Cyberbezpieczeństwo pracy zdalnej.

PW: Paweł Wałuszko, Business Development Manager, Cybersecurity Expert at TestArmy CyberForces. Przede wszystkim zwróćmy uwagę na fakt, że praca zdalna, która pojawiła się tak naprawdę dość niedawno w naszym pojęciu, ponieważ w ostatnich 10 latach, jeżeli zerkniemy tak naprawdę na ilość Polaków pracujących zdalnie, ta cyfra oscylowała pomiędzy 3-5%. Ale w ostatnim kwartale roku 2019 wg danych Eurostatu i polskiego GUS-u było to 4,6% Polaków wykonywało swoją pracę w tzw home office. Jednak w ciągu jednego kwartału, już w pierwszym kwartale 2020 roku, mogliśmy zauważyć podwojenie się tej liczby osób pracujących do aż 11%. I dla tych, którzy by powiedzieli, że to jest tymczasowy trend zwróciłbym uwagę na fakt, że w drugim kwartale 2020 roku pracowało zdalnie nadal 10%. To się niewiele zmienia i możemy spodziewać się podobnych statystyk. Z punku widzenia cyberbezpieczeństwa i informatyki wygląda to tak, że firmy muszą uzewnętrznić część swojego intranetu czyli wewnętrznego Internetu, do którego wszyscy mają dostęp. To się wiąże czasami z uzewnętrznieniem niektórych usług np. systemów CRM, niektórych baz danych, są też foldery, do których mamy ogólny dostęp. Część firm przetwarza swoje dane i trzymuje je w tzw. chmurze czyli serwerze zewnętrznym czyli to może nie stwarzać problemu. Ale to tylko część firm. Jednak duża część firm polega na maszynach, na serwerach, które znajdują się wewnątrz naszych biur i tutaj musimy stworzyć odpowiednie bramki VPN, musimy je zabezpieczyć, stworzyć odpowiednie zabezpieczenie takie jak uwierzytelnienie dwuetapowe, które jest znacznie silniejsze niż zwykłe hasło. Zwróćmy też uwagę na fakt, że maszyny na których pracujemy, urządzenia, laptopy, smartphony one nie będą już znajdowały się wewnątrz naszej firmy, w naszym biurze, gdzie mamy do nich dostęp całodobowo, gdzie możemy wgrać pewne zabezpieczenia, gdzie jesteśmy pewni, że one są zamknięte fizycznie. One znajdują się teraz u kogoś w domu, gdzie nie możemy mieć gwarancji, że to bezpieczeństwo fizyczne i dostęp do tych maszyn jest rzeczywiście tak bardzo ograniczony jak w biurze. Mogę zwrócić tutaj uwagę na taki przykład, pracując w domu nie mamy gwarancji czy np. dziecko nie patrzy się na ekran gdzieś tam z tyłu, albo nie zrobi zdjęcia smartphonem a wiadomo, że rzeczy wyświetlane na pulpicie mogą zawierać dane osobowe. 

JK: Czy z punku widzenia rozwiązań prawnych jesteśmy przygotowani na zapewnienie bezpieczeństwa pracy zdalnej, ochrony firmy przed odpowiedzialnością, ochrony pracownika przed odpowiedzialnością właśnie chociażby w sytuacji takiej, że dziecko coś zobaczy i powie na zewnątrz. 

RG: Rafał Gołąb, Associate Partner w firmie JP Weber, radca prawny. Niestety nie, nie jesteśmy przygotowani pod kątem prawnym jeżeli mówimy o bezpiecznej pracy zdalnej z punku widzenia cyberbezpieczeństwa ochrony danych. Po pierwsze musimy pamiętać o tym, że praca zdalna to jest tak naprawdę nowe pojęcie, którego oficjalnie używamy od momentu pandemii i wejścia w życie tzw. ustawy antycovidowej, która wprost przewidziała, że pracodawca może na okres pandemii i 3 miesięcy po ustaniu tego okresu, skierować pracownika na taką pracę. Oczywiście jak pomyślimy o tym czym jest praca zdalna to wiemy, że coś takiego już funkcjonowało, ale skala była znacznie mniejsza przed pandemią niż mamy teraz do czynienia z pracą zdalną. Home office, który w wielu firmach był i nadal jest stosowany był wykorzystywany jednak na taką skalę, która pozwalała firmom kontrolować ten proces pracy zdalnej w większym stopniu niż gdy z dnia na dzień cały biznes został przeniesiony do domów naszych pracowników. Tu widzimy zagrożenie – że skala i szybkość tego procesu przenoszenia pracy do domu powoduje, że nie jesteśmy pod kątem prawnym przygotowani. Oczywiście ustawodawca podejmuje tutaj pewne działania. Pierwszym z nich jest oczywiście stwierdzenie czym jest praca zdalna i że taka możliwość istnieje. Jednakże poza wskazaniem, że pracownik może wykonywać pracę zdalną, jeżeli ma odpowiednie warunki techniczne, odpowiednie umiejętności, odpowiednie warunki lokalowe i narzędzia, to może taką pracę wykonywać. Ale jak teraz zastanowimy się co oznaczają „odpowiednie warunki lokalowe” , czy to dziecko, które zagląda nam w tym momencie przez ramię jest „odpowiednim warunkiem lokalowym” czy to, że pracujemy w jednym pokoju w kawalerce z kilkoma innymi osobami, które też może pracują, też może mają video konferencję, czy to, że korzystamy z własnych routerów sieci bliżej nieokreślonej i nie sprawdzonej przez naszego pracodawcę. To wszystko powoduje, że pracodawca, bo tutaj najważniejszy jest punkt widzenia pracodawcy i ochrona jego interesów, bo ostatecznie od odpowie za ewentualne naruszenie danych, czy pracodawca z czystym sumieniem może powiedzieć „tak, praca zdalna jest bezpieczna”. Na tę chwilę przepisy nie dają takiej możliwości, takiego stwierdzenia, z tego względu, że pojęcia są nieokreślone. Wiemy, że możemy pracować, wskazane są przesłanki kiedy, natomiast pozostaje dużo pytań otwartych. Trwają prace nad projektem zmian kodeksu pracy co jest szczególnie istotne z tego względu, że rozwiązania covidowe są rozwiązaniami tymczasowymi. Mówiąc o pracy zdalnej aktualnie mówimy o rozwiązaniu tymczasowym. Natomiast w naszej ocenie, praca zdalna zostanie z nami już na zawsze, w tej czy innej formie, dlatego konieczne jest jej uregulowanie już na stałe i na przyszłość. Prace skupiają się również na stwierdzeniu czym jest praca zdalna, w jakich warunkach może być wykonywana, że na sprzęcie własnym lub dostarczonym przez pracodawcę. W dalszym ciągu brakuje odpowiedzi na pytania o to, jaki to dokładnie powinien być sprzęt, jakim warunkom powinien odpowiadać i kto powinien to ocenić. 

JK: Dwa tutaj podstawowe elementy, element prawny – zapewnienie ram funkcjonowania pracy zdalnej i element technologiczny. Czy on istnieje? Czy pracodawca zlecając pracę zdalną ma już w tej chwili, może mieć dostęp do narzędzi, które zapewnią mu bezpieczeństwo. 

RG: Owszem, są takie rozwiązania techniczne, które pozwolą pracodawcy monitorować tę pracę zdalną, tak samo jak bezpieczeństwo tej pracy zdalnej, w pewnym zakresie. Można to tego wykorzystać oprogramowanie do monitorowania sieci, które np. sprawdza meta dane, czy komputer jest włączony, jakie aplikacje są używane, jakie protokoły są używane, jaki jest transfer danych, jakiego typu są te dane. Takie informacje oczywiście możemy zbierać o swoim pracowniku, ale nie wszystkie, ponieważ, zwracam uwagę na fakt, że nie każdy zakres monitorowany może być sankcjonowany. Bo w momencie np. kiedy monitorujemy dane, które mogą ujawnić moje preferencje polityczne – już nie wiem czy w tym momencie taki monitoring byłby wskazany – to zwróćmy uwagę na fakt, że jest naprawdę wiele rozwiązań komercyjnych, które pozwalają pracodawcom monitorować swojego pracownika, ale to, że takie rozwiązania istnieje na rynku i że posiada taką funkcjonalność nie oznacza, że może być użyte w każdym przedsiębiorstwie. 

JK: Jak w takim razie rozróżnić, rozgraniczyć monitorowanie na potrzeby pracy od wdarcia się w życie prywatne człowieka. Bo tak naprawdę człowiek pracuje w środowisku domowym, często może mieć po prostu jeden komputer, w związku z tym tutaj ten styk zaczyna być bardzo niebezpieczny i płynny. 

RG: Zgadza się. Dwa istotne elementy. Jeden to narzędzia, na których pracownik pracuje i nie tylko pracuje, a druga kwestia to w jaki sposób możemy kontrolować wykonywanie przez niego pracy. Z punku widzenia prawnego nie mówimy tylko o aspekcie jakie czynności wykonuje na komputerze, ponieważ praca zdalna to nie tylko komputer. To są także rozmowy, spotkania, nawet bezpośrednie, dlatego ten sposób monitorowania pracy zdalnej również pod kątem widzenia prawa ma duże znaczenie. Po kolej. Jeżeli mówimy o narzędziach, jak najbezpieczniej z punku widzenia pracodawcy to zorganizować. Idealnie jest, jeżeli pracownik pracuje na sprzęcie dostarczonym przez pracodawcę. I tak rzeczywiście prawodawca wskazuje, że to pracodawca jest odpowiedzialny za dostarczenie odpowiedniego sprzętu swojemu pracownikowi, jeżeli wysłał go na pracę zdalną. Przy czym musimy tu pamiętać o tym, że komputer to nie jest jedyne narzędzie, którego pracownik potrzebuje do wykonywania pracy. Taki router czy telefon to już jest kolejne narzędzie, które – pytanie - pracodawca ma możliwość zapewnić. W idealnym świecie dobrze, gdyby to zrobił, gdyby nawet podłączył Internet w pokoju tego pracownika, ponieważ wtedy miałby pełną kontrolę nad jakością. Nie zapominajmy, że w firmach szereg nakładów finansowych, czasu, poświęcanych jest na zapewnienie cyberbezpieczeństwa. Przeprowadzane są audyty, nie tylko sprawdzają sprzęt pod kątem technologicznym, ale audyt dotyczący cyberbezpieczeństwa analizauje też jak firma jest bezpieczna pod kątem wycieku tych danych, gdzie się znajdują te sprzęty, czy daleko od okna, ile osób ma dostęp do pomieszczeń. Tych czynników jest bardzo dużo, w związku z tym ten element kontroli narzędzi pracy z punktu widzenia pracodawcy jest bardzo nieokreślony i na tę chwilę nie jesteśmy w stanie odpowiedzieć co pracodawca może zrobić w pełni, w domu. 

PW: Panie Rafale, chciałem podziękować za wyjaśnienie tego pojęcia, ponieważ z punku widzenia cyberbezpieczeństwa ten trend BYOD – bring your own device czyli używaj własnego urządzenia do wykonywania pracy, jest bardzo trudnym tematem, ponieważ my inwestujemy w różnego rodzaju rozwiązania – mówię tu z punku widzenia informatyka – takie jak zapory, takie jak systemy antywirusowe i my nie mamy gwarancji, że ten komputer naszego pracownika jest odporny na ataki, na takim samym poziomie jak nasze komputery wewnętrzne. Więc ja w tym momencie nie mam żadnej gwarancji, że mój pracownik ma aktualnego antywirusa, a jeżeli tak, to czy on na tym samym poziomie zabezpiecza komputer co nasz wewnętrzny antywirus, którego używamy w firmie. Antywirus to oczywiście jest tylko jeden przykład. Jest cały szereg technologii, które są używane. Numer dwa – dochodzą też problemy licencyjne. Proszę zwrócić uwagę, że jeżeli posiadamy pakiem MS Office u siebie to ten office może się różnić od office’a, którego używamy w biurze. Bo w biurze mam licencję dla biznesu a używanie pakietu MS Ofiice Home Edition przeznaczonego dla użytkownika prywatnego czyli jednej osoby czy może być wykorzystywany do redagowania plików biurowych, biznesowych. 

RG: Podpowiem, że nie powinien.

JK: Nie powinien czy nie może?

RG: W praktyce spodziewam się, że te osoby, które nie mają przez pracodawcę zapewnionych odpowiednich sprzętów robią to. Nie wyobrażam sobie, że nie mamy do czynienia, przez ostatnich kilka miesięcy z taką sytuacją, że pracownik w nagłej sytuacji, jeżeli wie, że coś musi zostać zrobione, nie zrobi tego dlatego, bo pracuje na swoim prywatnym komputerze a nie firmowym. 

JK: Czymś to grozi? 

RG: Po pierwsze naruszeniem warunków licencji. Po drugie wiele firm oświadcza, że prace wykonuje na licencjonowanych programach, wiec jeżeli jest to usługa wykonywana na rzecz podmiotu trzeciego i takie oświadczenia składamy, że nie mamy tutaj ryzyka naruszenia żadnych praw autorskich innych podmiotów, to my w tym momencie odpowiadamy wobec tej kolejnej osoby, której takie oświadczenie złożyliśmy, że gwarantujemy iż takie naruszenia się nie pojawią. Jeżeli się pojawią to w takim momencie my będziemy za to odpowiadać. Oczywiście my jako pracodawca a nie ten pracownik. Powiedzieliśmy o narzędziach, że najlepiej żeby było to narzędzie dostarczone przez pracodawcę. Jeżeli nie jest to sytuacja o wiele bardziej się komplikuje, ale równie skomplikowana jest kwestia monitorowania pracy pracownika. Z tego względu, że na tę chwilę nie mamy uregulowanego tego co oznacza dla pracodawcy możliwość monitorowania pracy pracownika zdalnego. Czy to znaczy, że ja mogę znienacka prosić go na video konferencję, czy on ma kamerą okrążać mieszkanie, czy ja mogę sprawdzić czy to są rzeczywiste warunki lokalowe umożliwiające pracę, czy ja mogę przyjść do niego i przeprowadzić wizję lokalną. Na te pytania, na tę chwilę, teoretycznie nie ma odpowiedzi dlatego konieczne jest uregulowanie nawet między pracownikiem a pracodawcą na czym dokładnie polega praca zdalna. Dlatego tak istotne jest, by uświadomić pracownikom, no i oczywiście pracodawcom, dlaczego to jest ważne. Dlaczego uregulowanie tej pracy zdalnej jest istotne nie ze względu na konieczność ich kontroli, ale żeby pokazać im dlaczego firmy tak bardzo muszą zwracać na to uwagę, i dlaczego to bezpieczeństwo pracy z domu jest istotne dla biznesu. 

JK: Zaczęliśmy mówić o monitorowaniu pracy pracownika ale przede wszystkim po to żeby sprawdzić czy on robi to co powinien robić i tak jak powinien robić. Ale praca zdalna, wyjście z biura to także większe ryzyko ataku zewnętrznego. Czy przez rok takiego gwałtownego wzrostu pracy zdalnej widać skutki tego zagrożenia, widać większą liczbę ataków, widać większe otwarcie danych na wyciek. 

PW: Może nie chodzi tu tak naprawdę o te wycieki danych, ponieważ istotne jest jak dochodzi do tych wycieków danych a statystyka nam mówi już od wielu lat, że najsłabszym ogniwem jeżeli chodzi o odporność na ataki hackerskie i cyberbezpieczeństwo ogólnie jest niestety człowiek. Błędy ludzkie, ten czynnik ludzki jest odpowiedzialny za około 50-60% wycieków wszelkich danych. Więc jeżeli taki pracownik pracuje z domu, on/ona traci kontakt ze swoimi współpracownikami z biura co może powodować, że taka osoba jest bardziej podatna na ataki socjotechniczne. Otrzymuje po prostu jakiegoś maila, jaką wiadomość pt „ktoś w biurze już coś zatwierdził, chciałbym tylko otrzymać dodatkowe dane, proszę zresetować hasło….”. Może być naprawdę wiele typów wiadomości i maili, które prowadzą do zainstalowania jakiejś wtyczki, do wyłączenia antywirusa, do uzewnętrznienia jakiegoś hasła, ponieważ zostało wpisane w bramkę. Brak tego kontaktu face to face na co dzień, który mielibyśmy w biurze powoduje to, że niestety nasi pracownicy mogą się spotkać z jakimś nowym atakiem, szczególnie socjotechnicznym i nie wiedzieć jak zareagować, albo po prostu sądzić, że skoro otrzymują maila, który wygląda dość rzetelnie, że prawdopodobnie ktoś w biurze podjął decyzje, do których ten pracownik powinien się dostosować. 

JK: I w takiej sytuacji kto ponosi odpowiedzialność? 

RG: Musimy pamiętać o tym, że za naruszenie danych osobowych zawsze odpowiedzialny będzie pracodawca. Będzie mógł w określonych przypadkach pociągnąć do odpowiedzialności swoich pracowników, zwłaszcza jeżeli udowodni im winę w tych działaniach. Jednakże to pracodawca jest administratorem danych, to on je przetwarza, on nimi dysponuje, a to oznacza, że niezależnie czy pracujemy z domu czy z firmy to wykonujemy swoje obowiązki na rzecz pracodawcy. I ewentualne naruszenia wcześniej wymienione, przykłady działań, podstępów, które byłyby skierowane w stronę naszych pracowników, wcześniej uderzą w nas. Dlatego powinniśmy sobie zadać pytanie, jako przedsiębiorcy, jako pracodawcy, co możemy w związku z tym zrobić. Wiemy o tym, że praca zdalna nie jest idealna. Wiemy o dużej ilości zagrożeń z tym związanych, ale biznes musi być prowadzony. W związku z tym nasi klienci pytają co w takim razie możemy zrobić ponieważ my musimy prowadzić naszą działalność. Są nowe okoliczności, co w takim razie powinniśmy zrobić. I wchodzenie zarówno w pracę zdalną jak i w sieć pod kątem świadczenia swoich usług powinniśmy znaleźć odpowiedzi na kilka pytań. Po pierwsze, czy ja w ogóle znam przepisy, które regulują możliwość świadczenia usług w tej nowej formie. Najczęściej odpowiedź brzmi NIE. Są firmy, które z dnia na dzień dowiedziały się, że zamykamy np. gastronomię i na drugi dzień mogę otworzyć e-sklep i świadczyć usługi online. W związku z tym te osoby w jeden dzień nie nabędą wiedzy jakie przepisy o ochronie danych z zakresu cyberbezpieczeństwa powinny mieć zastosowanie w ich przypadku. One powinny skupić się na biznesie, jak załatwić logistykę, jak poinformować klientów, że teraz będą w innej formie dostarczać swoje produkty. To powinno być celem przedsiębiorcy. Natomiast to co powinien zrobić, to w mojej ocenie, zaufać ekspertom i powinien zwrócić się w tym momencie do ekspertów z zakresu prawa jak i cyberbezpieczeństwa i powierzyć im ten zakres. Drugi element, bardzo istotny to odpowiedź na pytanie czy mogę świadczyć moją usługę w sieci. I tu również najlepszą, w mojej ocenie, odpowiedzią na to pytanie jest ten audyt cyberbezpieczeństwa. Bo w tym momencie klient dostaje odpowiedź zarówno po kątem jak ma to zrobić, czy może to zrobić i na co ma zwrócić uwagę teraz i w przyszłości. Bo bardzo istotnym elementem tego cyberaudytu, który nas wprowadza w tę nową formę działalności w sieci jest to, że my dostajemy wskazówki co jest ryzykowne i co powinniśmy zmienić w przyszłości, na co zwracać uwagę.
I tak jak mówiliśmy o tych wszystkich zagrożeniach, o podszywaniu się, to wszystko jest wynikiem tego cyberaudytu, taką informację otrzymujemy i na tej podstawie przygotowujemy swoją działalność. 

JK: A jak wygląda cyberaudyt? 

PW: To jest temat morze, mógłbym tak powiedzieć, ponieważ cyberaudyt w takiej podstawowej swojej wersji to jest sprawdzenie aktualnego stanu zabezpieczeń pewnych procedur, oszacowanie jak może dojść do wycieku danych i jakie mogą być konsekwencje nienaprawienia tych potencjalnych problemów i budowanie strategii zabezpieczenia. To jest taka podstawowa chociaż tak naprawdę audyty z cyberbezpieczeństwa mogą być bardziej skomplikowane, np. testy penetracyjne zautomatyzowane i manualne. To są testy, w których hackerzy, w których pentesterzy tak zwani rzeczywiście próbują znaleźć lukę w bezpieczeństwie, w naszych zabezpieczeniach a to się naprawdę często zdarza. Proszę pamiętać o tym, że informatyk to też człowiek, nie jesteśmy komputerami. Często zdarzają się problemy, takie przykłady, które mogę zacytować, które widziałem na własne oczy.

JK: Proszę podać jakiś przykład.

PW: Korzystając z Internetu dotarłem na stronę pewnej uczelni, w której okazało się, że ta uczelnia zmieniła adres internetowy, co jest normalną procedurą. Jednakże stary serwer był wykorzystywany do tego, żeby przetrzymywać różnego rodzaju backupy. Czy to jest dobra praktyka? Można powiedzieć nie, ale zwrócę uwagę ile w tym momencie błędów zrobił ten informatyk. Po pierwsze używanie starszego zewnętrznego serwera do backupów to już samo w sobie jest czerwoną flagą chyba, że mamy gwarancję, że te backupy są rzeczywiście zaszyfrowane to wtedy możemy mówić, że dobrze, da się użyć taki serwer. Chociaż tego nie polecam. Druga rzecz to to, że na tym starym serwerze istniała kopia całej strony internetowej z całym intranetem uzewnętrznionym czyli on nie był w żaden sposób zaszyfrowany. Co więcej, jeżeli się kliknęło dalej to można było zauważyć, że był plik konfiguracyjny do bazy danych, z którego dowiedziałem się, że hasło to była nazwa uczelni. 

JK: Zawsze to mogło być 1234.

RG: Nazwa uczelni1234

PW: Dokładnie. To są te testy penetracyjne, które oczywiście wszyscy sprawdzają, nie tylko błędy technologiczne, ale też błędy ludzkie. Później dochodzą do tego testy socjotechniczne czy pracownicy są przygotowani mentalnie na to, że mogą otrzymać na przykład jakąś prośbę, która jest naprawdę dobrym podszyciem się np. pod szefa. Jest to technika tzw. mail spoofing czyli podszywanie się pod nadawcę i wiele osób mówi mi, że otrzymuje maile od samych siebie, co jest bardzo dziwne, ponieważ te systemy nie zawsze są zabezpieczone. I jeżeli teraz, jeżeli taki pracownik pracujący zdalnie otrzymuje maila, który wygląda rzetelnie, który używa prawidłową stopkę korporacyjną, który rzeczywiście wygląda jakby pochodził od osoby decyzyjnej, jest bardzo duża szansa na to, że ta osoba niższego szczebla nie będzie kwestionowała żadnej prośby i właśnie hackerzy w taki sposób atakiem socjotechnicznym przekonują tę osobę do współpracy, do wysyłania niektórych plików, do udostępniania komputera, do udostępnienia hasła, czegokolwiek by to nie było. No i oczywiście jeżeli ktoś jest naprawdę zainteresowany cyberbezpieczeństwem i tym większym audytem to już jest usługa reteamingu, który jest już pełną - że tak powiem – próbą hackowania firmy, oczywiście zleconą usługą hackowania, w którym dochodzi ten aspekt fizycznego dostępu do danych, wizytu w biurze, sprawdzeniu czy nie da się znaleźć jakichś pendrivów z danymi, czy  pendrivy są szyfrowane więc to też jest włamywanie się do systemów informatycznych. Oczywiście wszystko pod kontrolą. 

JK: W związku z tym miejmy świadomość tego, że praca zdalna jest i jej będzie coraz więcej. Czekamy na rozwiązania prawne, które, znowu, należy mieć nadzieję, że nastąpią jak najszybciej i wyjaśnią wątpliwości, ale zanim to wszystko nastąpi już teraz zacznijmy myśleć o swoim cyberbezpieczeństwie. Pierwszym krokiem jest audyt systemów na poziomie dostosowanym do potrzeb firmy.
Bardzo Panom dziękuję. 

PW: Dziękuję bardzo

RG: Dziękujemy bardzo.