Ustawa o pracy zdalnej – jak wpłynie na cyberbezpieczeństwo?

Praca zdalna w 2023 roku nie jest już nowością. W wielu firmach funkcjonuje od lat, a po pandemii stała się normą na rynku pracy. Konieczność pracy z domu wymusiła na przedsiębiorstwach wdrożenie nowych standardów bezpieczeństwa, aby skutecznie zabezpieczyć firmowe dane przy wzmożonym ryzyku ataków hakerskich.

7 kwietnia 2023 weszła jednak w życie nowa ustawa o pracy zdalnej. Na czym dokładnie polegają zmiany i co oznaczają dla Ciebie i Twojej firmy?

ustawa o pracy zdalnej

Ustawa o pracy zdalnej 2023 – co się zmieni?

Jakie są najważniejsze zmiany, które wprowadza do kodeksu pracy ustawa o home office?

  • Ustanowienie definicji pracy zdalnej. Według nowych przepisów praca zdalna to praca, która może być wykonywana całkowicie lub częściowo w miejscu wskazanym przez pracownika z wykorzystaniem środków bezpośredniego porozumiewania się na odległość. Miejsce wykonywania pracy zdalnej będzie musiało być każdorazowo uzgodnione z pracodawcą. 
  • Nie można odmówić pracy zdalnej niektórym pracownikom, m.in. pracownicy w ciąży, pracownikowi wychowującemu dziecko do 4 roku życia, sprawującemu opiekę nad innym członkiem rodziny, posiadającym orzeczenie o niepełnosprawności, rodzicowi dziecka z orzeczeniem o niepełnosprawności itp.
  • Pracodawca dopuszczający pracę zdalną zobowiązany jest wprowadzić przepisy wewnętrzne określające zasady tzw. home office. Takie regulacje powinny zawierać m.in. informacje o grupach pracowników, którzy mogą zostać objęci pracą zdalną, zasady pokrywania kosztów pracy zdalnej, komunikacji, dopuszczalnych narzędzi, sposobu, kontroli wykonywanej pracy, itd.
  • W przypadku braku takich regulacji nowe przepisy umożliwiają wykonywanie pracy zdalnej w wymiarze nieprzekraczającym 24 dni w roku kalendarzowym.
  • Pracodawca ma oprócz tego obowiązek określenia procedur ochrony danych osobowych podczas wykonywania pracy zdalnej i przeszkolenia z nich pracowników.

Nowe przepisy oznaczają więc, że praca zdalna nie jest już tylko tymczasowym rozwiązaniem, ale zostanie z nami na stałe. Ustawa o pracy zdalnej sprawi również, że home office stanie się znacznie bardziej powszechny.

Jeszcze większa dostępność pracy zdalnej nie pozostanie jednak bez wpływu na kwestię bezpieczeństwa. Korzystanie z komputerów i firmowej sieci poza siedzibą pracodawcy, np. w prywatnych domach i miejscach publicznych, stwarza znaczne ryzyko naruszenia cyberbezpieczeństwa. Firmy, które do tej pory nie wdrożyły odpowiednich zabezpieczeń, będą musiały to zrobić teraz.

Cyberbezpieczeństwo a praca zdalna

Jakie dokładnie są zagrożenia pracy zdalnej, które mogą dotknąć firmy po upowszechnieniu home office?

Zgodnie z badaniem “Work-from-Anywhere Global Study 2023” nieodpowiednio chronione sieci domowe lub publiczne są największym zagrożeniem dla cyberbezpieczeństwa według 41% firm. Kolejnym (38%) jest wykorzystywanie firmowych komputerów do celów prywatnych. Oba te czynniki zwiększają ryzyko rozpowszechnienia złośliwego oprogramowania na komputerach i sieci firmowej, włamania lub kradzieży danych. W związku z tym aż 94% firm planuje zwiększyć wydatki na poprawę cyberbezpieczeństwa podczas pracy zdalnej.

Do najczęściej spotykanych zagrożeń należą:

  • Phishing – podszywanie się pod współpracownika lub zaufaną instytucję celem wyłudzenia danych, dostępów lub płatności, najczęściej poprzez wysyłkę maili lub smsów z linkami lub formularzami
  • Malware – rozprzestrzenianie złośliwego oprogramowania
  • Ransomware – zablokowanie dostępu do zasobów i danych firmy do momentu zapłaty okupu
  • Ataki DDoS – zakłócenie działania usług czy serwerów atakiem botów
  • Man-in-the-middle – zakładanie podsłuchów lub przejmowanie dostępu do wideokonferencji, często poprzez niewystarczająco zabezpieczone sieci Wi-Fi.

Warto także pamiętać, że ta lista nie jest ograniczona. Wraz z rozwojem technologii pojawiają się nowe rodzaje ataków i nowe sposoby na obejście zabezpieczeń. Dlatego tak ważne jest trzymanie ręki na pulsie i regularne wykonywanie audytów zabezpieczeń aby upewnić się, że podjęte środki są wystarczające.

Jak zwiększyć bezpieczeństwo pracy zdalnej?

Istnieje wiele sposobów na to, by poprawić bezpieczeństwo pracy zdalnej. Do najważniejszych należą:

  • stosowanie oprogramowania antywirusowego
  • korzystanie z sieci VPN (Virtual Private Network), czyli wirtualnej sieci prywatnej, która umożliwia wysyłanie szyfrowanych danych oraz ukrywa informacje ułatwiające przeprowadzenie ataku hakerskiego, takie jak adres IT czy lokalizację
  • stosowanie aplikacji szyfrujących oraz podwójnych weryfikacji
  • regularna kontrola i aktualizacja oprogramowania i urządzeń 
  • szkolenie pracowników (jedną z najczęstszych przyczyn incydentów naruszenia bezpieczeństwa jest błąd ludzki) 
  • zapewnienie pracownikom wsparcie działu IT w rozwiązywaniu problemów
  • ustalenie jasnych zasad i kanałów komunikacji, najlepiej szyfrowanych (np. wg standardu WPA2-PSK)
  • ograniczenie stosowania RDP (Remote Desktop Protocol) umożliwiającego dostęp do komputera znajdującego się w innej lokalizacji fizycznej lub wprowadzenie dodatkowych zabezpieczeń
  • określenie stosowania zasad korzystania z publicznych sieci Wi-Fi (np. zakaz korzystania z sieci niezabezpieczonych hasłem)
  • zabezpieczenie wideokonferencji, np. poprzez utworzenie poczekalni czy obowiązkowe weryfikowanie uczestników przez administratora spotkania
  • określenie obszarów geograficznych, w jakich może być wykonywana praca zdalna (np. tylko w Polsce, tylko w Unii Europejskiej). 

Ustawa o home office a ochrona danych osobowych

Zagrożenia pracy zdalnej to także większe ryzyko, że dojdzie do naruszenia prywatności i ochrony danych osobowych. Wprowadzając zasady bezpieczeństwa nie można więc zapominać o przepisach RODO. Jak można wzmocnić bezpieczeństwo pracy zdalnej i danych osobowych?

Przede wszystkim konieczne jest określenie procedur ochrony danych osobowych podczas pracy zdalnej, a następnie przeszkolenie z nich personelu. Procedury te powinny dotyczyć zabezpieczenia danych osobowych podczas pracy zdalnej. Do typowych zasad należy np. konieczność ochrony zawartości ekranu, dokumentów papierowych czy nieudostępnianie sprzętu służbowego osobom trzecim. Warto określić także zasady monitorowania pracowników, takie jak cel i sposób monitoringu, i umieszczenie tych informacji w regulaminie pracy. Monitoring również powinien być zgodny z przepisany RODO i wynikającej z nich ochrony prywatności pracowników.

Ustawa o pracy zdalnej – podsumowanie

Ustawa o home office oznacza nowe zagrożenia pracy zdalnej i konieczność wprowadzenia dodatkowych zabezpieczeń.

Jeśli chcesz wprowadzić spójne zasady bezpieczeństwa w Twojej firmie, warto nawiązać współpracę z partnerem technologicznym oferującym usługi cyberbezpieczeństwa. Wyspecjalizowana firma dysponuje skutecznymi narzędziami i ma na pokładzie doświadczonych ekspertów, którzy stworzą strategię zabezpieczeń, dobiorą właściwe technologie i pomogą w egzekwowaniu protokołów bezpieczeństwa. W ten sposób Twoja firma zyska właściwy poziom zabezpieczeń firmowych urządzeń i możliwość bezpiecznej pracy niezależnie od lokalizacji.

Potrzebujesz wzmocnić firmowe bezpieczeństwo pracy zdalnej? Skontaktuj się z nami – w ESKOM przeprowadzimy audyt zabezpieczeń i przejmiemy opiekę nad Twoim obszarem cybersecurity.