gov.pl
Serwis informacyjno-usługowy dla przedsiębiorcy
Biznes.gov.pl

Praca zdalna

Praca zdalna oznacza, że pracownicy wykonują obowiązki służbowe poza siedzibą firmy, korzystając z urządzeń podłączonych do sieci domowych lub publicznych. Takie środowisko pracy zwiększa ryzyko incydentów cyberbezpieczeństwa. Dlatego ważne jest wprowadzenie jasnych zasad, odpowiednich zabezpieczeń technicznych oraz praktycznych wskazówek dla pracowników.

Czym jest praca zdalna

Praca zdalna, zgodnie z Kodeksem pracy, polega na wykonywaniu obowiązków całkowicie lub częściowo w miejscu wskazanym przez pracownika i każdorazowo uzgodnionym z pracodawcą. Może to być praca wykonywana w domu lub w innym wybranym miejscu. Praca zdalna może być wykonywana w pełnym lub częściowym wymiarze – jako praca hybrydowa.

Można ją ustalić zarówno przy zawieraniu umowy o pracę, jak i później, w trakcie zatrudnienia.

Urządzenia, z których pracownicy korzystają w trybie zdalnym, niezależnie od tego, czy należą do firmy, czy do użytkownika, wchodzą w zakres certyfikacji Firma Bezpieczna Cyfrowo, jeśli umożliwiają dostęp do danych lub usług organizacji.

Dlaczego praca zdalna wymaga dodatkowych zabezpieczeń

Pracownicy wykonujący obowiązki poza siedzibą firmy logują się do poczty elektronicznej, plików i usług organizacji, ale korzystają z sieci domowych lub publicznych, których poziom bezpieczeństwa jest nieznany. Może to być sieć domowa, sieć w kawiarni lub inne publiczne punkty dostępu.

Dlatego w środowisku pracy zdalnej szczególnego znaczenia nabierają osobiste nawyki pracowników, odpowiednie zabezpieczenia techniczne oraz jasne procedury, które pozwalają zmniejszyć ryzyko incydentów, takich jak wyciek danych. Warto też przygotować listę działań, które pracownik powinien podjąć, jeśli zauważy zdarzenie mające wpływ na bezpieczeństwo informacji.

Podstawowe wymagania dotyczące urządzeń używanych zdalnie

Wszystkie urządzenia, które mają dostęp do danych i usług firmowych, powinny mieć:

  • wspierany system operacyjny
  • oprogramowanie antywirusowe
  • włączone automatyczne aktualizacje, wszędzie tam, gdzie jest to możliwe.

Tożsamość użytkownika powinna być potwierdzana poprzez uwierzytelnianie wieloskładnikowe (MFA), szczególnie na kontach służbowych i w usługach chmurowych.

Na co dzień pracownicy powinni korzystać ze standardowego konta użytkownika, a konta z uprawnieniami administratora powinny być używane wyłącznie do instalacji lub usuwania oprogramowania albo innych zadań administracyjnych.

Kont administratora nie należy używać do poczty elektronicznej ani przeglądania internetu.

Zapory sieciowe (firewalle)

Router domowy pracownika nie jest objęty zakresem certyfikacji, chyba że jest urządzeniem służbowym dostarczonym przez organizację. W takim przypadku należy go skonfigurować zgodnie z wymaganiami programu.

Każde urządzenie, które ma dostęp do danych organizacji, musi mieć włączoną i poprawnie skonfigurowaną programową zaporę sieciową, aby spełniać wymogi certyfikacji Firma Bezpieczna Cyfrowo.

Hasła i bezpieczeństwo kont

Certyfikacja Firma Bezpieczna Cyfrowo wymaga posiadania polityki dotyczącej haseł, która obejmuje między innymi obowiązek ich zmiany w przypadku naruszenia bezpieczeństwa, na przykład podejrzenia wycieku danych. Aby stosować tę politykę, organizacja musi wiedzieć, co stanowi naruszenie bezpieczeństwa, a pracownicy powinni umieć je rozpoznać i zgłosić.

Należy przekazywać pracownikom wytyczne dotyczące tworzenia unikalnych haseł i stosowania zabezpieczeń technicznych, które chronią przed ich zgadywaniem metodą brute-force.

Naruszenie bezpieczeństwa danych ma miejsce, gdy informacje organizacji zostają skradzione, ujawnione, zmienione lub usunięte, albo gdy uzyskano do nich nieuprawniony dostęp.

Polityki i procedury pracy zdalnej

Organizacje powinny regularnie przeglądać polityki i procedury związane z pracą zdalną i zdalnym dostępem do systemów, tak aby pozostawały aktualne i dostosowane do zmieniających się zagrożeń.

Protokół zdalnego pulpitu (RDP)

Remote Desktop Protocol umożliwia dostęp do komputera lub serwera znajdującego się w innej lokalizacji. Jest często używany do wsparcia technicznego i zadań administracyjnych.

RDP stanowi częsty wektor ataku dla ransomware i powinien być używany wyłącznie w sieciach wewnętrznych.

Ważne!

  • zamknij lub zablokuj port RDP na firewallu, aby nie był dostępny z internetu
  • tam, gdzie to możliwe, korzystaj z usług chmurowych zamiast połączeń zdalnych.

Usługi w chmurze w pracy zdalnej

Usługi w chmurze muszą być poprawnie skonfigurowane. Firmy korzystają z wielu rozwiązań technicznych ułatwiających pracę zdalną, ale platformy chmurowe nie są domyślnie bezpieczne. Organizacja odpowiada za ochronę danych i aplikacji, z których korzysta.

BYOD — korzystanie z własnych urządzeń

Co to jest Bring Your Own Device

Bring Your Own Device (BYOD) to sytuacja, w której pracownik korzysta z własnych laptopów, tabletów lub telefonów do celów służbowych.

Zakresem certyfikacji Firma Bezpieczna Cyfrowo obejmuje się wszystkie urządzenia prywatne, które mają dostęp do danych lub usług organizacji.

Wyjątek stanowią urządzenia używane wyłącznie do:

  • wysyłania wiadomości tekstowych
  • wykonywania połączeń głosowych
  • korzystania z aplikacji do uwierzytelniania wieloskładnikowego (MFA).

Jeżeli pracownik korzysta ze swojego telefonu tylko do rozmów, SMS-ów lub generowania kodów MFA — urządzenie jest poza zakresem certyfikacji. Jeśli jednak telefon umożliwia dostęp do służbowej poczty lub plików, podlega certyfikacji.

MFA - Multi-Factor Authentication (uwierzytelnianie wieloskładnikowe)

To dodatkowa warstwa zabezpieczeń podczas logowania.
Zamiast wpisania tylko hasła, użytkownik musi potwierdzić tożsamość w co najmniej dwóch różnych sposobach, np.:

  • hasło + kod z aplikacji (np. z telefonu)
  • hasło + potwierdzenie push
  • hasło + klucz sprzętowy
  • hasło + biometria (np. odcisk palca)

MFA utrudnia przejęcie konta, bo samo hasło nie wystarcza.

Dlaczego BYOD zwiększa ryzyko

Pozwalanie na korzystanie z prywatnych urządzeń może obniżyć koszty, ale istotnie zwiększa ryzyko naruszenia bezpieczeństwa i prywatności.

Na urządzeniach prywatnych mogą znajdować się aplikacje, które mają dostęp do kontaktów lub plików służbowych. Może to prowadzić do niezamierzonego ujawnienia danych, a nawet naruszenia RODO.

Korzystanie z aplikacji z nieznanych źródeł lub brak regularnych aktualizacji podnosi ryzyko zainfekowania urządzenia złośliwym oprogramowaniem. Pracownik może również zostawić urządzenie bez nadzoru albo pozwolić innym osobom z niego korzystać, co zwiększa ryzyko utraty lub kradzieży danych.

Dodatkowe problemy pojawiają się przy odejściu pracownika z firmy lub sprzedaży urządzenia — organizacja traci kontrolę nad danymi, jeśli nie zostały wcześniej zabezpieczone.

Jak kontrolować ryzyko BYOD

Organizacja może odzyskać kontrolę nad danymi, wprowadzając politykę BYOD. Może ona zostać wdrożona samodzielnie lub jako uzupełnienie istniejących polityk, takich jak Polityka dopuszczalnego użytkowania IT, Polityka bezpieczeństwa IT czy Polityka pracy zdalnej.

Polityka BYOD powinna określać zasady korzystania z prywatnych urządzeń łączących się z zasobami organizacji — zarówno lokalnymi, jak i dostępnymi w usługach chmurowych. Dotyczy wyłącznie oprogramowania, które wchodzi w interakcję z danymi służbowymi.

Pracownik przed dopuszczeniem urządzenia do użytku służbowego musi zapoznać się z polityką BYOD i zaakceptować jej warunki.

Zasady, które można uwzględnić w polityce BYOD

  • System operacyjny i aplikacje muszą być wspierane przez producenta i otrzymywać aktualizacje bezpieczeństwa.
  • Programowe zapory sieciowe (firewalle) muszą być aktywowane i prawidłowo skonfigurowane.
  • Aktualizacje zabezpieczeń należy instalować w ciągu 14 dni od wydania.
  • Polityka haseł programu Firma Bezpieczna Cyfrowo musi być stosowana także do urządzeń prywatnych.
  • Pracownik powinien korzystać z konta użytkownika oddzielonego od konta administratora.
  • Urządzenie musi automatycznie się blokować i wymagać co najmniej 6-cyfrowego kodu PIN lub hasła (można stosować biometrię, jeśli jest dostępna).
  • Na urządzeniu musi być zainstalowane i aktualizowane oprogramowanie antywirusowe, a aplikacje mobilne powinny pochodzić wyłącznie z oficjalnych sklepów producenta.
  • Nieużywane aplikacje powinny być usuwane.
  • Zgubienie lub kradzież urządzenia należy niezwłocznie zgłosić do organizacji.
  • Rooting lub jailbreaking są zabronione.
  • Urządzenie musi umożliwiać zdalne usuwanie danych i ich śledzenie; do zdalnego usunięcia danych potrzebna jest wcześniejsza pisemna zgoda pracownika.
  • Polityka powinna określać zasady monitorowania urządzenia oraz wymagania dotyczące dostarczenia go do kontroli na uzasadnione żądanie.

Dodatkowe sposoby zmniejszania ryzyka

Można stosować także rozwiązania, które technicznie oddzielają dane służbowe od prywatnych, na przykład aplikacje skonteneryzowane lub aplikacje zarządzane.

Aplikacje skonteneryzowane (ang. Container Apps) czy aplikacje zarządzane (ang. Managed Apps) to typy oprogramowania, które służą do rozdzielenia na urządzeniu danych firmowych od osobistych i umożliwiają firmie monitorowanie i zdalne usuwanie z urządzenia wyłącznie danych firmowych.

Oprogramowanie Mobile Device Management (MDM) umożliwia monitorowanie, zarządzanie i zabezpieczanie urządzeń mobilnych pracowników.

MDM — Mobile Device Management (zarządzanie urządzeniami mobilnymi)

To oprogramowanie, które firma może stosować, aby:

  • monitorować urządzenia pracowników
  • wymuszać aktualizacje i zasady bezpieczeństwa
  • zdalnie zablokować lub wyczyścić urządzenie, jeśli zostanie zgubione lub skradzione
  • oddzielić dane firmowe od prywatnych, jeśli pracownik używa własnego telefonu/tabletu.

MDM pomaga kontrolować bezpieczeństwo urządzeń, które mają dostęp do firmowych danych — szczególnie przy pracy zdalnej i BYOD.

Wirtualizacja pulpitu pozwala na bezpieczny dostęp do danych firmowych bez konieczności ich lokalnego przechowywania. Pracownicy mogą zostać zobowiązani do niekopiowania danych firmowych na swoje urządzenia.

Słownik

  • RODO — rozporządzenie dotyczące ochrony danych osobowych
  • biometria — metody uwierzytelniania oparte na cechach fizycznych
  • jailbreaking — usuwanie ograniczeń z urządzeń iOS
  • rooting — uzyskiwanie dostępu administracyjnego na urządzeniach Android.
gov.pl /

Mapa Biznes.gov.pl

Portal nadzorowany jest przez Ministerstwo Rozwoju i Technologii. Partnerzy projektu: Sieć Badawcza Łukasiewicz - Poznański Instytut Technologiczny, Krajowa Izba Gospodarcza. Projekt jest współfinansowany z Programu Polska Cyfrowa ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego i jest kontynuacją projektu pt.: "Centralna Ewidencja i Informacja o Działalności Gospodarczej" finansowanego z Programu Innowacyjna Gospodarka oraz projektu "Uproszczenie i elektronizacja procedur" finansowanego z Programu Kapitał Ludzki.

Artykuły zamieszczone w serwisie GOV.PL, w których nie podajemy żadnych dodatkowych informacji na temat praw autorskich, należą do informacji publicznych i udostępniamy je bezpłatnie. Korzystanie z nich, niezależnie od celu i sposobu korzystania, nie wymaga zgody Ministerstwa. Dostępne są w ramach licencji Creative Commons Uznanie Autorstwa 3.0 Polska. Serwis Biznes.gov.pl używa plików cookies. Kontynuując przeglądanie naszej witryny bez zmiany ustawień przeglądarki, wyrażasz zgodę na użycie plików cookie. Zawsze możesz zmienić ustawienia przeglądarki i zablokować te pliki.

Fundusze Europejskie Flaga RP Unia Europejska