Podczas ostatniego webinaru hybrydowego rozmawialiśmy o tym, jakie zagrożenia w cyberprzestrzeni grożą firmom, gdy ich pracownicy pracują zdalnie, i jak im zapobiegać. Webinar odbył się w dwóch miejscach naraz — stacjonarnie w Poznaniu w Save the Planet oraz online. Zobacz, jak zabezpieczyć się przed zagrożeniami w cyberprzestrzeni.
Niezależnie od tego, czy korzystamy z sieci służbowo czy prywatnie, grożą nam takie same zagrożenia w cyberprzestrzeni. Hakerzy wykorzystują nasze konta społecznościowe i e-maile, z których korzystamy na firmowych komputerach, by włamać się i skraść dane oraz poufne informacje dotyczące pracy i firmy.
W czerwcu 2021 r. głośno było o włamaniu się na konta e-mail jednego z ministrów, ponieważ na sprzęcie „służbowym” otwierał prywatną pocztę i korzystał z kont na portalach społecznościowych. W ten sposób dał hakerom możliwość dostępu do informacji państwowych. Do dziś hakerzy publikują kolejne wiadomości ministra w sieci.
Podczas spotkania uczestnicy wraz z prowadzącymi wspólnie wypracowali 7 kroków do efektywnej i cyberbezpiecznej pracy zdalnej:
- Zabezpieczenie sprzętu służbowego przed zagrożeniami w cyberprzestrzeni
- Wdrożenie zasad bezpieczeństwa podczas home office
- Zabezpieczenie drukarek i zakaz korzystania ze sprzętu poza organizacją
- Wprowadzenie haseł do zabezpieczenia dokumentów
- Nie klikaj w podejrzane linki
- Wprowadzenie zasad zgłaszania wycieków i naruszeń.
- Organizowanie szkoleń RODO dla pracowników, w tym z cyberbezpieczeństwa.
1. Zabezpieczenie sprzętu służbowego przed zagrożeniami w cyberprzestrzeni
Nie każdy pracodawca ma możliwość zapewnienia sprzętu służbowego, ale zasady cyberbezpieczeństwa są takie same w przypadku wykonywania pracy zdalnej zarówno na sprzęcie służbowym, jak i prywatnym.
Jak zabezpieczyć prywatny komputer pracownika przed pracą zdalną?
- Utwórz osobne konto zabezpieczone hasłem,
- Daj pracownikowi dostęp do chmury, w której będzie wykonywał pracę,
- Upewnij się, że ma zainstalowany i aktualny program antywirusowy,
- Ogranicz do minimum możliwość korzystania w trakcie pracy z prywatnych kont na Social Mediach oraz prywatnej poczty,
- Wprowadź jasne zasady zachowywania się w sieci.
- Przekaż pracownikom proste materiały edukacyjne (infografiki, tablice bezpieczeństwa — możecie je stworzyć wspólnie podczas szkolenia RODO)
- Zorganizuj szkolenie z RODO i cyberbezpieczeństwa (np. w formie online lub e-learning)
Podczas webinaru otrzymaliśmy pytanie:
Czy pracodawca ma obowiązek wyposażyć pracownika w Internet na czas home office?
Aktualnie Trwają prace nad nowelizacją Kodeksu Pracy i uregulowanie m.in. pracy zdalnej na wypadek lockdownu. Nic nie wskazuje na to, aby na pracodawcę nałożono obowiązek wyposażenia w sprzęt, łącze lub ubezpieczenia sprzętu. Każdy pracodawca dobrowolnie może wyposażyć pracowników. Ma jednak nadal obowiązek zapewnienia środków bezpieczeństwa, a także szkolić i uświadamiać pracowników.
2. Wdrożenie zasad bezpieczeństwa podczas home office
Działania RODO, które powinieneś wdrożyć, to określenie obszaru i czasu przechowywania danych, a także zabezpieczenia w postaci środków technicznych, których stopień będzie proporcjonalny do wymaganego poziomu.
Przykłady środków technicznych, które pozwolą Ci na zabezpieczenie danych:
- Każdy pracownik otrzymuje dostęp do unikalnego konta.
- Dostęp do każdego systemu IT wymaga uwierzytelnienia przez podanie loginu i hasła.
- Hasło ma wysoki stopień trudności (minimum 8 znaków, małe duże litery, znaki szczególne) oraz stosowany jest mechanizm cyklicznej zmiany haseł.
- Dostęp do systemów IT i baz danych jest nadawany tylko w zakresie niezbędnym do wykonywania obowiązków.
- W razie dłuższego braku aktywności stosowane są automatyczne blokady dostępu.
- Kopie zapasowe służą do ochrony przed utratą danych.
- Dyski są szyfrowane.
- Systemy zabezpieczone są antywirusami.
- Dostęp do sieci zabezpieczony jest przez firewall.
- Prowadzone są szkolenia z RODO i Cyberbezpieczeństwa.
- Stosowane są zabezpieczenia WPA2 dla firmowej sieci WiFi.
- Dane osobowe w formie papierowej przechowywane są w zamkniętych szafach.
- Po ustaniu terminu retencji dokumenty są niszczone w niszczarkach.
- Stosowanie „Polityki czystego biurka”.
Jakie zabezpieczenia wdrożyli uczestnicy?
3. Zabezpieczenie drukarek i zakaz korzystania ze sprzętu poza organizacją
Urządzenie ksero, w ty też domowe skanery i drukarki, mają wbudowaną pamięć. Z tego powodu Twoi pracownicy nie powinni korzystać ze sprzętu drukującego poza organizacją, aby ich właściciele nie uzyskali dostępu do treści skanowanych lub kserowanych dokumentów.
4. Wprowadzenie haseł do zabezpieczenia dokumentów
Rozporządzenie MSWiA doprecyzowało wymogi dotyczące haseł, w sytuacji, gdy przynajmniej jedno urządzenie infrastruktury sieci lokalnej podłączone jest do sieci publicznej.
Jakie hasło ustawić do zabezpieczenia dokumentów?
- Hasło powinno składać się z co najmniej 8 znaków oraz być złożone z małych i dużych liter, cyfr lub znaków specjalnych.dokumentów
- Powinno być zmieniane nie rzadziej niż co 3 miesiące.
Należy wdrożyć w organizacji Politykę Haseł i w sposób zrozumiały przedstawić ją pracownikom. W tym celu warto wprowadzić tzw. menedżer haseł, który nie tylko bezpiecznie przechowa nasze dane logowania, ale również wygeneruje nam silne hasła, które następnie automatycznie będzie wprowadzał w panel logowania systemów, z których korzystamy.
5. Nie klikaj w podejrzane linki
Hakerzy atakują bez względu na to, czy pracujemy z firmy, czy zdalnie. Każdy powinien być świadomy, że większość ataków hakerskich bazuje na socjotechnice.
Co to jest Phishing i na czym polega? – zagrożenia w cyberprzestrzeni
Hakerzy szukają jak najwięcej informacji o Tobie/pracownikach, a następnie przesyłają linki w odpowiednio spreparowanych wiadomościach (tzw. Phishing). Wpływają one emocjonalnie i przekonująco na odbiorcę i zachęcają lub zmuszają do wykonania operacji na zainfekowanych stronach, lub uruchamianie zainfekowanych załączników.
W konsekwencji otwarcia linku lub załącznika Haker otrzymuje dostęp do naszego komputera i, jeżeli mamy na nim dane firmowe, to zagrożenie dotyczy również danych klientów czy pracowników. To może to być początkiem problemów takich jak np. wyciek haseł do konta bankowego lub innych serwisów.
Ucz się na błędach innych — atak hakerski i kara 3 MLN zł na Morele.net.
- Hakerzy przez panel jednego z pracowników włamali się do systemu sklepu internetowego morele.net. Hakerzy uzyskali dostęp do danych wszystkich klientów.
- Klienci morele.net otrzymali wiadomość SMS z tzw. phishingiem „Dopłać 1 zł do zamówienia link”.
- Klienci, którzy kliknęli link i zalogowali się do banku, aby dopłacić 1 zł, mieli wyczyszczone konta.
- UODO uznało, że Morele.net nie zadbało o środki bezpieczeństwa i szkolenie dla pracowników i wydało za to decyzje o 2.8 mln kary. Ponadto pomimo odwołania się przez Morele.net do sądu. Sąd WSA w Warszawie utrzymał karę 2.8 mln w mocy.
Wynika z tego, że za brak odpowiednich zabezpieczeń i szkoleń pracowników, konsekwencje ponoszą zarówno przedsiębiorcy (administratorzy), jak i ich klienci.
Co to jest RANSOMEWEAR i na czym polega? – zagrożenia w cyberprzestrzeni
Innym rodzajem ataku hakerskiego stają się ataki typu RANSOMEWEAR. Te ataki stały się realnym ryzykiem, praktycznie niezależnie od skali, czy od rodzaju działalności. Złośliwe oprogramowanie szyfruje dane zapisane na serwerach i uniemożliwia do nich dostęp, wymuszając zapłatę okupu za ich ponowne udostępnienie.
W listopadzie 2021 r. to Media Markt ma problem z zamówieniami po ataku typu RANSOMEWEAR.
- Hakerzy grupy Hive wykorzystują w czasie promocji Black Week oprogramowanie typu RANSOMEWARE, aby zdobyć i zakodować dane sieci Media Markt i Saturn tak, by osoby odpowiedzialne traciły dostęp do danych.
- Wskutek ataku zablokowano działania placówek w Niemczech i Holandii.
- Za odblokowanie zaszyfrowanych danych przestępcy zażądali okupu w wysokości 240 mln dolarów.
- Media Markt zawiadomił organy typu UODO i walczył ze skutkami ataku. Jeszcze tydzień po ataku nie było na stronach informacji o niektórych produktach i zablokowane było korzystanie z niektórych usług.
Nie ma jednej metody obrony przed atakami. Przedsiębiorstwa muszą uszczelnić swoje zasoby informacyjne, tym bardziej podczas pracy zdalnej i w sposób stały, systemowy zabezpieczać się przed cyberatakiem.
6. Wprowadzenie zasad zgłaszania wycieków i naruszeń.
Najważniejsze w zachowaniu bezpieczeństwa jest niezwłoczna informacja i reakcja na zdarzenie, które może nieść konsekwencje wycieku, kradzieży lub usunięcia danych. Każdy wyciek to stwarza zagrożenie i powinien być niezwłocznie zgłoszony do administratora i obsługi IT.
Aby zminimalizować ewentualne negatywne skutki naruszenia zalecamy:
- Ignorować nieoczekiwanych wiadomości, w szczególności od nieznanych nadawców.
- Zachować ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów tzn. nieprzekazywanie obcym osobom przez telefon danych, haseł, informacji.
- Zmieniać hasła m.in. na kontach bankowych, w serwisach społecznościowych, mailach, w tym mailach związanych z pracą, i wszelkich aplikacjach.
- Aktywować raportów o próbach złożenia wniosków kredytowych na Twoje dane (https://www.bik.pl/klienci-indywidualni/alerty-bik)
- Sprawdzać, czy strona www jest szyfrowana tzn. czy adres strony www rozpoczyna się od „https://” przed wprowadzeniem na stronach www jakichkolwiek danych osobowych lub haseł.
- Jak najszybciej przekazać informację do pracodawcy, jeśli w przypadku wykorzystania Twoich danych przez osobę nieuprawnioną,
- Plany i rozwiązania, dotyczące ciągłości działania i odzyskiwania danych po awarii, muszą zawierać strategię pracy zdalnej, zapewniającą możliwość świadczenia pracy przez pracowników z dowolnej lokalizacji, bez narażania bezpieczeństwa sieci firmy.
UWAGA! Nie bój się! Niezwłocznie zgłaszaj wycieki i/lub naruszenia do administratora. On jako administrator ma 72 h na samodonos do UODO. Zgłoszenie do UODO można składać w formie elektronicznej przez ePUAP.
7. Organizowanie szkoleń RODO dla pracowników, w tym z cyberbezpieczeństwa.
Czy Twoi pracownicy mają świadomość tego, jakie zdarzenie to incydent/naruszenie? Jeśli nie to koniecznie musisz zadbać, aby mieli taką świadomość. Wyłącznie wtedy, gdy pracownik przejdzie szkolenie, zareaguje odpowiednio i będzie wiedział, że należy zgłosić zdarzenie do Zarządu lub Inspektora Ochrony Danych Osobowych (IOD).
Miej na uwadze, że aż 80% naruszeń wynika z przyczyn wewnętrznych tzn. z błędu pracownika lub procesora. Badania SFODO 2018-2019 i 2020 wskazują, że źródłem naruszeń bezpieczeństwa danych osobowych jest błąd ludzki wynikający z niewiedzy.
Jak organizować szkolenia z RODO w przedsiębiorstwie czy organizacji, aby były skuteczne?
Warto podejść do Bezpieczeństwa Danych Osobowych jak do szkoleń z Bezpieczeństwa i Higieny Pracy (BHP), a zatem organizować cykliczne szkolenia z RODO i Cyberbezpieczeństwa.
Zalecane jest, aby:
👉 szkolić wszystkich pracowników minimum raz do roku,
👉 wprowadzić zasadę (procedurę), że nowy pracownik nim rozpocznie pracę, będzie uczestniczył w szkoleniu RODO i Cyberbezpieczeństwa.
👉 IOD/pracownicy, którzy przetwarzają dane na dużą skalę, w tym dane szczególnej kategorii, powinni uczestniczyć w szkoleniach rozszerzonych.
Forma szkoleń powinna odzwierciedlać faktyczne potrzeby danego przedsiębiorcy lub organizacji. W dobie pracy zdalnej i rozwoju biznesu online rozwiązaniem jest wdrożenie szkoleń w formie e-learning RODO dla pracowników, szkoleń wideo dla Menadżerów lub organizacja szkolenia online na żywo.
Warto też co najmniej raz do roku przeprowadzać audyt bezpieczeństwa (RODO) i cyberbezpieczeństwa, które polega na przeglądzie procesów, narzędzi, aplikacji, oraz dostosowanie klauzul i dokumentów, oraz przegląd danych.