Dzień dobry Państwu.
Dziś przeprowadzę krótką rozmowę z Panią Anną Oleszkowicz – Główną specjalistką ds. bezpieczeństwa i compliance w Energa Oświetlenie Sp. z o.o. Tematem wiodącym będzie unikanie incydentu naruszenia bezpieczeństwa w pracy.
- Czy może nam Pani w skrócie powiedzieć na czym polega praca na Pani stanowisku ?
Komórka do spraw bezpieczeństwa i compliance została utworzona w celu wdrożenia wymagań wynikających z Umowy o Współpracę Grupy Energa w zakresie przeciwdziałania nadużyciom i konfliktowi interesów, bezpieczeństwa informacji, a także bezpieczeństwa danych osobowych.
Ponadto, jestem odpowiedzialna za nadzór i monitorowanie procesów Zarządzania Zgodnością i Zarządzania Ryzykiem w Energa Oświetlenie.
- Chciałbym się dowiedzieć tak zwyczajnym językiem co to jest incydent naruszenia bezpieczeństwa ?
Incydent bezpieczeństwa informacji to każde zdarzenie, które ma rzeczywiście niekorzystny wpływ na bezpieczeństwo sieci i systemów informatycznych, lub zdarzenie, którego skutkiem jest lub może być naruszenie bezpieczeństwa aktywów informacyjnych. Ochronie podlegają wszystkie informacje mające wartość dla pracodawcy, a szczególnie wartość gospodarczą, w tym takie dane jak baza klientów, biznesplan, źródła finansowania czy wiedza o konkretnych rozwiązaniach technicznych lub technologicznych. Szczególnej ochronie podlegają również dane osobowe.
Incydentem może być zatem, wyniesienie dokumentacji służbowej do domu bez zgody przełożonego, wydruk dokumentów na drukarce nieautoryzowanej przez pracodawcę, kradzież, zgubienie firmowego laptopa bądź telefonu komórkowego lub dowolnego nośnika danych.
Najczęstszym incydentem jest przesyłanie informacji z naszych kont służbowych na adresy prywatnej poczty email. Zdarza się tak, że natłoku obowiązków, mamy trudności z terminową realizacją powierzonych nam zadań. Chcąc nadrobić zaległości, przesyłamy na nasz prywatny adres mailowy niezbędne do pracy informacje, by móc spokojnie popracować w domu. Niestety, pomimo naszych dobrych intencji, nie możemy korzystać z takiego ułatwienia. Tego rodzaju korespondencja jest co do zasady zabroniona. Nie oznacza to jednak, że z każdego wysłanego maila będziemy musieli się tłumaczyć. Nikt nie zabroni nam przesyłania na prywatną skrzynkę dokumentów lub informacji, które nas dotyczą, może być to PIT lub umowa o pracę. Warto jednak mieć świadomość, iż każdy mail wysyłany z kont służbowych na konta prywatne jest każdorazowo odnotowywany przez systemy bezpieczeństwa Grupy.
Jako, że dane osobowe są danymi podlegającymi szczególnej ochronie, w przypadku wystąpienia incydentu bezpieczeństwa informacji, które dotyczy danych osobowych- mówimy już o naruszeniu ich bezpieczeństwa. Zgodnie z definicją, naruszenie bezpieczeństwa prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
W praktyce oznacza to, iż z naruszeniem ochrony danych osobowych będziemy mieli
do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do incydentu niechcący.
Wobec powyższego, wszystkie przypadki naruszenia ochrony danych osobowych są incydentami bezpieczeństwa, jednak nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych.
- Rozumiem, że większość danych jest poufna, ale proszę o uchylenie rąbka tajemnicy czy jest to zjawisko częste w naszej Spółce i jakiego rodzaju są to incydenty ?
Na szczęście w naszej Spółce nie zdarza się to często. Pracownicy są odpowiedzialni i świadomi zagrożeń. Oczywiście każdemu zdarza się popełniać błędy, a wynikają one często z braku świadomości realnego zagrożenia. Zdarzają się sytuacje, które opisałam już powyżej
tj. przesyłanie informacji z naszych kont służbowych na adresy prywatnej poczty email.
Równie groźne jest otwieranie sfałszowanych wiadomości, które na pierwszy rzut oka wyglądają jak zwykłe oferty handlowe. Bądźmy uważni. Zwracajmy uwagę na takie szczegóły jak nieprawidłowa nazwa nadawcy, błędy w treści wiadomości lub brak logo instytucji. To pomoże nam w odróżnieniu zwykłego spamu od zainfekowanego e-maila.
Szczególną uwagę zwróćmy również na wiadomości z załącznikiem, pochodzące z nieznanego źródła. Takie wiadomości co do zasady traktujemy jako podejrzane. Nie należy otwierać takich załączników ponieważ najprawdopodobniej zawierają niebezpieczne oprogramowanie.
- Teraz mamy sytuacje szczególną - epidemia Covid 19 W związku z tym część osób pracuje zdalnie. Czy w związku z tym zwiększa się możliwość wystąpienia incydentów naruszenia bezpieczeństwa, nawet jeśli pracownik miał jak najlepsze zamiary ?
Rzeczywiście, taka sytuacja sprzyja wystąpieniu incydentów. Pracujemy z domu, nie mamy pod ręką wszystkich narzędzi do pracy, które zostawiliśmy w biurach. Często przez nieuwagę lub pośpiech możemy doprowadzić do niepożądanych sytuacji. W związku z powyższym przypominam, że pomimo nadzwyczajnych okoliczności - zasady bezpieczeństwa danych pozostają w mocy.
Problem jest dość powszechny, dlatego Urząd Ochrony Danych Osobowych przygotował specjalną broszurę, w której znajduje się kilka porad dotyczących bezpieczeństwa danych osobowych podczas pracy zdalnej. Zastosowanie się do nich, na pewno przyczyni się do zmniejszenia ilości incydentów bezpieczeństwa i zaoszczędzi nam związanych z tym nieprzyjemności.
W poniższym linku dodana jest broszura, zachęcamy do zapoznania się z jej treścią.
Bardzo dziękuję za rozmowę i przede wszystkim istotne wskazówki dla pracowników Energa Oświetlenie Sp. z o.o.
