14 KWI 2020

Zobacz 9 złotych zasad pracy zdalnej, dzięki którym unikniesz kary za naruszenie przepisów RODO.

W dobie pandemii koronawirusa cały świat na niespotykaną do tej pory skalę przestawia się na pracę zdalną. Jest to doskonała okazja dla wszelkiej maści internetowych przestępców, aby spróbować wykraść Twoje dane i pieniądze. Stosunkowo niedużym kosztem możesz się przed tym zabezpieczyć i zminimalizować ryzyko bycia zhakowanym. W oparciu o zgromadzoną wiedzę, doświadczenie, a także na podstawie wytycznych opublikowanych przez Urząd Ochrony Danych Osobowych[1] przygotowaliśmy zbiór zasad, które pomogą udoskonalić zabezpieczenia Twojej firmy i to nie tylko na czas pracy zdalnej.

  1. Przygotuj dla swoich pracowników dokument, w którym opiszesz jakie środki bezpieczeństwa powinni stosować podczas pracy.

Taki dokument możesz nazywać dowolnie, np. „Polityką świadczenia pracy zdalnej”, „Instrukcją zabezpieczeń informatycznych podczas pracy zdalnej”, etc. Istotna jest jego treść, a nie nazwa. Dokument ten powinien regulować zasady pracy zdalnej, w szczególności w zakresie zabezpieczeń informatycznych. Po opracowaniu tego dokumentu wyślij go drogą mailową do swoich pracowników z poleceniem, aby stosowali się do wszystkich zawartych tam zasad.

  1. Praca zdalna powinna odbywać się za pośrednictwem sprzętu służbowego.

Wszędzie tam gdzie jest to możliwe pracownicy powinni pracować na sprzęcie dostarczonym przez Ciebie. Dlaczego? Ponieważ wtedy masz kontrolę nad tym jak ten sprzęt jest zabezpieczony i skonfigurowany. Osobisty sprzęt pracownika obarczony jest ryzykiem tego, że mogą z niego korzystać jeszcze inne osoby, np. członkowie rodziny pracownika.

  1. Aktualizacja oprogramowania sprzętu.

Oprogramowanie sprzętu za pomocą, którego pracownicy wykonują pracę zdalną powinno być cały czas aktualizowane, dotyczy to każdego sprzętu podłączonego do internetu: komputerów, laptopów, tabletów, smartfonów, ale także mniej oczywistych sprzętów, które mogą przechowywać dane jak np. smartwatch’ów, inteligentnych telewizorów, a nawet ruterów. Każda aktualizacja eliminuje błędy producenta oprogramowania. Korzystanie z niezaktualizowanego sprzętu stwarza to ryzyko, że haker wykorzysta te błędy niezaktualizowanego oprogramowania, które mogą stanowić swego rodzaju „tylne wyjście” do zasobów Twojej firmy.

  1. Antywirus – stosuj wszędzie tam gdzie jest to możliwe.

W dzisiejszych czasach słowo „wirus” prawdopodobnie jest najczęściej odmienianym słowem na całym globie. Tak jak po świecie realnym krążą prawdziwe wirusy, tak w świecie wirtualnym również czai się pełno ich cyfrowych odpowiedników. Polecamy, aby korzystać z płatnych wersji programów antywirusowych. Ochrona w oparciu o bezpłatne antywirusy jest iluzoryczna.  Antywirus jest jak szczepionka, ochroni Twój sprzęt przed już znanymi wirusami.

  1. Hasła, hasła i jeszcze raz hasła.

Komputer, poczta elektroniczna, firmowe systemy informatyczne z danymi powinny być chronione hasłami i to nie byle jakimi, ale silnymi i unikatowymi. Co to znaczy? Hasło silne to takie, które składa się z wielu znaków (co najmniej z 12stu), w tym małe, wielkie litery, cyfry i znaki specjalne. Może to być np. znana tylko Tobie rymowanka zawierająca mix wszystkich tych znaków. Pamiętaj, że hasło w postaci Twojego imienia w połączeniu z rokiem urodzenia nie jest dobrym rozwiązaniem, podobnie jak ciąg cyfr: 123456789. Łatwe hasła szybko są łamane przy pomocy odpowiedniego oprogramowania. Istotne jest również, aby nie stosować jednego hasła, ale osobnego i unikatowego dla każdego urządzenia, portalu, systemu. Nie dziel się hasłem z nikim i zmieniaj je jak najczęściej. Jeżeli masz zbyt dużo haseł stosuj tzw. managery haseł. Tam gdzie jest to możliwe stosuj podczas logowania tzw. uwierzytelnianie dwuetapowe tzn. potwierdzanie logowania za pomocą np. kodów sms.

  1. Korzystaj z szyfrowania dysków komputerów – to nie jest czarna magia.

Mało osób zdaje sobie z tego sprawę, ale jeżeli laptop zostanie zgubiony lub skradziony, to nawet pomimo silnego hasła logowania, osoba postronna w dość łatwy sposób może dostać się do zawartości jego dysku. Wystarczy „wykręcić” i przełożyć dysk do innego komputera i można jak w otwartej księdze czytać  znajdujące się tam pliki. Większość nowszych komputerów wyposażona jest w autoszyfrujące oprogramowanie, wystarczy tylko poprosić firmowego informatyka, aby aktywował ten mechanizm lub pobrał odpowiedniej klasy darmowy program. Szyfruj też inne nośniki danych jak np. dyski zewnętrzne, pendrive’y, etc.

Jeżeli zastanawiasz się czy to naprawdę jest konieczne, odpowiedź brzmi: tak to jest naprawdę konieczne. Przekonała się o tym renomowana publiczna uczelnia z Warszawy, gdy jeden z jej nauczycieli akademickich stracił niezabezpieczony laptop, w którym znajdowały się m.in. danymi osobowe studentów. Nie musimy chyba dodawać, że gdy tylko Prezes Urzędu Ochrony Danych Osobowych się o tym dowiedział, to wszczął z urzędu kontrolę w stosunku do uczelni.

  1. Pracownicy wykonujący pracę zdalną powinni to robić w „bezpiecznej strefie”.

Zgodnie z zaleceniami Urzędu Ochrony Danych Osobowych: „Zanim przystąpisz do pracy, wydziel sobie odpowiednią przestrzeń, tak aby ewentualne osoby postronne, nie miały dostępu do dokumentów, nad którymi pracujesz. Odchodząc od stanowiska pracy każdorazowo blokuj urządzenie, nad którym pracujesz”[2]. Nic dodać, nic ująć.

  1. Zakaz otwierania podejrzanych maili oraz plików.

Kreatywność hakerów nie zna granic. Perfekcyjnie potrafią podszywać się pod klientów, kontrahentów czy też pod organy władzy publicznej lub banki. Należy być czujnym, aby w przypadku dziwnych i podejrzanych wiadomości – nawet tych wysyłanych przez szefa, klienta czy też kolegę z pracy – w żadnym przypadku nie pobierać dołączonych do nich plików i „klikać” w przesłane linki. Jeżeli masz wątpliwości co do tożsamości nadawcy, to spróbuj ją potwierdzić kontaktując się z nadawcą, np. dzwoniąc do szefa z pytaniem czy to na pewno on wysłał ten link. Pamiętaj też, że żaden bank nie prosi drogą telefoniczną lub mailową o podanie loginu i hasła do konta bankowości elektronicznej.

  1. Hasła do odszyfrowania wiadomości wysyłaj innym kanałem komunikacyjnym.

W przypadku, gdy wysyłasz dane osobowe (np. listę płac) lub inne ważne informacje drogą mailową, to szyfruj tego typu pliki/wiadomości. Hasło do odszyfrowania pliku wyślij innym kanałem komunikacyjnym niż ten którym wysłałeś plik, np. smsem. Pamiętaj, jeżeli haker ma dostęp do skrzynki mailowej, to wysłanie hasła w drugiej wiadomości email nie chroni przed przejęciem danych.

Brak wdrożenia powyższych środków bezpieczeństwa zwiększa niepomiernie szansę hakera na przeprowadzenie skutecznego ataku, a tym samym wyrządzenia szkód na różnych polach. Warto zatem wziąć sobie do serca starą maksymę, że „lepiej zapobiegać, niż leczyć”.

Polub nas na Facebooku, aby na bieżąco śledzić przydatne materiały, które publikujemy.


[1] https://uodo.gov.pl/pl/138/1459

[2] Ochrona danych osobowych podczas pracy zdalnej. Publikacja Urzędu Ochrony Danych Osobowych dostępna na stronie: https://uodo.gov.pl/pl/138/1459

Umów się na spotkanie
przez internet