Nieautoryzowane komunikatory do celów służbowych
Nie ma dziś chyba osoby, która nie korzystałaby z komunikatora internetowego.
WhatsApp – często do rozmów rodzinnych, czy – co na pewno potwierdzą rodzice – do grup szkolnych, Messenger – do kontaktów towarzyskich, Signal – dla bardziej świadomych użytkowników.
Wybór narzędzia to w życiu prywatnym to kwestia preferencji – jedni stawiają na wygodę, inni na bezpieczeństwo czy jakieś inne dodatkowe funkcje. Każdy korzysta prywatnie z takiego komunikatora, który spełnia jego preferencje co do wygody i bezpieczeństwa.
Strefa prywatna, a obowiązki zawodowe
RODO jasno rozróżnia te dwie rzeczywistości. Art. 2 ust. 2 lit. c) wyłącza z regulacji dane przetwarzane wyłącznie w celach osobistych. Pracodawca nie ma prawa ingerować w prywatne rozmowy pracowników. Granica przesuwa się jednak natychmiast, gdy w grę wchodzą dane służbowe. Wtedy odpowiedzialność spada na barki administratora – czyli organizacji.
A to oznacza, że firma powinna nie tylko określić, z jakich narzędzi wolno korzystać, ale także przewidzieć ryzyka, określić cele przetwarzania danych, kontrolować retencję danych i wdrożyć zasady, które zapobiegną incydentom bezpieczeństwa.
Czy wszystkie komunikatory są bezpieczne?
To zależy, na ten temat należy patrzeć bardzo szeroko.
Niniejszy tekst nie ocenia technicznych zabezpieczeń aplikacji bezpośrednio, a bazuje na ogólnych opiniach panujących w świecie cyberbezpieczeństwa. Są one jedynie elementem rozważań na temat bezpieczeństwa wykorzystania tego typu aplikacji.
- Signal
Rozwiązanie open-source, z pełnym szyfrowaniem end-to-end. Jako projekt non-profit jest postrzegany jako jedno z najbezpieczniejszych narzędzi, również z uwagi na mniejsze ryzyko komercyjnego wykorzystania danych. Innymi słowy mówiąc? Teoretycznie mamy tutaj mniejszą szansę na to, że nasze dane zostaną sprzedane lub wykorzystane do szkolenia AI. Ten komunikator ma dobrą opinię w środowisku bezpieczeństwa informacji.
Zapewnia szyfrowanie, ale należy do koncernu Meta – w związku z czym pojawiają się obawy związane z prywatnością. Jest programem, który cieszy się dobrą opinią, jeżeli chodzi o oferowany poziom bezpieczeństwa. Czy Meta faktycznie korzysta z treści rozmów w swoich celach biznesowych? Trudno to jednoznacznie ocenić, ale trudno też nie mieć wątpliwości patrząc na pojawianie się niektórych reklam, gdy wspomniało się o różnych produktach podczas rozmów.
- Microsoft Teams
Rozwiązanie komercyjne dedykowane dla podmiotów biznesowych. Jest elementem płatnego pakietu Office 365 oferowanego przez Microsoft. Jego największą zaletą jest pełna kontrola po stronie organizacji – można łatwo usuwać użytkowników, konfigurować retencję, wymuszać 2FA. A po zakończeniu współpracy pracownik traci cały dostęp do historii rozmów i przekazanych tamtędy danych służbowych. Podobnym rozwiązaniem jest Google Chat
- Telegram
Domyślne chaty w tej aplikacji nie są szyfrowane end-to-end. Choć można to włączyć w prywatnych komunikacjach to wymaga to nielada wysiłku, a ponadto stosowane metody szyfrowania nie są tam do końca sprawdzone, gdyż wykorzystywane są tam niesprawdzone i nieaudytowane protokoły szyfrowania, które wykorzystują autorski protokół. Ponadto wokół tego komunikatora pojawiło się wiele różnych kontrowersji w zakresie bezpieczeństwa.
Komunikatory dozwolone w organizacji
Organizacja powinna określić z jakich metod komunikacji korzysta i uznaje za bezpieczne, by zachować kontrolę nad przetwarzanymi danymi, w tym danymi osobowymi. Administrator ma tu określone obowiązki w związku z przetwarzaniem danych osobowych. Np. po określonym czasie należałoby je usunąć z wszystkich lokalizacji, w tym z komunikatora. W przypadku organizacji rekomendowane są raczej rozwiązania korporacyjne np. z zakresu pakietu Office 365, z uwagi na szeroki wachlarz możliwości budowania zabezpieczeń.
Zagrożenia związane z używaniem nieautoryzowanych komunikatorów
Kiedy pracownicy korzystają w pracy z prywatnych komunikatorów, organizacja traci kontrolę nad danymi. Aplikacje często nie są odpowiednio zabezpieczone i/lub nie spełniają wymagań bezpieczeństwa organizacji.
To rodzi konkretne problemy:
- Brak kontroli – firma nie ma wpływu na to, co dzieje się z przekazanymi materiałami ani czy były one odpowiednio chronione.
- Ryzyko ataków hakerskich – przejęcie konta w komunikatorze może oznaczać nieautoryzowany dostęp do poufnych danych.
- Możliwość wycieku – przesyłanie wrażliwych dokumentów przez aplikacje nieobjęte analizą ryzyka grozi poważnymi konsekwencjami prawnymi i reputacyjnymi.
- Problemy przy odejściu pracownika – osoba, która przestaje pracować w firmie, nadal może mieć dostęp do historii rozmów i dokumentów, jeśli nie korzystano z centralnie zarządzanego narzędzia.
Jakie wymogi bezpieczeństwa dotyczące komunikatorów stosować?
- Korzystajcie tylko z autoryzowanych narzędzi: Używajcie wyłącznie zatwierdzonych przez firmę aplikacji do komunikacji służbowej. Są one odpowiednio zabezpieczone i zapewniają większą kontrolę nad danymi. Spełniają również wymagania organizacji co do bezpieczeństwa dla przetwarzanych danych.
- Dbajcie o bezpieczeństwo: Jeśli macie jakiekolwiek wątpliwości dotyczące bezpieczeństwa używanych narzędzi, skontaktujcie się z działem IT lub z inspektorem ochrony danych.
- Zgłaszajcie problemy: W przypadku podejrzenia, że doszło do naruszenia bezpieczeństwa danych, niezwłocznie zgłoście to IOD-owi.
Jak udokumentować zgodność?
Przy wdrażaniu dokumentacji bezpieczeństwa, należy mieć na pewno na uwadze to, by odpowiadała realnym potrzebom biznesowym organizacji.
W mikroprzedsiębiorstwach niekoniecznie będzie potrzeba tworzyć rozległą politykę komunikacji, a może wystarczyć prosty komunikat, że wykorzystywane tylko za pomocą takiego sposobu komunikacji, który w organizacji jest uznany za bezpieczny.
W przypadku większych podmiotów zaleca się jednak stworzyć konkretną politykę komunikacji w wewnętrznej dokumentacji, które będzie określać:
- Co ma być komunikowane, kiedy, z kim i jak się komunikować;
- Jakie komunikatory są dopuszczalne do celów służbowych (tu warto skonsultować kwestie techniczne z działem IT);
- Przesyłanie danych osobowych związanych z świadczoną pracą innymi kanałami niż te dozwolone jest zakazane;
- Jeżeli firma nie korzysta z centralnie zarządzanego narzędzia jak Microsoft Teams czy Google Chat – to należałoby określić jakie są zasady kontroli dostępu, zakładania kont itd. w innych komunikatorach.
- Zasady retencji danych osobowych przetwarzanych z użyciem komunikatorów;
- Zasady autoryzacji przy logowaniu (najlepiej z użyciem logowania dwuskładnikowego);
- Zasady kontaktu z klientami za pomocą wybranych kanałów komunikacji.
- Zasady przesyłania plików informacji – np. za pomocą zasobu sieciowego z ograniczeniem dostępu dla konkretnego odbiorcy.
Powyższe kwestie należałoby ująć w odrębnym dokumencie i zakomunikować go pracownikom, przeprowadzić z tego zakresu szkolenie, tak by np. podczas audytu bezpieczeństwa informacji dysponować realnym dowodem na to, że pracownicy są świadomi w tym zakresie.
Warto również pamiętać, że korzystanie z wybranego komunikatora powinno być wpisane do Rejestru Czynności Przetwarzania Danych Osobowych oraz uwzględnione przy analizie ryzyka związanej z procesami przetwarzania danych.
FAQ - Najczęściej zadawane pytania
Dlaczego nie wolno używać prywatnych komunikatorów do celów służbowych?
Ponieważ firma traci kontrolę nad danymi, które tam trafiają. W przypadku odejścia pracownika, włamania na konto czy awarii aplikacji organizacja nie ma możliwości odzyskania i zabezpieczenia informacji.
Czy WhatsApp, Messenger albo Telegram są bezpieczne w pracy?
Te aplikacje nie zostały zaprojektowane z myślą o wymaganiach biznesowych i RODO. Nawet jeśli oferują szyfrowanie, nie dają organizacji pełnej kontroli nad retencją, dostępem czy usuwaniem danych. Dlatego w pracy rekomendowane są rozwiązania biznesowe, np. Microsoft Teams czy Google Chat.
Na jakie zagrożenia narażona jest firma, jeśli pracownicy korzystają z nieautoryzowanych komunikatorów?
Najczęstsze ryzyka to: wyciek danych osobowych, problemy przy audytach i kontrolach, trudności w dokumentowaniu zgodności z RODO, a także realna możliwość przejęcia wrażliwych informacji przez cyberprzestępców.
Jakie komunikatory są rekomendowane do użytku biznesowego?
Najczęściej stosuje się narzędzia z pakietów korporacyjnych (np. Microsoft Teams, Google Chat), które pozwalają administratorom zarządzać kontami, ustalać zasady retencji danych, stosować logowanie dwuskładnikowe i łatwo wycofywać dostęp po zakończeniu współpracy.
Co powinien zrobić pracownik, jeśli klient nalega na rozmowę np. przez WhatsApp?
Warto powołać się na politykę firmy i zaproponować bezpieczny, autoryzowany kanał komunikacji. Jeśli klient upiera się przy prywatnym komunikatorze, należy skonsultować to z przełożonym lub działem IT/IOD.
Skontaktuj się z nami
Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.
