Asmeniniai prietaisai darbe: technologinės kliūtys, kurias būtina įvertinti
Komentuoja - advokatų kontoros COBALT vyresnioji teisininkė Renata Vasiliauskienė
Asmeninių prietaisų naudojimas darbui Lietuvoje ir kitose šalyse tapo norma. Karantinas ir darbas namuose šią tendenciją dar labiau sustiprino. Argumentai „už“ yra intuityviai suvokiami ir nereikalauja didesnių diskusijų: tai patogumas, reagavimo greitis, galimybė pasiekti savo kolegas bet kuriame pasaulio krašte, darbdavio lankstumas. Tačiau argumentai „prieš“ pasimeta kitų temų kontekste ir todėl retas darbdavys įvertina asmeninių prietaisų naudojimo darbui pavojų. Šia tema parengėme du straipsnius: pirmame aptarsime technologinius darbo iš asmeninių prietaisų pavojus, antrame – teisinius iššūkius.
Kai įmonė visiems savo darbuotojams sukuria stacionarią darbo vietą biure, išduoda darbinius kompiuterius bei telefonus, tokios įmonės vadovas gali daugiau mažiau sukontroliuoti, kad šiuose įrenginiuose būtų laiku atnaujintos operacinės sistemos, įdiegtos antivirusinės programos, kad įrenginiai būtų techniškai prižiūrėti ir fiziškai saugūs.
Kas atsitinka, kai darbuotojui yra leidžiama naudoti asmeninius prietaisus darbui? Pirmiausia, labai reikšmingai išauga įrenginių, kurie jungiasi prie įmonės IT infrastruktūros, skaičius. Kaip žinoma, kuo daugiau įrenginių jungiasi prie vidinių sistemų, tuo sunkiau užtikrinti informacijos jose saugumą. Antra, tokiems asmeniniams įrenginiams (jų saugumui) darbdavys turi labai ribotą įtaką arba visai jos neturi. Taigi atsiranda toks nevaldomas spiečius įrenginių, besijungiančių į įmonės IT sistemas, kuris sukuria puikias sąlygas piktavaliams pasinaudoti techninėmis spragomis.
Pagrindinės informacijos saugumo grėsmės, kai darbui naudojami asmeniniai prietaisai yra šios:
Įrenginių praradimas
Dėl tol, kad asmeniniai komunikacijos įrenginiai yra mobilūs, jų praradimas vis dar yra viena dažniausių problemų, kylančių darbdaviui leidus specialistams naudoti asmeninius telefonus, kompiuterius ir kitas priemones. Skirtingi tyrimai rodo, kad maždaug trečdalis duomenų saugumo pažeidimų yra susiję būtent su įrangos praradimu.
Techninių galimybių šiam „žmogiškajam faktoriui“ efektyviai užkirsti kelią beveik nėra. Iš esmės vienintelis būdas, galintis padėti surasti pamestus ar pavogtus daiktus yra „surask mano prietaisą“ tipo programinė įranga. Tačiau ir ji neužtikrina, kad piktavaliai nesuspės pasinaudoti suteikta proga.
Yra keletas teisinių priemonių, kurios sumažintų potencialią žalą įmonei, tačiau jų efektyvus didžiąją dalimi priklauso nuo darbuotojų sąžiningumo ir suvokimo, kokią žalą gali padaryti vienas pamestas neapsaugotas įrenginys. Tarp tokių priemonių paminėtinas įpareigojimas registruoti visus asmeninius prietaisus naudojamus darbui, privalomas nuotolinio informacijos sunaikinimo funkcijos instaliavimas, reikalavimas pranešti apie pamestą asmeninį prietaisą, specialių programėlių padedančių atskirti privačią ir darbinę aplinką instaliavimas, įpareigojimas apsaugoti įrenginį stipriu slaptažodžiu ir panašios priemonės.
Informacijos (ne)valdymas
Iššūkių kelia ir naudotojų patogumui sukurta informacijos bendrinimo (dalijimosi per debesiją) galimybė. Dažnu atveju, net žmogui pačiam to neįtariant, darbinė informacija, esanti asmeniniame įrenginyje, gali būti persiunčiama į asmeninę debesies talpyklą. Taip vyksta todėl, kad dalis įrenginių ir naudojamų programėlių automatiškai bendrina informaciją, nes tokie yra jų numatytieji (angl. default) nustatymai.
Tokiam informacijos bendrinimui užkirsti kelią siūlomi techniniai sprendimai yra, pavyzdžiui, konteinerizacija ir programinė įranga, leidžianti asmeniniame įrenginyje atskirti darbinę erdvę nuo privačios, tokiu būdu užtikrinant, kad bet kokia nauja įdiegta programėlė neturės prieigos prie darbinės aplinkos.
Visgi praktikoje labai reta įmonė paminėtas priemones naudoja. Tai reiškia, kad kiekvieną dieną įmonės informacija gali būti automatiškai bendrinama su asmeninėmis darbuotojų talpyklomis.
Virusai ir kiti kenkėjai
Paradoksalu, tačiau antivirusinių programų naudojimas ir kitoks kibernetinių atakų užkardymas yra savaime suprantamas kalbant apie kompiuterius, tačiau beveik visiškai ignoruojamas kalbant apie telefonus, planšetinius kompiuterius, išmaniuosius laikrodžius ir kitus įrenginius. Nuo virusų neapsaugoti asmeniniai darbuotojų prietaisai – tai saugumo spragos jūsų įmonės IT infrastruktūroje.
Dar daugiau, į dalį išmaniųjų įrenginių netgi technologiškai neįmanoma instaliuoti antivirusinių programų. Sakysite, na ir kas čia tokio. O gi problema tame, kad dažniausiai visi šie asmeniniai daiktai, paprastai būna sujungti į bendrą darbuotojo namų bevielio interneto tinklą. Toks sujungimas tarpusavyje leidžia programišiams, radus spragą viename įrenginyje, pateikti į visą namų wi-fi tinklą. Jeigu tuo metu darbuotojo kompiuteris taip pat būtų prijungtas prie tinklo, be abejo, programišiai patektų ir į jį.
Nesaugus internetas
Jau minėta, kad belaidis namų interneto ryšys nėra saugus. Tą patį galima pasakyti ir apie viešuosius wi-fi tinklus. Nepaisant to, kad šį faktą žino kiekvienas vidutinis interneto vartotojas, dėl to įsilaužimų į įmonių sistemas būtent tokiu keliu – per viešai prieinamą Wi-Fi, nemažėja.
Jungimosi prie viešo belaidžio interneto įpročiai buvo itin detaliai analizuoti 2016 metų Londono universiteto koledžo tyrime. Šio tyrimo metu nustatyta, kad žmonės dėl savo patogumo ir todėl, kad mano, jog nesaugus scenarijus neįsigyvendins, naudojasi viešu interneto ryšiu, net ir žinodami, kad jis nesaugus. Dar kiti sociologiniai tyrimai duomenų saugumo srityje rodo, kad kai žmonės susiduria su konkuruojančiais poreikiais, reikalaujančiais jų laiko ir įsigilinimo, jie sumažina savo pastangas skiriamas saugumui. Kaip tai pasireiškia naudojant viešą Wi-Fi? Tarkime žmogui reikia skubiai atlikti darbinę užduotį, o jis tuo metu miesto kavinėje geria kavą. Labai tikėtina, kad jis paaukos saugumą vardan greito rezultato net nesusimąstydamas, kad gali kuruti saugumo spragą savo darbdavio infrastruktūroje.
Kaip galima mažinti technologines rizikas?
Apibendrinant technologinius iššūkius, galima daryti išvadą, kad problema, kurią turi spręsti darbdavys, yra tokia – kaip užtikrinti, kad darbuotojų asmeniniuose prietaisuose ir namų tinkle bus imamasi visų būtinų saugumo priemonių arba kaip apsaugoti įmonės konfidencialią informaciją, nuo nesaugių prisijungimų iš išorės.
Dažnas teisininkas paminėtų darbuotojų švietimą, draudimą naudoti asmeninius prietaisus darbui, vidines tvarkas, įpareigojančias keisti slaptažodžius, atnaujinti operacines sistemas savo įrenginiuose, kaip galimus sprendimų variantus. O kibernetinio saugumo specialistai rekomenduotų šifruoti savo duomenis, riboti prieigos teises, naudoti dvigubą autentifikaciją, konteinerizaciją, o internetiniam prisijungimui prie įmonės infrastruktūros naudoti virtualius privačius tinklus (VPN), kurie sukuria savotiškus saugius skaitmeninius tunelius, vedančius tiekiai nuo jūsų įrenginio iki darbinės infrastruktūros.
Ar šių priemonių pakaktų visiškai apsisaugoti nuo išorinių technologinių grėsmių? Greičiausiai, ne. Todėl tikėtina, kad greitu metu asmeninių prietaisų naudojimo problemai spręsti nebus sugalvotas koks nors genialus sprendimas ir ji išliks galvos skausmu bet kuriam darbdaviui, nusprendusiam neriboti asmeninių prietaisų naudojimo darbui atlikti.
Pabaigai, norisi pažymėti, jog šio straipsnio tikslas nėra agituoti uždrausti naudoti asmeninius prietaisus darbui. Kaip rodo socialiniai tyrimai, kuo jaunesnės kartos darbuotojai ateina dirbti, tuo labiau nesuprantamas jiems yra draudimas naudoti, pavyzdžiui, asmeninį telefoną darbinei pašto dėžutei tikrinti. Tikslas yra atkreipti dėmesį į šią, rodos, nereikšmingą problemą, kuri, galbūt, ką nors išgelbės nuo kibernetinio incidento.
Antroje šio straipsnio dalyje bus aptarti teisiniai argumentai, kuriuos būtina apsvarstyti prieš darbuotojams pasiūlant galimybę dirbti iš jiems patogiausios vietos ir su jiems labiausiai priimtinais įrankiais, o taip pat – žingsniai, kurių reikėtų imtis siekiant apriboti tokio darbo pobūdžio rizikas.
Darbo funkcijų atlikimas su asmeniniais įrenginiais, ypač telefonais, yra beveik neatsiejama šiuolaikinės darbo kultūros dalis. Visgi, kaip galima buvo įsitikinti jau pirmoje šio straipsnio dalyje, toks darbo būdas turi ir keletą rimtų teisinių iššūkių: pirma, tam tikrais atvejais darbdavys rizikuoja pažeisti darbuotojo privatų gyvenimą, antra, įmonė rizikuoja pažeisti konfidencialumo įsipareigojimus duotus savo partneriams ir trečia, asmeninių prietaisų naudojimas nuotoliniam darbui gali sukelti rimtų BDAR problemų dėl duomenų teikimo už ES ribų.
Riba tarp privataus ir darbinio gyvenimo „išsitrina“
Pagrindinis darbo su asmeniniais prietaisais trūkumas – rizika pažeisti žmogaus privatumą. Naudojantis tais pačias prietaisais ir darbo, ir laisvalaikio tikslais, kontaktai, nuotraukos ir kita informacija susimaišo ir tokiu būdu riba tarp privataus gyvenimo ir darbo tarsi „išsitrina“.
Praktikoje dažnai pasitaiko situacijos, kai darbdavys įtaria, jog darbuotojas pažeidė įmonės vidines tvarkas, bet visi įrodymai yra būtent asmeniniame telefone. Darbdavio galimybės paimti tokį įrenginį ir jame esančius įrodymus vidiniam tyrimui yra labai ribotos. Nebent įmonė iš karto kreiptųsi į policiją ir prašytų pradėti ikiteisminį tyrimą. Bet ir tai negarantuoja sėkmės. Kaip pagrindinį argumentą neperduoti darbdaviui savo telefono, įtariami darbuotojai dažniausiai naudoja savo teisę į privatumą. Ir beveik visada „laimi“ ir darbdaviui tenka atsitraukti.
Pažymėtina, kad Lietuvoje per pastaruosius kelis metus yra buvę incidentų (ypač IT paslaugų bendrovėse), kai darbuotojai tyčia pavogė ir konkurentams perdavė įmonės duomenis ar programinį kodą. Tam, kaip taisyklė panaudodamas asmeninius kompiuterius.
Ši problema dažnai yra nevertinama kaip rimta iki tol, kol nutinka incidentas ir iškyla poreikis paimti įrodymus iš asmeninio įrenginio. Deja, įvykus pažeidimui paprastai jau būna per vėlu ką nors keisti. Jeigu įmonėje nebuvo tinkamai sureguliuota asmeninių prietaisų naudojimo tvarka, belieka tik apgailestauti ir geriau pasirengti ateičiai.
Konfidencialumo pažeidimai
Dar vienas dalykas apie kurį darbdaviams reikėtų pagalvoti yra konfidencialumas. Didžioji dalis sutarčių su paslaugų teikėjais ir partneriais turi konfidencialumo nuostatas, pagal kurias abi šalys paprastai įsipareigoja visą su sutarties sudarymu ir vykdymu susijusią informaciją laikyti paslaptyje ir saugoti nuo neteisėtos prieigos ar atskleidimo trečiosioms šalims. Mažai kas pagalvoja, kad šio įsipareigojimo yra praktiškai neįmanoma įvykdyti, jei leidžiama darbuotojams be jokių papildomų saugumo priemonių naudotis asmeniniais prietaisais darbo tikslais.
Dėl įrenginiuose įdiegtų automatinių informacijos bendrinimo nustatymų konfidencialumo įsipareigojimų pažeidimas praktiškai garantuotas.
Kai dirbama ne ES šalyje, vyksta duomenų teikimas į trečiąsias šalis
Duomenų teikimas į trečiąsias šalis taip pat paminėtinas prie teisinių problemų, kurias gali sukelti nuotolinis darbas, jeigu jam naudojami asmeniniai komunikacijos prietaisai.
Kai dirbama nuotoliniu būdu būnant ne ES šalyse, tokiu atveju, formaliai žiūrint, vyksta duomenų teikimas į trečiąsias šalis. Tai sukelia dar vieną teisinę problemą, nes duomenų teikimas (ypač po Schrems II sprendimo) į nemažą dalį pasaulio valstybių tapo itin rizikingas. Ypač suklusti turėtų tie, kas keliauja į autoritarinio režimo šalis, duomenų teikimas į jas yra, galima sakyti, draudžiamas.
Jeigu įmonėje atsirado darbuotojas, ketinantis dirbti trečiojoje šalyje, darbdavys turėtų imtis papildomų priemonių užtikrinti, kad duomenų teikimas atitiktų BDAR.
Kaip rasti balansą?
Pagrindiniai uždaviniai, kuriuos turi išspręsti darbdavys, svarstantis, ar leisti naudoti asmeninius prietaisus darbui, yra šie: užtikrinti balansą tarp, iš vienos pusės informacijos saugumo, konfidencialumo įsipareigojimų vykdymo ir, iš kitos pusės, darbuotojo teisės į privatų gyvenimą.
Iš pirmo žvilgsnio atrodo sunkiai suderinami dalykai, tokie kaip patogumas, saugumas ir privatumas, visgi yra derinami. Tam paprastai pasitelkiama BYOD (angl. Bring your own device) politika.
Tokio vidinio dokumento esmė – aiškiai apibrėžti darbdavio lūkesčius, informuoti apie grėsmes ir darbuotojo atsakomybę. Taip pat nustatyti darbdavio įsipareigojimus, skirti papildomai lėšų saugumo priemonių instaliavimui, mokymams, įmonės konfidencialios informacijos apsaugai bei kompensacijoms už ryšį.
Galima nustatyti ir įpareigojimą atriboti privačią informaciją nuo darbinės, laiku atnaujinti operacinę sistemą, informuoti apie prarastą įrenginį, leisti darbdaviui patikrinti, ar teisingai laikomasi saugumo reikalavimų, bei susitarti, kokiomis sąlygomis bus patikrinama įrenginyje esanti darbdavio informacija.
Rengiant šią politiką pravartu atsižvelgti į Lietuvos Nacionalinio kibernetinio saugumo centro rekomendacijas.
„Jeigu Jūsų įmonės darbuotojai turi galimybę dirbti nuotoliniu būdu ir tam naudoja savo asmeninius kompiuterius, apsvarstykite galimybę įsigyti verslo naudojamos antivirusinės programos kopiją arba reikalaukite, kad darbuotojai įdiegtų saugią antivirusinę programą į asmeninius prietaisus. Rekomenduojama riboti darbuotojų prieigą prie socialinių tinklų ir asmeninių el. pašto dėžučių, jei to nereikia darbo funkcijoms atlikti. Taip mažinama rizika, kad Jūsų įmonės darbuotojas susidurs su sukčiavimu ir galimai apkrės įmonės kompiuterį ir tinklą“, – skelbia NKSC.
Pabaigai reikia akcentuoti, kad joks dokumentas neužkardys visų grėsmių. Tačiau derinant tai kartu su atitinkamomis techninėmis saugumo priemonėmis, BYOD politikos aprašas gali įnešti aiškumo, disciplinos ir pagelbėti tada, kai prireikia laviruoti tarp darbuotojo teisės į privatumą ir darbdaviui priklausančios informacijos apsaugos.
Apie COBALT:
COBALT yra viena didžiausių advokatų kontorų Baltijos šalyse. Daugiau kaip 200 teisininkų teikia kompleksines paslaugas vietos, regiono ir tarptautinėms korporacijoms, fondams, kredito įstaigoms bei įmonėms, taip pat privatiems asmenims visose verslo teisės srityse. Septynis kartus kontora laimėjo „Geriausios advokatų kontoros Baltijos šalyse“ titulą. Prestižiškiausi advokatų kontorų žinynai „Chambers Global“, „Chambers Europe“, „Legal 500“, „IFLR 1000“ ir kiti kasmet COBALT įtraukia į geriausių regiono advokatų kontorų sąrašą.
2022-10-04