W ramach przypomnienia warto zwrócić uwagę, że zwolnienie z obowiązku świadczenia pracy w biurze firmy i polecenie pracownikowi wykonywania pracy zdalnej nie oznacza zwolnienia z obowiązku przestrzegania zasad ochrony danych osobowych, jak również obowiązku ochrony innych informacji istotnych dla pracodawcy. Zapewnienie bezpieczeństwa danych podczas pracy zdalnej wymaga od przedsiębiorcy opracowania i stosowania odpowiednich procedur, jak również korzystania z właściwych rozwiązań technologicznych. Nagłe wdrożenie tych środków przez firmę, która do tej pory nie stosowała pracy zdalnej, może narazić ją na ryzyko wycieku danych. Poniżej przedstawiamy i przybliżamy listę kontrolną 10 wybranych zaleceń w zakresie wymogów i wyzwań związanych z zapewnieniem bezpieczeństwa danych przetwarzanych przez pracowników wykonujących pracę zdalną.
Zabezpieczenie komputera indywidualnym loginem i silnym hasłem
Praca z domu daje większości z nas złudne poczucie bezpieczeństwa – w końcu czy wyobrażamy sobie bezpieczniejsze miejsce niż dom? Bez względu na to, czy praca jest świadczona na sprzęcie firmowym, czy prywatnym, dostęp do komputera oraz służbowej skrzynki e-mail powinien być zabezpieczony za pomocą indywidualnego loginu przypisanego dla każdego użytkownika oraz silnego hasła. Najpopularniejsze hasła, których stosowania należy bezwzględnie unikać, prezentujemy poniżej:
Najpopularniejsze hasła 2019 roku według brytyjskiego National Cyber Security Center (NCSC – Krajowe Centrum Bezpieczeństwa Komputerowego): 123456, 123456789, qwerty, password[1], 1111111.
Ustawienie zabezpieczonego hasłem wygaszacza ekranu
Konieczność logowania do systemu operacyjnego, jako zabezpieczenie danych doświadcza znacznego spadku skuteczności, jeżeli nie ustawiono funkcji automatycznego wylogowania użytkownika z systemu operacyjnego po kilku minutach braku aktywności. Rozwiązanie jest niezwykle istotne nie tylko z punktu widzenia ochrony przed szpiegostwem przemysłowym i wyciekiem danych osobowych ale i niezastąpione w powstrzymaniu osób trzecich przed nieumyślnym usunięciem, zmodyfikowaniem czy udostępnieniem informacji.
Szyfrowanie dysków twardych, pamięci przenośnej i załączników do wiadomości e-mail, jeżeli zawierają wrażliwe dane
Zabezpieczenie dostępu do systemu Windows indywidualnym loginem i silnym hasłem nie ochroni danych w przypadku utraty komputera, chociażby w wyniku kradzieży. Sprawca może bowiem wymontować dysk twardy i podłączyć go do innego urządzenia, za pomocą którego uzyska dostęp do zapisanych na nim danych. Operacja ta stanie się niemożliwa do wykonania, jeżeli dostęp do całego dysku twardego zabezpieczony jest specjalnym oprogramowaniem szyfrującym. Szyfrowanie pozwala również zabezpieczyć firmę przed wyciekiem danych w przypadku utraty/zagubienia pamięci przenośnej lub omyłkowego wysłania wiadomości e-mail do niewłaściwego adresata.
Szyfrując dane przed wysłaniem pocztą elektroniczną do klienta lub współpracownika pamiętajmy o tym by hasło przesłać do adresata innym kanałem łączności (np. wiadomością SMS, lub dyktując je przez telefon). Wysyłanie zaszyfrowanego załącznika mailem, w którego treści znajduje się hasło do archiwum niestety nie jest żadnym zabezpieczeniem.
Monitorowanie otwartych dokumentów podczas współdzielenia ekranu oraz właściwe ustawienie kamerki
Pracownicy powinni pamiętać o tym, że w trakcie współdzielenia pulpitu podczas telekonferencji klienci mogą zobaczyć pulpit ich komputera, czy też otwarty obecnie plik nie związany z tematem rozmowy. Same nazwy trzymanych na pulpicie plików mogą narazić pracodawcę na szkodę. Niewłaściwie ustawiona i uruchomiona w trakcie konferencji on-line kamera, również może nieść za sobą negatywne konsekwencje takie jak udostępnienie osobom trzecim zapisanych na tablicy wiszącej za uczestnikiem telekonferencji loginów i haseł do ważnych systemów, czy też innych, poufnych danych.
Zabezpieczenie sieci Wi-Fi silnym hasłem
Dostęp do wielu prywatnych sieci WiFi nie jest w ogóle zabezpieczony hasłem, względnie użyte jest hasło domyślne dla danego rodzaju urządzenia. Pracownik korzystając z takiej sieci domowej (lub otwartej sieci WiFi sąsiada czy pobliskiej firmy), naraża na wyciek nie tylko dane przechowywane lokalnie na komputerze, który wykorzystuje do pracy ale i inne systemy firmy, z którymi łączy się za pośrednictwem niezabezpieczonej sieci. Podkreślić należy, iż odpowiednie skonfigurowanie domowego routera nie jest skomplikowanym zadaniem.
Granica pomiędzy prywatnymi i służbowymi urządzeniami
Zagrożeniem dla bezpieczeństwa danych przetwarzanych w związku ze świadczeniem pracy zdalnej mogą być również nasze prywatne urządzenia takie jak smartfony, inteligentne telewizory, konsole do gier czy nawet drukarki sieciowe. Dlatego przystępując do pracy zdalnej zadbajmy o odpowiednie bezpieczeństwo tych urządzeń, poprzez wgranie i regularne aktualizowanie oprogramowania antywirusowego i przestrzeganie zasad bezpieczeństwa również podczas korzystania z prywatnych urządzeń. Szczególną uwagę zwrócić należy na nieotwieranie załączników do wiadomości pochodzących z nieznanych źródeł.
W zależności od treści polityki bezpieczeństwa informacji wdrożonej w firmie pracownicy powinni również pilnować aby dane osobowe przetwarzane przez ich pracodawcę nigdy nie trafiały na ich prywatne urządzenia lub były tam zapisywane tylko wtedy, gdy wewnętrzne procedury wyraźnie na pozwalają.
Łączenie się z firmą przez VPN
VPN to angielski skrótowiec od „Virtual Private Network”. Nie wchodząc w tym miejscu w szczegóły techniczne można ograniczyć się do stwierdzenia, iż jest to usługa zapewniająca wysoki poziom bezpieczeństwa m.in. podczas łączenia się komputera pracownika z siecią pracodawcy. Jest to bardzo dobre rozwiązanie, jeżeli pracownik musi łączyć się zdalnie z systemami firmy, takimi jak systemy CRM (ang. Customer Relationship Management – zarządzanie relacjami z klientami), ERP (Enterprise Resource Planning – planowanie zasobów przedsiębiorstwa), sieciowymi systemami do prowadzenia księgowości czy też współdzielonymi dyskami.
Bieżąca aktualizacja oprogramowania
Niezmiernie istotne jest dopilnowanie regularnych aktualizacji wykorzystywanego oprogramowania, które usuwają znane podatności i luki w zabezpieczeniach. Ciągła ewolucja metod ataku i obrony wiąże się z dużym niebezpieczeństwem dla danych przetwarzanych w nieaktualizowanych systemach. Szczególnie niebezpieczne może się okazać korzystanie z oprogramowania, które przestało być rozwijane – takiego jak chociażby system operacyjny Windows 7, dla którego wsparcie zakończono 14 stycznia 2020 roku.
Szkolenia w zakresie cyberbezpieczeństwa
Choć w bezpieczeństwie danych w trakcie świadczenia pracy zdalnej znaczącą rolę odgrywają kwestie techniczne, to z licznych badań i analiz wynika, że najczęstszą przyczyną wycieków danych jest błąd ludzki. Dlatego niezwykle istotne jest zapewnienie odpowiednich i regularnych szkoleń dla pracowników w zakresie bezpieczeństwa informacji. Sposoby postępowania z wiadomościami od nieznanych nadawców, typowe sztuczki stosowane w tzw. atakach socjotechnicznych, proste błędy wynikające z nieuwagi – to tylko niektóre zagadnienia, które powinny być poruszane w prowadzonych szkoleniach.
Oczywiście w związku ze stanem epidemii najlepszym sposobem przekazania pracownikom tej wiedzy jest e-learning i szkolenia w drodze telekonferencji.
Regularne wykonywanie i sprawdzanie kopii zapasowych
Warto wspomnieć, że RODO nakłada na administratora danych obowiązek zapewnienia bezpieczeństwa przetwarzania danych. Możliwość szybkiego podjęcia pracy po awarii/utracie sprzętu ma kluczowe znaczenie dla zachowania ciągłości działania przedsiębiorstwa. W zależności od przyjętego modelu wykonywania kopii zapasowych należy dopilnować ich wykonywanie również w warunkach pracy zdalnej.
Podsumowanie
Oczywiście, dla każdego przedsiębiorstwa najlepszym rozwiązaniem jest opracowanie własnej listy kontrolnej, która będzie dostosowana do specyfiki organizacji i sposobu w jaki przetwarza dane.
Praca zdalna prawie zawsze wiąże się z koniecznością przetwarzania danych osobowych, dlatego zapewnienie zgodności faktycznie wykonywanych czynności z wdrożoną polityką ochrony danych osobowych ma niebagatelne znaczenie. W tym celu konieczne jest zweryfikowanie posiadanej dokumentacji w zakresie ochrony danych osobowych w celu ustalenia, czy może ona być dalej stosowana w istniejącym zakresie czy też czy wymaga uzupełnienia.
[1] „Password” – ang. „hasło”. „hasło” i „hasło1” również nie są silnymi hasłami.