KORONAVÍRUS - Hogyan védekezzünk adatvédelmi visszaélések ellen otthoni munkavégzés idején?

A tíz legfenyegetőbb sérülékenységet gyűjtötték össze a Deloitte szakértői, és arra is tippet adnak, hogyan lehet elkerülni a bajt?

Melyek a távoli munkavégzéssel kapcsolatos leggyakoribb fenyegetettségek?

A jelenlegi rendkívüli helyzetben információbiztonsági és adatvédelmi szempontból egy vállalkozás számára a legfenyegetőbb hiányosságok a következőek lehetnek:

1. Nem megfelelően védett (naprakész vírusirtó szoftvert nem használó, elavult operációs rendszerrel működő, titkosítási megoldások nélkül működő) eszközök használata.
2. A felhasználó nem biztonságos, azaz jelszóval nem védett wifi hálózatra csatlakozik.
3. A dolgozó internetes dezinformációk áldozatává válik, emiatt pedig könnyen "bedőlhet" az adathalász e-maileknek.
4. A munkavállaló multifaktoros azonosítási folyamat által csatlakozik a vállalati rendszerekhez.
5. A dokumentumok és adathordozók elszállítása az irodából és azok otthoni tárolása.
6. Az érzékeny dokumentumok elvesztése, ellopása. Az otthoni munkavégzéshez használt felszerelés károsodása.
7. A tartalék eszközök, illetve az alapvető üzletmenet folytonosságát biztosító intézkedések hiánya (áramszünet, internetes kapcsolat lelassulása, a készülék meghibásodása stb.)
8. Az adatvédelemben, informatikai biztonságban járatos személyek (információbiztonsági szakértő, adatvédelmi tisztviselő, vagy compliance vezető) nem elérhetőek.
9. A munkavállalók nem kapnak megfelelő tájékoztatást a személyes adatok, üzleti titkok és egyéb bizalmas információk védelméről.
10. A dolgozók információbiztonsági előírásokat is tartalmazó home office szabályzat nélkül végzik munkájukat, valamint nincs olyan alternatív forgatókönyv, amely iránymutatást adna számukra, mit tegyenek, amikor a távoli munkát lehetővé tevő eszközök nem elérhetőek.

Hogyan előzhetjük meg a bajt?

Számos fenyegetéssel kell számolni, ezek megelőzése azonban nem feltétlenül összetett vagy költséges. Mit tehetünk a kockázatok csökkentése érdekében? A Deloitte szakértői szerint 4 alapvető lépéssel a vállalkozások információbiztonsági szintje jelentős mértékben javítható. Ezek a lépések a következőek:

1. Távmunka folyamat megszervezése, szabályzatok, eljárásrendek kialakítása. Rendkívüli helyzet következményeként bevezetett új adatkezelési folyamatok dokumentálása, valamint a távoli munkavégzés minimumkövetelményeinek, munkavédelmi, adatvédelmi és információbiztonsági előírásainak kialakítása és szabályzatba foglalása.
2. Információbiztonsági minimumkövetelmények kialakítása. A munkavállalók távoli munkavégzéshez használt eszközeinek információbiztonsági elvek mentén történő frissítése, illetve az eszközökre, a hálózatokra, illetve ezek használatára vonatkozó biztonsági minimumkövetelményekre vonatkozó előírások meghatározása.
3. Tájékoztatás és tudatosságnövelés. Krízishelyzetre tekintettel adatvédelmi és információbiztonsági tudatosságot elősegítő online képzések megtartása, a munkavállalók rendszeres tájékoztatása és figyelmeztetése COVID-19-el kapcsolatos dezinformációk terjedésére, és azokon keresztül adathalászati támadásoknak való megnövekedett kitettségre és ilyen esetben követendő lépések megtételére.
4. Munkavállalók ellenőrzésével kapcsolatos megfontolások. A munkáltatóknak figyelemmel kell lenniük egyidejűleg arra is, hogy a távoli munkavégzés során különböző adatbiztonsági intézkedések alklamazása a munkavállalók megfigyelésével, vagy ellenőrzésével is járhat, amely további adatvédelmi, esetlegesen munkajogi szempontok figyelembevételét teszi szükségessé. Ezeknek a kérdéseknek az átfogó kezelését a munkáltató egy jelen helyzetre is alkalmazható belső eljárásrendben és szabályzatban tudja megfelelően kezelni.

Mit tegyünk visszaélés esetén?

Mi a teendő olyan incidens esetén, ahol a munkavállaló elveszti a nála lévő dokumentumokat, hacker támadás áldozatává válik, vagy ha műszaki hiba miatt személyes adatok vesznek el?

Először is szükséges lehet az incidens jelentése az adatvédelmi hatóság részére a visszaélés tudomásra jutását követő pár órán belül. A jelentésnek tartalmaznia kell többek között az incidens jellegét, illetve esetleges következményeit. Ehhez elengedhetetlen a munkavállalókkal való hatékony kommunikáció annak érdekében, hogy megfelelően fel lehessen mérni az incidenssel kapcsolatos kockázatokat és annak érintettekre gyakorolt hatásait a megfelelő lépések megtételének elősegítésére. Fontos figyelemmel lenni arra is, hogy bizonyos esetekben szükséges lehet az adatvédelmi incidenssel érintett személyek (pl. ügyfelek, munkavállalók) értesítése is - mondta dr. Bánczi Lea, a Deloitte Legal adatvédelmi és munkajogi csoportjának ügyvédje.

A fentiekben ismertetett megelőző intézkedések megtétele emellett hozzájárul ahhoz, hogy a vállalkozás igazolni tudja a hatóságok felé, hogy meghozta a mind a személyes adatok, mind pedig a munkavállalók védelme érdekében szükséges technikai és szervezeti intézkedéseket és működését, valamint az abban megvalósuló adatkezelési folyamatokat a privacy by design és by default elvének megfelelően alakította ki - tette hozzá dr. Szöllősi Zoltán, a Deloitte technológiai tanácsadási csoportjának igazgatója.