Epidemia COVID-19 zmienia rzeczywistość. Mało popularna do tej pory praca zdalna wydaje się być doskonałym rozwiązaniem przeciwdziałającym rozprzestrzenianiu się wirusa. To, co jest właściwe dla ochrony zdrowia publicznego, rodzi jednak ryzyko naruszenia cyberbezpieczeństwa. Jakie działania należy podjąć, aby zmniejszyć do minimum szansę stania się ofiarą ataku hakerskiego? W jaki sposób chronić dane osobowe w sieci? Ministerstwo Cyfryzacji, UODO oraz ENISA wydały oficjalne rekomendacje, które mogą być naszym drogowskazem.
Analiza ryzyka i zagrożeń, rozbudowa systemów monitorowania, red teaming – jak widać pracodawca na wiele sposób może, a nawet powinien kontrolować bezpieczeństwo w Internecie swoich pracowników. Należy pamiętać, że monitorowanie wykonywania obowiązków pracowniczych musi odbywać się zawsze proporcjonalnie do ryzyka, jakie ponosi pracodawca, a rejestrowane informacje powinny zostać ograniczone do minimum. Rodzaj działania zależy natomiast głównie od wielkości firmy, jak i profilu jej działalności.
Oprócz naszego pracodawcy, niezwykle ważną rolę w zapewnieniu nam bezpieczeństwa w sieci odgrywają zarówno polskie, jak i europejskie instytucje, które w swoich wytycznych uświadamiają nam, jak wiele zagrożeń czeka tylko na nasz niewłaściwy krok.
Urząd Ochrony Danych Osobowych zwraca uwagę na przestrzeganie zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych oraz korzystanie tylko z zaufanych dostawców. Przed możliwymi problemami dot. przetwarzania danych ostrzega również Ministerstwo Cyfryzacji. W swoim komunikacie z 13 marca 2020 r. zaleca osobom pracującym zdalnie:
- nieużywanie prywatnych skrzynek mailowych czy portali społecznościowych do komunikacji firmowej;
- nieinstalowanie dodatkowych aplikacji;
- niezbędne aktualizacje systemu operacyjnego;
- używanie silnych haseł;
- przestrzeganie wszelkich zasad dotyczących logowania.
Szczegółowe wytyczne opublikowała także Agencja UE ds. Cyberbezpieczeństwa. ENISA rekomenduje m.in.:
- udostępnianie aplikacji biznesowych za pośrednictwem szyfrowanych kanałów;
- zapewnienie videokonferencji z użyciem hasła;
- wieloskładnikowe i wzajemne uwierzytelnienie;
- udostępnianie pracownikom służbowych urządzeń z aktualnym oprogramowaniem systemowym i antywirusowym bądź kontrola bezpieczeństwa prywatnych urządzeń pracowników;
- zapewnienie zgodności przetwarzania danych osobowych z przepisami unijnymi;
Najważniejsze to pamiętać, aby nie łączyć urządzeń służbowych z urządzeniami prywatnymi. Ponadto, trzeba uważać na e-maile tylko pozornie dotyczące informacji związanych z COVID-19. UWAGA! To bardzo niebezpieczny phishing! (działania, których skala jest tak wielka, że poświęcę im nowy artykuł). W formie załącznika otrzymamy złośliwe oprogramowanie, które jest w stanie doprowadzić do zdalnego przejęcia kontroli nad urządzeniem, a nawet wewnętrzną siecią przedsiębiorstwa.
Po miesiącach życia w rzeczywistości COVID-19, wniosek jest dość oczywisty. Praca zdalna pozwala zminimalizować ryzyko zachorowań, a my już nie wyobrażamy sobie wykonywania zadań bez chmury obliczeniowej. Aby zagwarantować bezpieczeństwo w sieci, przestrzegajmy wytycznych opublikowanych przez polskie i unijne instytucje. Dzięki takiemu zachowaniu ochronimy dane, a pracodawcy będą spać spokojnie.
