V dnešních dnech se musí většina podniků doslova poprat se zavedením práce z domova a s tím spojenými problémy. V tomto článku se dozvíte, na co si dát pozor v době, kdy zaměstnanec pracuje z domova na vlastním zařízení.
Dopad GDPR na práci z domova
Naším úmyslem není recyklovat obecné téma dopadu GDPR na zaměstnance, ale zaměřit se na dílčí aspekty, které jsou v této chvíli aktuální – na práci z domova. Samotné GDPR na tyto situace dopadá ze dvou úhlů, jednak chrání samotné zaměstnance(o tom se dočtete v dalších číslech), ale také osobní údaje ostatních subjektů (například zákazníků či obchodních partnerů), s nimiž vaši zaměstnanci pracují. V druhém případě se tak jedná o bezpečnost osobních údajů. Právě jim se budeme v tomto čísle věnovat.
Práce z domova je obecně komplikovaná, o to více v době, kdy na ni ne všichni byli připraveni. A to ať už po organizační, či technické stránce. Prakticky ze dne na den většina firem poslala své zaměstnance domů. Ti, kteří si to mohli dovolit, umožnili zaměstnancům, aby si vzali svá pracovní zařízení domů a pracovali z nich. Ostatní museli poprosit zaměstnance, aby pracovali ze svých soukromých zařízení. A právě zde může začínat problém.
Schválně se hned podívejte, zda správce v rámci vaší organizace přijal interní směrnici na zpracování osobních údajů. Ano? Pak v ní hledejte ustanovení, které odpovídá na otázku, za jakých okolností může zaměstnanec použít vlastní mobilní telefon k odpovídání na klientské e-maily či kdy smí pracovat na svém soukromém počítači. Našli jste? Paráda. Nenašli jste? Nevadí, pravdou je, že toto ustanovení byste těžko hledali i ve vzorových směrnicích či kdekoli jinde. Dnes si ukážeme, proč je to špatně a proč by tam právě taková ustanovení měla být.
Vlastní zařízení v práci jako bezpečnostní riziko
Pokud se vám v rámci současné situace podařilo zásobit zaměstnance firemní technikou, i tak si tyto řádky přečtete. Závěry z doporučení totiž odpovídají best practice i pro firemní zařízení. Co se však týče používání vlastních zařízení (tzv. bring-your-own-device, tedy přines si své vlastní zařízení, zkráceně BYOD) pro pracovní účely, nebavíme se o úplně novém fenoménu.
Obecně je politika BYOD totiž velmi výhodná – zaměstnavatel nemusí nakupovat techniku (v lepším případě zaměstnanci přispěje na tu jeho), zaměstnanec má tedy například jeden mobilní telefon na odepisování na e-maily (svůj vlastní) či jeden počítač. Právě u mobilních telefonů mají většinou zaměstnavatelé radost, protože málokdo si dovolí odložit svůj osobní telefon v pátek odpoledne do šuplíku a vytáhnout ho až v pondělí ráno – tak, jak by to udělal právě s pracovním telefonem.
Politika BYOD přináší však i rizika. Zkuste spočítat, kolik problémů vidíte v následujícím příkladu:
„Představte si situaci, že zaměstnanec nestíhá dodělat v pátek svoji práci a rozhodne se, že si přesune klientskou databázi a další podklady z pracovního stolního počítače na svůj domovský notebook. Nejprve zasune svůj flash disk, který nosí vždy na klíčích, do pracovního počítače, aby si přetáhl velké soubory, a následně si přes soukromý e-mail pošle tabulky s kontakty na klienty, důležité propagační materiály pak nahraje na cloud. V sobotu zasedne ke své práci v místní restauraci, kde se připojí na veřejnou Wi-Fi, a čile se dá do práce. Práci poctivě dodělá, odskočí si na toaletu a vyrazí na zasloužené oslavné pivo. Ráno se mu nechce vstávat, a proto půjčí svůj počítač dítěti, aby se zabavilo brouzdáním na internetu či stahováním nových her.“
Kolik problémů jste napočítali? Všimli jste si, kde už začal samotný problém? Co zapojení soukromého flash disku do firemního počítače? Přeposlání klientských informací na soukromý e-mail? Nebo připojení na veřejnou Wi-F ia ponechání laptopu bez dozoru po dobu návštěvy toalety? Co malý uličník a jeho stahování zjevných pirátských kopií her? Problém za problémem.
Snížení rizik nemusí být náročné ani nákladné
Všichni si dovedeme představit, co se může stát. V lepším případě zaměstnanec nevratně přijde o kopii osobních údajů klientů, v horším případě mu je někdo ukradne, v nejhorším případě umožní hackerovi, aby zablokoval celý firemní informační systém a položil fungování firmy (příklad z praxe). Dá se tomu účinně zabránit? V rámci IT bezpečnosti není nikdy vhodné hovořit o bezchybném zabezpečení, to je totiž do jisté míry velmi nákladnou fikcí. To ovšem neznamená, že bychom měli rezignovat na to, co udělat můžeme. Začněte tím nejjednodušším – stanovte si pravidla v interní směrnici a proškolte zaměstnance.
Pamatujme na všechna zařízení i na prevenci
V prvé řadě je nutné si uvědomit, jaká soukromá zařízení budou povolena a jaká zakázána – bavíme se pouze o telefonu a počítači, nebo také o flash discích či jiných datových úložištích? Právě ta totiž mohou být infikována virem a umožnit neoprávněný přístup do celé sítě. Až budete zpět v kanceláři, zkuste na recepci nechat flash disk s nálepkou „Zaměstnanci k propuštění 2020“ (nebuďte prosím krutí a nahrajte tam pouze textový soubor s textem „apríl“). Jak dlouho myslíte, že bude trvat, než jej někdo zasune do svého zařízení? A teď si schválně zadejte do vyhledávače hesla jako „Rubber ducky“, „Bash Bunny“ či „Packet Squirell“ – děsivé, že?
Dokážete tomu zabránit na zařízení zaměstnance? Pravděpodobně ne, postačí však být vůči zaměstnanci transparentní a vysvětlit mu, v čem spočívá problém a jaké mohou být následky. Útoky v ICT jsou z velké části úspěšné právě proto, že uživatel není dostatečně informován, ne protože hacker vytvořil sofistikovaný způsob, jak se přes maximální snahu zaměstnance nabourat komplikovaným útokem do počítače.
Základním pravidlem tedy je prevence: udělat vše proto, aby nedošlo k bezpečnostnímu incidentu.Alfou a omegou je šifrování.Pokud zaměstnanec chce užívat svá zařízení, umožněte to pouze za předpokladu, že telefon a počítač bude mít zaheslován(v případě telefonu pamatujte na zobrazování notifikací na uzamčeném displeji), totéž platí i pro aktuální operační systém, antivirový program, program pro smazání obsahu či vyhledání zařízení na dálku a pro počítače jako takové.
Dalším pravidlem je i výše zmíněné půjčování zařízení rodinným příslušníkům. Na přednáškách vždy dávám k dobru historku, jak jsem jednou s hrůzou v neděli v šest hodin ráno zvedl telefon od klienta a posléze jsem si povídal s jeho čtyřletým synkem, kterému dal tatínek mobil na hraní, aby se mohl ještě chvilku prospat. Ačkoli to zní legračně, pokud zaměstnanec umožní na svém počítači komukoli cokoli stáhnout a instalovat, následky si jistě dokážeme domyslet. Upozorněte tedy zaměstnance a poproste je o spolupráci.
Jak zabránit bezpečnostním incidentům technicky?
Co musí jednoznačně zaznít, je samozřejmě VPN, tedy připojování prostřednictvím virtuální privátní sítě, která (velmi zjednodušeně řečeno) funguje, jako kdyby byly počítače s firemními servery připojené prostřednictvím drátu. Komunikace mezi zařízeními je tak šifrovaná, přičemž lze zavést i další omezení například v rámci práce prostřednictvím vzdálené plochy (s omezením kopírování souborů mimo tuto plochu a podobně). Způsobu provedení je opravdu mnoho a vznikají již i poměrně levné služby.
Podívejte se ale také na to, co máte v současnosti k dispozici. Platíte si G Suite nebo Office365? Máte k dispozici prostor v cloudu, kde můžete řídit přístupy a omezit další šíření? Pokud ano, není než posílat tabulku s klientskými daty prostřednictvím e-mailu lepší zřídit k úložišti přístup a omezit další šíření? Určitě je.
Další technická opatření a způsoby kontroly projdeme v dalších číslech, kde se budeme věnovat monitorování práce na dálku či správě mobilního zařízení. V tuto chvíli zkuste popřemýšlet, co můžete zavést tak, aby vás to nestálo ani korunu (již stávající cloud či informování zaměstnanců) a jaké náklady si můžete dovolit účelně vynaložit.
Článek vyšel v Elektronickém zpravodaji pro pověřence dne 14. 5. 2020