W ostatnim czasie praca zdalna stała się niezwykle „popularna”. Dotychczas, choć w niektórych branżach ten sposób wykonywania pracy był wykorzystywany na szeroką skalę, to wielu pracodawców wprowadzało ją z oporami, w myśl starej maksymy, że pańskie oko konia tuczy. Pojawienie się koronawirusa wywołało zmianę, którą śmiało można nazwać rewolucyjną. Rewolucje, jeśli nie upadną, wywracają ustalony porządek i sprawiają, że świat nie będzie już dłużej taki sam. Z dnia na dzień opustoszały ulice, a urzędy, szkoły, uczelnie, biura, które uwielbiały mieć wszystkich na miejscu i pod okiem weszły w erę telepracy, często nie wiedząc jak się do tego zabrać.

Jesteśmy w tym stanie już kolejny tydzień. Jednym dostosowanie się do nowej sytuacji wychodzi to lepiej, większości raczej gorzej. Każdy radzi sobie jak może, na własną rękę, na zasadzie pospolitego ruszenia. Na gwałt wprowadzane są nowe dla większości aplikacje i eksperymentalne metody, z Internetem łączymy się też przez to, co kto ma w domu, byle się połączyć.

Takie wymuszone działania, z konieczności często chaotyczne i amatorskie, stwarzają idealne warunki do ataków różnej maści hakerom poszukujących okazji do włamań i wykradania danych. Wprowadzając naprędce poważne zmiany w organizacji pracy nie zawsze pamięta się o tym, że powoduje się powstawanie luk w zabezpieczeniach przetwarzania i zagrożenie bezpieczeństwa danych osobowych.

Jakie są zagrożenia?

Jeśli zmieniając miejsce, z którego wykonujemy pracę, korzystamy z aplikacji pracodawcy zainstalowanej na jego serwerze, mamy służbowego laptopa z legalnym oprogramowaniem i antywirusem, łączymy się VPN-em przez router z firewallem i światłowodowe lub kablowe łącze profesjonalnego operatora, to sytuacja jest idealna. Ale jak to w życiu, ideał jest rzadko osiągalny. Często jest to prywatny komputer, z którego korzysta rodzina, programy są pirackie, albo „w pełni legalne” za 50 zł z Allegro, ktoś z rodziny lubi pograć za darmo, albo obejrzeć pornoska, łącze jest radiowe dostarczane po łańcuszku nadajników przez szemranego dostawcę, „pożyczone” od sąsiada, albo otwarte wifi publiczne, bo takie mamy w zasięgu, a router wifi otwarty. Dopóki używamy tak Internetu do celów prywatnych, to najwyżej ktoś zaszyfruje nam komputer albo ukradnie nasze pieniądze. Jeśli tak będziemy pracować zdalnie, przetwarzając dane administrowane przez pracodawcę, problem może być naprawdę poważny, od pełnej odpowiedzialności odszkodowawczej, jeśli pracujemy na umowie cywilno-prawnej, do odpowiedzialności karnej.

Rola pracodawcy

Największa odpowiedzialność i największe wyzwania leżą po stronie pracodawcy (administratora danych osobowych). To jego w pierwszej kolejności, w razie poważniejszego incydentu z naruszeniem danych osobowych (wyciek, niedostępność, zniszczenie, czy zaszyfrowanie) „odwiedzi” UODO. Odwiedziny mogą się odbyć w sposób niekonwencjonalny, biorąc pod uwagę zagrożenie epidemiologiczne, ale skutek będzie raczej konwencjonalny: postępowanie w sprawie naruszenia i ryzyko otrzymania wysokiej grzywny. Administrator będzie oczywiście miał regres do sprawcy, jeśli bezsporna wina będzie po stronie zdalnego pracownika, ale uzyskanie zwrotu poniesionych strat będzie mało prawdopodobne. Ponadto wyciek danych, czy włamanie do systemu informatycznego może skutkować paraliżem tego systemu lub wykradzeniem tajemnic firmy. Dlatego pracodawca musi szczególnie dokładnie przeanalizować sytuację, zweryfikować użyte do pracy zdalnej środki, dokonać przeglądu Polityki ochrony danych i ją zaktualizować. Należy szczególnie uważnie śledzić nietypowe działania w systemie informatycznym, zastosować środki służące wykrywaniu ataków, i w razie konieczności zastosować dodatkowe zabezpieczenia.

Rola pracownika

Najsłabszym elementem bezpieczeństwa systemów bywa człowiek. Dlatego ważne jest, aby osoby przetwarzające zdalnie były właściwie przeszkolone w dziedzinie ochrony danych i przede wszystkim rozumiały jej znaczenie. Pracownik musi mieć świadomość, że praca zdalna należy do najsłabszych elementów systemu bezpieczeństwa informatycznego, zwłaszcza, gdy odbywa się z urządzeń prywatnych, do których mają dostęp inne osoby i przy użyciu słabo zabezpieczonych łącz internetowych. Tą drogą względnie łatwo włamać się do systemów informatycznych firmy. Pracując w warunkach wymuszonych, gdy nie zawsze pracodawca może zapewnić właściwe warunki takiej pracy, pracownik powinien starać się zachować jak największą ostrożność a także informować pracodawcę o problemach i zauważonych zagrożeniach. Pozwoli to jemu uniknąć ewentualnej odpowiedzialności za zaniedbanie, zaś pracodawcy pozwoli lepiej przeciwdziałać zagrożeniom.

Co na to RODO?

Możliwość nakazania pracownikowi pracy zdalnej, bez uzyskiwania zgody pracownika, daje pracodawcom art. 3 tzw. specustawy koronawirusowej z 2 marca 2020, ze zmianami z 30 marca. Jednakże ustawa ta nie wprowadza szczególnego trybu tej pracy. Dlatego stosowane zasady ochrony danych osobowych nie ulegają zmianie, przynajmniej w zakresie technicznych i organizacyjnych środków bezpieczeństwa, jakie musi zapewnić administrator. Nie należy ulec pokusie myślenia, że jeśli sytuacja jest nadzwyczajna, to można stosować nadzwyczajne, obniżone standardy ochrony danych. Analiza art. 24 i 32 ust. 1 i 2 RODO prowadzi do wręcz przeciwnego wniosku, jeśli rośnie ryzyko, trzeba wdrożyć takie środki techniczne i organizacyjne, aby zagrożeniom wywołanym tym zwiększonym ryzykiem zaradzić. Za bezpieczeństwo przetwarzania danych odpowiada przede wszystkim administrator danych, także w zakresie przetwarzania przez osoby działające z jego upoważnienia (pracownicy) jak i przez subprocesorów, którzy zobowiązani są do przetwarzania wyłącznie na polecenie (wg instrukcji) administratora. Dopiero przekroczenie przez nich granic takiego polecenia powoduje powstanie odpowiedzialności w zakresie, w jakim nie przestrzegają warunków wykonania polecenia przetwarzania.

Na co zwrócić uwagę przy telepracy?

Komputer lub inne urządzenie mobilne

  1. Zalecane jest, aby praca odbywała się na urządzeniu będącym własnością pracodawcy, właściwie skonfigurowanym i zabezpieczonym (hasłowany dostęp, szyfrowane dyski lub katalogi, samoczynna blokada przy bezczynności itp.), z legalnym i aktualnym oprogramowaniem, zablokowaną możliwością samodzielnego instalowania programów, oraz jeśli to możliwe, zastosowanie zdalnego zarządzania urządzeniem, w tym kasowania zawartości dysków,
  2. Jeśli niemożliwe jest wyposażenie pracownika w służbowy sprzęt, prywatne urządzenie powinno mieć legalne i możliwie aktualne oprogramowanie (nie pirackie i niepochodzące z nielegalnych źródeł, zwłaszcza internetowych). Powinien być zainstalowany i aktualizowany program antywirusowy i firewall. Dostęp do systemu urządzenia powinien być chroniony hasłem, powinna być stosowana samoczynna blokada przy bezczynności użytkownika lub wygaszacz ekranu odblokowywany hasłem. Nie można używać komputera, który jest używany do odwiedzania niebezpiecznych serwisów internetowych (nielegalne gry, nielegalne lub niepewnego pochodzenia programy, erotyczne itp.)

Łącza internetowe

  1. Najlepiej korzystać z pewnych, stałych łącz internetowych (światłowodowe, kablowe), pochodzących od renomowanych dostawców.
  2. Szczególną uwagę na bezpieczeństwo należy zwracać przy korzystaniu z usług lokalnych dostawców Internetu radiowego.
  3. Sieć wewnętrzna powinna być właściwie skonfigurowana, domyślne hasła administratora routera zmienione, wskazane jest używanie routera z firewallem.
  4. Wewnętrzna sieć wifi musi być zamknięta i zabezpieczona, zaś hasła do sieci silne i nieujawniane innym osobom (np. sąsiadom).
  5. Korzystanie z publicznych sieci wifi jest niebezpieczne i poza wyjątkowymi sytuacjami powinno być zabronione. Zagrożeniem może być zarówno administrator takiej sieci, jak i łatwość podszycia się hakerów pod sieć publiczną. Występuje wysokie ryzyko przechwycenia danych oraz instalacji programów szpiegujących.
  6. Pracowników nieposiadających odpowiedniego łącza, można wyposażyć w odpowiedni pakiet komórkowej transmisji danych. Dla większości zastosowań biznesowych powinno to być wystarczające.

Łączenie z infrastrukturą firmową

  1. Najwłaściwszą dla bezpieczeństwa danych formą pracy zdalnej jest praca na aplikacjach firmowych zainstalowanych na serwerze firmowym lub w chmurze, z wykorzystaniem komputera, jako pulpitu zdalnego i połączenia tunelowanego.
  2. Mniej bezpieczne jest przetwarzanie w aplikacjach zainstalowanych na komputerze, lecz zapisywanie i udostępnianie plików na dysku sieciowym np. udostępnionym w aplikacji chmurowej.
  3. Najmniej wskazane i najmniej bezpieczne jest zapisywanie danych na dysku lokalnym komputera i nośnikach zewnętrznych oraz przesyłanie plików przez Internet, jako załączników do maili. Takie rozwiązanie nie powinno być stosowane przy przetwarzaniu danych osobowych.

Przesyłanie plików z danymi

  1. Należy unikać przesyłania plików z danymi osobowymi lub poufnymi, jako załączników do maili. Lepszym rozwiązaniem jest udostępnianie ich w aplikacjach chmurowych.
  2. Jeśli jednak konieczne jest wysłanie pliku mailem, wysyłany plik powinien być zaszyfrowany (np. zip lub rar z hasłem), zaś hasło do pliku musi być przekazane innym środkiem komunikacji, np. SMS (nie w innym mailu).
  3. Jeśli konieczne jest przekazywanie danych przez wymienne nośniki danych, powinny one być szyfrowane i ewidencjonowane.

Zabezpieczenia organizacyjne

  1. Należy ustalić i dokumentować, zakres, cel i sposób przetwarzania przy pracy zdalnej:
    – kto przetwarza,
    – co przetwarza i w jakim zakresie (jakie dane, jakich grup osób, co jest istotą przetwarzania),
    – na jakim sprzęcie, na jakich nośnikach danych, przy wykorzystaniu jakich środków łączności,
    – w jakim czasie to przetwarzanie się odbywa.
  2. Należy dokonać weryfikacji polityki dostępu do zasobów (co, komu, w jaki sposób, na jaki czas zostanie udostępnione).
  3. Należy upoważnić pracownika w formie pisemnej (w tych okolicznościach drogą elektroniczną) do przetwarzania zdalnego, określając warunki i zasady tego przetwarzania (co ma być przetwarzane, w jakim zakresie, w jakim czasie, jaką drogą, z wykorzystaniem jakiego sprzętu, w jaki sposób)
  4. Należy przypomnieć pracownikom podstawowe zasady bezpieczeństwa przetwarzania:
    – związane z pracą zdalną i korzystaniem z urządzeń mobilnych,
    – niezapisywanie haseł do systemów i aplikacji pracodawcy na komputerze wykorzystywanym do pracy zdalnej (np. funkcja autouzupełniania loginów i haseł),
    – wylogowywanie się z systemów lub aplikacji, szczególnie z aplikacji zainstalowanych na serwerach czy z dysków chmurowych, w trakcie przerw w pracy,
    – korzystanie z automatycznej blokady stacji lub ekranu oraz niepozostawianie włączonego komputera bez nadzoru,
    – zabezpieczenie dostępu do danych firmowych przed domownikami, zwłaszcza najmłodszymi,
    – natychmiastowe zgłaszanie (IOD, administrator, informatyk) wszelkich zauważonych zagrożeń dla bezpieczeństwa danych, incydentów związanych z ochroną danych osobowych (wyciek, zgubienie nośnika danych, kradzież urządzenia mobilnego itp.).
  5. Przy pracy zdalnej z dokumentami papierowymi należy:
    – ograniczyć do minimum wydawanie dokumentów do pracy w domu,
    – wprowadzić ewidencję wydania i zwrotu dokumentów,
    – udostępniać obrazy dokumentów (np. skany), gdy to tylko możliwe,
    – unikać generowania dokumentów papierowych (nie drukować),
    – jeśli pracownik nie dysponuje niszczarką, dokonywać niszczenia w biurze, po zakończeniu pracy zdalnej, materiałów roboczych i notatek.
  6. Należy zorganizować regularne wykonywanie backupów danych (plików) powstałych na urządzeniach prywatnych (na serwerze firmowym, chmurowym itp.).
  7. Należy odebrać zobowiązanie do stosowania się do tych zasad przetwarzania.

Po powrocie do normalnego trybu pracy

Należy:

  1. Usunąć niepotrzebne dostępy zdalne do systemu, w razie potrzeby zmienić hasła dostępowe.
  2. Zweryfikować, czy wszystkie potrzebne dane i pliki są zapisane w zasobach firmowych, i następnie
  3. Zobowiązać pracowników do zwrotu dokumentów i danych a następnie do usunięcia danych z prywatnych urządzeń i nośników danych, ustalając zasady i udzielając w razie potrzeby pomocy.
  4. Odebrać od nich oświadczenia o usunięciu danych z prywatnych urządzeń i nośników danych (jakie dane, w jakim zakresie, jakich osób dotyczące, z jakich urządzeń i nośników, w jaki sposób zostały usunięte).

Koronawirus będzie nam towarzyszył jeszcze przez wiele miesięcy, nawet gdy uda się względnie szybko opanować jego gwałtowne rozprzestrzenianie. Jest to szok społeczny i gospodarczy na skalę niespotykaną w ostatnich kilkudziesięciu latach. Jednym z ubocznych lecz trwałych skutków będzie z pewnością rozpowszechnienie się metod pracy zdalnej, których obecnie w trybie przyspieszonym się uczymy.