Cyberbezpieczeństwo a praca zdalna
Autorzy: Michał Kibil, Ireneusz Piecuch
Od początku epidemii COVID-19 musieliśmy rozpocząć funkcjonowanie w nowej rzeczywistości, dopuszczającej konieczność pracy poza biurem, nierzadko we własnych domach, co nie pozostało bez wpływu na kwestię cyberbezpieczeństwa poszczególnych organizacji. W artykule autorzy skupiają się na zagadnieniu wpływu pracy zdalnej na zapewnienie cyberbezpieczeństwa organizacji oraz na regulacjach i wytycznych wskazujących przedsiębiorstwom rekomendowane kierunki zmian.
Wprowadzenie
Raport Cost of A Data Breach 2020, opublikowany niedawno przez IBM1 , nie pozostawia złudzeń. Prawie 80% badanych przedsiębiorstw jest przekonana, że pandemia wpłynie na pogorszenie stanu cyberbezpieczeństwa. Wśród ponad 500 badanych przedsiębiorstw z kilkunastu krajów na świecie, które padły ofiarą hackerów, średnia wielkość szkody wyrządzona tymi atakami wynosi prawie 3,9 mln dolarów. Aczkolwiek raport publikowany jest za okres tylko częściowo obejmujący czas pandemii, to jego autorzy obliczają, że sama praca zdalna spowodowała wzrost wysokości średniej szkody o 137 tys. dolarów. Co jeszcze bardziej niepokojące, średni czas niezbędny do odkrycia podatności i podjęcia skutecznych działań to 280 dni – ponad 9 miesięcy!
Sytuacja wywołana wystąpieniem wirusa COVID-19 zmusiła wiele przedsiębiorstw do przejścia na zarządzanie kryzysowe i niejednokrotnie przestawienie się na pracę zdalną. Praca zdalna nie jest oczywiście niczym nowym, jednak skala niezbędnych do podjęcia działań zaskoczyła wiele z nich. Pierwszym problemem okazała się dostępność sprzętu nadającego się do pracy. Okazało się też, że procesy i procedury obowiązujące w niektórych firmach nie były właściwie przystosowane do nowych warunków. Zarządzanie zespołami w nowych warunkach okazało się kolejną przeszkodą. Jednak elementem, który okazał się jednym z większych wyzwań nowej rzeczywistości, jest cyberbezpieczeństwo. Jak pokazuje raport Komisji Europejskiej z początku bieżącego roku, blisko połowa Europejczyków nie jest świadoma istnienia cyberzagrożeń2 i choć sytuacja polepszyła się ostatnimi czasy, to tempo tych zmian nie jest zadawalające. W tym samym czasie, według danych Accenture, liczba naruszeń bezpieczeństwa IT wzrasta z roku na rok o kilkanaście procent3. Niski poziom świadomości istnienia zagrożeń, w połączeniu ze wzrostem ataków, w szczególności ataków typu phishing i ransomware, sprawia, że wiele przedsiębiorstw staje się podatnych na incydenty jak nigdy dotąd. Korzystanie z domowych routerów wi-fi, bardzo często z niezmienionymi fabrycznymi ustawieniami, wykonywanie na jednym komputerze zadań służbowych i prywatnych, wysoka podatność na działania socjotechniczne spowodowane obawami przed narastającą falą zakażeń – to tylko niektóre elementy sprzyjające tym wszystkim, którzy postanowili zwiększyć częstotliwość ataków hackerskich wyczuwając w pandemii nadarzającą się okazję.
Wyniki raportu IBM pokazują, że złośliwe oprogramowanie odpowiada za 52% wszystkich badanych przypadków. Z tych 52% aż 14% można przypisać atakom typu phishing, a 19% przypadkom przejęcia danych upoważniających do dostępu do danych. Szczególnie ta pierwsza kategoria okazała się bardzo użyteczna w czasach, w których wzrósł stres powodowany obawą przed zakażeniem, dużym chaosem informacyjnym w pierwszych miesiącach pandemii i wydaje się, że pełne skutki tych ataków poznamy dopiero za kilka czy może nawet kilkanaście miesięcy.
Cyberbezpieczeństwo nie należało na ogół do priorytetów działań podejmowanych przez firmy dotknięte ograniczeniami związanymi z pandemią. Dla większości zarządzających zmiany wywołane przez COVID-19 stanowiły przede wszystkim zagrożenie dla stabilności finansowej firm – ryzyko gwałtownej utraty przychodów przy jednoczesnej konieczności utrzymywania niezmienionego poziomu kosztów. Postawa taka nie do końca jest zrozumiała, jeśli wziąć pod uwagę to, że zdaniem autorów cytowanego raportu IBM, ponad 40% szkód wynikających z ataków hackerskich stanowią utracone przychody przedsiębiorstwa. Związek pomiędzy koniecznymi nakładami na cyberbezpieczeństwo a przychodami wydaje się więc dość oczywisty.
Ustawienie cyberbezpieczeństwa na odległym miejscu na liście priorytetów działań antykryzysowych w przedsiębiorstwach miało jeszcze jeden skutek. Niewiele firm zdecydowało się na przeanalizowanie modelu pracy zdalnej pod kątem przystosowania jej do nowej skali i do nowych zagrożeń. Analizując zapisy kolejnych zmian legislacyjnych związanych z zaadresowaniem stanu pandemii, można pokusić się o stwierdzenie, że takiej refleksji zabrakło także ustawodawcy.
Pomimo tego, że faktycznie duża część pracodawców wprowadzała możliwość wykonywania epizodycznie pracy poza lokalem przedsiębiorstwa na długo przed COVID-19, przez szereg lat w Polsce nie wprowadzano żadnych przepisów regulujących tę kwestię. W całkowitej opozycji do tego znajdowała się telepraca, która została wprowadzona do Kodeksu pracy już blisko 13 lat temu. Telepraca, ze względu na ograniczenie tej regulacji wyłącznie do pracy świadczonej regularnie poza zakładem pracy, a także wprowadzenie rozbudowanych obowiązków spoczywających po stronie pracodawcy, nie znalazła jednak do dzisiaj wielu zwolenników. Dotychczas pracodawcy wprowadzając możliwość świadczenia części pracy w formie zdalnej, tworzyli wewnętrzne procedury, bazując na przepisach dotyczących telepracy oraz zagranicznych przykładach, przeważnie jednak głównie na swojej intuicji. Dzisiaj na skutek COVID-19 zaczynają pojawiać się elementarne regulacje i wytyczne bezpośrednio odnoszące się do pracy zdalnej, które – co zostanie wskazane w dalszej części – są niestety nadal dalekie od ideału.
Uregulowanie pracy zdalnej
W dniu 2.3.2020 r. Sejm uchwalił tzw. Tarczę Antykryzysową 1.04 wprowadzającą do polskiego porządku prawnego, wśród wielu innych rozwiązań, pojęcie pracy zdalnej. Zgodnie z art. 3 KoronawirusU, w celu przeciwdziałania COVID-19 pracodawcy zostali uprawnieni do polecania pracownikom wykonywania, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem jej stałego wykonywania.
Na etapie wprowadzania tych przepisów nie określono żadnych zasad realizowania pracy zdalnej, pozostawiając pracodawcom pełną swobodę w zakresie jej kształtowania. Pewną konsternację wywołała (i do dzisiaj wywołuje) treść art. 36 KoronawirusU, którą ograniczono obowiązywanie tego przepisu do 180 dni, bezpośrednio wiążąc pracę zdalną z okresem zagrożenia epidemicznego oraz potencjalnej epidemii.
Jako, że celem wprowadzenia wskazanej formy wykonywania pracy miało być zapewnienie tzw. dystansowania społecznego (jak wskazują badania naukowe nawet fakultatywne wprowadzenie pracy zdalnej ma mierzalny wpływ na poziom zakażenia chorobami układu oddechowego5 ), ciężko kwestionować powiązanie pracy zdalnej z okresem zagrożenia chorobą, niemniej, ograniczenie w ten sposób okresu obowiązywania przepisu wprowadzającego pracę zdalną może nieść za sobą daleko idące konsekwencje interpretacyjne (chociażby prowadzące do wniosku, że w razie nieuregulowania pracy zdalnej po okresie epidemii, nie będzie możliwe jej dalsze polecanie, nawet pomimo jej konsekwentnego stosowania przez szereg ostatnich lat).
Zasady kierowania pracowników do pracy zdalnej doprecyzowano dopiero 19.6.2020 r. korzystając z uchwalenia kolejnej ustawy6 antykryzysowej. Zgodnie z tymi przepisami, polecanie pracy zdalnej jest możliwe wyłącznie wtedy, gdy pracownik ma umiejętności i możliwości techniczne oraz lokalowe do wykonywania takiej pracy i pozwala na to rodzaj pracy. Zawężono zakres prac, które mogą być wykonywane w formie pracy zdalnej do prac, które mogą być wykonywane przy „wykorzystaniu środków bezpośredniego porozumiewania się na odległość lub dotyczyć wykonywania części wytwórczych lub usług materialnych”. Określono zasady ewidencjonowania zadań pracownika (co w rzeczywistości sprowadzono do określenia jak może brzmieć polecenie służbowe pracodawcy) oraz, co wydaje się niezwykle istotne z punktu widzenia zagadnienia cyberbezpieczeństwa w pracy zdalnej, podjęto próbę doprecyzowania zasad przyznawania pracownikom narzędzi pracy.
Dostarczenie narzędzi pracy
Ustawodawca regulując przyznawanie pracownikom zdalnym narzędzi pracy wyszedł od generalnej zasady, że: „narzędzia i materiały potrzebne do wykonywania pracy zdalnej oraz obsługę logistyczną pracy zdalnej zapewnia pracodawca”. Zapis sam w sobie zasadniczo nie wprowadza nic nowego. Bezsprzecznie, na gruncie ogólnych zasad Kodeksu pracy to na pracodawcy spoczywa obowiązek dostarczania pracownikom narzędzi pracy do jej wykonywania. Podobny zapis, dotyczący obowiązku dostarczenia narzędzi pracy, znajdziemy w treści art. 6711 § 1 pkt 1 KP przewidzianego dla telepracy, przy czym w przypadku telepracy stanowi on wstęp do szerokiego dookreślenia zasad korzystania z tego sprzętu przez pracownika, czego w regulacji dotyczącej pracy zdalnej zabrakło.
Od generalnej zasady dotyczącej przyznawania narzędzi pracy ustawodawca przewidział jeden wyjątek wskazując, że przy wykonywaniu pracy zdalnej pracownik może używać narzędzi lub materiałów niezapewnionych przez pracodawcę pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Ten właśnie zapis na gruncie oceniania cyberbezpieczeństwa pracy zdalnej budzi najwięcej kontrowersji.
Pomimo że to pracodawca odpowiada za bezpieczeństwo własnej infrastruktury, określa zasady bezpieczeństwa, a także ponosi koszty potencjalnych naruszeń w tym zakresie, wydaje się, że wskazany przepis (przy braku innych regulacji wewnętrznych obowiązujących pracownika), może być traktowany jako udzielenie pracownikowi prawa do decydowania, czy narzędzia, z których chce korzystać, są wystarczająco bezpieczne dla organizacji.
Zgodnie z badaniem przeprowadzonym w 2020 r. przez spółkę Proofpoint zajmującą się kwestiami cyberbezpieczeństwa w zakładach pracy (User Risk Report7 ), większość pracowników nie ma odpowiedniej wiedzy o cyberzagrożeniach oraz nie stosuje się do podstawowych zasad cyberbezpieczeństwa. Pomimo, że aż 61% osób prawidłowo definiuje phishing, na pytanie czym jest atak ransomware prawidłowo odpowiada jedynie 31% respondentów. Blisko połowa użytkowników korzysta z jednego hasła do zabezpieczania dostępu do wielu usług lub urządzeń, połowa potwierdza, że udostępnia swoje narzędzia służbowe swoim znajomym i członkom rodziny, a aż 90% korzysta z narzędzi udostępnianych przez pracodawcę do celów prywatnych. Przy takich danych ciężko jest zakładać, że sam pracownik będzie mógł podjąć świadomą decyzję, czy korzystanie z prywatnego narzędzia do celów służbowych będzie dla pracodawcy bezpieczne.
Mając to na uwadze, konieczne wydaje się, wprowadzenie regulacji wewnętrznych, które będą określać zasady korzystania z infrastruktury IT ustalone przez pracodawcę, w tym warunki korzystania przez pracownika w ramach pracy zdalnej z „narzędzi lub materiałów niezapewnionych przez pracodawcę”.
Od COBO do BYOD
Pierwszym z dylematów, z jakim pracodawcy muszą się zmierzyć, jest kwestia modelu, w jakim pracownicy będą korzystać z narzędzi do pracy. W praktyce wyróżnia się trzy rozwiązania: BYOD (Bring Your Own Device), COPE (Company Owned/Personally Enabled) oraz COBO (Company Owned/Business Only).
Niezależnie od tego, jak byśmy je nazywali, skupiają się one na dwóch elementach – kto jest właścicielem urządzenia oraz jak ma być ono użytkowane.
W modelu COBO mamy do czynienia z narzędziami, które stanowią własność pracodawcy oraz mogą być użytkowane wyłącznie w celach służbowych. Drobnym odstępstwem od pełnego bezpieczeństwa na rzecz elastyczności oraz potrzeb pracownika jest model COPE, w którym narzędzie, pomimo że stanowi własność pracodawcy, może być także wykorzystywane (naturalnie z zachowaniem odpowiednich zasad bezpieczeństwa) do celów prywatnych. Najbardziej liberalnym rozwiązaniem, z punktu widzenia pracowników, jest model BYOD, gdzie narzędzie stanowi własność pracownika, ale za zgodą pracodawcy może być ono wykorzystywane do celów służbowych.
Z całą pewnością dopuszczając model BYOD pracodawcy w największym stopniu zwiększają podatność swoich systemów na wystąpienie incydentów. W przypadku wskazanego rozwiązania nie można zakładać, że będziemy mieli pełną kontrolę nad urządzeniem stanowiącym własność naszego pracownika. Możemy jedynie stosować pośrednie środki, takie jak rozwiązania techniczne w postaci zabezpieczenia narzędzia przed atakami, czy też organizacyjne poprzez wymuszenie łączenia się z infrastrukturą pracodawcy przez bezpieczne łącze (VPN). Wydaje się jednak, że zabronienie pracownikowi korzystania z jego prywatnego narzędzia w celach prywatnych stanowiłoby nadmierne ograniczenie jego prawa własności.
Na gruncie polskich przepisów, model BYOD może generować dodatkowe problemy. Szczególnie problematyczne będzie określenie zasad ponoszenia przez pracodawcę odpowiedzialności za awarie, które następują w trakcie pracy, określenie uprawnień pracodawcy co do wgrywania na komputerze własnego oprogramowania, nie mówiąc już o monitorowaniu pracy pracownika na jego prywatnym urządzeniu, które przy braku odpowiedniej umowy regulującej tę kwestię może zostać potraktowane nawet jako naruszenie dóbr osobistych pracownika. Należy także pamiętać o tym, że w modelu BYOD, monitoring powinien być prowadzony jedynie w czasie, kiedy pracownik pozostaje do dyspozycji pracodawcy, a ta granica jest często niełatwa do uchwycenia.
Od strony finansowej model BYOD wymaga rozliczania się przez pracodawcę z pracownikiem z wykorzystywania jego sprzętu prywatnego do celów służbowych. Brak stosownego ekwiwalentu może skutkować zdefiniowaniem przychodu po stronie pracodawcy, który powinien podlegać opodatkowaniu, uznaniem przez Państwową Inspekcję Pracy, że pracodawca dopuścił się względem pracownika naruszenia jednego z podstawowych obowiązków pracodawcy (dostarczenia narzędzi do pracy) oraz skierowaniem przez pracownika stosownego roszczenia o zapłatę do sądu pracy.
Ze względu na powyższe, pomimo, że sam ustawodawca dopuszcza wykorzystywanie prywatnych narzędzi przez pracowników do celów służbowych, wprowadzenie takiego modelu powinno być nie tylko gruntownie przeanalizowane, ale także właściwie opisane, tak aby z rozwiązania adresującego problemy samo nie stało się dodatkowym ryzykiem dla pracodawcy.
Odnosząc się do wykorzystywania komputerów służbowych do celów prywatnych, czyli de facto wyboru między modelami COBO oraz COPE, pracodawca powinien ocenić, jaki poziom dostępu do danych wrażliwych będzie niezbędny pracownikowi dla wykonywania pracy zdalnej i jaki będzie adekwatny poziom zabezpieczeń przekazanego do wykorzystania sprzętu.
Przepisy w zakresie cyberbezpieczeństwa
Analizując korelacje pomiędzy pracą zdalną a cyberbezpieczeństwem, szczególnie w aspekcie obowiązków pracodawcy i pracownika, należałoby wyjść od stwierdzenia, że regulacje odnoszące się pośrednio lub bezpośrednio do cyberbezpieczeństwa bardzo niewiele miejsca poświęcają temu zagadnieniu. A jeśli już to robią, to odnosząc się do bardzo ściśle określonych zagadnień. Nie oznacza to jednak, że korelacja tych dwóch zagadnień jest nieistotna. Wręcz odwrotnie. Warto w tej mierze przyjrzeć się trzem z nich.
Zgodnie z art. 32 RODO8 , administrator i podmiot przetwarzający dane osobowe, mają obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Rozporządzenie wymienia niektóre z takich środków (pseudonimizacja, szyfrowanie danych osobowych), ale, co do zasady, to przedsiębiorca musi dokonać analizy występujących ryzyk, oszacować je, a następnie wdrożyć adekwatne środki ochrony. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, przedsiębiorca taki ma w szczególności ocenić ryzyko wynikające z „przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”. Ponadto musi on podjąć działania w celu zapewnienia, „by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora (chyba że wymaga tego od niej prawo UE lub prawo państwa członkowskiego).
Czy znacznie istotny wzrost zakresu oraz intensywności przetwarzania danych, a także przykładowo zgoda na masowe korzystanie z prywatnych komputerów, masowe korzystanie z usług wideokonferencyjnych, prowadzą do nowych ryzyk powodujących konieczność dokonania nowych (lub dodatkowych) analiz istniejących zagrożeń? Wydaje się, że w większości przypadków można będzie udzielić odpowiedzi twierdzącej.
Kolejnym aktem prawnym, który należałoby przeanalizować, aczkolwiek stosuje się on do określonej w nim grupy podmiotów, jest ustawa z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa9 . Zgodnie z art. 8 CyberbezpU, operatorzy usługi kluczowej (czyli podstawowa grupa jej adresatów) wdrażają w system zarządzania bezpieczeństwem prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, a także wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy (m.in. bezpieczeństwo środowiskowe uwzględniające kontrolę dostępu, objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym, dbałość o aktualizację oprogramowania).
Podobnie, jak w przypadku art. 32 RODO, tak i w tym przypadku, nawet pobieżna analiza treści art. 8 CyberbezpU wskazuje, że trudno wyobrazić sobie sytuację, w której masowe przejście na pracę zdalną pozostanie bez wpływu na konieczność dokonania ponownej identyfikacji ryzyk oraz przeprowadzenia analizy adekwatności stosowanych środków mających te ryzyka adresować. Warto podkreślić, że w obu przypadkach brak podjęcia takich działań może łączyć się z konsekwencjami, jakie obie regulacje przewidują w przypadku naruszenia ich przepisów, które szczególnie w przypadku RODO, mogą być niezmiernie dolegliwe10 .
Trzecim z przytaczanych tu aktów prawnych jest rozporządzenie Rady Ministrów wprowadzające Krajowe Ramy Interoperacyjności11 . Rozporządzenie to stosuje się do podmiotów realizujących zadania publiczne i jako jedyne odnosi się wprost do pracy zdalnej, polecając ustanowienie „podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość”. Co równie istotne, z punktu widzenia zdarzeń takich jak obecna pandemia, rozporządzenie nakazuje „zapewnienie regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia” (przykładowo nagły wzrost ataków typu phishing i ransomware) oraz „utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację”. Jeżeli dodamy do tego obowiązek monitorowania dostępu do informacji oraz prowadzenia okresowych szkoleń osób zaangażowanych w proces przetwarzania informacji, to można byłoby uznać, że Krajowe Ramy Interoperacyjności mogą służyć jako dobry punkt odniesienia nawet dla podmiotów, które nie podlegają temu rozporządzeniu przy analizie wpływu pracy zdalnej na bezpieczeństwo informacji.
Rekomendacje urzędowe
Zagadnienia związane z cyberbezpieczeństwem to element stosunkowo nowy w europejskiej i polskiej praktyce legislacyjnej oraz jurysprudencji. Wobec braku rozbudowanych przepisów jednoznacznie regulujących wymogi bezpieczeństwa pracy zdalnej, istotne znaczenie dla pracodawców mogą odgrywać wytyczne wydawane przez organy regulacyjne i odnoszące się do bezpieczeństwa przetwarzania danych (w tym danych osobowych), także w zakresie pracy zdalnej.
Już na samym początku pandemii Urząd Ochrony Danych Osobowych, opierając się na wytycznych swojego irlandzkiego odpowiednika, przedstawił szereg rekomendacji dotyczących bezpiecznego przetwarzania danych12 .
W zakresie wykorzystywanych urządzeń UODO zaleca:
1) wprowadzanie przez pracodawców odpowiednich procedur bezpieczeństwa oraz obligowanie pracowników do stosowania się do nich;
2) nieinstalowanie dodatkowych aplikacji i oprogramowania niezgodnych z procedurą bezpieczeństwa organizacji;
3) bieżące aktualizacje systemu operacyjnego, oprogramowania oraz systemu antywirusowego;
4) unikanie dostępu do danych zgromadzonych na komputerze, tak przez uniemożliwianie zapoznawania się z nimi przez osoby postronne, przez obserwowanie naszego monitora, jak i blokowanie urządzeń, gdy od nich odchodzimy;
5) stosowanie silnych haseł dostępu oraz wielopoziomowego uwierzytelniania;
6) zwracanie szczególnej uwagi na to, aby urządzenia, na których gromadzone są dane, w tym dyski zewnętrzne, nie zostały zgubione, a w przypadku kradzieży:
7) natychmiastowe podejmowanie odpowiednich kroków, aby, o ile to możliwe, zdalnie wyczyścić pamięć danego urządzenia.
W zakresie korzystania ze służbowej poczty elektronicznej:
1) postępowanie zgodnie z obowiązującymi zasadami w organizacji dotyczącymi korzystania ze służbowej poczty elektronicznej;
2) używanie przede wszystkim służbowych kont e-mail;
3) odpowiednie szyfrowanie maili i załączników, gdy przekazujemy w ich treści dane osobowe;
4) upewnianie się przed wysłaniem maila, że wysyłamy go do właściwego adresata, zwłaszcza jeśli wiadomość zawiera dane osobowe lub dane wrażliwe;
5) dokładne sprawdzanie nadawców maili oraz nieotwieranie wiadomości od nieznanych adresatów, a zwłaszcza nieotwieranie załączników oraz nieklikanie w linki zawarte w takiej wiadomości;
6) przesyłanie hasła do zaszyfrowanego pliku odrębnym kanałem komunikacyjnym.
W zakresie korzystania z sieci i chmury:
1) korzystanie tylko z zaufanego dostępu do sieci lub chmury oraz przestrzeganie wszelkich zasad i procedur organizacyjnych dotyczących logowania i udostępniania danych;
2) gdy nie mamy dostępu do sieci lub chmury dbanie, aby przechowywane dane były w bezpieczny sposób zarchiwizowane.
Ujmując to oględnie, przydatność zaleceń UODO będzie różna w zależności od stopnia przygotowania do realizacji zagadnienia ochrony bezpieczeństwa danych. Podmioty podlegające wskazanym wyżej regulacjom zapewne skorzystają niewiele, natomiast przedsiębiorstwa, dla których zagadnienie cyberbezpieczeństwa jest zagadnieniem stosunkowo mało znanym (a jak wskazują cytowane na wstępie badania, grupa ta może być całkiem duża), mogą traktować zalecenia UODO jako dobry punkt wyjściowy do dalszych prac.
Niezależnie od wytycznych UODO, na szczególną uwagę zasługują także inne rekomendacje wypracowywane przez odpowiednie organy opracowujące zasady bezpiecznej pracy zdalnej w okresie COVID-19.
The Cybersecurity and Infrastructure Security Agency (CISA)13 postuluje:
1) zapewnianie połączenia VPN swoim pracownikom i sprawdzenie jak działa w sytuacji dużej liczby korzystających z niego użytkowników (w razie problemów zapewnienie priorytetu użytkownikom posiadającym dostęp do większej bazy danych);
2) stworzenie systemu monitorowania, który wykrywa nietypowe działania mające miejsce na urządzeniach pracowników;
3) aktualizowanie zapór sieciowych na urządzeniach oraz instalowanie oprogramowania do wykrywania szkodliwego oprogramowania typu malware, i IPS (Intrusion Detection Systems);
4) informowanie pracowników o możliwych atakach phishingowych;
5) przygotowanie wewnętrznych działów IT na kontrolowanie logowań na urządzeniach, wykrywanie cyberataków oraz szybkie reagowanie na podejrzane działania;
6) wdrożenie uwierzytelnienia wielopoziomowego, zapewniającego bezpieczeństwo w razie logowania na urządzeniach, w trakcie pracy zdalnej, a w przypadku braku MFA (uwierzytelniania wielopoziomowego), używanie silnych haseł do logowania.
Brytyjskie Narodowe Centrum Cyberbezpieczeństwa14 zwraca dodatkowo szczególną uwagę na konieczność uświadamiania pracowników o zagrożeniach związanych z pracą zdalną (przykładowo korzystanie z nośników USB), zwracanie uwagi na kontrolowanie urządzeń, z których korzystają, dbanie o ich bezpieczeństwo (trzymanie w odpowiednich warunkach i natychmiastowe zgłaszanie faktu ich kradzieży).
Zgodnie z wytycznymi ENISA (Europejskiej Agencji ds. Cyberbezpieczeństwa)15 przedsiębiorcy powinni pamiętać o:
1) zapewnieniu bezpiecznych wideokonferencji;
2) używaniu oprogramowania firmowego jedynie za pomocą zaszyfrowanych kanałów (SSL, VPN, iPSec);
3) zapewnienie natychmiastowej asysty działu IT w razie zagrożenia cyberatakiem;
4) edukacji personelu na temat zagrożeń, jakie mogą pojawić się w trakcie pracy zdalnej oraz przygotowanie polityki firmy w razie kradzieży danych osobowych.
W kontekście zapewnienia cyberbezpieczeństwa organizacji w kontekście pracy zdalnej pracowników, istotne dla każdego pracodawcy będą wytyczne Międzynarodowej Organizacji Pracy16 , która w swoim praktycznym poradniku dotyczącym pracy zdalnej podczas pandemii COVID-19 oraz po niej wskazuje na szczególnie istotny obowiązek informowania pracowników o wszelkich prawach i obowiązkach, których przestrzegać należy w czasach pandemii, zapewniania im odpowiedniego sprzętu do pracy oraz edukacji w obszarze możliwych cyberataków.
Odpowiedzialność pracownika za naruszenie zasad cyberbezpieczeństwa
Wprowadzając w organizacji zasady bezpiecznego przetwarzania danych, zawsze na końcu pojawia się pytanie o skuteczność ich egzekwowania. W tym zakresie przepisy przyznają pracodawcom szeroki wachlarz możliwości.
Z pewnością wprowadzane przez pracodawców zasady cyberbezpieczeństwa są elementem ustalonej organizacji i porządku w procesie pracy. Tym samym nieprzestrzeganie ich przez pracownika, na gruncie Kodeksu pracy może stanowić podstawę do nałożenia na pracownika kary upomnienia lub kary nagany. O czym należy pamiętać, warunkiem zastosowania wskazanej odpowiedzialności porządkowej jest zawinione działanie pracownika. Może być ono przy tym umyślne, jak i nieumyślne17 (to ostatnie występować będzie w przypadku, w którym pracownik powinien zdawać sobie sprawę z tego, że jego zachowanie może naruszać obowiązujące w spółce reguły postępowania). Jako że winę pracownika może wyłączać niezrozumienie obowiązujących zasad18 , aby móc skutecznie egzekwować wprowadzane reguły, polityki przekazywane pracownikom powinny być pisane w taki sposób, aby nie budziły po stronie pracowników żadnych wątpliwości.
Jeżeli naruszanie przez pracownika obowiązujących zasad bezpiecznego przetwarzania danych będzie na tyle poważne, że niemożliwe będzie kontynuowanie współpracy z pracownikiem, w określonych sytuacjach może ono stanowić podstawę do wypowiedzenia pracownikowi umowy o pracę (w szczególności o ile działanie pracownika było zawinione oraz naruszenie faktycznie nastąpiło), a nawet do rozwiązania z pracownikiem umowy o pracę bez zachowania okresu wypowiedzenia (np. ze względu na ciężkie naruszenie przez pracownika jednego z jego podstawowych obowiązków – dbania o dobro zakładu pracy). Tak jak i w przypadku wyboru między karą upomnienia i nagany, tak i w przypadku decyzji o podstawie rozwiązania umowy, kluczowa będzie skala naruszenia przez pracownika jego obowiązków.
Jak wynika z wyroków sądów, „wymierzenie pracownikowi kary porządkowej nie wyłącza możliwości potraktowania tego samego nagannego zachowania pracownika, które było podstawą zastosowania kary, za przyczynę uzasadniającą wypowiedzenie umowy o pracę”19 . Co więcej, „wcześniejsze wymierzenie pracownikowi kary porządkowej nie wyłącza także prawa uznania przez pracodawcę, że zachowanie to stanowi zarazem podstawę uzasadniającą natychmiastowe rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika”20 .
W skrajnych przypadkach umyślnego naruszenia przez pracownika obowiązujących u pracodawcy zasad bezpieczeństwa informacji, które będzie spełniało także przesłanki przestępstwa (np. przez celowe usuwanie danych należących do pracodawcy pomimo wprowadzenia przez pracodawcę zakazu ich usuwania21 ), pracodawca będzie uprawniony do złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa, co powinno skutkować wszczęciem postępowania przygotowawczego, zmierzającego do ustalenia, czy istnieją podstawy do oskarżenia pracownika o dopuszczenie się przestępstwa.
W przypadku naruszenia obowiązujących zasad bezpiecznego przetwarzania danych, które doprowadzą po stronie pracodawcy do powstania szkody, na gruncie Kodeksu pracy pracodawca może pociągnąć pracownika do odpowiedzialności finansowej. W tym jednak przypadku odpowiedzialność pracownika zatrudnionego na umowie o pracę zasadniczo będzie poważnie ograniczona. Jak wskazuje Kodeks pracy: „Pracownik ponosi odpowiedzialność za szkodę spowodowaną pracodawcy w granicach rzeczywistej straty pracodawcy i tylko za normalne następstwa działania lub zaniechania, z którego szkoda wynikła”22 . To na pracodawcy zawsze będzie spoczywał ciężar wykazania, że dany pracownik doprowadził do powstania szkody oraz wysokości poniesionej szkody23 . W sytuacji, w której pracodawca przyczynił się do powstania szkody, czyli np. nie zabezpieczył w odpowiedni sposób komputera pracownika, bądź nie wprowadził zasad prawidłowego korzystania z komputera, o których mowa była wcześniej, odpowiedzialność finansowa pracownika może być w całości wyłączona24 . Nawet jeżeli pracodawcy uda się udowodnić, że przez działanie pracownika doszło do powstania szkody, odpowiedzialność pracownika będzie ograniczona do jego 3-miesięcznego wynagrodzenia. Jedynym wyjątkiem, w którym pracownik będzie zobowiązany do naprawienia szkody w całości (czyli bez ograniczenia kwotowego, a także w zakresie utraconych korzyści), będzie szkoda wyrządzona pracodawcy umyślnie, czyli sytuacja, w której pracownik wiedząc, że może do niej doprowadzić w pełni się na to godzi (np. doprowadzenie przez pracownika do udostępnienia zawartości jego komputera osobom niepożądanym przez pozostawienie niezablokowanego urządzenia w publicznym miejscu).
Podsumowanie
Polskie regulacje (choć Polska nie jest tutaj wyjątkiem) nie były przygotowane na sytuację gwałtownego wzrostu zapotrzebowania na pracę zdalną, jaką zaobserwowaliśmy po wybuchu pandemii wywołanej wirusem COVID-19. Co więcej, wydaje się, że kolejne „tarcze regulacyjne” niewiele w tej mierze zmieniły. Do dzisiaj nie wprowadzono dla pracy zdalnej jakichkolwiek regulacji dotyczących obowiązku określania zasad ochrony danych przetwarzanych przez pracowników poza lokalem przedsiębiorstwa (chociażby analogicznych dla przewidzianych w przypadku telepracy)25 , a jedynie w kolejnych nowelizacjach wydłuża się czas, w którym polecanie pracy zdalnej ma być możliwe26 .
Jednocześnie pracodawcy muszą mierzyć się z sytuacją, w której brak podjęcia decyzji o masowym przejściu na pracę zdalną (a niejednokrotnie o masowym wykorzystaniu komputerów pracowników) może zagrozić ciągłości działania przedsiębiorstwa. Po upływie sześciu miesięcy argument ten wydaje się tracić swoją moc przekonywania, a zagrożenia związane z kontynuowaniem prowizorium kryzysowego grożą, z jednej strony, poważnymi konsekwencjami prawnymi (zob. kary finansowe przewidziane w RODO i CyberbezpU), z drugiej zaś strony, zagrożeniem wystąpienia incydentu w zakresie cyberbezpieczeństwa, które może uniemożliwić kontynuowanie działalności firmy częściowo lub w całości (zob. ostatni przypadek firmy Garmin27 ). W relacji pracodawca–pracownicy należy także pamiętać, że w polskim systemie prawnym odpowiedzialność tych ostatnich, co zostało wskazane powyżej, oparta jest na zasadzie winy. Pracodawcy zatem muszą upewnić się, że pracownicy Ci zostali odpowiednio przeszkoleni (przy czym nie mówimy tu o przeszkoleniu jednorazowym, a raczej o szkoleniach okresowych połączonych z weryfikacją poziomu wiedzy i monitoringiem działań pracowników podejmowanych w zakresie bezpieczeństwa) i korzystają ze środków technicznych skonfigurowanych adekwatnie do występujących ryzyk. Według wspomnianego już raportu IBM, 24% skutecznych ataków hakerskich zawdzięcza swój sukces błędom popełnianym przez człowieka (tzw. human errors), choć jeśli zsumujemy tu jeszcze dwie kategorie (phishing i ransomware), które też bardzo często opierają się na czynniku ludzkim, okaże się, że połowie ataków hakerskich można byłoby zapobiec, gdyby atakowane przedsiębiorstwa poświęciły więcej czasu na edukację swoich zespołów.
Pandemia trwa w dalszym ciągu i nic nie wskazuje na jej szybkie zakończenie. Nawet jeśli miałoby się to wydarzyć, z dużą dozą prawdopodobieństwa można stwierdzić, że praca zdalna zyskała sobie stałe obywatelstwo na rynku pracy. Wpisanie jej więc na stałe zarówno do ładu korporacyjnego przedsiębiorstwa, regulacji związanych z zarządzaniem pracownikami oraz do procesów związanych z zapewnieniem bezpieczeństwa przetwarzania danych wydaje się być absolutną koniecznością, niezależnie od tego, czy jakiekolwiek przepisy doprecyzowujące zasady jej bezpiecznego świadczenia zostaną wprowadzone do polskiego porządku prawnego, czy też nie.
Cybersecurity and remote work
The situation caused by the outbreak of the COVID-19 virus has forced many companies to switch to crisis management and often shift to remote work. It turns out that the processes and procedures in some companies are not properly adjusted to the new conditions. With the dynamically increasing level of cyber threats, the sphere of cybersecurity should not be underestimated, and companies should take appropriate measures to reduce the risk of damage resulting from attacks on IT infrastructure. Both national and EU legislators have not introduced any detailed regulations on remote work so far, and thus the burden of introducing appropriate rules of conduct rests on individual entrepreneurs. Today, cybersecurity should not be considered only from the perspective of applying adequate IT security solutions, but also in terms of introducing appropriate work organization, including the principles of using suitable tools and procedures for data processing, in accordance with the guidelines and recommendations of national and international institutions, such as ENISA or UODO (Personal Data Protection Office in Poland).
Autorzy: Michał Kibil, Ireneusz Piecuch
Artykuł pochodzi z dodatku do Monitora Prawniczego Prawo nowych technologii – dane osobowe i prywatność, cyberbezpieczeństwo, handel elektroniczny, innowacje, internet i media, prawo IT pod red. Xawerego Konarskiego (MOP 2020, Nr 20)
1 Zob. https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/.
2 Zob. https://data.europa.eu/euodp/en/data/dataset/S2249 92 2 499 ENG.
3 Zob. https://www.accenture.com/us-en/insights/security/cost-cybercrime-study.
4 Ustawa z 2.3.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, Dz.U. poz. 374 ze zm.; dalej jako: KoronawirusU.
5 M.D. Rousculp, S.S. Johnston, L.A. Palmer, B.-Ch. Chu, P.J. Mahadevia, K.L. Nichol, Attending Work While Sick: Implication of Flexible Sick Leave Policies, „Journal of Occupational and Environmental Medicine” 2010, t. 52, z. 10, s. 1009–1013.
6 Ustawa z 19.6.2020 r. o dopłatach do oprocentowania kredytów bankowych udzielanych przedsiębiorcom dotkniętym skutkami COVID-19 oraz o uproszczonym postępowaniu o zatwierdzenie układu w związku z wystąpieniem COVID-19, Dz.U. poz. 1086 ze zm.
7 Zob. https://www.proofpoint.com/sites/default/files/2020-05/gtd-pfpt-us-tr-user-risk-report-2020.pdf.
8 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. L Nr 119 z 4.5.2016 r., s. 1 i n. ze zm.; dalej jako: RODO.
9 T. jedn.: Dz.U. z 2020 r. poz. 1369 ze zm.; dalej jako: CyberbezpU.
10 Jako że problematyka kar finansowych związanych z naruszeniami RODO i CyberbezpU jest szeroko opisywana w literaturze fachowej, autorzy odsyłają w tej mierze do tych publikacji.
11 Rozporządzenie Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, t. jedn.: Dz.U. z 2017 r. poz. 2247 ze zm.
12 Zob. https://uodo.gov.pl/pl/138/1459.
13 Zob. https://www.cisa.gov/sites/default/files/publications/20 0318 cisa insights coronavirus.pdf.
14 Zob. https://www.ncsc.gov.uk/files/home%20working%20v1.pdf.
15 Zob. https://www.enisa.europa.eu/tips-for-cybersecurity-when-working-from-home.
16 Zob. https://www.ilo.org/wcmsp5/groups/public/–-ed protect/–-protrav/–travail/documents/publication/ wcms 751232.pdf.
17 Por. wyrok SN z 27.7.1990 r., I PRN 26/90, OSP Nr 4/1991, poz. 90 oraz wyrok SN z 1.7.1999 r., I PKN 86/99, OSNAPiUS Nr 18/2000, poz. 683.
18 M. Gładoch [w:] Kodeks pracy. Komentarz, pod red. A. Sobczyka, 2020, Legalis, kom. do art. 108, Nb II. 1.
19 Por. wyrok SN z 25.10.1995 r., I PRN 77/95, OSNAPiUS Nr 11/1996, poz. 153.
20 Por. wyrok SN z 18.2.2015 r., I PK 171/14, MoPr Nr 10/2015, s. 506.
26 Ustawą z 24.7.2020 r. o zmianie ustawy o delegowaniu pracowników w ramach świadczenia usług oraz niektórych innych ustaw (Dz.U. poz. 1423 ze zm.) umożliwiono polecanie pracownikom wykonywania pracy zdalnej w okresie obowiązywania stanu zagrożenia epidemicznego albo stanu epidemii, ogłoszonego z powodu COVID-19, oraz w okresie 3 miesięcy po ich odwołaniu.
27 B. Barrett, The Garmin Hack Was a Warning, „WIRED”, dostępne na: https://www.wired.com/story/garmin-ransomware-hack-warning/.