W kwietniu 2023 r. weszły w życie zmiany w kodeksie pracy. Ustawodawca zdecydował, że teraz praca zdalna może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika, w tym pod jego adresem zamieszkania. Problematyczna zdaje się tutaj kwestia bezpieczeństwa pracownika i wrażliwych danych firmy.
Kodeks pracy nie obejmuje działaniem personelu współpracującego na podstawie innych form zatrudnienia niż umowa o pracę, powołanie, wybór, mianowanie i spółdzielcza umowa o pracę. W związku z tym pracodawcy decydują się na wyłączenie z regulaminu zasad ochrony danych osobowych przy wykonywaniu pracy zdalnej. Zamiast tego tworzą lub aktualizują już istniejące procedury (przygotowane i wdrożone w okresie pandemii). Pozwala to na objęcie zakresem obowiązywania szeroko rozumiany personel. Problemem w rozumieniu pracy zdalnej okazują się kwestie zabezpieczenia wrażliwych danych, jakimi pracownik dysponuje poza miejscem zatrudnienia. Dotyczy to przede wszystkim:
- formy dokumentacji: papierowej lub elektronicznej;
- miejsca wykonywania pracy: zamieszkanie lub inne miejsce wskazane przez pracownika. Przy czym „inne” miejsce może oznaczać nie tylko obszar Polski, ale też dowolny kraj położony na obszarze EOG lub poza nim.
Bezpieczeństwo dokumentacji papierowej
Procedura ochrony danych osobowych musi uwzględniać m.in. zasady wynoszenia dokumentacji papierowej z biura. Najczęściej pracodawcy już w regulaminach zabraniają tej czynności. Istnieją jednak stanowiska, na których „papier” stanowi podstawę pracy. Nieuwzględnienie podobnych sytuacji w procedurze niesie za sobą realne ryzyko obchodzenia zasad.
Opcją zabezpieczenia dokumentacji papierowej jest prowadzenie ewidencji – jeśli pracodawca wyraził na to zgodę. W takiej sytuacji administrator zawsze jest w stanie wykazać, kto, kiedy i jakie dokumenty ze sobą zabrał.
Kolejny krok to opisanie zasad przewożenia pism – umieszczenie ich luzem w torbie lub plecaku może generować ryzyko zabrudzenia lub zniszczenia. Dokumenty nie powinny też pozostawać w samochodzie bez nadzoru. Należy pamiętać, że sczytanie kodu z kluczyka samochodu obecnie nie stanowi już wyzwania technicznego i umożliwia dokonanie kradzieży bez zauważalnych śladów włamania.
Następnym krokiem jest ustalenie zasad przechowywania dokumentów w miejscu wskazanym przez pracownika. W każdej sytuacji powinno się to odbywać tak samo, jak na terenie miejsca pracy. Personel, który wykonuje pracę zdalną, nadal podlega procedurom, takim jak:
- czyste biurko,
- bezpieczny wydruk,
- polityka kluczy.
Ryzyko, które może w tym przypadku wystąpić, to kwestia zamykania szafek na klucz. Pracując z domu, najczęściej nie chroni się dokumentów przed dostępem osób trzecich. Pracownicy zdalni powinni jednak zagwarantować, że posiadają specjalne miejsce na dokumenty zamykane na klucz. Jednocześnie pojawia się kwestia przyzwyczajeń, np. w domu czujemy się bezpieczni, ufamy pozostałym domownikom i wszystkim (również nam) sprawia trudność zrozumienie, że określona szafka bądź szuflada zostanie zamknięta. To może stanowić pewną barierę mentalną, którą pracownik musi przezwyciężyć.
Ważne jest również zapewnienie warunków odpowiedniego użytkowania dokumentów w trakcie pracy – powinno się chociażby zabezpieczyć pisma przed rozlaniem napojów. Należy przy tym podkreślić, że najczęściej domownicy są osobami nieuprawnionymi do dostępu do informacji znajdujących się w dokumentach. W związku z tym miejsce pracy musi zostać tak zorganizowane, żeby nie została naruszona zasada poufności informacji.
Dlaczego dokumenty papierowe wymagają tak ścisłej ochrony?
Urząd Ochrony Danych Osobowych wskazuje, że jeżeli nie jest możliwe, aby pracownik korzystał wyłącznie z dokumentacji w wersji cyfrowej, administrator danych powinien umożliwić wykonywanie pracy na kopiach niezbędnych pism. Należy jednak pamiętać, że takie treści muszą być chronione tak samo jak w dokumentacji oryginalnej.
UODO podkreśla także, że administratorzy danych, którzy decydują się na możliwość wykorzystywania przez pracowników dokumentacji papierowej podczas pracy zdalnej, powinni przede wszystkim:
- określić procedurę związaną z niszczeniem dokumentów (zakaz wyrzucania dokumentów do kosza. Jeżeli pracownik nie posiada w domu niszczarki, powinien przechowywać dane w bezpieczny sposób, a po zakończeniu pracy zdalnej zniszczyć je w biurze);
- zapewnić ewidencjonowanie wydanych pracownikom dokumentów zawierających dane osobowe;
- ograniczyć liczbę dokumentów wynoszonych z siedziby administratora do tego, co niezbędne w stosunku do celu przetwarzania danych osobowych przez pracownika w ramach pracy zdalnej;
- zapewnić, że pracownik przechowa udostępnione dokumenty przez okres niezbędny do wykonania określonego zadania podczas pracy zdalnej (ograniczenie przechowywania);
- zobowiązać pracownika do odpowiedniego zabezpieczenia danych osobowych podczas wynoszenia dokumentacji;
- zapewnić, że pracownik będzie zgłaszał pracodawcy każdy incydent bezpieczeństwa zgodnie z procedurą postępowania w sprawie naruszeń ochrony danych, tak aby administrator mógł się wywiązać z obowiązku nałożonego na mocy art. 33 ust. 1 rodo.
Praca w innych miejscach
Ze względu na fakt, że miejsce wykonywania pracy zdalnej nie musi być jednocześnie miejscem zamieszkania, w regulaminie czy procedurze musi zostać określona zasada dopuszczalności pracy, np. w przestrzeniach coworkingowych. W okresie pandemii część pracodawców redukowała przestrzenie biurowe, co pozwalało na obniżenie kosztów związanych z wynajmem. Obecnie następuje powrót pracowników do biur i często odczuwa się brak przestrzeni. W przypadku gdy osoba zatrudniona wskaże inne miejsce, którego koszty najmu pracodawca zwraca (przestrzeń coworkingowa), konieczne jest zapewnienie bezpieczeństwa zarówno dokumentacji papierowej, jak i narzędzi pracy. Należy zwrócić uwagę na ryzyko naruszenia poufności w wyniku np. prowadzenia rozmów telefonicznych lub spotkań za pomocą popularnych komunikatorów – Microsoft Teams czy Google Meet.
Istotne jest także określenie dopuszczalności pracy zdalnej poza granicami Polski, zwłaszcza w państwach znajdujących się poza EOG. W przypadku wyrażenia zgody na pracę poza obszarem EOG należy określić, czy występuje ryzyko transferu danych do państw trzecich. Wtedy bardzo ważne będzie zapewnienie połączenia z danymi znajdującymi się na serwerach za pomocą VPN z dwuskładnikowym uwierzytelnianiem.
Gdy organizacja zatrudnia pracowników na pracy zdalnej zwłaszcza z różnych stron świata, konieczne jest wdrożenie np. WAF (web application firewall) służącego do ochrony przed atakami czy niepożądanym ruchem sieciowym. Oprogramowanie pozwala również na kontrolę dostępu na podstawie danych geolokalizacyjnych, adresów IP z białej i czarnej listy, HTTP URL i nagłówka http.
Jak zabezpieczyć domową sieć (Wi-Fi)
Jak wiadomo, żadne urządzenie nie daje 100% bezpieczeństwa w sieci – dużo zależy od naszego postępowania. Większość współczesnych cyberataków opiera się na interakcji z użytkownikiem, którego najczęściej skłania się np. do otwarcia załącznika, kliknięcia w link (łącze). Jednocześnie coraz częściej sami udostępniamy wiele danych w sieci, które dają cyberprzestępcom możliwość przygotowania odpowiedniego ataku w naszym kierunku.
Na rynku dostępne są różne narzędzia informatyczne wspomagające cyberbezpieczeństwo. Jednakże żadne z nich nie będzie skuteczne, jeżeli nie przestrzegamy podstawowych zasad korzystania z usług cyfrowych. Powinniśmy pamiętać o cyberhigienie. Tak jak regularne mycie rąk zabezpiecza nas przed infekcjami, tak samo wybór odpowiedniego urządzenia, jego aktualizowanie, stosowanie silnych i unikalnych haseł dostępowych, dwuetapowej weryfikacji czy zachowanie szczególnej ostrożności podczas otwierania załączników lub linków, powinny stać się naszymi zdrowymi i regularnymi nawykami w cyberprzestrzeni.
Zabezpieczenie urządzenia sieciowego – krok po kroku
- Wybór odpowiedniego urządzenia sieciowego – routera. Podczas zakupu takiego urządzenia oprócz jego możliwości technicznych – np. silnego sygnału – należy zwrócić uwagę na to, aby było wspierane przez producenta poprzez aktualizacje bezpieczeństwa dla danego urządzenia.
- Ustawienie silnego oraz unikalnego hasła dostępowego do panelu administracyjnego urządzenia sieciowego.
- Nadanie sieci Wi-Fi unikalnej nazwy (SSID).
- Ustawienie silnego i unikalnego hasła do sieci Wi-Fi.
- Wyłączenie WPS. Technologia WPS została opracowana, aby ułatwić urządzeniom łączenie się z sieciami Wi-Fi, dzięki niej można połączyć się z routerem bez podawania hasła.
- Ustawienie bezpiecznego protokołu szyfrowania. Kiedy pracujemy w słabo zaszyfrowanej sieci, nasze dane mogą zostać łatwo przechwycone przez cyberprzestępców. Protokół szyfrowania znacznie utrudnia dostęp do treści wysyłanych i odbieranych przez urządzenie. Rozwiązanie to nie gwarantuje jednak 100% bezpieczeństwa przed atakami i włamaniami. Wysoką ochronę sieci Wi-Fi zapewniają obecnie jedynie standardy – WPA2 oraz WPA3. Pozostałe protokoły: WPA, WEP oraz TKIP są bardziej podatne na cyberataki.
- Filtrowanie adresów MAC. Aby zabezpieczyć sieć Wi-Fi w panelu konfiguracyjnym routera, można również stworzyć listę adresów MAC. Należy na niej umieścić adresy fizyczne wszystkich zaufanych urządzeń, które będą wykorzystywane w lokalnej sieci Wi-Fi. Dzięki temu połączenie z internetem przez komputery spoza listy stanie się utrudnione.
- Regularne aktualizowanie routera. Aktualizacje naprawiają błędy i podatności oprogramowania, tym samym zwiększając bezpieczeństwo urządzenia. Nowoczesne routery umożliwiają odnajdywanie oraz instalowanie nowych wersji z poziomu panelu administracyjnego.
- Odrębna sieć Wi-Fi dla gości. Dobrą praktyką jest utworzenie dodatkowej sieci dla gości. Pozwala to zapewnić osobom trzecim możliwość przeglądania internetu, a jednocześnie zablokować dostęp do naszych urządzeń sieciowych i panelu administracyjnego routera, więc tym samym do plików znajdujących się w lokalnej sieci bezprzewodowej. Dzięki temu ograniczamy ryzyko ataków, gdyby na urządzeniach gości znajdowały się wirusy czy inne szkodliwe oprogramowania.
- Korzystanie z oprogramowania antywirusowego. Warto pamiętać, że warunkiem zabezpieczenia sieci bezprzewodowej Wi-Fi jest używanie dobrego programu antywirusowego i jego bieżące aktualizowanie. Najlepiej, aby był to system chroniący przed różnego rodzaju zagrożeniami, takimi jak malware czy oprogramowanie szpiegujące.
- Cykliczne sprawdzenie liczby podłączonych urządzeń do naszej sieci domowej. Przy użyciu odpowiedniej aplikacji lub panelu zarządzania routerem możemy sprawdzić, ile urządzeń podłączonych jest do naszej sieci domowej.
- Zdrowy rozsądek. Obecnie cyberprzestępcy mają opanowane do perfekcji najróżniejsze techniki psychologiczne i socjotechniczne, dzięki którym są w stanie skłonić nieświadomych użytkowników do wykonania określonej czynności.
Autorzy
Kamil Pakalski
Autor jest ekspertem ds. cyberbezpieczeństwa oraz IT Security and Compliance Manager w ERGO Hestia.
Magdalena Sołtysiak
Autorka jest ekspertem ds. danych osobowych oraz audytorem wewnętrznym w LexDigital Sp. z o.o.