Cykl: RODOtechnika – COVID-19 zagrożeniem nie tylko dla zdrowia

19 marca 2020 |

W związku z pandemią wirusa SARS-CoV-2 wielu pracodawców zdecydowało się lub rozważa zlecenie pracownikom pracy zdalnej. Wiąże się to jednak ze zwiększeniem ryzyka wycieku przetwarzanych danych osobowych. Jak zatem zabezpieczyć się przed tym ryzykiem?

W przypadku pracy zdalnej ryzykujemy zarówno możliwością fizycznego dostępu do przetwarzanych danych przez osoby do tego nieuprawnione (np. przez członków rodziny czy współlokatorów pracownika), ale również ryzykiem kradzieży danych w wyniku działania cyberprzestępców. Obserwując najnowsze doniesienia o atakach mających na celu pozyskanie cudzych danych osobowych można jednoznacznie stwierdzić – przestępcy nie próżnują. Pandemia stanowi dla nich kolejną okazję do działania.

 

Praca zdalna – zalecenia UODO

 

Z odpowiedzią przychodzi Urząd Ochrony Danych Osobowych (UODO). Na stronie Urzędu pojawiły się zalecenia, których przestrzeganie zwiększyć ma nasze bezpieczeństwo. Warto by pracodawcy zwrócili pracownikom na nie uwagę i wyznaczyli stosowne zasady pracy zdalnej.

 

1. Korzystanie ze sprzętu służbowego

 

Jako pracodawcy powinniśmy przede wszystkim, w miarę możliwości zapewnić pracownikom możliwość korzystania w domach z laptopów i telefonów firmowych, ponieważ dzięki temu mamy wpływ na stosowane na nich zabezpieczenia. Pracownicy zaś powinni stosować się do obowiązujących u danego pracodawcy procedur bezpieczeństwa, pomimo pracy z domu.

 

Szczególnie zalecane jest polecenie pracownikom wykorzystywania przekazanych urządzeń tylko do celów służbowych. Pracownicy nie powinni samodzielnie instalować na komputerach służbowych nowych programów, a stosowane już programy i systemy operacyjne powinny być automatycznie i regularnie aktualizowane (o tym dlaczego aktualizacje są ważne można przeczytać w poprzednim wpisie z cyklu RODOtechnika – link ).

 

Kradzież lub zgubienie urządzenia powinno być natychmiast zgłoszone pracodawcy. Pozwoli to na podjęcie działań w celu jego znalezienia lub odzyskania oraz wyczyszczenie danych.

 

Aby to ostanie było możliwe warto, przed wręczeniem urządzeń pracownikowi, zainstalować oprogramowanie pozwalające na zdalne usunięcie danych z urządzenia. Właściwym jest także szyfrowanie urządzeń. Wdrażając w tym zakresie jakiekolwiek środki należy mieć na względzie jednak wymogi stawiane przez obowiązujące przepisy prawa pracy, w tym zwłaszcza dotyczące monitoringu pracowników.

 

2. Zabezpieczenie urządzeń

 

Pracownicy powinni również dbać o swoje domowe stanowisko pracy. Powinno być ono zorganizowane w taki sposób, aby inne osoby (np. domownicy)  nie miały dostępu do danych przechowywanych na urządzeniach elektronicznych i w postaci papierowej. Całkowite wykluczenie dostępu do danych może wydawać się nieosiągalne, jednak w przypadku urządzeń elektronicznych istnieją proste do wprowadzenia metody wykluczenia możliwości zapoznania się z nimi przez osoby postronne. Do podstawowych należy wprowadzenie logowania do systemu, jak i poszczególnych programów (takich jak np. poczta elektroniczna) przy pomocy loginu i hasła, wyłącznie opcji automatycznego logowania, niezapamiętywanie haseł dostępu, ustawienie automatycznego blokowania urządzenia po określonym, kilkominutowym braku aktywności użytkownika oraz blokowanie urządzenia przy każdym odejściu od stanowiska pracy. Tam, gdzie to możliwe, zaleca się zastosowanie uwierzytelniania dwuskładnikowego.

 

Obecnie obowiązujące przepisy dotyczące ochrony danych osobowych nie wprowadzają wymogu stosowania haseł o z góry określonej liczbie czy rodzaju znaków. Należy jednak pamiętać, że każde zwiększenie skomplikowania hasła zmniejsza prawdopodobieństwo jego złamania, w szczególności w przypadku stosowania przez włamującego się metody brute force (czyli przez wprowadzanie wszystkich możliwych kombinacji hasła, aż do pomyślnego zalogowania). Zwiększenie skomplikowania hasła oznacza bowiem dłuższy czas jego łamania, a to może być dla włamującego po prostu nieopłacalne. Dlatego powszechnie zalecane są hasła składające się, z co najmniej 8 znaków, w tym liter i cyfr oraz znaków specjalnych. Mimo, że pożądane jest stworzenie haseł możliwie skomplikowanych, nie należy zapominać, że pracownik musi mieć możliwość zapamiętania hasła – hasło zapisane na karteczce trzymanej na biurku czy w innym łatwo dostępnym miejscu nie spełni w pełni swojej roli. Hasło nie powinno być zatem zbyt proste, ani też zbyt skomplikowane.

 

3.Korzystanie ze służbowego adresu e-mail

 

UODO zaleca korzystanie przez pracowników ze służbowych adresów e-mail. Wydaje się jednak, że zachodzą sytuacje, w których pracodawca powinien zastanowić się, które rozwiązanie będzie w danym wypadku bezpieczniejsze – umożliwienie pracownikowi logowania się do służbowej poczty e-mail na komputerze prywatnym, czy też wykorzystywanie przez pracownika poczty prywatnej w celach komunikacji służbowej. Może się bowiem zdarzyć sytuacja, w której zadania pracownika nie będą wiązały się z przetwarzaniem dużej ilości danych osobowych (np. będzie wykorzystywał tylko imiona, nazwiska i służbowe adresy e-mail współpracowników) , a korzystanie ze służbowej poczty na komputerze prywatnym rodzi ryzyko włamania się, przez zainstalowane na komputerze pracownika złośliwe oprogramowanie, do całej bazy adresów mailowych i innych danych osobowych w tym danych szczególnej kategorii. Pracownik nie zawsze musi być bowiem świadomy, że jego komputer jest zainfekowany.

 

W informacjach zamieszczonych na stronie Urzędu wskazano również na szyfrowanie treści i załączników wiadomości. Zalecane jest również niezamieszczanie danych osobowych ani informacji poufnych w wiadomości. Przed wysłaniem należy upewnić się, że wiadomość jest wysyłana do poprawnego adresata, a przed otwarciem, że wiadomość pochodzi z zaufanego źródła. W szczególności nie należy otwierać załączników z wiadomości od nieznanych nadawców.

 

4.Stosowanie rozwiązań chmurowych

 

Pracodawcy powinni zapoznać pracowników z procedurami logowania i udostępniania danych w chmurze, zaś pracownicy tych procedur przestrzegać. Podstawową zasadą powinno być logowanie do rozwiązań chmurowych tylko, gdy mamy pewność, że połączenie jest bezpieczne. W szczególności nie należy łączyć się do chmury z sieci publicznych.

 

5.Archiwizacja danych

 

Stosowanie powyższych zabezpieczeń nie oznacza, że możemy zapomnieć o konieczności archiwizowania danych. Utrata danych również będzie stanowiła naruszenie przepisów o ochronie danych. Należy więc wprowadzić możliwość archiwizacji danych w sposób możliwie najbardziej bezpieczny ze stałą częstotliwością.

 

Cyberniebezpieczeństwo

 

Niektóre banki przestrzegają już przed wiadomościami SMS, przykładowo o treściach:

 

  • Informujemy, iż zgodnie z spec ustawą dotyczącą koronawirusa Państwa środki na rachunku zostają przekazane do rezerw krajowych NBP. Zaloguj się aby zatrzymać 1000 PLN

  • Zgodnie z specustawa dot. koronawirusa wszyscy obywatele RP będą szczepieni. Z refundacja koszt wynosi 70 PLN. Opłać, aby uniknąć kolejek

 

Są to wiadomości fałszywe, mające na celu wyłudzenie danych. W treści wiadomości zamieszczane są linki kierujące do stron stworzonych przez przestępców, przez które najczęściej proszą nas o podanie naszych danych, takich jak hasła i numery kont bankowych. Strony te do złudzenia mogą przypominać np. strony ministerstw czy banków.

 

Być może sami otrzymaliście państwo również maila z załącznikiem mającym rzekomo informować o środkach ostrożności związanych z COVID-19. Pod żadnym pozorem nie należy w nie wchodzić! Załączniki te mogą bowiem zawierać złośliwe oprogramowanie, które może zainfekować nasz komputer.

 

Zagrożenie jest realne. Cyberprzestępcy mogą prowadzić również inne, niż wskazane powyżej, pozornie łatwe do zauważenia, ataki na nasze systemy. Co więc należy zrobić, aby przetwarzane przez nas dane były bezpieczne?

 

Podsumowanie

 

Zalecenia UODO stanowią wyliczenie jedynie podstawowych możliwości zabezpieczeń, które można stosunkowo szybko wprowadzić, istnieje bowiem również wiele dodatkowych sposobów zwiększenie bezpieczeństwa (takich jak wprowadzenie szyfrowania urządzeń elektronicznych, łączenie się przez VPN itd.).

 

Mimo, że powyższe wskazówki pojawiły się na stronie Urzędu w związku z pandemią COVID-19, wskazane zabezpieczenia powinny być stosowane cały czas i dotyczą wszystkich urządzeń, nie tylko wskazanych powyżej telefonów i laptopów, ale także takich jak tablety czy komputery stacjonarne. Są to podstawowe działania zapewniające nie tylko bezpieczeństwo danych osobowych, ale również wszelkich innych danych przedsiębiorstwa.

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.

 


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ