Wybuch pandemii zmusił wiele firm do reorganizacji pracy biurowej i zmiany trybu pracy na home office. Przedsiębiorcy zadbali o ergonomię pracy zdalnej i nowe sposoby egzekwowania czasu pracy, jednak kwestie bezpieczeństwa informacji przez wielu z nich zostały zepchnięte na drugi plan. Niesłusznie, bo bezpieczeństwo danych to być albo nie być firmy.
Czasowe przejście na home office było nieuniknione. Apelował o to nie tylko rząd, starając się ograniczyć rozprzestrzenianie koronawirusa, lecz także wielu pracowników, a często i sami przedsiębiorcy. Sam proces przejścia na pracę z domu okazał się prostszy, niż zakładano. Dzięki rozwiązaniom oferowanym przez współczesną technologię przedsiębiorstwa szybko poradziły sobie z komunikacją, nową organizacją dnia pracy i kontrolowaniem zespołu.
Niewiele firm przewidziało jednak, że aplikacje, które w założeniu miały wspomóc działanie przedsiębiorstwa, w praktyce stanowią duże zagrożenie dla jego bezpieczeństwa. W trakcie walk z widmem kryzysu i dysregulacją na rynkach zabrakło czasu, by przemyśleć kwestię potencjalnych zagrożeń związanych z pracą zdalną.
– W tym pandemicznym pędzie kwestie bezpieczeństwa zasobów firm spadły na plan dalszy, a kluczowe było usprawnienie pracy zdalnej. Powoli te braki są dziś nadrabiane i firmy starają się wdrażać różne zabezpieczenia, lecz rzeczywistość pokazuje, że dobre rozwiązania to te kompleksowe, wymagające odpowiedniej wiedzy, a więc i przeszkolenia – komentuje Piotr Robakowski, prezes zarządu Pomorskiego Biura Inspektorów Ochrony Danych.
Wiedza powinna być podstawą
Zdaniem eksperta z PBIOD ogniwem, które przysparza najwięcej problemów z bezpieczeństwem informacji w trakcie pracy zdalnej, jest… człowiek. Ta obserwacja wynika oczywiście z dogłębnej analizy rynku i jest przejawem szerszego problemu: braku odpowiedniego przeszkolenia kadry.
– Wielokrotnie mieliśmy do czynienia z przypadkami, kiedy to niefrasobliwy pracownik umożliwił dostęp nieuprawnionym podmiotom do chronionych danych. Jeden z najdobitniejszych przykładów to przypadek gdańskiej firmy zatrudniającej kilka tysięcy pracowników, w której to doszło do ujawnienia danych kadrowych. Prowadzone przez PBIOD postępowanie wyjaśniające oraz audyt IT wykazały, że do włamania nie doszłoby, gdyby każdy z pracowników, którym udzielono dostępu zdalnego, korzystał z VPN-u, czyli bezpiecznego łączna internetowego – wyjaśnia Piotr Robakowski.
Posiadanie odpowiedniej wiedzy i umiejętności to jedno, ale do pełni sukcesu potrzeba także nadzoru i kontroli nad stosowaniem procedur bezpieczeństwa. W wielu firmach widoczne są istotne braki w procedurach obiegu dokumentów czy zasadach bezpieczeństwa, za których odpowiedzialność nie ponoszą tylko pracownicy, a częściej – kadra zarządzająca.
– Część przedsiębiorców nie traktuje poważnie kwestii bezpieczeństwa informacji. Nie wdrażają choćby tak prostego procesu jak klasyfikacja informacji, która jest niezwykle ważna, bo przecież nie każda informacja jest przeznaczona dla każdego pracownika – dodaje ekspert.
Milionowe sankcje i konkurencja
Przedsiębiorcom powinno zależeć na odpowiednim zabezpieczeniu informacji przede wszystkim ze względu na obowiązek ustawowy. Oczywiście nie jest tak, że za bezpieczeństwo wszelkich zasobów własnych oraz danych powierzonych przez partnerów biznesowych czy klientów odpowiada tylko ich administrator, czyli zwykle pracodawca. Zakres podmiotów obarczonych odpowiedzialnością może być bardzo szeroki, jednak przedsiębiorca zawsze jest ogniwem łączącym.
– Ustawy regulują kwestie bezpieczeństwa konkretnych informacji. O kwestii prawnie chronionej tajemnicy przedsiębiorstwa traktuje ustawa o zwalczaniu nieuczciwej konkurencji. Z kolei odpowiednie zarządzanie danymi osobowymi reguluje unijne rozporządzenie nazywane RODO oraz Ustawa o Ochronie Danych Osobowych, i mówimy tu o konkretnym zagrożeniu karami do 20 mln euro –
wymienia Piotr Robakowski z PBIOD.
Sankcje wynikające z polskiego czy unijnego ustawodawstwa to zaledwie wierzchołek góry lodowej. Przedsiębiorcy często nie zdają sobie sprawy z faktu, jak cenne są dane na co dzień przez nich przetwarzane, na przykład dane klientów i kontrahentów, dane dotyczące sprzedaży czy planowanych przedsięwzięć biznesowych. W dobie pandemii te wszystkie informacje opuściły kontrolowany teren firmy czy firmową sieć IT na rzecz domowego zacisza pracowników i ich prywatnych sprzętów.
– Żyjemy w czasach, gdy bezpieczeństwo informacji jest dla wielu przedsiębiorstw być albo nie być. Nie mówię tu tylko o zagrożeniach związanych z karami administracyjnymi czy odpowiedzialnością wobec klientów. Mam przede wszystkim na myśli coraz większą konkurencję w każdej branży – podkreśla ekspert.
Rozwiązania szyte na miarę
Pomorskie Biuro Inspektorów Ochrony Danych ma w swojej ofercie produkty i usługi, które pozwalają spojrzeć na bezpieczeństwo danych nie tylko retrospektywnie, czyli poprzez audyt i wyciąganie wniosków ze wcześniejszych błędów, lecz także prospektywnie – szkoląc kadry i wdrażając takie rozwiązania, które zapewnią prawidłowy i bezpieczny rozwój firmy w przyszłości.
– Aby nie zdemonizować problemu, tylko znaleźć właściwe rozwiązania, szyjemy ofertę na miarę każdej firmy. Często naszą współpracę poprzedzamy wnikliwym audytem i szkoleniami, dzięki którym budujemy dobrą atmosferę do wdrożenia wysokiej kultury organizacyjnej w zakresie bezpieczeństwa – wyjaśnia prezes zarządu PBIOD.
Na stronie internetowej Biura każdy zainteresowany przedsiębiorca może znaleźć bezpłatny poradnik „Bezpieczeństwo pracy zdalnej”. Dla tych, którzy oczekują bardziej specjalistycznego wsparcia, odpowiednie będą konkretne szkolenia (także on-line’owe) czy indywidualnie przygotowane kursy praktyczne, które znaleźć można w ofercie PBIOD. Jeszcze inną opcją są audyty pod kątem zgodności z RODO czy w obszarze IT, a także – szczególnie interesujący –
outsourcing funkcji IOD.
– Współpracujemy z firmami poprzez outsourcing funkcji Inspektora Ochrony Danych. Nasi dedykowani inspektorzy niejednokrotnie przyczyniają się swoją pracą i doświadczeniem do wzrostu poziomu bezpieczeństwa danych w firmach – wyjaśnia Piotr Robakowski. – Kierujemy się zasadą, że rodzimy biznes powinien się wspierać, dlatego chętnie dzielimy się naszą wiedzą i doświadczeniem – dodaje.