Jak na homeoffice předejít kyberútoku a úniku osobních údajů

Pravidla bezpečné práce z domova pro zaměstnance

1. Myslete na základní bezpečnostní pravidla

Počítač by měl po zapnutí vyžadovat ověření skrze zadání hesla nebo biometrických údajů. Zamezete adekvátním způsobem přístupu dalších členům rodiny, to platí zejména pro děti, které mohou i nevědomě zařízení nebo soubory v něm nenávratně poškodit. Zapněte šifrování pevného disku, které výrazně sníží následky případné krádeže či ztráty zařízení.

2. Pozor na podvodné e‑maily

ÚOOÚ varuje před zvýšenou aktivitou hackerů a množstvím rozesílaných podvodných emailů, obsahujících odkazy na informace o údajném aktuálním dění ohledně koronaviru. Odkazy v nich se mnohdy tváří jako důvěryhodné zdroje, ale jejich cílem není čtenáře informovat o koronaviru, nýbrž kryptovir do počítače dostat.

Pokud se vám příloha e‑mailu zdá nedůvěryhodná, nebo takový e‑mail neočekáváte, doporučujeme jej neotvírat, přílohy nestahovat a na odkazy v e‑mailu nepřecházet. Pokud byste chtěli zjistit, kam opravdu odkazovaná adresa vede, lze pomocí pravého tlačítka myši odkaz v e‑mailu nejprve zkopírovat třeba do poznámkového bloku a zjistit cílovou adresu odkazu.

Nepovolujte makra v běžných dokumentech. V podvodném e‑mailu můžete být vyzvání k povolení aktivního obsahu a maker. Samotná příloha pak může vypadat např. jako sdělení, že dokument je napsán ve starší verzi textového editoru a bez povolení maker není možné skutečný obsah souboru zobrazit. Takovému požadavku nikdy nevyhovujte, následovalo by stažení a instalace škodlivého kódu.

3. Pracovní počítač není soukromý počítač

Díky zvýšenému počtu hodin, které trávíme doma na homeoffice mnohdy začneme pracovní počítač využívat i k účelům, pro které jej běžně v kanceláři nepoužíváme. Snížením obezřetnosti při používání internetu však můžeme na jinak „čisté“ zařízení zanést škodlivý program, což může znamenat velké riziko jak pro samotné zařízení a informace na něm uložené, tak i pro informační systém firmy poté, co k němu počítač opět připojíte. Dbejte obezřetnosti i při využívání tzv. vzdálených přístupů. 

4. Veřejné Wi-Fi a hesla

Pokud je to možné, vyhýbejte se práci s využitím připojení přes veřejné Wi-Fi. Raději využijte přenos přes mobilní data. Věděli jste například, že někteří operátoři poskytují po dobu pandemie COVID-19 neomezené používání dat? Při využití VPN si ověřte reputaci poskytovatele a dle jakých právních předpisů službu poskytuje. To poznáte především podle sídla poskytovatele. 

Nepoužívejte stejná hesla doma a v práci. V případě úspěšného útoku na pracovní počítač využívaný doma, nebo domácí počítač se vzdáleným přístupem do práce útočník může zdvojnásobit sílu svého útoku, pokud používáte stejná hesla jak v práci tak doma. Útočník by neměl být schopen přihlásit se pomocí hesla soukromého e‑mailu také k tomu pracovnímu, případně někam dál.

Doporučení pro zaměstnavatele

5. Zálohujte a zálohy ochraňujte

Data jsou často tím nejcennějším know-how společnosti a většina firem na jejich zálohování pamatuje. Horší už to bývá s ochranou záloh.

Pokud zálohujete kopírováním souborů do jiné lokality v pravidelných časových intervalech, mělo by být možné automatické provádění záloh nouzově vypnout i bez zásahu správce. Ten nemusí být vždy k zastižení a případné „propsání“ viru do záloh může mít zásadní dopad. Úřad pro ochranu osobních údajů tak důrazně doporučuje zálohování implementovat způsobem, který umožňuje návrat k předchozím verzím souborů.

6. Reagujte rychle

Pokud dojde k napadení počítače a kryptovirus začne šifrovat data, počítač ihned vypněte a informujte správce sítě o probíhajícím útoku. V těchto případech se počítá každá minuta, čím méně škod stihne virus napáchat, tím lépe. Spolu se správcem by měl být ideálně informován i pověřenec pro ochranu osobních údajů, či další osoby, které jsou odpovědné za tzv. compliance. Je vhodné si konkrétní postupy interně dopředu nadefinovat, aby v případě útoku bylo všem jasné, co je třeba dělat. 

7. Kdy mám ohlašovací povinnost?

V případě, že dojde k porušení zabezpečení osobních údajů, ať už na pracovišti, nebo při práci z domova, které může představovat riziko pro práva subjektu údajů, máte jako správce osobních údajů povinnost toto porušení zabezpečení ohlásit ÚOOÚ. Pokud se však podaří zastavit útok včas (nedošlo ke kompromitaci osobních údajů tím, že by se jich útočník zároveň zmocnil, a data byla obnovena ze zálohy), není ho obvykle nutné ohlašovat, protože nenaplňuje podmínku rizika pro práva svobody subjektů údajů. I v takovém případě byste ale měli incident zaznamenat. 

8. Zpracujte směrnice a proškolujte

Riziko úniku osobních údajů nikdy nejde úplně vyloučit. Pokud ale jako zaměstnavatel budete schopní prokázat, že jste tato pravidla upravili ve vnitřní směrnici, zaměstnance proškolili o tom, jak se mají chovat, a k problému došlo jejich excesem, podstatně tím snížíte riziko sankcí a budete moct případnou náhradu řešit se zaměstnancem.

Potřebujete konzultovat či upravit znění pracovních smluv v souvislosti s prací z domova, sepsat vnitřní směrnice, proškolit tým na dálku nebo s čímkoliv poradit? Jednoduše si nás můžete rezervovat online v nejbližším termínu, který se vám hodí.

A pokud vás zajímá, jak právně správně digitalizovat procesy ve firmě, podívejte se na záznam webináře Digitalizujte firmu (s)právně.