Обработка и защита персональных данных при дистанционной работе: юридические и технические тонкости
Согласно отчету Forrester, около 67% кибератак на предприятия нацелены сегодня на удаленных сотрудников. Стремление к удаленной работе потребовало новых инструментов, но у работодателей не было времени проверять их на предмет безопасности.
С начала пандемии COVID-19 замечен рост количества мошеннических электронных писем, попыток фишинга и спама в корпоративной электронной почте. В ответ на это «в рабочем порядке» компании закрывали бреши в безопасности, исправляли недостатки в своей ИТ-инфраструктуре и адаптировали меры и правила ИТ-безопасности к новым угрозам.
При удаленной работе возрастает риск небрежного использования данных, их утечки или кражи. Компаниям стоит внедрить систему предотвращения утечек данных из корпоративной сети (data leakage prevention, DLP), это необходимо для создания безопасной рабочей среды. Если такой системы нет, а работать все-таки нужно, следует вести мониторинг доступными способами — например, пытаться выявить действия, характерные для некоторых видов утечек (выгрузка информации по большому числу параметров одновременно, передача больших объемов данных и т. п.).
Первый и самый главный риск для компаний с удаленным доступом заключается в утечке секретной информации.
Конечно, потеря данных через удаленных сотрудников может и не произойти, но лучше перестраховаться. Рекомендуется разработать отдельный локальный акт о работе с персональными данными (как впрочем и с данными, которые относятся к коммерческой тайне организации) при дистанционной работе.
Что важно прописать:
- какие адреса электронной почты будут использоваться для передачи любых персональных данных, включая документы их содержащие;
- какие необходимые меры защиты (правовые, организационные и технические) обеспечит работодатель при обработке персональных данных;
- к каким системам у работника будет организован доступ (сервер, сайт компании, портал, 1 С и т.д.). в течении дистанционной работы;
- какие обязанности несет работник, допущенный к персональным данным (отправка файлов только «под паролем», обезличивание персональных данных (при необходимости) и т.д.);
- какую ответственность будет нести работник за нарушение порядка работы с персональными данными (уголовная, административная, дисциплинарная – вплоть до увольнения);
- порядок организации общения по каналам связи между должностными лицами, находящимися удаленно для решения рабочих вопросов, в процессе которых могут использоваться персональные данные работников и иных лиц;
- что должен делать работник в случае выявления несанкционированного доступа к персональным данным при удаленной работе (как он может выявить такой несанкционированный доступ);
- обязанности и ответственность специалистов IT по организации возможности работником работать удаленно и иметь допуск к информации защищенного доступа.
Работника необходимо ознакомить с данным регламентом.
Данный регламент поможет снизить риски компании при проведении проверки Роскомнадзора или в случае возникновения претензий со стороны работника при утечке его персональных данных (порче, утраты и т.д.), а также привлечь лиц, виновных в нарушении порядка работы с персональными данными к ответственности.
Эксперты IT-сферы предлагают следующие способы, помогающие обезопасить данные компании при удаленном доступе:
- При подключении удаленного компьютера к серверам его нужно защитить с помощью расширенных опций безопасности. Для этого нужно иметь EDR-систему, задача которой заключается в том, чтобы проверять надежность всех выполняемых процессов. Таким образом можно вовремя выявить атаку без использования зараженного ПО и другой продукции, разработанной специально для проникновения в чужие системы.
- Домашний компьютер должен подключаться к корпоративной сети только через анонимайзеры типа VPN, создавая частную защищенную сеть.
- Пароли к учетным записям, программам и папкам на серверах фирм не должны быть простыми. Лучше всего использовать хаотичный набор цифр и букв, которые трудно расшифровать и взломать. Также следует включить многофакторную аутентификацию на всех возможных программах и страницах.
Все это способствует соблюдению требований, связанных с защитой данных компании.
Первоочередным современным способом защиты является межсетевой экран, виртуальный или физический. С помощью такой системы можно отслеживать трафик на входе и выходе, анализируя его его безопасность для сети. В итоге система самостоятельно решает, давать доступ определенному трафику или заблокировать его.
Эти службы реагируют на сбои и вовремя их устраняют, обеспечивая непрерывную работу предприятия даже на удаленном доступе.
Нужно помнить, что все используемые ресурсы, должны пройти предварительную подготовку под те объемы работы, которые им предстоит выполнять ежедневно. Только соблюдая определенные правила, можно организовать безопасную работу даже удаленно.
Следует отметить, что трудовое законодательство нигде не предусматривает прямого запрета на использование специальных средств мониторинга деятельности сотрудников в течение рабочего дня. Статья 312.2 Трудового кодекса прямо указывает на то, что в трудовом договоре может содержаться дополнительное условие об обязанности дистанционного работника использовать оборудование, программно-технические средства, средства защиты информации и иные средства, предоставленные или рекомендованные работодателем. Это делает установку специальных средств защиты от утечек и автоматизированного контроля работы удалённых сотрудников не только технически возможной, но и абсолютно легитимной мерой со стороны работодателя. Главное — уведомить сотрудника о факте использования таких средств защиты и указать соответствующие условия в трудовом договоре или дополнительном соглашении к нему.