Czy koronawirus zainfekuje coś jeszcze poza ludzkim organizmem? Weźmy pod lupę dane firmowe

Czy koronawirus zainfekuje coś jeszcze poza ludzkim organizmem? Weźmy pod lupę dane firmowe

Fakt, iż wirus SARS-COVID-19 zagraża ludzkiemu organizmowi jest już powszechnie znany i w znaczny sposób zdominował nasze życie. Pojawia się jednak pytanie, czy poza omawianymi we wcześniejszych artykułach problemach o zbliżonej tematyce, jest jeszcze jakaś sfera, która postawi w świetle wątpliwości zapobiegania temu zjawisku? Otóż tak, mowa o danych osobowych. Przyjrzyjmy się bliżej temu zagadnieniu.

 
Nie budzi najmniejszej wątpliwości, iż najważniejszym priorytetem dla zarządów firm jest rzeczywista kalkulacja ewentualnego ryzyka związanego z zabezpieczeniem życia i zdrowia pracowników, co więcej można spodziewać się zmiany reguł funkcjonowania w czasie kryzysu, ale przede wszystkim będzie zależało na utrzymaniem ciągłości biznesu do czasu opanowania sytuacji.

Czy dane firmowe mogą być zagrożone?
Warto zauważyć, iż czas epidemii to sprzyjające okoliczności dla zagrożenie danych firmowych. Aby przetrwać kryzys, wiele przedsiębiorstw jest zmuszonych do otwierania swoich wewnętrznych systemów na świat, aby umożliwić pracownikom dostęp do danych z sieci publicznych. Zwiększa się tym samym wielokrotnie ryzyko ataku na systemy informatyczne.

Większość działań administratorów IT, w związku z pilnymi potrzebami połączonymi z kryzysem, wykonywanych jest w nadmiernym, ale często koniecznym pośpiechu, co z kolei wiąże się z uzyskaniem szybkiego i widocznego efektu, bez względu na bezpieczeństwo, co może być błędnym tokiem myślenia. Niestety, ale bardzo łatwo o błędy wybierając prostsze rozwiązania w konfiguracji urządzeń i systemów z pominięciem elementarnych składników zachowania bezpieczeństwa. Utrzymywanie domyślnych kont serwisowych, stosowanie takich samych prostych haseł do wielu systemów czy otwieranie „tylnego wejścia” do systemu z zewnątrz to tylko część z błędów, na które tylko czekają hackerzy. Co więcej, wzmożona presja czasu przy konfigurowaniu sprzętu dla pracowników zdalnych, może mieć swoje odzwierciedlenie w braku aktualizacji systemu operacyjnego czy kluczowych komponentów bezpieczeństwa poszczególnych systemów i aplikacji. Idąc na skróty, wiele pracowników może otrzymać uprawnienia administratora przekazanych przez personel zajmujący się IT, wszystko oczywiście po to, aby ułatwić sobie zdalne rozwiązywanie problemów, a to niestety może przełożyć się na niekontrolowane instalowania niebezpiecznych aplikacji, a nawet do wyłączania zabezpieczeń antywirusowych. Wszystkie tego typu działania przyczynią się do ułatwienia pracy hackerom w celu zainfekowania sprzętu IT wirusem – i nie mowa tu o COVID-19.

Co więcej, systemy firmowe będę musiały zetknąć się z otoczeniem sieciowym, które również podlegać będzie mnogim zmianom. To, co dotychczas było siecią wewnętrzną, zostało nagle połączone z wieloma nieznanymi sieciami domowymi. Warto jednak zauważyć, że w co niektórych przypadkach, może to być również sieć publiczna czy ogólnoosiedlowa, a jak doskonale wiemy, tego typu połączenia narażone są na wyjątkowe niebezpieczeństwo. Najlepiej byłoby wyposażyć pracowników w niezależne, kontrolowane przez firmę urządzenia dostępowe lub smartfony bądź karty SIM umożliwiające dostęp do Internetu bez limitów.

Wiele firm może mieć trudność z zapewnieniem pracownikom sprzętu służbowego, przez co będą oni zmuszeni do wykorzystania swojego sprzętu prywatnego, a to z oczywistych powodów wiążę się z nieskutecznym zapewnieniem bezpieczeństwa dla danych firmowych. Należy zatem przygotować odpowiednie procedury i zalecenia oraz zadbać o to, żeby były one egzekwowane.

Niestety, ale konieczność przebywania w domach przez dłuższy czas może skutkować zwiększoną liczbą ataków na sieci przez domorosłych hackerów. To zjawisko dotknie również znudzoną brakiem innych rozrywek młodzież, która w poszukiwaniu zajęcia może zacząć „eksperymentować”, co niesie dodatkowe zagrożenie, ponieważ tego typu ataki wcale nie będą musiały okazać się umyślne. W takim wypadku, zagrożone są sieci bezprzewodowe pracowników lub te współdzielone z wieloma użytkownikami. Co więcej, ataki mogą dotyczyć infrastruktury firmowej, zwłaszcza w momencie, gdy uwaga administratorów będzie skupiona na utrzymaniu funkcjonowania systemów, a nie na analizie zapisów z systemów bezpieczeństwa – łatwy łup dla hackerów. Niestety, ale w czasie wzmożonego ruchu przychodzącego do firmy ciężko będzie udowodnić czy konkretny adres należy do pracownika, czy też osoby zupełnie niekompetentne. Odpowiednie przygotowanie do wielu ewentualności może okazać się wartością na wagę złota, aby zapobiec niechcianym atakom hackerskim.

A co z oszustami?

Przestępcy, oszuści czy naciągacze mają obecnie „swój czas”, który wynika ze zmian w naszym dotychczasowym działaniu, a szczególnie tak duża jak światowa epidemia i wiążące się z nią ograniczenia, czy dodatkowe regulacje. Wykorzystywany efekt strachu przed nieznanym zagrożeniem oraz braki na odpowiednim poziomie komunikacji, czy nawet podjęte przez państwo działania są materiałem do wykorzystania pewnych haczyków socjotechnicznych.

Odpowiednie nastawienie pracowników na tego typu ataki jest elementem niezbędnym w obecnej sytuacji. Tego typu gierki przestępcze mogą być tworzone nie tylko za pośrednictwem maila, ale także telefonicznie (na co narażeni są również seniorzy). Może się to wydarzyć w sytuacji. Każdy pracownik powinien znać i stosować procedury weryfikowania typu działań podejmowanych w celu włamania się do bazy danych danej firmy. Wniosek z tego taki, podkreślany przeze mnie już któryś raz w niniejszym wpisie, iż odpowiednie przeszkolenie pracowników jest niezbędne, aby w trosce o dobro firmy nie narazić jej, czy właśnie ludzi w niej pracujących na niechciane cyberprzestępstwo.

Co więcej, ataki mogą być nakierowane także na prywatne potrzeby pracownika, np. próba wyłudzenia danych uwierzytelniających czy nawet dotyczących kart płatniczych pod zamaskowanym nowym sklepem spożywczym on-line z dostawami do domu czy nawet fałszywa aplikacja internetowa, przy użyciu której można uzyskać szybką zapomogę od rządu na czas kryzysu, przy czym najlepiej zrobić to szybko, bo potem dłużej się będzie czekało na wypłatę – smutne, ale prawdziwe, tego typu ataków możemy być obecnie świadkami i oby nie doświadczyć tego personalnie.

Wszelkiego rodzaju zabezpieczenia przyczynią się do szybszego powrotu do normalności. Konieczne do wykonania są po prostu odpowiednie szkolenia i nastawianie pracowników, ale również zarządu danego przedsiębiorstwa.

Sposób działania w przedsiębiorstwach, aby jak najlepszy sposób zneutralizować ryzyko wycieku danych osobowych

Biorąc „pod lupę” zaledwie czynniki związane z bezpieczeństwem systemów informacyjnych, należy uwzględnić zaledwie kilka elementarnych komplikacji do których można zaliczyć np. bezpieczeństwo ludzi.

Jak już zdążyliśmy się świetnie przekonać o negatywnej działalności wirusa COVID-19, która może nawet doprowadzić do zgonu, nie należy więc tego ignorować. Jednak warto wprowadzić wszelkie możliwe środki ograniczające bezpośrednie kontakty pomiędzy pracownikami, ze wskazaniem na administratorów kluczowych systemów informatycznych. Jeśli istnieje możliwość pracy zdalnej przez osoby wykonujące ten zawód, jednak powinno się uwzględnić konieczność potencjalnego fizycznego dostępu np. do serwerowni w przypadku wystąpienia awarii. Najodpowiedniejszym sposobem wyjścia z ewentualnych „tarapatów” może okazać się stworzenie kilku rotacyjnie działających zespołów (o ile li zebność pracowników na to pozwala), które nie będą się bezpośrednio spotykać. Tym sposobem uda się ograniczyć potencjalne rozprzestrzenianie się infekcji, co więcej taka metoda pozwoli na zwiększenie bezpieczeństwa pozostałej części kadry w sytuacji, gdy z powodu zachorowania jednej osoby cały współpracujący z nią zespół będzie objęty kwarantanną.

Papier przyjmie wszystko 😉

Szczególną uwagę trzeba zwrócić na dane dostępowe pozwalające na administrowanie systemami i bezpiecznie je zdeponować, np. fizycznie w postaci zabezpieczonej koperty przechowywanej w sejfie zarządu. Warto również sprawdzić, czy część pracowników posiada niezbędną wiedzę w zakresie działania najważniejszych systemów. Skutecznym sposobem jest też spisanie najistotniejszych wartości w postaci różnorodnej dokumentacji.

Co by milion razy sprzętu nie kupować

Sprzęt IT wykorzystywany do pracy może stać się celem masowych połączeń z siecią publiczną, co w konsekwencjach może to oznaczać zwiększoną częstotliwość występowania awarii, co więcej, nawet nieproszoną awarię. Co można zrobić w takiej sytuacji? – sprawdzić, czy w zapasach magazynowych można znaleźć jeszcze zastępcze urządzenia czy części zamienne, warto również zweryfikować, które z urządzeń są niezbędne dla funkcjonowania przedsiębiorstwa. Pozwoli to na opracowanie sprawnego planu działania w przypadku awarii któregoś z nich. Należy bowiem uwzględnić fakt, że w związku ze światową epidemią serwisy oraz łańcuchy dostaw mogą nie funkcjonować. Należy też przygotować się do prawdopodobnych awarii sprzętu służbowego powierzonego pracownikom, którzy mogą z niego korzystać także z miejsc znacznie oddalonych od siedziby firmy.

Inne zagrożenia
Warto też uwzględnić wzmożone występowanie dodatkowych problemów z którymi być może (oby nie) będzie dane zmierzyć się danemu biznesowi. Warto zwrócić dodatkową uwagę np. przeciążenie dostępu do sieci – może do doprowadzić do błędów podczas synchronizacji danych czy nawet utrudniać pracę zdalną. Ponadto, spadki napięcia i przeciążenie sieci energetycznej także mogą zacząć doskwierać, spowoduje to zagrożenie dla infrastruktury IT. W każdym z takich przypadków należy zabezpieczyć przede wszystkim zdrowie pracowników i serwisantów.

Studentka Uniwersytetu Opolskiego

Monika Mielnik

e-mail: kancelaria@kasztajanikowska.pl

Czytaj więcej

Badania lekarskie i szkolenia BHP w dobie koronawirusa

Kronawirus zawładną naszym życiem i sam bawi się świetnie, jednak nikomu poza nim nie jest do śmiechu. W szczególności przedsiębiorcom zatrudniającym pracowników. Główny Inspektor Pracy (GIP) musiał się jasno ustosunkować do zaistniałej sytuacji, zostały wydane więc regulacje odnośnie do obowiązku kierowania pracowników na profilaktyczne badania lekarskie oraz przeprowadzania szkoleń z zakresu bezpieczeństwa i higieny pracy.

Wytyczne GIP zostały skierowane do wszystkich Okręgowych Inspektorów Pracy.

Badania lekarskie 

GIP zarekomendował zawieszenie obowiązku wykonywania okresowych badań lekarskich pracowników do czasu odwołania stanu epidemii. Niemniej jednak, wprowadzenie takiego ograniczenia nie obejmuje obowiązku pracodawcy do terminowego wystawiania skierowań na badania okresowe pracowników. Ponadto, na pracodawcy spoczywa obowiązek zobligowania pracowników do odbycia badań okresowych niezwłocznie po odwołaniu stanu epidemii.

Na uwagę zasługuje propozycja GIP, aby utrzymać zakaz dopuszczania do pracy pracowników niedysponujących orzeczeniem lekarskim o braku przeciwwskazań do pracy na określonym stanowisku. W konsekwencji niezmiennie niemożliwe pozostaje dopuszczenie pracownika do pracy bez poddania go wstępnym profilaktycznym badaniom lekarskim.

Szkolenia BHP i instruktaż stanowiskowy

W zakresie działalności pracodawcy powinno zostać umożliwienie mu przeprowadzenie obowiązkowych szkoleń pracowników w formie samokształcenia lub seminariów w trybie zdalnym. Propozycja GIP obejmuje przede wszystkim odbywanie szkoleń w formie wideo- lub telekonferencji. Pracodawca decydujący się na wprowadzenie takich rozwiązań powinien zapewnić pracownikom dostęp do materiałów niezbędnych do zapoznania się z przepisami bezpieczeństwa i higieny pracy obowiązującymi w danym zakładzie (np. poprzez rozesłanie materiałów drogą mailową). W przypadku odbycia szkoleń w formie zdalnej, niezwłocznie po odwołaniu stanu epidemii, wszyscy pracownicy odbywający szkolenie w takim trybie powinni zostać zobowiązani do odbycia egzaminu sprawdzającego zdobytą przez nich wiedzę i ich umiejętności.

Wskazanie ujęte powyżej przez GIP mają zastosowanie się zarówno do szkoleń wstępnych oraz szkoleń okresowych pracowników. W odniesieniu do szkoleń wstępnych ich wymiar wynosić miałby co najmniej 3 godziny lekcyjne, zaś w przypadku szkoleń okresowych – co najmniej 8 godzin lekcyjnych. GIP w dalszym ciągu opowiada się za stanowiskiem utrzymaniem obowiązku przeprowadzania instruktażu stanowiskowego przed dopuszczeniem do wykonywania przez pracownika pracy na danym stanowisku.

Studentka Prawa Uniwersytetu Opolskiego

Monika Mielnik

kancelaria@kasztajanikowska.pl

Czytaj więcej