Trudno dzisiaj jednoznacznie przesądzać o ostatecznym kształcie modelu pracy, który utrwali się w postpandemicznej rzeczywistości. Obecnie najbardziej prawdopodobnym scenariuszem wydaje się być praca hybrydowa. Problem polega na tym, że nie wszystkie organizacje są do takiego rozwiązania odpowiednio przygotowane – z badania Cisco wynika, że w Polsce jest to tylko 19 proc. przedsiębiorstw. Jednym z najważniejszych wyzwań jest zapewnienie odpowiedniego poziomu bezpieczeństwa hybrydowego środowiska pracy. Niecałe 60 proc. respondentów twierdzi, że ich podmiot dysponuje obecnie odpowiednimi możliwościami w tym zakresie.

Specyfikę zagrożeń związanych z pracą zdalną pokazują wyniki badania McKinsey Global Survey. Po wybuchu pandemii firmy zainwestowały w wiele systemów do pracy zdalnej. W ciągu kilku miesięcy wprowadziły tyle nowych rozwiązań, ile wcześniej w czasie czterech lat. Nadmiar narzędzi powoduje dezorientację i frustrację pracowników, którzy muszą często przełączać się z jednego systemu na drugi. To może w konsekwencji zagrażać bezpieczeństwu firmy i prowadzić do wycieku poufnych danych.

Do tego realne wciąż pozostają zagrożenia znane z poprzednich okresów. Nic więc dziwnego, że – jak wynika z tegorocznego, opracowanego przez KPMG „Barometru cyberbezpieczeństwa” – co najmniej 69 proc. firm w Polsce odnotowało w 2021 roku przynajmniej jeden incydent zagrażający danym. To o 5 punktów procentowych więcej niż rok wcześniej. Ponad 20 proc. przedsiębiorstw zauważyło w 2021 roku wzrost liczby cyberataków, a tylko u 4 proc. badanych była ona mniejsza niż przed rokiem.

Raport KPMG pokazuje, że za największe zagrożenie firmy w Polsce uznają kradzież danych. Głównie poprzez phishing, czyli wyłudzanie danych uwierzytelniających, a w drugiej kolejności poprzez malware, czyli wyciek danych za pośrednictwem złośliwego oprogramowania. Przedsiębiorstwa obawiają się też zaawansowanych ataków ze strony cyberprzestępców (Advanced Persistent Threat, APT) oraz kradzieży danych przez pracowników.

Prawo zobowiązuje

W przypadku tak wysokiego ryzyka wycieku danych szczególnego znaczenia nabierają działania zmierzające do zapewnienia ich należytej ochrony. Zwłaszcza w przypadku danych poufnych czy wrażliwych, istotnych dla sprawnego funkcjonowania przedsiębiorstwa. Skala potrzeb w tym zakresie otwiera szerokie pole do działania dla integratorów. Tym bardziej, że jak wynika z badania KPMG, firmy w Polsce wciąż mają trudności z zatrudnieniem i utrzymaniem wykwalifikowanych pracowników. A przecież do zapewnienia specjalnej ochrony wielu rodzajów danych są zobowiązane przez istniejące przepisy.

Polskie prawo obejmuje ochroną kilka rodzajów informacji. Ustawa o ochronie informacji niejawnych określa zasady zabezpieczania czterech grup danych: zastrzeżonych, poufnych, tajnych i ściśle tajnych. Są również przepisy dotyczące ochrony informacji będących różnego rodzaju tajemnicą: państwową, służbową i zawodową. Ustawowej ochronie podlegają też tajemnice związane z funkcjonowaniem poszczególnych branż i sektorów gospodarki, w tym bankowa oraz telekomunikacyjna. Do prawnie chronionych należą też: tajemnica korespondencji i negocjacji, statystyczna czy geologiczna.

Z kolei zasady ochrony tajemnicy przedsiębiorstwa narzuca ustawa o zwalczaniu nieuczciwej konkurencji. Do tajemnicy przedsiębiorstwa należą informacje posiadające wartość gospodarczą, ale które nie są powszechnie znane albo nie są łatwo dostępne dla osób nimi zainteresowanych (np. bazy klientów, receptury, informacje o kontrahentach, plany produkcji, informacje o rynkach zbytu itp.) Przedsiębiorca musi jednak sam wskazać, które konkretnie informacje stanowią tajemnicę jego firmy i powinny zostać objęte ochroną.

W osobny sposób uregulowana została ochrona danych osobowych. Jej zasady określa obowiązujące od maja 2018 roku unijne rozporządzenie o ochronie danych osobowych (RODO). Mogą być one przetwarzane wyłącznie w ściśle określonych warunkach i do ściśle określonych celów. Mówią o tym artykuły 5. i 6. unijnego rozporządzenia.

Przepisy RODO nie precyzują jednak, w jaki sposób ma to być realizowane. Zastosowane rozwiązania muszą być adekwatne do oszacowanego ryzyka i istniejących uwarunkowań, w tym dostępnych narzędzi. Szczególną formą ochrony danych osobowych jest anonimizacja. Polega na usunięciu wszystkich informacji, które umożliwiałyby identyfikację konkretnej osoby.

Drukarkowa pięta achillesowa Budując system ochrony danych trzeba wziąć pod uwagę zwiększoną w warunkach pracy hybrydowej liczbę ataków na oprogramowanie sprzętowe (firmware). Jak wynika z globalnego badania HP Wolf Security, obrona przed atakami na firmware stała się w środowisku pracy rozproszonej trudniejsza niż wcześniej. Ponad 80 proc. biorących udział w badaniu liderów IT twierdzi, że poważne zagrożenie stanowią obecnie ataki na komputery osobiste. Z kolei zdaniem 76 proc. respondentów duży problem stanowią również ataki na firmware urządzeń drukujących. Brak ochrony w tych miejscach może narazić na szwank cały system bezpieczeństwa informacji w przedsiębiorstwie. Zgodnie z wynikami badania przeprowadzonego przez Brothera, tylko jedna czwarta informatyków dba o ochronę danych gromadzonych w drukarkach. Ponad połowa nie korzysta z funkcji uwierzytelniania użytkowników, a trzy czwarte nigdy nie uruchomiło szyfrowania dokumentów. Urządzenia drukujące są często pomijane przy tworzeniu bezpiecznego środowiska pracy.