zdaniem warto też w sytuacji pracy zdalnej wziąć pod uwagę wykorzystywanie płatnych prywatnych sieci (tzw. VPN-ów), gwarantujących większe bezpieczeństwo przesyłania danych i korzystania z Internetu w ogóle. Z kolei w sytuacji organizowania wideokonferencji warto posługiwać się takimi narzędziami, które posiadają odpowiednie zabezpieczenia, jak i umożliwiają zweryfikowanie uczestników.

Jakie zalecenia podaje ENISA i UODO względem przechowywania danych?

W tym względzie przedsiębiorcy winni szczególnie uważać na dyski zewnętrzne, służące przechowywaniu danych. Powinni być one pod szczególną ochroną, a w sytuacji ich zagubienia należy niezwłocznie podjąć wszelkie kroki celem ich odzyskania. Jeśli jednak okaże się to niemożliwe, wówczas należy podjąć próbę zdalnego wyczyszczenia jego pamięci. Urzędy rekomendują też okresowe przygotowywanie kopii zapasowych i ich przechowywanie w bezpiecznym miejscu. Takim miejscem może być odłączany od Internetu nośnik zewnętrzny lub też wykupiona bezpieczna przestrzeń dyskowa w chmurze obliczeniowej.

Podsumowując, wykonywanie pracy w formie zdalnej stało się obecnie dość powszechne. Niesie ono jednak za sobą sporo zagrożeń natury bezpieczeństwa danych i nieuprawnionego dostępu do nich. Należy zatem koniecznie wdrożyć w przedsiębiorstwie odpowiednie procedury bezpieczeństwa, jak i poinstruować pracowników jak w sposób bezpieczny pracować zdalnie. To będzie miało niebagatelny wpływ na bezproblemowe przetrwanie tego trudnego momentu w historii przedsiębiorstwa. Straty bowiem spowodowane wyciekiem danych mogą być całkiem spore.