Home
Internal
International
Kontakt
Adam Wódz
11 marca 2020 r.
W czasie zagrożenia epidemią koronawirusa firmy podejmują decyzje umożliwiające pracownikom pracę zdalną. Niestety bardzo rzadko brane są przy tym pod uwagę czynniki zwiększonego ryzyka dla bezpieczeństwa danych, które stanowią jeden z filarów funkcjonowania biznesu.
Bazując na wnioskach z wielu przeprowadzonych przez Rödl & Partner audytów bezpieczeństwa danych w różnego rodzaju przedsiębiorstwach, widać ogólny problem z odpowiednim zabezpieczeniem pracy zdalnej. Przy ustalaniu jej reguł zarządy skupiają się przede wszystkim na samej organizacji pracy, widzianej często tylko przez pryzmat działu HR. Najważniejsze stają się zatem takie problemy jak efektywność, rozliczanie czasu pracy, czy zachowanie komunikacji w zespole, ale rzadko w pełni analizuje się inne ryzyka dla ciągłości działania biznesu. W efekcie takiego podejścia dział IT zostaje postawiony przed wyzwaniem szybkiego umożliwienia pracownikom zdalnego dostępu do infrastruktury, aplikacji i danych wewnątrz firmy. Tymczasem to właśnie dział IT i inne działy związane z utrzymaniem bezpieczeństwa w firmie, w tym także Inspektor Ochrony Danych, powinny wziąć udział we wcześniejszym planowaniu działań i mieć możliwość opracowania adekwatnych reguł, a następnie przygotowania i odpowiedniego wdrożenia procedur związanych z bezpieczeństwem pracy zdalnej.
Przede wszystkim należy rozważyć, w jakim zakresie możliwe jest przygotowanie wewnętrznej firmowej infrastruktury IT do dostępu z sieci publicznej. Najczęściej minimalnymi wymaganiami do pracy zdalnej jest posiadanie dostępu do konta e-mail oraz szyfrowany tunel VPN umożliwiający zdalne łączenie się z wewnętrznymi aplikacjami lub serwerami firmy. Warto jednak ustalić podstawowe zasady korzystania z tych udogodnień.
Kluczową kwestią dla zachowania bezpieczeństwa jest decyzja czy praca zdalna będzie wykonywana na prywatnym sprzęcie należącym do pracownika (np. smartfonie czy laptopie), czy też wyłącznie na skonfigurowanych urządzeniach firmowych. Należy mieć świadomość, że firma w żaden sposób nie jest w stanie kontrolować bezpieczeństwa danych na prywatnym sprzęcie. Nie będzie zatem mogła sprawdzić m.in. czy komputer pracownika posiada odpowiednią ochronę antywirusową, czy system operacyjny ma aktualne zabezpieczenia lub też czy dane z dysku nie są udostępnione w sieci lokalnej. Umożliwienie dostępu do konta e-mail lub tunelu VPN w takim przypadku oznacza realne ryzyko przejęcia danych dostępowych lub uzyskania dostępu do sieci firmowej przez ewentualnych atakujących infrastrukturę domową pracownika lub przez działanie wirusa. Z uwagi na bezpieczeństwo praca zdalna powinna być zatem możliwa wyłącznie z wykorzystaniem sprzętu firmowego.
Inną bardzo ważną kwestią jest bezpieczeństwo sieci, z której będzie korzystał zdalnie pracownik. W tym przypadku firma również nie będzie miała możliwości kontroli, a tymczasem wiele osób korzysta w domu z sieci współdzielonych (np. z innymi mieszkańcami bloku czy osiedla) lub samodzielnie skonfigurowanych sieci WiFi, które nie spełniają odpowiednich wymogów bezpieczeństwa. Można by zapytać: „A co to za różnica, jeśli i tak używam szyfrowanego połączenia VPN i nikt niepowołany nie przechwyci takiego ruchu?” Należy pamiętać, że tunel VPN zabezpiecza dane tylko podczas ich przesyłania – tymczasem trzeba uwzględnić jeszcze dane zapisane na urządzeniu lub podłączanych do niego nośnikach. Atakujący, który uzyskał dostęp do współdzielonej sieci lub do sieci WiFi, może próbować przejąć kontrolę nad komputerem i uzyskać dostęp do zapisanych na nim danych. Mogą to być również dane uwierzytelniające użytkownika, a w szczególności zapisane hasła VPN czy do innych systemów wewnętrznych firmy. Firma umożliwiająca pracownikom pracę zdalną powinna wyposażyć ich także w urządzenia (karty SIM lub modemy) zapewniające niezależny dostęp do internetu. Powinna też poinformować pracownika o konieczności wykorzystywania tych urządzeń jako jedynej metody łączenia się z siecią firmową. Jest to szczególnie istotne, bo – jak pokazuje praktyka – praca zdalna nie zawsze może oznaczać pracę wykonywaną w domu, lecz także np. w hotelu, kawiarni, pociągu lub innych miejscach publicznych.
Kolejnym aspektem bezpieczeństwa, który należy wziąć pod uwagę przy planowaniu pracy zdalnej, są procedury związane z przenoszeniem i przesyłaniem danych pomiędzy pracą a domem. Jeżeli pracownicy będą mogli przenosić dane na laptopach, smartfonach, dyskach lub innych nośnikach danych, to powinny być one zaszyfrowane. Dostęp do tych urządzeń musi być chroniony za pomocą hasła lub kodu PIN. Warto również opracować procedury postępowania w przypadku zgubienia lub kradzieży sprzętu, w tym m.in. rozważyć możliwość zdalnego usunięcia danych. Do przesyłania danych najlepiej wykorzystać systemy do zdalnej wymiany plików. Pozwoli to ograniczyć wysyłanie wrażliwych danych za pomocą poczty elektronicznej, co często odbywa się bez żadnego szyfrowania i stanowi łatwy łup dla atakujących, którzy uzyskali dostęp do sieci domowej pracownika.
Ostatnim, ale najważniejszym aspektem bezpieczeństwa pracy zdalnej, jest zbudowanie i utrzymywanie odpowiedniej świadomości pracowników. W tej kwestii szczególnie istotne jest ścisłe stosowanie się do procedur i rozumienie zagrożeń, na które narażone mogą być osoby pracujące zdalnie. Z jednej strony powinny to zagwarantować obostrzenia zawarte w regulaminie pracy zdalnej, z drugiej strony warto je podeprzeć odpowiednim przeszkoleniem pracownika z korzystania ze środków technicznych umożliwiających taką pracę oraz z ryzyka, jakie wiąże się z przetwarzaniem danych firmowych poza ich naturalnym środowiskiem.
W przypadku pytań, eksperci Rödl & Partner pozostają do Państwa dyspozycji.
Jarosław Hein
adwokat, doradca podatkowy
Partner
Wyślij zapytanie
Profil
