Epidemia wymusiła na większości pracowników zmianę trybu pracy i wykonywanie obowiązków pracowniczych z domu. Taka zmiana niesie ze sobą wiele zalet, ale też uwidacznia negatywne strony pracy poza biurem. Poza oczywistymi zaletami takimi jak elastyczność i oszczędność czasu, brak konieczności przemieszczania się z domu do biura, należy zwrócić uwagę na ryzyko, jakie niesie za sobą taki model pracy. Choć praca zdalna nie jest niczym nowym, to skala na jaką przyjął się ten model spowodowała coraz częstsze i bardziej wyrafinowane ataki hakerów internetowych, i wymusiła konieczność zwiększenia zabezpieczeń przed wyciekiem danych firmy. W obliczu kryzysu wywołanego epidemią COVID-19 początkowo niewiele przedsiębiorstw podjęło kroki w celu przystosowania pracy zdalnej na tak dużą skalę pod kątem zagrożeń w cyberprzestrzeni. Priorytetem było wprowadzenie działań mających utrzymać stabilność finansową firm, co nie do końca się sprawdziło, bo ataki na przetwarzane dane firm powodowały równie znaczące straty finansowe.
Definicja pracy zdalnej
Pojęcie „praca zdalna” zostało uregulowane w tzw. Tarczy Antykryzysowej 1.0.1 , zgodnie z którą pracodawcy zostali uprawnieni do polecania wykonywania pracownikom pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania przez czas oznaczony. Powyższe miało służyć tzw. dystansowaniu społecznemu w związku z ograniczeniem kontaktu z osobami podczas wykonywania pracy zdalnej z domu. Dopiero uchwalenie ustawy antykryzysowej2 uregulowało zasady kierowania pracowników do pracy zdalnej. Na jej podstawie praca zdalna mogła odbywać się, jeżeli pracownik posiada umiejętności, możliwości techniczne oraz lokal do wykonywania takiej pracy. Oczywistym jest, że nie każda praca może być wykonywana w ramach pracy zdalnej, a jedynie taka, która może być wykonywana przy „wykorzystaniu środków bezpośredniego porozumiewania się na odległość lub dotyczyć wykonywania części wytwórczych lub usług materialnych”.
Choć zasadą jest, że to pracodawca zapewnia narzędzia do pracy, pracownik może używać własnych narzędzi w sytuacji, gdy zapewniają one ochronę informacji poufnych, tajemnicy przedsiębiorstwa i danych osobowych, a nadto chronią informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę. Świadomość społeczeństwa na temat cyberataków wciąż jest ograniczona, wobec tego pracodawca nie powinien pozostawiać swobody pracownikowi w podejmowaniu decyzji co do tego, czy posiada sprzęt odpowiednio zabezpieczony na poziomie co najmniej takim, jak w przypadku sprzętu znajdującego się w biurze. Taka dowolność decyzyjna może narazić pracodawcę na szkodę, jeżeli decyzja o wyborze własnego sprzętu nie będzie poprzedzona wcześniejszą weryfikacją sprzętu pracownika pod tym kątem.
Jak wskazuje EY Global Information Security Survey 20213 , pandemia COVID-19 wymusiła na organizacjach pominięcie pewnych etapów kontroli w zakresie bezpieczeństwa w cyberprzestrzeni. Niemniej, równolegle wdrażane były nowe technologie i rozwiązania przeznaczone dla klientów, umożliwiające pracę zdalną. Poprzedzając rozważania na temat sposobów ochrony przez cyberatakami i przepisami w tym zakresie, należy wskazać na istotę i rodzaj najczęstszych zagrożeń w cyberprzestrzeni.
Rodzaje zagrożeń dla cyberbezpieczeństwa. Statystyki
Najczęściej stosowanymi atakami są:
1) boty i wirusy, które mogą instalować się automatycznie lub być wynikiem nieumyślnego zainstalowania przez pracownika takiego złośliwego oprogramowania (tzw. trojany), co jest szczególnie niebezpieczne, bo zmierza do przejęcia kontroli nad systemem i do kradzieży danych;
2) hakerzy, czyli osoby atakujące cyberprzestrzeń, szukające luk w zabezpieczeniach, aby przedrzeć się do systemów firmowych i przejąć nad nimi kontrolę;
3) phishing i pharming, czyli inaczej podszywanie się pod osobę bądź instytucję, celem wyłudzenia danych; phishing działa przez wykorzystanie poczty elektronicznej, z kolei pharming przekierowuje na fałszywe serwery internetowe;
4) malware, tzw. złośliwe oprogramowanie, którego celem jest przejęcie kontroli nad system bez wiedzy użytkownika; często poprzez złośliwe oprogramowanie atakowane są organizacje rządowe i dokonywane kradzieże danych osobowych potrzebnych do logowania do bankowości internetowej; ransomware, który polega na szyfrowaniu danych użytkownika a następnie w zamian za zapłatę, oddawaniu odszyfrowanych danych;
5) Man In the Middle, co oznacza atak z udziałem osoby trzeciej, której celem jest przechwycenie informacji lub środków pieniężnych;
6) ataki typu DDoS (rozproszona odmowa usługi), tj. atak na oprogramowanie lub witrynę internetową pochodzący jednocześnie z więcej niż jednego urządzenia komputerowego, którego celem jest sparaliżowanie działania online.
Według raportu Verizon 2021 Data Breach Investigations Report (DBIR)4, w którym analizie poddano dane z 29 307 incydentów, potwierdzono 5 258 przypadków naruszenia danych, wśród których, aż 86% było podyktowanych względami finansowymi. Jest to znaczny wzrost w porównaniu do 3,950 potwierdzonych naruszeń (z 32,002 incydentów) z raportu DBIR z roku wcześniejszego.
Phishing jest jedną z najpopularniejszych taktyk hakerów, dlatego stanowi ogromne zagrożenie i z roku na rok staje się coraz bardziej rozpowszechniony. Badanie Tessian5 z 2021 r. wykazało, że pracownicy otrzymują średnio 14 złośliwych wiadomości e-mail rocznie. W branży handlowej, pracownicy otrzymywali średnio 49 takich wiadomości. Z kolei badania przeprowadzone przez firmę ESET6 w 2021 r. pokazały, że liczba ataków opartych na wiadomościach e-mail wzrosła o 7,3%. Raport CISCO7 również potwierdza, że co najmniej jedna osoba w ok. 86% organizacjach kliknęła na łącze phishingowe, a w konsekwencji potwierdza, że właśnie phishing jest przyczyną 90% przypadków naruszenia danych. Powyższe dane dają podstawę do tego, by twierdzić, że właśnie te ataki, które wykorzystują bardziej ludzkie podatności niż techniczne, są najpewniejszą metodą ataku wśród hakerów. Dlatego tak ważne stało się bezpieczeństwo poczty elektronicznej w aspekcie potencjalnych cyberataków.
Od wybuchu pandemii w 2020 r. liczba zgłoszeń dotyczących cyberprzestępczości wzrosła o 300%. Raport opracowany przez firmę Google oraz centrum skarg na przestępstwa internetowe FBI potwierdził znaczący wzrost ataków w cyberprzestrzeni. Dzienna liczba zgłoszeń wynosiła od 3,000 do 4,000, podczas gdy przed wybuchem pandemii wynosiła ona ok 1,000 skarg dziennie.
Badania IBM8 pokazały, że wraz z pojawieniem się pracy zdalnej wzrósł również koszt naruszenia bezpieczeństwa danych, bowiem szacuje się, że firma może stracić nawet 137,000 XNUMX USD.
Przeprowadzone badania w zakresie pracy zdalnej i związanymi z nią zagrożeniami cyberbezpieczeństwa9 pokazują, że pracownicy wykonujący obowiązki poza stałym miejscem pracy stanowią duży problem. Przede wszystkim dlatego, że cyberbezpieczeństwo nie było priorytetem przedsiębiorców przy kierowaniu pracowników do pracy zdalnej, co spowodowało, że przedsiębiorcy ponieśli straty w wyniku ataków złośliwym oprogramowaniem, będąc zmuszonymi do zapłaty, aby uniknąć kradzieży danych z firmy.
W sporządzonym rocznym raporcie internetowym Cisco10 za lata 2018-2023 wskazuje się, że coraz powszechniejsze stają się ataki DDoS. Co więcej szacuje się, że do 2023 r. będzie miało miejsce aż 15,4 miliona ataków na całym świecie. Liczba ataków zwiększa się co roku o 39%. To pokazuje skalę zagrożeń w cyberprzestrzeni w dobie pracy zdalnej, ale również brak świadomości tych zagrożeń, głównie wśród pracowników.
Przepisy dotyczące cyberbezpieczeństwa
Punktem wyjścia rozważań będzie stwierdzenie, że niewiele jest przepisów odnoszących się bezpośrednio do korelacji pomiędzy pracą zdalną a cyberbezpieczeństwem, co powinno ulec zmianie, biorąc pod uwagę skalę na jaką ten model pracy zaczął funkcjonować, oraz wzrost zagrożeń w cyberprzestrzeni.
Wśród przepisów, o których należy wspomnieć w pierwszej kolejności, jest Rozporządzenie o ochronie danych osobowych (RODO)11, które wprowadziło nowe obowiązki na podmioty gromadzące i przetwarzające dane osobowe. Miało to związek z tym, że w drugiej połowie 2018 r. weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa12. W tym stanie rzeczy, podmioty zajmujące się przetwarzaniem danych osobowych i administratorzy są obowiązani stosować zarówno przepisy RODO, jak i ustawy o krajowym systemie cyberbezpieczeństwa. W zakresie przepisów RODO wskazuje się, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania13.
Przy ocenie stopnia bezpieczeństwa należy uwzględnić ryzyko wiążące się z przetwarzaniem, ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator i przetwarzający dane mają zapewnić, żeby każda osoba, która ma dostęp do danych osobowych i działa z ich upoważnienia, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Rozporządzenie Rady Ministrów wprowadzające Krajowe Rady Interoperacyjności14 odnosi się co prawda bezpośrednio do pracy zdalnej, ale stosuje się do podmiotów realizujących zadania publiczne. Rozporządzenie nakazuje stworzenie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość, zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie, ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych, czy zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
a) dbałości o aktualizację oprogramowania,
b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
e) zapewnieniu bezpieczeństwa plików systemowych,
f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
Rozporządzenie mówi również o konieczności zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia oraz organizacji szkoleń osób zaangażowanych w proces przetwarzania informacji. Można więc uznać, że przepisy te mogą stanowić bazę dla przedsiębiorców, którzy nie podlegają temu Rozporządzeniu, przy tworzeniu wytycznych dotyczących pracy zdalnej i jej wpływu na bezpieczeństwo przetwarzanych danych w firmie. Szczególną rolę powinny tutaj odgrywać regularne szkolenia dla pracowników, bowiem to oni pracując z domu i nie mając bezpośredniego kontaktu z działami IT, powinni mieć świadomość istniejących zagrożeń i wypracować pewne zachowania im przeciwdziałające. Statystyki pokazują, że to czynnik ludzki i błąd jaki może popełnić człowiek niemający odpowiedniej wiedzy, może narazić firmę na duże straty. Może się to odbyć np. poprzez klikanie w niezweryfikowany link czy korzystanie z niezabezpieczonej sieci, co stwarza przyjazne warunki do ataków na przetwarzane dane firmy.
W większym zakresie omawianą problematykę regulują przepisy unijne. I tak wskazać należy na uchwaloną w 2016 r. przez Unię Europejską Dyrektywę NIS15 z dnia 6 lipca 2016 r., która zobowiązywała państwa członkowskie do wprowadzenia w ustawodawstwie krajowym odpowiednich środków i mechanizmów dążących do zapewnienia bezpieczeństwa cyfrowego sieci i systemów informatycznych. Dyrektywa jest pierwszym prawem europejskim w zakresie cyberbezpieczęństwa. Nałożyła na państwa członkowskie nowe obowiązki, w tym obowiązek powołania konkretnych instytucji i wprowadzenia pewnych mechanizmów współpracy. Miało to doprowadzić do wypracowania pewnej świadomości i nabycia zdolności radzenia sobie z zagrożeniami w cyberprzestrzeni. W Polsce dyrektywa NIS została implementowana ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa16.
Rozwój cyfryzacji i potrzeba zwiększenia ochrony cyberprzestrzeni w państwach członkowskich spowodowała, że Komisja Europejska 16 grudnia 2020 r. zaprezentowała projekt nowej dyrektywy NIS 217, mający zastąpić dyrektywę NIS. Uzasadniono, że nowy projekt dyrektywy jest odpowiedzią na potrzebę zmiany przepisów unijnych w związku z pandemią COVID-19 oraz zwiększoną liczną ataków w cyberprzestrzeni. Nowa dyrektywa zakłada rozszerzenie zakresu podmiotowego m.in. o administrację publiczną, przemysł czy zarządzanie odpadami i przestrzeń kosmiczną. Celem nowej regulacji jest przede wszystkim zapewnienie współpracy pomiędzy państwami członkowskimi oraz zagwarantowanie prawidłowego przepływu informacji. Słabą stroną dyrektywy NIS był brak ujednoliconego sposobu implementacji dyrektywy do państw członkowskich, co ma wyeliminować dyrektywa NIS 2. Dyrektywa przewiduje również zwiększone wymagania w kwestii zarządzania, testowania poziomu cyberbezpieczeństwa oraz bardziej efektywne zabezpieczenia danych informatycznych. Wprowadzono również obowiązek przygotowania planu reagowania na kryzysy i incydenty bezpieczeństwa o dużej skali, tzw. incident and crisis response plan, który powinien obejmować swym zakresem m.in. sposób przepływu informacji oraz środki, których celem jest przygotowanie państw członkowskich w sytuacji zagrożenia cyberbezpieczeństwa.
Zabezpieczenie danych w cyberprzestrzeni
Jak wynika z przeprowadzonego raportu „2021 Global Security Insights”, 76% globalnych specjalistów ds. cyberbezpieczeństwa stwierdziło, że ataki nasiliły się z powodu pracowników pracujących zdalnie18. W związku z tym przed przedsiębiorcami stanęły wyzwania wynikające z przeorganizowania samego podejścia do bezpieczeństwa i stworzenia nowych skutecznych rozwiązań chroniących przed atakami na przetwarzane dane w firmie. W przypadku skutecznego ataku, przedsiębiorca jest narażony na utratę wrażliwych danych, straty finansowe w wyniku kradzieży, duże koszty związane z odzyskaniem skradzionych danych, czy utratę dobrej reputacji. W związku z tym należy podjąć działania mające na celu ograniczenie ryzyka znalezienia się w gronie ofiar cyberprzestępstw, gdyż samych ataków nie jesteśmy w stanie wyeliminować, możemy jedynie je ograniczyć poprzez indywidualne działania.
Wśród zabezpieczeń sieci możemy wyróżnić:
1) stworzenie polityki bezpieczeństwa informacji,
2) VPN (Virtual Private Network) czy Citrix, tj. prywatna sieć, umożliwiająca bezpieczne łączenie się z Internetem przez użytkowników,
3) uwierzytelnianie dwuskładnikowe (2FA), czyli weryfikacja dwuetapowa, polegająca na uwierzytelnieniu korzystania z zasobów poprzez weryfikację na dwóch różnych urządzeniach, np. komputer i telefon,
4) tworzenie kopii zapasowych i przechowywanie danych na chmurze,
5) szkolenia, mające na celu wypracowanie świadomości na temat zagrożeń ataków w sieci i wyposażenia pracowników w wiedzę niezbędną do rozpoznawania zagrożeń, w tym szkolenia anty phishingowe z udziałem specjalistów IT,
6) wykupienie odpowiedniego ubezpieczania, które w przypadku ataku hakerskiego, pozwoli pokryć jego straty oraz zapewni odpowiednie wsparcie PR.
Na początku pandemii, kiedy praca zdalna nie była jeszcze stosowana na tak dużą skalę, Urząd Ochrony Danych Osobowych przedstawił listę rekomendacji mogących przyczynić się do zwiększenia bezpieczeństwa przetwarzania danych19. Wyszczególnił ochronę samego urządzenia oraz poczty e-mail. W zakresie urządzenia przedstawił rekomendacje:
1) urządzenia i oprogramowanie przekazane przez pracodawcę do pracy zdalnej służą do wykonywania obowiązków służbowych; należy postępować zgodnie z przyjętą w organizacji procedurą bezpieczeństwa,
2) nieinstalowania dodatkowych aplikacji i oprogramowania niezgodnych z procedurą bezpieczeństwa organizacji,
3) należy upewnić się, że wszystkie urządzenia z jakich korzysta się podczas pracy, mają niezbędne aktualizacje systemu operacyjnego (IOS lub Android), oprogramowania oraz systemu antywirusowego,
4) wydzielenie odpowiedniej przestrzeni, tak aby ewentualne osoby postronne, nie miały dostępu do dokumentów, nad którymi się pracuje; odchodząc od stanowiska pracy każdorazowo należy blokować urządzenie, na którym się pracuje,
5) należy zabezpieczyć komputer poprzez używanie silnych haseł dostępu, wielopoziomowe uwierzytelnianie, co pozwoli na ograniczenia dostępu do urządzenia, a jednocześnie na ograniczenia ryzyka utraty danych w przypadku kradzieży lub zagubienia urządzenia,
6) należy podjąć środki, aby urządzenia z których korzysta się podczas pracy, szczególnie te wykorzystywane do przenoszenia danych, jak dyski zewnętrzne nie zostały zgubione,
7) w przypadku zagubienia urządzenia, wykorzystywanego do pracy lub w przypadku kradzieży należy podjąć odpowiednie kroki, aby o ile to możliwie, zdalnie wyczyścić jego pamięć20.
Odnośnie korzystania z poczty elektronicznej przedstawił rekomendacje:
1) należy postępować zgodnie z obowiązującymi zasadami w organizacji dotyczącymi korzystania ze służbowej poczty elektronicznej (e-mail),
2) należy używać przede wszystkim służbowych kont e-mail,
3) w przypadku korzystania z prywatnego e-maila, należy się upewnić, że treść i załączniki są właściwie szyfrowane; należy również unikać używania danych osobowych lub poufnych informacji w temacie wiadomości,
4) należy upewnić się, że wysyła się e-maile do właściwego adresata, zwłaszcza jeśli wiadomość zawiera dane osobowe lub dane wrażliwe,
5) należy sprawdzić nadawcę maila i nie otwierać wiadomości od nieznanych adresatów, a zwłaszcza nie otwierać żadnych załączników oraz nie klikać w linki zawarte w takiej wiadomości,
6) nie przesyłać e-mailem informacji zaszyfrowanej razem z hasłem, nawet w osobnej wiadomości. Ten kto ma dostęp do poczty, bez problemu odszyfruje wiadomość.
W zakresie korzystania z sieci i chmury:
1) korzystanie tylko z zaufanego dostępu do sieci lub chmury oraz przestrzeganie wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych,
2) gdy nie mamy dostępu do sieci lub chmury dbanie, aby przechowywane dane były w bezpieczny sposób zarchiwizowane21.
Pożądane jest również podczas pracy zdalnej zapewnienie bezpiecznych wideokonferencji, używanie oprogramowania firmowego jedynie za pomocą zaszyfrowanych kanałów (SSL, VPN, iPSec) i w miarę możliwości – zapewnienie natychmiastowej asysty działu IT w razie zagrożenia cyberatakiem.
Analiza i propozycje zmian
Z przeprowadzonego przez HP Wolf Security raportu22 wynika, że praca zdalna jest rekomendowana tylko w przypadku zapewnienia odpowiedniego poziomu bezpieczeństwa w sieci. Raport przedstawia wyniki z globalnej ankiety online YouGov, która obejmowała 8443 pracowników biurowych wykonujących pracę zdalną w czasach pandemii, oraz prezentuje dane z ankiety przeprowadzonej przez Toluna obejmującej 1100 decydentów ds. IT. Analizując dane wynikające z raportu, należy zwrócić uwagę na kilka wniosków z niego płynących. Przede wszystkim, co wysuwa się na pierwszy plan, to fakt, że pandemia spowodowała, że temat bezpieczeństwa nie był tak istotny jak zapewnienie ciągłości biznesowej w czasach epidemii. Prawie połowa badanych pracowników biurowych w wieku od 18 do 24 lat przyznała, że środki bezpieczeństwa traktowało jako przeszkodę, a jedna trzecia z nich omijała zasady bezpieczeństwa ustanowione w firmie. Badania pokazały, że dla pracowników większe znaczenie ma dotrzymywanie terminów w pracy niż przestrzeganie zasad bezpieczeństwa i narażenie się na wyciek danych z firmy. Co istotne, 39% badanych nie ma w ogóle świadomości tego, jak kształtuje się polityka bezpieczeństwa w ich firmie.
To powoduje, że praca zdalna z domu stanowi realne zagrożenie dla pracodawcy w zakresie ataków hakerskich z powodu ignorancji i niewiedzy swoich pracowników. Można domniemywać, że kluczową rolę w tej sytuacji odgrywa zespół ds. bezpieczeństwa, mający za zadanie zapewnić bezpieczeństwo danych poprzez aktualizację zasad bezpieczeństwa, biorąc pod uwagę wzrost liczby osób pracujących z domu, a tym samym wzrost liczby ataków hakerskich. Pracownicy wykonujący pracę zdalną często twierdzą, że nowe środki bezpieczeństwa są zbyt restrykcyjne, a nadto skarżą się na wzmożoną kontrolę ich pracy z domowego biura. Znaczenia nabiera więc wzajemna współpraca pomiędzy specjalistami w zakresie bezpieczeństwa a pracownikami, obowiązanymi do stosowania się do zaleceń w zakresie ochrony danych pomimo, iż często są one ignorowane.
Z przedstawionych rozważań wynika, że niski poziom świadomości istnienia zagrożeń, w połączeniu ze wzrostem ataków, w szczególności ataków typu phishing i ransomware, powodują, że firmy są coraz bardziej podatne na takie zagrożenia. Przyczyną jest np. wykorzystywanie jednego komputera do celów zarówno prywatnych jak i służbowych, korzystanie z wi-fi z niezmienionymi danymi fabrycznymi czy niezabezpieczenie sieci. Należy zatem edukować, szkolić i angażować pracowników w temacie zagrożeń cyberprzestrzeni, uświadamiając im, iż jest to realne zagrożenie, zwłaszcza w dobie pracy zdalnej. Oczywiste jest, że pracownik kierowany do pracy zdalnej ma taki sam obowiązek dbania o dobro zakładu pracy jak w przypadku pracy stacjonarnej. Tym samym musi dbać o bezpieczeństwo przetwarzanych danych i korzystać z zabezpieczonych łączy. Musi zachować też zwiększoną czujność i ostrożność podczas korzystania z poczty elektronicznej i nie klikać w linki nieznanego pochodzenia.
Nie sposób również zaprzeczyć, że regulacje w Polsce nie sprostały problemowi wywołanemu epidemią i nagłej potrzebie wprowadzenia pracy zdalnej na tak dużą skalę, w kontekście bezpieczeństwa przetwarzanych danych. Co prawda przepisy wskazują, że można wykonywać pracę zdalną, mówią kiedy, natomiast cały czas są to rozwiązania tymczasowe. Brak jest regulacji mówiącej o wejściu pracy zdalnej na stałe do systemu pracy, a jest to wysoce pożądane, gdyż trudno wyobrazić sobie, żeby ten model przestał funkcjonować. Z pewnością byłoby to impulsem do stworzenia regulacji w zakresie cyberbezpieczeństwa w odniesieniu stricte do pracy zdalnej, która byłaby doprecyzowaniem dotychczasowych przepisów pośrednich w tym zakresie. Należałoby określić, w jakich warunkach praca zdalna powinna być wykonywana, na jakim sprzęcie, jakim warunkom powinien odpowiadać, kto powinien to ocenić. Należałoby również poświęcić uwagę samemu audytowi systemów na poziomie dostosowanym do potrzeb firmy, obowiązkowym i regularnym szkoleniom pracowników i osób mających do czynienia z przetwarzaniem danych, weryfikacją poziomu wiedzy oraz kontrolowaniem zgodności działań tych osób z przepisami i wytycznymi w zakresie bezpieczeństwa danych firmy. Należałoby wprowadzić również regulacje dla pracy zdalnej w zakresie określania zasad ochrony danych przetwarzanych przez pracowników poza lokalem przedsiębiorstwa. Choć przed wybuchem epidemii COVID-19 praca zdalna występowała sporadycznie, to przez ten czas nie wprowadzono przepisów regulujących tę kwestię poprzez wprowadzenie tego modelu pracy na stałe, w przeciwieństwie do telepracy. To na bazie właśnie tych przepisów pracodawcy tworzyli wewnętrzne procedury dotyczące pracy zdalnej.
Należy pamiętać, że to pracodawca ponosi odpowiedzialność za naruszenie zasad cyberbezpieczeństwa, dlatego tak istotna powinna być kontrola pracowników i dbanie o ich przeszkolenie oraz weryfikacja tego, czy korzystają ze środków technicznych przystosowanych do aktualnych zagrożeń w cyberprzestrzeni. Wysoce prawdopodobne jest bowiem, że większości ataków można by zapobiec, gdyby firmy poświęciły więcej czasu na szkolenia pracowników, zwłaszcza że duży odsetek ataków spowodowanych jest właśnie błędem ludzkim, co z kolei wynika z nieświadomości i braku wiedzy w tym zakresie.
Podsumowanie
Pomimo rosnących zagrożeń i ataków hakerskich na bezpieczeństwo w sieci, nic nie wskazuje na to, że praca zdalna straci swoją popularność i zostanie ponownie zastąpiona pracą stacjonarną. Wręcz przeciwnie, coraz więcej organizacji bazuje na takim modelu pracy, co nie pozostaje również bez znaczenia dla osób poszukujących nowej pracy. Zachowanie takiego modelu pracy przy jednoczesnej świadomości tego, że zagrożeń ze strony cyberprzestępców będzie coraz więcej, stanowi wyzwanie zarówno dla pracodawców, jak i pracowników. Bazą jest stworzenie odpowiedniego systemu zabezpieczeń poprzez zbudowanie kompletnej infrastruktury informatycznej oraz opracowywanie strategii działań na wypadek wycieku danych z firmy. To w połączeniu z bieżącymi szkoleniami pracowników powinno stanowić podstawę działania każdej firmy w dobie rozwoju cyfryzacji. Jak pokazały statystyki, temat cyberbezpieczeństwa nie powinien być bagatelizowany. Brak jednak szczegółowych uregulowań w tym zakresie powoduje, że przedsiębiorcy sami muszą wypracować zasady postępowania oraz plan reagowania w przypadku wycieku danych firmy. Niemniej, pożądane jest wprowadzenie regulacji, które będą bezpośrednio odnosiły się do cyberbezpieczeństwa w kontekście pracy zdalnej i które doprecyzują istniejące w tym zakresie przepisy pośrednie.
Do tego czasu, należy pamiętać o tym, że cyberbezpieczeństwo firmy zależy w dużej mierze również od zaangażowania i odpowiedzialności każdego z pracowników, który przede wszystkim musi wypracować pewną świadomość zagrożeń i nawyk stosowania się do zasad bezpieczeństwa opracowanych w firmie oraz procedur przetwarzania danych. Dlatego warto inwestować w tworzenie nowych systemów pod kątem różnego ryzyka ataków oraz dostosowywać swoje zabezpieczenia do coraz to nowych rodzajów zagrożeń oraz przeprowadzać szkolenia pracowników. Elastyczność, kreatywność oraz zapobiegliwość to klucz działania dla pracodawców i specjalistów IT do stworzenia warunków umożliwiających pracę w każdych warunkach, w tym pracę z domowego zacisza.
___________________________
1 Ustawa z 2.3.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, Dz.U. poz. 374 ze zm.
2 Ustawa z 19.6.2020 r. o dopłatach do oprocentowania kredytów bankowych udzielanych przedsiębiorcom dotkniętym skutkami COVID-19 oraz o uproszczonym postępowaniu o zatwierdzenie układu w związku z wystąpieniem COVID-19, Dz.U. poz. 1086 ze zm.
4 https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/
5 https://www.tessian.com/blog/phishing-statistics-2020/
6 https://www.welivesecurity.com/wp-content/uploads/2021/09/eset_threat_report_t22021.pdf
7 https://umbrella.cisco.com/info/2021-cyber-security-threat-trends-phishing-crypto-top-the-list
8 https://www.ibm.com/security/data-breach
9 https://www.malwarebytes.com/resources/files/2020/08/malwarebytes_enduringfromhome_report_final.pdf
11 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
12 Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, Dz.U. z 2020 r. poz. 1369 ze zm.
13 Art. 32 RODO
14 Rozporządzenie Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, t. jedn.: Dz.U. z 2017 r. poz. 2247 ze zm.
15 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194)
16 Dz. U. z 2020 r. poz. 1369 z późn. zm.)
17 Proposal for a Directive of the European Parliament and of the Council on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148, COM/2020/823 final, dostępny pod adresem: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72166
18 https://www.vmware.com/resources/security/global-security-insights-report-2021.html
19 https://uodo.gov.pl/pl/138/1459
20 ibidem
21 Ibidem
