Vállalati kockázatkezelés a home office világában

A home office bevezetésére sok helyen gyorsan, nem kis kapkodással került sor, ami számos információbiztonsági kockázatot vet fel.
 

A vállalkozások jelentős része az elmúlt hetekben kénytelen volt otthoni munkavégzést elrendelni. Az ezzel együtt járó kommunikációs problémákat ráadásul sok esetben eddig nem használt technológiák alkalmazásával tudták csak megoldani. A home office és az új megoldások használata azonban olyan információbiztonsági és adatvédelmi kockázatokkal jár, amelyekre a cégek nem biztos, hogy felkészültek.
 
A leggyakoribb fenyegetettségek
 
A Deloitte szakértői szerint a jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következők lehetnek:
 

• Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélküli) eszközök használata.
• A felhasználó nem biztonságos, azaz jelszóval nem védett WiFi-hálózatra csatlakozik.
• A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen bedőlhet az adathalász e-maileknek.
• A munkavállaló nem multifaktoros azonosítási folyamat által csatlakozik a vállalati rendszerekhez.
• Dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
• Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
• A tartalék eszközök, illetve az alapvető üzletmenet-folytonosságot biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lassulása, a készülékek meghibásodása stb.)
• Az adatvédelemben, informatikai biztonságban jártas személyek (információbiztonsági szakértő, adatvédelmi tisztviselő vagy compliance vezető) nem elérhetők.
• A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
• A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat. Nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, hogy mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.

 
Hogyan előzhetjük meg a bajt?
 
A fentiekből látható, hogy számos fenyegetéssel kell számolni, de a kockázatok csökkentése nem feltétlenül összetett vagy költséges. A Deloitte szerint négy alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható:
 

• Távmunka megszervezése, szabályzatok, eljárásrendek kialakítása.
• A rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.
• Információbiztonsági minimumkövetelmények kialakítása.
• A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, hálózatokra, valamint ezek használatára vonatkozó biztonsági előírások kidolgozása.

 
Tájékoztatás és tudatosságnövelés
 
A krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzéseket célszerű tartani. A munkavállalókat rendszeresen tájékoztatni és figyelmeztetni kell a COVID-19-el kapcsolatos dezinformációk terjedésére, illetve az adathalász támadásoknak való megnövekedett kitettségre.
 
A munkavállalók ellenőrzésével kapcsolatos megfontolások
 
A munkáltatóknak figyelemmel kell lenniük arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alkalmazása a munkavállalók megfigyelésével vagy ellenőrzésével is járhat, ami további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrenddel, illetve szabályzattal kezelheti megfelelően.
 
Mit tegyünk visszaélés esetén?
 

"Először is szükséges lehet az incidens jelentése az adatvédelmi hatóság részére a visszaélés tudomásra jutását követően. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is"

- mondta dr. Bánci Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje.
 

"A fentiekben ismertetett megelőző intézkedések megtétele hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta mind a személyes adatok, mind pedig a munkavállalók védelme érdekében a szükséges technikai és szervezeti intézkedéseket. Emellett az abban megvalósuló adatkezelési folyamatokat a privacy by design és a privacy by default elvének megfelelően alakította ki"

- tette hozzá Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója.