Epidemia wirusa SARS-CoV-2 wymusiła daleko idące zmiany w organizacji pracy na całym świecie. Pracodawcy zaczęli korzystać z modelu pracy zdalnej, wykonywanej przez pracowników z domu. Nowe zasady realizacji obowiązków służbowych dotyczą w szczególności osób, dla których podstawowym (często nawet jedynym) narzędziem pracy jest komputer. Konieczność nagłej adaptacji do odmiennych warunków spowodowała, iż wielu pracowników rozpoczęło pracę na urządzeniach prywatnych. Wykorzystanie własnych komputerów zdecydowanie pozwala na realizacje zadań oraz zachowanie ciągłości pracy, a tym samym umożliwia funkcjonowanie pracodawców na rynku. Taka forma wykonywania obowiązków służbowych wiąże się jednak z poważnymi zagrożeniami, m.in. w zakresie ochrony tajemnicy przedsiębiorstwa.
Prywatny komputer w pracy
Na wstępie należy zwrócić uwagę na treść art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji. Zgodnie z tym przepisem dla uznania danej informacji za tajemnicę przedsiębiorstwa konieczne jest m.in. podjęcie, przy zachowaniu należytej staranności, działania w celu utrzymania jej w poufności. Niedopełnienie takiego obowiązku może mieć dwie istotne konsekwencje. W wymiarze faktycznym, skutkować może ujawnieniem poufnych danych, co w rezultacie może prowadzić do powstania znacznej szkody dla przedsiębiorcy. Istotnie ograniczona zostanie również możliwość przeciwdziałania skutkom nieuprawnionego rozpowszechnienia takich informacji. Nie będą one stanowić tajemnicy przedsiębiorstwa, a tym samym przedsiębiorca straci prawo do skorzystania z roszczeń przysługujących na podstawie wspomnianej powyżej ustawy.
Dla podjęcia skutecznych działań służących zachowaniu poufności informacji niezbędne jest ustalenie podstawowych zagrożeń, mogących doprowadzić do ich upublicznienia. Należ zastanowić się nad podstawowymi ryzykami, charakterystycznymi dla wykonywania pracy zdalnej na prywatnym komputerze pracownika.
Ryzyko ujawnienia/wycieku danych
Pierwsze, istotne zagadnienie stanowi problem zagwarantowania minimalnego stopnia bezpieczeństwa informatycznego komputera. W przypadku urządzeń służbowych kwestia ta należy do obowiązków pracowników działów IT, którzy posiadają odpowiednią wiedzę oraz niezbędne w tym zakresie narzędzia. Stopień zabezpieczenia komputerów prywatnych nie jest w żaden sposób regulowany przez pracodawcę. Bezpieczeństwo takiego urządzenia zależy wyłącznie od samego pracownika. Przykładowo, brak bieżącej aktualizacji oprogramowania, pobierane plików z niezaufanego źródła oraz brak ochrony antywirusowej, prowadzić mogą do nieświadomej instalacji programu szpiegującego. Przestępcy zwykle nie znają tożsamości ofiary, ale poszukują na przejętych komputerach wszelkich poufnych informacji, które potencjalnie mogą zapewnić im zysk. Zdobycie takich danych umożliwia im szantaż pracodawcy lub handel pozyskanymi informacjami.
„Zainfekowanie” komputera szkodliwym oprogramowaniem może mieć także dalsze konsekwencje. Urządzenia takie najczęściej służą łączeniu się z firmową siecią pracodawcy oraz logowaniu do aplikacji niezbędnych do wykonywania pracy (np. poczta e-mail). Tym samym przestępca może uzyskać nieautoryzowany dostęp do informacji nierzadko znacznie wykraczających poza te zawarte w plikach znajdujących się na komputerze. Dlatego ochrona komputerów szeregowych pracowników jest równie istotna, jak urządzeń należących do osób sprawujących kierownicze funkcje.
Ujawnienie tajemnicy przedsiębiorstwa nie musi jednak wynikać z ingerencji osób trzecich. Do wycieku poufnych danych może przyczynić się również sam pracownik, w szczególności, gdy nie posiada odpowiedniej wiedzy lub korzysta z komputera innego z domowników. Przykładowo niektóre systemy operacyjne oferują możliwość automatycznego tworzenia kopii plików w „chmurze”, co oznacza, że dokumenty zawierające istotne informacje, mogą omyłkowo trafić na serwery zewnętrznych podmiotów, często bez świadomości samego pracownika oraz, tym bardziej, bez wiedzy pracodawcy. Należy także zauważyć, że dostęp do takiej „chmury” mogą mieć również osoby trzecie, niezwiązane z danym przedsiębiorstwem.
Istotnym pozostaje również fakt, iż z prywatnego komputera często korzystają również domownicy pracownika. Użytkowanie jednego urządzenia przez wiele osób, w tym, np. dzieci, również może przyczynić się do upublicznienia plików zawierających poufne dane. Samo stwierdzenie, że domownicy mieli nieograniczony dostęp do formalnie niejawnych informacji, może skutkować odmową udzielania ochrony przysługującej tajemnicy przedsiębiorstwa.
Zabezpieczenia IT
W praktyce ryzyka opisane powyżej mogą zostać znacząco zminimalizowane przez stosunkowo proste działania. Sama aktualizacja wykorzystywanego oprogramowania oraz włączenie systemowej ochrony przeciw wirusowej istotnie poprawia bezpieczeństwo komputera. Stworzenie odrębnego konta użytkownika, zabezpieczonego hasłem, dodatkowo ogranicza niebezpieczeństwo przypadkowego udostepnienia poufnych informacji przez domowników. Nie można jednak wymagać, aby to sami pracownicy rozpoznawali zagrożenia oraz podejmowali odpowiednie środki ochrony. Znaczna ich część może nie posiadać odpowiedniej wiedzy, koniecznej dla samodzielnego zabezpieczenia komputera, a niektóre pozorne środki ochrony, użyte w nieodpowiedni sposób, mogą przynieść całkowicie przeciwny skutek.
Konieczny regulamin
Mając na uwadze powyższe, ochrona poufnych danych powinna zostać odgórnie zarządzona przez pracodawcę przed lub w pierwszych dniach rozpoczęcia pracy zdalnej, np. w postaci regulaminu. Forma prawna wspomnianego dokumentu zależeć będzie od zasad organizacyjnych obowiązujących u danego przedsiębiorcy, niemniej powinien on mieć charakter wiążący dla każdego z pracowników. Regulamin powinien zawierać szczegółowe wytyczne związane z korzystaniem z komputerów prywatnych. Pozwoli to ustalić jednolite zasady postepowania z dokumentami zawierającymi tajemnice przedsiębiorstwa, które stosowane będą przez wszystkich pracowników. W regulaminie nie powinno się zatem używać ogólnikowych stwierdzeń, takich jak, np. „niezbędne środki”. Najbezpieczniejszym rozwiązaniem jest przyjęcie założenia, że żaden z pracowników nie dysponuje wiedzą o środkach ochrony tajemnicy przedsiębiorstwa. Tym samym nie będzie on w stanie określić jakie środki są faktycznie „niezbędne”.
Właściwe sporządzony oraz przyjęty regulamin, służyć może również jako potwierdzenie, iż pracodawca podjął kroki niezbędne do zachowania poufności informacji. Tym samym, w przypadku ich upublicznienia, nadal będzie przysługiwać mu ochrona wynikająca z przepisów ustawy o zwalczaniu nieuczciwej konkurencji.
Opisane powyżej ryzyka stanowią jedynie przykładowa listę zagrożeń dla tajemnicy przedsiębiorstwa, specyficznych dla pracy zdalnej na prywatnym komputerze pracownika. Zauważyć należy, iż kompleksowe zapewnienie bezpieczeństwa wymaga uwzględnienia wielu dodatkowych czynników, zarówno w przypadku wykorzystywania komputerów prywatnych, jak i służbowych. W praktyce rodzaje zagrożeń oraz możliwe środki zaradcze różnić będą się u każdego przedsiębiorcy. Niewątpliwie jednak, w każdym przypadku istotne będzie opracowanie zbioru zasad dotyczących wykonywania pracy zdalnej.
Na ten temat piszemy także w Puls Biznesu z dn. 03.05.2020
Brak komentarzy