Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) oraz rodzimy Urząd Ochrony Danych Osobowych przedstawiły niedawno rekomendacje dotyczące technicznych możliwości zabezpieczenia danych osobowych przez firmy, które korzystają ze zdalnej pracy.
Taki rodzaj pracy generuje bowiem większe ryzyko naruszenia przepisów RODO, co zaś może się wiązać z nałożeniem sankcji. Tak więc, jeśli przedsiębiorca do tej pory nie wdrożył w polityce bezpieczeństwa żadnych procedur lub wytycznych dotyczących korzystania z urządzeń podczas pracy zdalnej, to powinien się tym jak najszybciej zająć. – Posiadanie procedur będzie mieć duże znaczenie przy ocenie dokonywanej przez organ nadzorczy w przypadku wystąpienia incydentu związanego z ochroną danych, np. wycieku, nieuprawnionego dostępu osób trzecich etc. Ważniejsze będzie jednak to, czy posiadane procedury były rzeczywiście stosowane – mówi Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO sp. z o.o. Poniżej przedstawiamy kilka wskazówek na podstawie zaleceń UODO i ENISA.
Smartfony oraz komputery. Urządzenia do wykonywania pracy zdalnej powinny podlegać szczególnemu zabezpieczeniu. UODO przypomina, że przedsiębiorca może zakazać pracownikom instalowania aplikacji i oprogramowania, niezgodnych z procedurą bezpieczeństwa w organizacji na urządzeniach służbowych. Zaleca się też korzystanie z programów antywirusowych posiadających możliwość automatycznej aktualizacji baz wirusów. Na bieżąco powinny być również aktualizowane programy (w tym przeglądarki internetowe i programy do przeglądania poczty służbowej) oraz systemy operacyjne (np. Windows na komputerach osobistych, czy iOS bądź Android na smartfonach). Aktualizacje mogą bowiem eliminować stwierdzone przez producentów luki w oprogramowaniu, które mogą służyć jako punkty dostępowe dla cyberprzestępców.
ENISA oraz UODO rekomendują również, aby zabezpieczać komputery poprzez używanie silnych haseł dostępu, a nawet poprzez wielopoziomowe uwierzytelnianie. Agencja zaleca zaś, aby pracownicy blokowali dostęp do urządzeń, gdy odchodzą od stanowiska pracy, by wglądu do poufnych dokumentów nie miały osoby postronne.
Procedury i zdalna pomoc. ENISA rekomenduje, aby poinstruować pracowników, w jaki sposób mają dokonywać rozmów z telefonów służbowych (czy mogą np. prowadzić rozmowy zagraniczne itp.). Zaleca się też korzystanie z narzędzi pozwalających na zdalne połączenie się z urządzeniem służbowym pracownika – w tym celu np. informatyk może na odległość świadczyć usługi wsparcia technicznego. Przedsiębiorcy powinni również zweryfikować, czy na pewno odpowiednie osoby mają dostęp do poufnych danych przy użyciu zdalnych narzędzi. Warto też przestrzec pracujących zdalnie przed atakami hakerskimi (fałszywe ponaglenia zapłaty faktur, pisma z urzędów wzywające do weryfikacji konta bankowego itd.) Ze szczególną ostrożnością należy podchodzić do e-maili domagających się zmiany haseł. Nie można również w 100 proc. ufać e-mailom otrzymanym od znanych kontaktów, w których nadawca prosi o pilne podanie poufnych danych – ENISA rekomenduje w takich przypadkach potwierdzenie telefoniczne. Agencja zaleca też, aby pracownicy nie mieszali czynności służbowych z czynnościami pozasłużbowymi.
Sieć. Jeżeli pracownicy korzystają z własnego podłączenia do internetu, to powinni zadbać, aby dostęp do tej sieci był zabezpieczony silnym hasłem. ENISA przestrzega, że przy otwartej sieci wi-fi osoby z najbliższego otoczenia mogą być w stanie przechwycić przesyłane w ten sposób dane. Przedsiębiorcy mogą pomyśleć o wprowadzeniu szyfrowania wiadomości e-mailowych na poczcie służbowej bądź korzystaniu z narzędzi do kontaktu pomiędzy pracownikami wykorzystującymi szyfrowanie. ENISA przestrzega przed używaniem prywatnych skrzynek e-mailowych (które mogą być podatne na włamania) do celów służbowych. Z kolei eksperci ds. bezpieczeństwa sieci zalecają korzystanie z płatnych licencji komunikatorów, których zabezpieczenia są trudniejsze do złamania. Warto również wziąć pod uwagę skorzystanie z płatnych prywatnych sieci (VPN-ów), które gwarantują większe bezpieczeństwo przesyłanych danych i przeglądania internetu w ogóle. Natomiast w przypadku organizowania wideokonferencji przez internet warto zadbać o odpowiednie narzędzia do zweryfikowania jej uczestników.
Przechowywanie danych. UODO wskazuje, że przedsiębiorcy powinni uważać na dyski zewnętrzne służące do przechowywania danych. W przypadku ich zagubienia, należy natychmiast podjąć odpowiednie kroki w celu odzyskania urządzenia. A jeżeli jest to możliwe, podjąć próbę zdalnego wyczyszczenia jego pamięci. Zarówno UODO, jak i ENISA rekomendują okresowe przygotowywanie kopii zapasowych w bezpiecznych miejscach (np. na odłączonym od internetu nośniku zewnętrznym bądź w bezpiecznej przestrzeni wykupionej usługi chmury obliczeniowej).