Dodatkowo, zmiana modelu pracy nastąpiła w sposób nagły, uniemożliwiający spokojne testowanie rozwiązań służących pracy zdalnej, takich jak na przykład oprogramowanie do wideokonferencji. Ogólny bałagan związany ze zmianą stylu pracy a także związany z nim stres sprzyjał spadkowi koncentracji i zwiększał podatność na ataki phishingowe – czyli wyłudzenia danych dokonywanych za pomocą załączników do poczty elektronicznej. Złośliwe oprogramowanie często było przesyłane w formie, która sugerowała, że zawartość załącznika jest związana z rządową pomoc dla przedsiębiorstw.   

W wielu przedsiębiorstwach kolejnym problemem stał się wzrost kosztów obsługi systemów informatycznych. Pandemia wiązała się często ze spadkiem przychodów, a wzrost cen przenośnego sprzętu komputerowego i kosztów zapewnienia bezpieczeństwa pracowników działających zdalnie zaczął stanowić dodatkowe obciążenie, szczególnie gdy wiązał się z koniecznością wzrostu zatrudnienia w działach IT.

Jednak dla wielu firm pandemia stała się okazją dla optymalizacji systemów, czasami było to efektem planowego działania a czasami wynikało z konieczności. Często okazywało się, że wprowadzenie nowoczesnych systemów chmurowych nie tylko jest w stanie ograniczyć koszty ale również zwiększa bezpieczeństwo. Systemy chmurowe standardowo wymuszają właściwą politykę haseł czy oferują szyfrowanie przesyłanych danych. Ponadto posiadają wbudowane narzędzia analityczne służące do skutecznego wykrywania i neutralizowania zagrożeń, również z użyciem sztucznej inteligencji i uczenia maszynowego. Ich zaletą często jest też automatyzacja funkcji związanych z administracją systemów oraz ułatwienie kontaktu pracowników z działami IT.

Obecnie, najpoważniejszymi zagrożeniami wynikającymi z pracy zdalnej pozostają: możliwość ujawnienia treści rozmów prowadzonych za pomocą platform typu Zoom czy Microsoft Teams, trudności z identyfikacją niebezpiecznych załączników email oraz użytkowanie prywatnego, słabo zabezpieczonego sprzętu w celach służbowych.

Przedsiębiorstwa powinny zaktualizować swoją politykę bezpieczeństwa informacji w celu uwzględnienia zagrożeń wynikających z pracy zdalnej. Użyteczny może być zakaz poruszania poufnych zagadnień podczas sesji online, spotkania należy również zabezpieczać hasłami lub używać funkcji „lock meeting”. Odpowiedzią na ataki przeprowadzane metodami socjotechnicznymi powinny być regularne szkolenia pracowników. Z kolei dzięki systemom chmurowym bezpieczniejsze staje się używanie przez pracowników prywatnego sprzętu czy urządzeń mobilnych.

Przede wszystkim praca poza siedzibą firmy może powodować zwiększone zagrożenie dostępem do urządzeń komputerowych a także dokumentów papierowych przez osoby nieupoważnione. Kolejne niebezpieczeństwo wiąże się z ryzykiem utraty tych dokumentów lub urządzeń. Ponadto przy pracy poza siedzibą firmy pracownik może wykorzystywać prywatne urządzenia lub konta poczty elektronicznej oraz niezabezpieczone odpowiednio połączenia z internetem, szczególnie za pośrednictwem sieci wifi. Praca zdalna może się wiązać z koniecznością korzystania z rozwiązań chmurowych. Wtedy dane są umieszczone w sieci, a nie na lokalnym dysku użytkownika, co zwiększa ryzyko nieautoryzowanego dostępu.

Jeżeli osoba pracująca zdalnie zajmuje się gromadzeniem lub przetwarzaniem danych dotyczących osób fizycznych, mamy do czynienia ze  zwiększonym niebezpieczeństwem naruszeń przepisów rozporządzenia RODO, co może wiązać się z odpowiedzialnością administracyjną wobec organu kontrolnego, a także odpowiedzialnością odszkodowawczą wobec osób, których dane dotyczą.

Dobrym pomysłem jest opracowanie odpowiednich pisemnych zaleceń dla pracowników wykonujących pracę zdalnie. Takie rozwiązanie po pierwsze może zwiększyć świadomość zagrożeń i jednocześnie zmniejszyć ryzyko powstania naruszeń, a po drugie będzie stanowić dowód na dochowanie przez przedsiębiorcę należytej staranności, co jest zgodne z duchem rozporządzenia RODO.

Mając świadomość zagrożeń, Urząd Ochrony Danych Osobowych opublikował na swojej stronie internetowej zalecenia związane z pracą zdalną. Według nich pracownik powinien postępować zgodnie z obowiązującymi w przedsiębiorstwie procedurami bezpieczeństwa, unikać instalowania prywatnego oprogramowania, posiadać uaktualnione oprogramowanie, system operacyjny oraz system antywirusowy, zorganizować stanowisko pracy tak, aby ograniczyć dostęp do niego przez osoby postronne, oraz zredukować ryzyko zgubienia lub kradzieży sprzętu i dokumentów. Urządzenia powinny być zabezpieczone silnym hasłem dostępu, najlepiej z użyciem podwójnego uwierzytelnienia, zalecane jest użycie oprogramowania umożliwiającego zdalne wyczyszczenie pamięci utraconych urządzeń. Pracownik powinien używać wyłącznie służbowych kont email oraz dbać o szyfrowanie przesyłanych pocztą załączników, szczególnie wtedy, gdy zawierają dane osobowe. Nie należy otwierać załączników otrzymanych w poczcie email od nieznanych nadawców, a także przesyłać haseł wraz z zaszyfrowanymi wiadomościami. Konieczne jest też korzystanie z odpowiednio zabezpieczonego połączenia internetowego. 

Czy pracując zdalnie można przetwarzać dane osobowe?

Nie ma przeciwwskazań dla przetwarzania danych osobowych poza siedzibą firmy. Należy jednak wziąć pod uwagę, że w takiej sytuacji zmienia się natura ryzyka związanego z ewentualnymi naruszeniami lub wyciekami danych. Należy zastosować specyficzne sposoby zabezpieczeń. Najważniejsze wydaje się zapewnienie możliwości łączenia się z siecią firmową za pośrednictwem bezpiecznego łącza VPN. Dobrym rozwiązaniem jest też zastosowanie podwójnego uwierzytelnienia. Oznacza to, że użytkownik podczas logowania musi podać dodatkowe hasło, każdorazowo wysyłane przez administratora, na przykład za pośrednictwem specjalnej aplikacji w smartfonie. Oprócz zabezpieczenia dostępu do sieci firmowej, ważne jest też zabezpieczenie samego laptopa na wypadek kradzieży. Laptop powinien być chroniony hasłem przy włączeniu a dysk twardy powinien być zaszyfrowany.

Przy pracy zdalnej konieczne może być użycie zewnętrznych nośników danych

Wszystkie zewnętrzne nośniki danych zawierające dane osobowe, bezwzględnie muszą być szyfrowane. Na rynku dostępne są liczne darmowe i płatne rozwiązania służące do szyfrowania pamięci przenośnych. Jednak zewnętrzne nośniki od dawna już tracą na znaczeniu, gdyż znacznie wygodniejszym rozwiązaniem jest praca w chmurze. Gwarantuje ona pełny dostęp do zasobów przedsiębiorstwa w czasie rzeczywistym, z każdego miejsca, w którym mamy wystarczająco dobre połączenie internetowe. Efekty naszej pracy są natychmiastowo dostępne dla innych użytkowników.

Dzięki rozwiązaniom chmurowym, całe biuro przenosi się do internetu

Przeniesienie zasobów informatycznych firmy do chmury powoduje, że praktycznie przestaje mieć znaczenie to, czy pracownik aktualnie znajduje się w biurze, czy w jakimkolwiek innym miejscu na świecie. Znacznie łatwiejsze staje się prowadzenie przedsięwzięć o charakterze rozproszonym. W skrajnym przypadku przedsiębiorca może zupełnie zrezygnować z wynajmowania przestrzeni biurowej. Daje to możliwość ogromnego wzrostu efektywności działania firmy. Systemy chmurowe dotychczas były wykorzystywane głównie w dużych korporacjach. Jednak obecnie coraz bardziej powszechne są aplikacje dla małych i średnich przedsiębiorstw.

Przy pracy w chmurze obowiązują te same zasady bezpieczeństwa, co w przypadku zdalnego łączenia się z siecią firmową. Należy uważać na bezpieczeństwo haseł i logować się za pomocą bezpiecznego połączenia VPN.

W chmurze bardzo łatwo zdalnie monitorować pracę pracowników

Nie chodzi tylko o bieżącą kontrolę wykonywania zadań. Kontrola wykorzystania czasu, również przy uwzględnieniu podziału na poszczególne projekty, może być bardzo użyteczna zarówno dla pracodawcy jak i dla pracownika. Rozwiązania takie są szczególnie wskazane, gdy podczas pracy zdalnej następuje przetwarzanie danych osobowych. Dzięki rozwiązaniom kontroli zdalnej łatwiej zapobiec wyciekom danych oraz innym naruszeniom przepisów. Należy pamiętać, że zdalna kontrola pracowników wymaga ich zgody zgodnie z przepisami RODO.