În contextul actual, capacitatea de adaptarea a societății este pusă în scenă prin diverse mecanisme, în varii domenii. Odată cu răspândirea la nivel global a pandemiei COVID-19, relațiile de muncă devin din ce în ce mai afectate, iar majoritatea angajatorilor au luat decizia ca angajații să lucreze la distanță, de acasă (,,remote work”) în conformitate cu recomandările Ministerului Muncii și Protecției Sociale în scopul prevenirii răspândirii infectării cu noul coronavirus.
Cu toate acestea angajatorii nu trebuie să uite că, deși în următoarea perioadă procedura de luare a deciziilor și adoptarea strategiilor lucrative va trebui accelerată raportat la evoluția economică din sectorul în care aceștia activează, pot să apară diverse problemele ce țin de securitatea datelor, sens în care trebuie acordată o atenție sporită și măsurilor de precauție instituite pentru a contracara orice risc cibernetic.
“Numărul infracțiunilor cibernetice nu va scădea din cauza crizei în care ne aflăm, ci, deopotrivă, unele persoane vor profita de panica generată la nivel național și de lipsa de comunicare între angajator și angajați pentru a pune în practică noi metode de accesare ilegală a informațiilor private, fie că acestea sunt date despre clienții unei anumite firme, fie informații cu caracter de secret de afaceri.” afirmă Ioana Anițulesei, avocat Iordăchescu & Asociații.
În acest context, este evident faptul că expunerea de o manieră nesecurizată a datelor cu caracter de secret ale unei companii poate provoca pierderi semnificative pentru agenții economici, cât și pentru clienții săi, pierderi pe care în acest moment nu și le dorește nimeni. De altfel, expunerea informațiilor cu caracter personal de o manieră nesecurizată poate atrage sancțiuni la nivelul GDPR-ului și poate culmina în a genera obligații pecuniare excesive pentru companii precum și probleme privind furtul de identitate pentru persoanele fizice.
În cazurile în care remote work-ul este posibil, ar trebui să fie avute în vedere câteva măsuri de siguranță, în special dacă angajații urmează să utilizeze dispozitivele personale, iar nu pe cele ale companiei. Întrucât un număr important de clienți ne-au contactat cu diverse întrebări raportat la măsurile de precauție ce se impun a fi implementate și aplicate deodată cu decizia de a acorda angajaților o serie de informații sensibile cu care să lucreze de acasă, tratăm în cele ce urmează o serie de măsuri minime în materie de cybersecurity ce ar trebui să fie avute în vedere.
Utilizarea mijloacelor tehnice ale societății
Prin implementarea acestei metode, compania trebuie să stabilească ce poate face și ce nu poate face angajatul cu dispozitivele și sistemele proprietatea companiei care i-au fost remise pentru a îi facilita munca de acasă. Pentru că angajații care lucrează de acasă pot accesa comenzi rapide cum ar fi descărcarea sau salvarea de materiale sensibile ale companiei pe dispozitivele personale (pc-uri, hard disk-uri și aplicații de stocare a fișierelor – e.g. Dropbox), angajatorii ar trebui să le reamintească acestora că accesarea și stocarea materialelor companiei pe dispozitivele personale care nu au fost configurate în mod corespunzător cu sistemele de securitate (e.g. nivelul aprobat de companie pentru software antivirus, tehnologii de protecție a parolei sau conexiuni de rețea sigure) crește riscul expunerii cibernetice.
Întrucât dispozitivele personale pot fi mai sensibile la ,,accesul ilegal” din partea terților, recomandarea noastră este ca angajatorul să stabilească o politică în acest sens, iar esențial în adoptarea acesteia este includerea în conținutul ei, printre altele, și a mențiuni privitoare la riscurile la care angajatul se expune dacă lasă nesupravegheate device-urile, proprietatea angajatorului.
Utilizarea mijloacelor proprii de lucru
În situația în care compania nu dispune de dispozitive mobile care să poată fi remise angajaților pentru a munci de acasă, trebuie să se stabilească o politică de utilizare a dispozitivelor proprii care să includă garanții de securitate, precum și asumarea de către angajat a tuturor obligațiilor care decurg din utilizarea datelor societății în afara spațiului securizat al acesteia.
Atacurile de tip phishing mai actuale ca oricând
Nu în ultimul rând, trebuie precizat faptul că angajatorii fac eforturi constante pentru a își menține angajații informați cu privire la orice schimbare de politică la nivelul companiei, atât cu privire la măsurile adoptate zilnic datorită pandemiei, cât și cu privire la noile metode de lucru. Totodată, aceste informațiile care privesc realizarea obiectului activiății pot să vină și de la clienți.
În acest context, unii angajatori creează noi conturi de e-mail care transmit actualizări zilnice referitor la situația generată de Coronavirus și care să conțin date privind continuarea activității și îndeplinirii sarcinilor de către angajați. Dată fiind abundența corespondenței digitale din această perioadă este posibil ca angajații să deschidă email-uri sau să acceseze anumite link-urile care provin de la companii necunoscute.
Angajatorii trebuie să aibă în vedere faptul că e-mailurile de tip phishing deghizate în actualizări despre Coronavirus sau ca politici actualizate ale companiei pot induce în eroare angajații. Este de precizat în acest sens că au început să apară campanii de tip phishing prin trimiterea de e-mailuri care prezintă similitudini inclusiv cu cele ale Organizației Mondiale a Sănătății (OMS) și care trimit utilizatorii la accesarea link-urilor din conținutul acestora sau a căror titluri se aseamănă cu cele ale companiei la care lucrează.
Securizarea comunicațiilor
Pentru a proteja conținutul comunicărilor sau a informațiilor transmise, unde este posibil, ar trebui să se stabilească rețele private virtuale (virtual private network) întrucât acestea folosesc protocoale tunelare criptate, oferind astfel o confidențialitate sporită a integralității datelor utilizate.
Ușurința cu care se pot accesa dispozitivele ce nu au fost suficient protejate prin instalarea tuturor sistemelor asociate companiei sau nerespectarea politicilor de păstrare a datelor companiei poate crea riscuri semnificative de scurgere de date sau acces neautorizat. Prin urmare, apreciem ca fiind importantă instruirea angajaților cu privire la politicile de securitate în perioada următoare.