W nowej rzeczywistości, praca zdalna w firmie stała się elementem, który już pozostanie. Dużym wyzwaniem jest zapewnienie, aby była to praca bezpieczna, szczególnie w aspekcie ochrony danych. Ja to zapewnić? O co zadbać przede wszystkim?
Kiedyś życie było prostsze. Wszystkie dane, w tym dokumenty papierowe, były w naszym biurze. Kraty w oknach i alarmy. Zamykane biurka i drzwi. Wszystko pod kontrolą. Wychodziliśmy z pracy z przekonaniem, że dobrze dbamy o nasze dane – ech to Rodo! – i chronimy je właściwie. Co prawda, o cyfryzacji usług oraz pracy zdalnej myśleliśmy już wcześniej, ale jako o procesie bardziej długofalowym. „Kiedyś się tym zajmiemy, ale teraz mamy ważniejsze sprawy na głowie”. Czy też tak myśleliście? A tu „Łup!” – pandemia, „lockdown”, „nauka hybrydowa”, „praca zdalna”. Nowe wyzwania wystrzeliły nagle, czy byliśmy na to przygotowani, czy nie. Nasz biznes zmienił się w tym obszarze i to już raczej na zawsze. Jak więc w tych nowych czasach w ogóle pracować, bezpiecznie pracować i zapewnić ochronę danych? Jak nie dopuścić do kradzieży, wycieku danych lub kompromitacji firmy w oczach klientów. Te pytania mnożą się codziennie.
Od czego zacząć?
Jeśli czujemy, że „ogarniemy” sami sprawy techniczne to świetnie. Jeśli nie, to poprośmy fachowców. Niezależnie co sądzimy o informatykach (podobno są dziwni), ich pomoc okaże się niezbędna. Coś nam kiedyś mówili o poufności i szyfrowaniu, i że to takie ważne. Teraz czas, aby „odkopać” tamte tematy.
Na początek, zapewnijmy pracownikom bezpieczny sprzęt do pracy zdalnej. Komputery z firmy (nawet te stacjonarne) w domu pracownika to i tak bezpieczniejsze rozwiązanie niż praca na prywatnym sprzęcie. Uważajmy na zabezpieczenie sprzętu i danych podczas transportu. Dyski w komputerach powinny być szyfrowane. Brzmi tajemniczo? OK, ale informatycy wiedzą jak to zrobić. Jeśli zaszyfrujemy, to nawet, gdy dojdzie do kradzieży komputera, nie musimy się zbytnio martwić o negatywne konsekwencje i konieczność zgłoszenia incydentu do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Pamiętajmy, komunikacja pomiędzy firmą a domem musi być bezpieczna. Dobre rozwiązanie stanowi VPN (z ang. „wirtualna sieć prywatna”). To taki bezpieczny „tunel” do przesyłania poufnych danych przez Internet z domu do firmy i odwrotnie. Pracujemy wówczas zdalnie, ale tak jakbyśmy byli w firmie. Proste? W miarę tak. Bezpieczne? Bardzo.
Jeśli wysyłamy e-maile, to załączniki warto opatrzyć hasłem. Mocnym hasłem, a hasło przekazać adresatowi smsem, komunikatorem lub głosowo. Pod żadnym pozorem nie przesyłamy hasła mailem. Dlaczego? Bo tak! Jak w starym dowcipie. Proste metody są często najskuteczniejsze Jeśli nie musimy przekazywać dokumentów pracownikom poza firmę, to nie przekazujmy. Jeżeli już musimy, to tylko kopie lub skany. Zamiast przesyłania e-mailem, zdecydowanie bezpieczniej jest wybrać wariant udostępniania przez konto chmurowe (tylko służbowe – nie prywatne) lub przez lokalny zasób dyskowy np. właśnie poprzez VPN. To się sprawdza. Jak możemy żyć bez pendrive’ów, to świetnie. Jeśli nie potrafimy, to muszą być one szyfrowane. Obowiązkowo!
A co jak mamy zawsze szczęście?
Jak masz zawsze szczęście, to nie czytaj dalej. Ostatnio duża firma z regionu zajmująca się pośrednictwem pracy, straciła kilka teczek z oryginałami dokumentów i dwa stacjonarne komputery, bo przewoziła je samochodem, który na noc został na parkingu. Pech chciał, auto zniknęło. Pozostał tylko wir formalności – zgłoszenie naruszenia do UODO, wstyd, etc. Aha! Ta firma, w wyjaśnieniu do Prezesa (tego z UODO oczywiście) napisała, że „.. dane były zabezpieczone, bo były loginy i hasła do komputerów”. Brawo! Rewelacja! Ktoś jeszcze wierzy, że login i hasło do komputera coś zabezpieczają? No to zła informacja jest taka, że … NIC. Tylko szyfrowanie skutecznie zabezpiecza przed dostępem osób nieupoważnionych. Nie ma się zatem co dziwić, że klienci odpłynęli szybko. Wycieku lub kradzieży danych nie utrzyma się w tajemnicy. Tutaj szczęście nie działa.
A co jest najważniejsze?
Kopie bezpieczeństwa naszych danych. Musimy je mieć. Kilka lokalnych firm do dzisiaj liże rany, bo nie mieli kopii, a trafił się „zły hacker” – podesłał szkodliwy załącznik w mailu – pracownik tylko kliknął, bo myślał, że to faktura i … ups. Nawet naprawdę świadomi użytkownicy mogą się na to nabrać, bo takie ataki (tzw. „phishing”) są coraz lepiej przygotowywane. No i spokój też jest bardzo ważny! To teraz towar deficytowy, ale bardzo nam pomoże w zapewnieniu bezpiecznej pracy zdalnej. Nie klikajmy, nie odpisujmy na maile czy smsy zbyt pośpiesznie. Nie pracujemy przecież w służbie zdrowia (nawet jeśli nam się tak czasami wydaje). Najpierw myślenie, a później działanie, to zawsze aktualne.
Jak żyć? Ataki hackerskie, wyłudzenia i zwykłe kradzieże były, są i będą, a ich scenariusze stają się coraz bardziej – niestety – skuteczne i nie są już tak proste jak „metoda na wnuczka”. Budujmy więc świadomość zagrożeń wśród naszych pracowników i nas samych. Korzystajmy z poradników, szkoleń i wiedzy ekspertów. Świadomość to najskuteczniejsza broń w walce z cyberprzestępcami. I pamiętajmy, że cyfryzacja usług i przeniesienie wielu naszych aktywności do Internetu, to nie tylko zagrożenia. To także ogromna szansa na efektywniejsze działanie, nowych klientów i nowe usługi – rozwój naszego biznesu.
Arkadiusz Stawczyk – Właściciel firmy Staark Project zajmującej się doradztwem i szkoleniami. Specjalista w dziedzinie bezpieczeństwa informacji i cyberzagrożeń. Poprzednio kierownik Wydziału Informatyki w dużej jednostce administracji samorządowej. Członek Polskiego Towarzystwa Informatycznego.
