Epidemia wirusa SARS-CoV-2 wymusiła daleko idące zmiany w organizacji pracy na całym świecie. Pracodawcy zaczęli korzystać z modelu pracy zdalnej, wykonywanej przez pracowników z domu. Nowe zasady realizacji obowiązków służbowych dotyczą w szczególności osób, dla których podstawowym (często nawet jedynym) narzędziem pracy jest komputer. Konieczność nagłej adaptacji do odmiennych warunków spowodowała, iż wielu pracowników rozpoczęło pracę na urządzeniach prywatnych. Wykorzystanie własnych komputerów zdecydowanie pozwala na realizacje zadań oraz zachowanie ciągłości pracy, a tym samym umożliwia funkcjonowanie pracodawców na rynku. Taka forma wykonywania obowiązków służbowych wiąże się jednak z poważnymi zagrożeniami, m.in. w zakresie ochrony tajemnicy przedsiębiorstwa.
Prywatny komputer w pracy
Na wstępie należy zwrócić
uwagę na treść art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji. Zgodnie
z tym przepisem dla uznania danej informacji za tajemnicę przedsiębiorstwa
konieczne jest m.in. podjęcie, przy zachowaniu należytej staranności, działania
w celu utrzymania jej w poufności. Niedopełnienie takiego obowiązku może mieć
dwie istotne konsekwencje. W wymiarze faktycznym, skutkować może
ujawnieniem poufnych danych, co w rezultacie może prowadzić do powstania
znacznej szkody dla przedsiębiorcy. Istotnie ograniczona zostanie również możliwość
przeciwdziałania skutkom nieuprawnionego rozpowszechnienia takich informacji.
Nie będą one stanowić tajemnicy przedsiębiorstwa, a tym samym przedsiębiorca
straci prawo do skorzystania z roszczeń przysługujących na podstawie
wspomnianej powyżej ustawy.
Dla podjęcia
skutecznych działań służących zachowaniu poufności informacji niezbędne jest
ustalenie podstawowych zagrożeń, mogących doprowadzić do ich upublicznienia. Należ
zastanowić się nad podstawowymi ryzykami, charakterystycznymi dla wykonywania
pracy zdalnej na prywatnym komputerze pracownika.
Ryzyko
ujawnienia/wycieku danych
Pierwsze, istotne
zagadnienie stanowi problem zagwarantowania minimalnego stopnia bezpieczeństwa
informatycznego komputera. W przypadku urządzeń służbowych kwestia ta należy do obowiązków
pracowników działów IT, którzy posiadają odpowiednią wiedzę oraz niezbędne w tym
zakresie narzędzia. Stopień zabezpieczenia komputerów prywatnych nie jest w
żaden sposób regulowany przez pracodawcę. Bezpieczeństwo takiego urządzenia zależy
wyłącznie od samego pracownika. Przykładowo, brak bieżącej aktualizacji oprogramowania,
pobierane plików z niezaufanego źródła oraz brak ochrony antywirusowej,
prowadzić mogą do nieświadomej instalacji programu szpiegującego. Przestępcy zwykle
nie znają tożsamości ofiary, ale poszukują na przejętych komputerach wszelkich
poufnych informacji, które potencjalnie mogą zapewnić im zysk. Zdobycie takich
danych umożliwia im szantaż pracodawcy lub handel pozyskanymi informacjami.
„Zainfekowanie”
komputera szkodliwym oprogramowaniem może mieć także dalsze konsekwencje. Urządzenia
takie najczęściej służą łączeniu się z firmową siecią pracodawcy oraz logowaniu
do aplikacji niezbędnych do wykonywania pracy (np. poczta e-mail). Tym samym
przestępca może uzyskać nieautoryzowany dostęp do informacji nierzadko znacznie
wykraczających poza te zawarte w plikach znajdujących się na komputerze. Dlatego
ochrona komputerów szeregowych pracowników jest równie istotna, jak urządzeń
należących do osób sprawujących kierownicze funkcje.
Ujawnienie tajemnicy
przedsiębiorstwa nie musi jednak wynikać z ingerencji osób trzecich. Do wycieku
poufnych danych może przyczynić się również sam pracownik, w szczególności, gdy
nie posiada odpowiedniej wiedzy lub korzysta z komputera innego z domowników.
Przykładowo niektóre systemy operacyjne oferują możliwość automatycznego tworzenia
kopii plików w „chmurze”, co oznacza, że dokumenty zawierające istotne
informacje, mogą omyłkowo trafić na serwery zewnętrznych podmiotów, często bez
świadomości samego pracownika oraz, tym bardziej, bez wiedzy pracodawcy. Należy
także zauważyć, że dostęp do takiej „chmury” mogą mieć również osoby trzecie,
niezwiązane z danym przedsiębiorstwem.
Istotnym pozostaje
również fakt, iż z prywatnego komputera często korzystają również domownicy
pracownika. Użytkowanie jednego urządzenia przez wiele osób, w tym, np. dzieci,
również może przyczynić się do upublicznienia plików zawierających poufne dane.
Samo stwierdzenie, że domownicy mieli nieograniczony dostęp do formalnie
niejawnych informacji, może skutkować odmową udzielania ochrony przysługującej
tajemnicy przedsiębiorstwa.
Zabezpieczenia IT
W praktyce ryzyka
opisane powyżej mogą zostać znacząco zminimalizowane przez stosunkowo proste
działania. Sama aktualizacja wykorzystywanego oprogramowania oraz włączenie
systemowej ochrony przeciw wirusowej istotnie poprawia bezpieczeństwo komputera. Stworzenie odrębnego
konta użytkownika, zabezpieczonego hasłem, dodatkowo ogranicza
niebezpieczeństwo przypadkowego udostepnienia poufnych informacji przez domowników.
Nie można jednak wymagać, aby to sami pracownicy rozpoznawali zagrożenia oraz podejmowali
odpowiednie środki ochrony. Znaczna ich część może nie posiadać odpowiedniej
wiedzy, koniecznej dla samodzielnego zabezpieczenia komputera, a niektóre
pozorne środki ochrony, użyte w nieodpowiedni sposób, mogą przynieść całkowicie
przeciwny skutek.
Konieczny
regulamin
Mając na uwadze
powyższe, ochrona poufnych danych powinna zostać odgórnie zarządzona przez
pracodawcę przed lub w pierwszych dniach rozpoczęcia pracy zdalnej, np. w
postaci regulaminu. Forma prawna wspomnianego dokumentu zależeć będzie od zasad
organizacyjnych obowiązujących u danego przedsiębiorcy, niemniej powinien
on mieć charakter wiążący dla każdego z pracowników. Regulamin powinien zawierać
szczegółowe wytyczne związane z korzystaniem z komputerów prywatnych. Pozwoli
to ustalić jednolite zasady postepowania z dokumentami zawierającymi tajemnice
przedsiębiorstwa, które stosowane będą przez wszystkich pracowników. W regulaminie
nie powinno się zatem używać ogólnikowych stwierdzeń, takich jak, np.
„niezbędne środki”. Najbezpieczniejszym rozwiązaniem jest przyjęcie założenia,
że żaden z pracowników nie dysponuje wiedzą o środkach ochrony tajemnicy
przedsiębiorstwa. Tym samym nie będzie on w stanie określić jakie środki są
faktycznie „niezbędne”.
Właściwe sporządzony
oraz przyjęty regulamin, służyć może również jako potwierdzenie, iż pracodawca
podjął kroki niezbędne do zachowania poufności informacji. Tym samym, w
przypadku ich upublicznienia, nadal będzie przysługiwać mu ochrona wynikająca z przepisów
ustawy o zwalczaniu nieuczciwej konkurencji.
Opisane powyżej ryzyka
stanowią jedynie przykładowa listę zagrożeń dla tajemnicy przedsiębiorstwa,
specyficznych dla pracy zdalnej na prywatnym komputerze pracownika. Zauważyć należy,
iż kompleksowe zapewnienie bezpieczeństwa wymaga uwzględnienia wielu
dodatkowych czynników, zarówno w przypadku wykorzystywania komputerów
prywatnych, jak i służbowych. W praktyce rodzaje zagrożeń oraz możliwe
środki zaradcze różnić będą się u każdego przedsiębiorcy. Niewątpliwie jednak,
w każdym przypadku istotne będzie opracowanie zbioru zasad dotyczących wykonywania
pracy zdalnej.
Na ten temat piszemy także w Puls Biznesu z dn. 03.05.2020