Weź ze sobą komputer. Albo dwa

0

Wakacje wakacjami, ale prace niecierpiące zwłoki w jakiś dziwny sposób zawsze nas doganiają – a to umowa do pilnego zaopiniowania, a to odwołanie od decyzji. Niestety klient nie może czekać, a urlop to nie powód, żeby musiał to robić. Wystarczy przecież połączyć się z internetem, zrobić, co trzeba, i dalej wypoczywać. Prawda, wystarczy, ale pod warunkiem że zrobimy to w sposób bezpieczny.

Nagły telefon z firmy lub od klienta, że właśnie dostaliśmy e-mailem pilną pracę. Szukamy jakiegoś komputera z dostępem do wi-fi, łączymy się z firmą, rozwiązujemy problem, odsyłamy pracę i… nawet nie zdajemy sobie sprawy, że naraziliśmy siebie, całą firmę, a bywa że i klienta, na atak cyberprzestępców. Jak to możliwe, skoro łączyliśmy się przez hotelowe wi-fi i nie było nawet cienia szansy, by podejrzeć nasze hasła? I czy w ogóle te nasze dane mogą być przedmiotem kradzieży? Okazuje się, że tak.

Praktyka jest taka, że ktoś kradnie dane, a potem proponuje, że je odda za odpowiednią opłatą. I nagle okazuje się, że te pozornie niewiele znaczące dane kosztują np. 100 tys. zł. Takich incydentów jest wiele. To wielki międzynarodowy biznes, z którego wpływy zaczęły już dawno przerastać wpływy z handlu narkotykami – wyjaśnia Przemysław Krejza, prezes Instytutu Informatyki Śledczej oraz dyrektor w firmie Mediarecovery, zajmującej się m.in. informatyką śledczą i ochroną danych.

Dlatego, zwłaszcza na wakacjach, łącząc się z własną firmą lub kontaktując się z klientem, trzeba zachować najwyższe procedury bezpieczeństwa. Wymagają tego również przepisy RODO, które wskazują, że te zabezpieczenia muszą być adekwatne do ryzyka utraty przetwarzanych danych. Jak temu zaradzić? Przede wszystkim korzystać ze sprzętu własnego, dobrze zabezpieczonego.

Przygotuj komputer do wyjazdu

Jeśli jesteśmy zmuszeni pracować w czasie urlopu, to najlepiej zabrać ze sobą komputer służbowy, który jest przystosowany do przetwarzania danych wrażliwych i nie robimy na nim nic prywatnego.

Najczęściej różnego typu problemy pojawiają się wtedy, kiedy „chodzimy sobie po różnych stronach”, niekoniecznie służbowych i tam wpadamy w sidła osób, które chcą nasze dane ukraść. Im bardziej służbowo traktujemy komputer, tym mniej jesteśmy narażeni na ryzyko – przestrzega Przemysław Krejza.

To jednak nie wszystko. Urządzenie, które ze sobą zabierzemy, musi być odpowiednio przygotowane. Wiele rzeczy będziemy mogli zrobić sami, ale rozsądnie byłoby – przed wyjazdem – skontaktować się z administratorem sieci firmowej. – Każde urządzenie, którego używamy do ściągania danych – czy to komputer, czy telefon – powinno być zaszyfrowane. Zwłaszcza teraz, kiedy przepisy RODO wymagają od nas, pod rygorem kary, wprowadzenia środków bezpieczeństwa adekwatnych do wartości danych, jakimi dysponujemy. To bezpieczeństwo zapewniają przede wszystkim legalne oprogramowanie oraz dobre programy tzw. antywirusowe – wyjaśnia ekspert.

Po co więc szyfrować dane? Ponieważ na wyjeździe wszystko może się zdarzyć, a już na pewno kradzież laptopa, tabletu czy smartfona. Jeśli dostęp do zawartości komputera nie będzie chroniony – oczywiste jest, że w momencie, gdy utracimy urządzenie, zgromadzone na nim dane staną się dostępne i tylko od złodzieja będzie zależało, czy zrobi z nich użytek, czy nie. Ubezpieczyciel zapewne wypłaci nam odszkodowanie za dane urządzenie, ale strat z tytułu utraty lub ujawnienia danych nikt nam nie zrekompensuje. Dlatego przygotowując komputer do drogi, powinniśmy włączyć funkcje związane z szyfrowaniem dysku twardego.

– Samo logowanie się do komputera, logowanie się w poczcie również musi być zabezpieczone różnego rodzaju PIN-ami i hasłami. I oczywiście hasła te muszą być silne i unikalne – podkreśla Przemysław Krejza i dodaje: – niedopuszczalne jest, by były one takie same, bo skompromitowane hasło, np. w systemie pocztowym, może ułatwić dostęp do innych systemów.

W tym momencie można by powiedzieć – hasło do każdego dostępu? A któżby je spamiętał? Niestety, trzeba, zwłaszcza gdy stawką są dane klienta, bo to na pewno zwiększa ich bezpieczeństwo. Na szczęście są na to sposoby – można np. kupić program do organizowania haseł.

Zabranie ze sobą komputera służbowego, zabezpieczonego przeróżnymi hasłami, to jednak dopiero początek – zaledwie część abc bezpiecznej pracy w trakcie urlopu. Trzeba też zadbać o bezpieczeństwo połączeń, przesyłanych danych oraz inne możliwości przeciwdziałania zainfekowaniu komputera podczas pracy. Na szczęście nie jest to takie trudne, chociaż czasami zas­kakujące.

Łącz się bezpiecznie,
szyfruj pocztę oraz pliki

– Do połączenia się z siecią w żadnym wypadku nie można używać publicznych wi-fi, a nawet sieci hotelowych, bo one często są przygotowane po to, by pozyskiwać informacje – przestrzega Przemysław Krejza.

Dotyczy to również naszych smartfonów. Na nic zatem nasze starania, aby w miejscu wypoczynku był dostęp do szybkiego internetu – to jest niepotrzebne! Owszem, przyda się, jeśli będziemy chcieli posurfować po internecie na prywatnym kompie, tablecie czy smartfonie albo pograć w gry, ale nie do wykonywania zadań służbowych/zawodowych. Jakie mamy zatem wyjście? Odpowiedź brzmi: hotspot z własnego telefonu.

– Zamiast z wi-fi należy się łączyć z wykorzystaniem własnego, odpowiednio zabezpieczonego telefonu (tzw. hotspot). Można to sobie łatwo przygotować. Wiadomo, że w grę wchodzi koszt transmisji danych i trzeba sobie wcześniej uruchomić roaming, ale takie rozwiązanie znakomicie zwiększa bezpieczeństwo. Sieci hotelowe mogą być fałszywe – myślimy, że łączymy się z siecią hotelową, a tymczasem ktoś może się pod nią podszyć – tłumaczy ekspert.

A kiedy już uzyskamy bezpieczny dostęp do internetu, musimy zadbać, by łączenie się z firmą lub z pocztą i przesyłanie danych odbywało się z zachowaniem najwyższej ostrożności i dotyczyło tylko zakresu działania, który jest nam naprawdę potrzebny.

– Jeśli pracując, łączymy się ze swoją firmą, to powinniśmy korzystać z sieci VPN. Administrator powinien nam umożliwić takie połączenie przed wyjazdem i poinstruować nas, w jaki sposób mamy się podłączyć, gdy zaistnieje potrzeba – wyjaśnia Przemysław Krejza.

Niestety, takie środki ostrożności nie zawsze są możliwe – albo inaczej – zazwyczaj nie jest możliwe, bo do pracy nie jesteśmy przygotowani. Efekt jest taki, że VPN nie mamy, a trzeba się łączyć – z firmą, z klientem. Co wtedy zrobić?

Skorzystać z poczty elektronicznej, pamiętając o tym, że i ona powinna być zaszyfrowana. Czyli albo wcześniej z osobami, z którymi będziemy się komunikować, powinniśmy się wymienić certyfikatami poczty, albo – gdy nie ma innej możliwości – spakować wiadomość, np. w pliku ZIP, i zabezpieczyć go odpowiednim hasłem, które wysyłamy odbiorcy innym kanałem komunikacyjnym – np. SMS-em. W takiej sytuacji, jeśli ktoś nawet przechwyci naszą pocztę, to przesyłki nie otworzy – wyjaśnia Przemysław Krejza.

A co zrobić, gdy w poczcie Gmail dany dokument się nie mieści i ląduje w chmurze?

– Podobnie – podpowiada ekspert – spakować programem pakującym i zabezpieczyć hasłem – hasło zaś udostępnić odbiorcy. Warto też zadbać o sam link, żeby ktoś musiał się uwierzytelnić, zanim pobierze dane. Takie zabezpieczenia są dostępne w systemach chmurowych.

Nasze obawy mogą budzić też losy zdjęć dokumentów, które często robimy i przesyłamy smartfonami, a które od razu lądują w chmurze Gmaila. Jednak zdaniem Przemysława Krejzy to rozwiązanie jest bezpieczne, jeśli tylko będziemy pamiętali o unikalności haseł.

Konto Gmail ma też zabezpieczenia dwuskładnikowe, które można włączyć – dodaje.

Bądź odporny na pokusy i prośby najbliższych

Na koniec warto powiedzieć o innych środkach ostrożności, o których nie zawsze chcemy pamiętać lub które po prostu bagatelizujemy. Zazwyczaj bowiem, skoro już decydujemy się taszczyć ze sobą komputer, próbujemy to sobie zrekompensować obietnicą przeglądania różnych stron, odrobienia zaległości filmowych czy zagrania w gry, na które w zwykłe dni zwyczajnie nie mamy czasu. Niestety to wykluczone.

Zdaniem Przemysława Krejzy nie wolno nam nie tylko wchodzić na strony nieznane, przeglądać prywatnej poczty i wchodzić w załączone do niej linki, a zwłaszcza czegokolwiek instalować. Nie możemy również używać żadnych nieautoryzowanych nośników.

– Kiedy więc np. syn poprosi nas o zainstalowanie gry – musimy odmówić. Często bowiem ludzie wpadają w poważne kłopoty właśnie za sprawą gry, którą sobie zainstalowali lub zrobiło to ich dziecko – wylicza. – Kiedy ktoś, nawet z rodziny, poprosi nas o zgranie czegoś, sprawdzenie pendrive’a – nie wolno nam tego robić. W takich sytuacjach również bardzo często dochodzi do infekcji, ponieważ dziecko używa nośników w różnych komputerach i może przenieść wirus. Co gorsza – ta infekcja może zostać przez nasz komputer niezauważona i roznieść się po całej firmie. Obecnie w biznesie zasadą jest, że używa się wyłącznie autoryzowanych nośników – podsumowuje.

Zatem komputer służbowy – lub wykorzystywany do celów służbowych – powinniśmy całkowicie wykluczyć ze spraw prywatnych i zabawy. Jeśli chcemy przy okazji pracy na komputerze trochę się rozerwać lub zaspokoić ciekawość świata, to musimy zabrać na urlop drugi komputer, prywatny. Trzeba też pamiętać, że powyższe środki ostrożności to zaledwie podstawa i należy je stosować nawet wówczas, gdy naszą sieć tworzy jeden laptop, bo z jednej strony wymagają tego przepisy RODO, z drugiej warunki umowy – jako radcy opiniujemy przecież umowy, z których wprost wynikają kary umowne za ujawnienie ich treści. Ważne jest także nasze dobre imię, które na nieuważnym wykorzystaniu komputera poza pracą może znacznie ucierpieć. ◀