Как да се намалят IT рисковетe при работа от вкъщи

Много важно е изграждането на ясно разписана организация чрез вътрешни правила за използване на инфраструктурата

Митко Карушков, Марио Арабистанов

Shutterstock © Shutterstock

За авторите

Митко Карушков е съдружник в адвокатско дружество "Камбуров и съдружници" и ръководител на отдел "Технологии, медии и телекомуникации".

Марио Арабистанов е член на отдел "Телекомуникации, медии и технологии" в дружеството.

През миналата седмица с решение на Народното събрание на Република България беше обявено извънредно положение във връзка с необходимостта да се ограничи разпространението на CoVid-19. Малко по-късно със заповед на министъра на здравеопазването беше въведен пакет от мерки, които по своя характер са ограничителни и засегнаха различни сфери на обществения живот. Логично, част от мерките имаха за свой адресат частните бизнеси и техните отношения със служителите им, а именно: "Всички работодатели в зависимост от спецификата и възможностите на съответната трудова дейност да въведат дистанционна форма на работа за служителите си."

Концепцията за работа от вкъщи (home office) не е нещо ново в България. В последните години това се превърна в стандартно решение, което дава гъвкавост на служителите и спестява разходи на работодателите по наем на по-големи офис площи. Разликата с настоящия случай е мащабът на прилагане на home office практиката.

Затварянето на физическите офиси на компаниите и масовата работа от вкъщи води до неминуеми последици за бизнеса, които включват, но и излизат извън финансовите такива - дистанционен достъп до сървърите на компаниите (напр. чрез VPN), намален контрол върху интернет активността на потребителите, използване на лични устройства, които не са с подходяща защита или използват нелицензиран софтуер, и др. Тази съвкупност от фактори създава благоприятна среда за кибератаки срещу IT системите на компаниите чрез изпращане на "фишинг" мейли, опити за инсталиране на зловреден софтуер и т.н. В такъв момент времето за реакция на служителите, ангажирани със сигурността, би било значително по-дълго, отколкото в стандартния работен процес.

Възниква логичният въпрос "Какво могат да направят работодателите, за да минимизират риска от пробиви в сигурността на информацията?"

Технически мерки

На първо място, следва да бъдат въведени подходящи технически мерки за защита. Ключово в този случай би било използването на лицензиран и надежден софтуер за защита от различни видове кибератаки. Друга мярка би могла да бъде въвеждането на ограничения на достъпа до определени страници, които биха могли да представляват заплаха за сигурността на ИТ системите на съответния работодател. Като допълнително превантивно действие работодателите биха могли да ограничат възможността на потребителите да инсталират софтуер на корпоративните си устройства (лаптопи, таблети, мобилни телефони и т.н.).

Организациите, които използват облачна инфраструктура за осъществяване на бизнес комуникациите си, не би трябвало да срещат проблеми във връзка с нетипичната работна среда при извънредното положение. Във всеки случай, ако се съчетава използване на облачни услуги и работа от разстояние, препоръчителни са следните мерки:

осигуряване на достъп до облака за устройства, подходящи за работа от домашна среда;
осигуряване на нужните мерки за киберсигурност при ползването на тези устройства;
осигуряване на възможност за използване на "служебни устройства" извън офисна среда (със задължителните мерки за сигурност);

Компаниите могат да обмислят осигуряване на ползването на приложения за бизнес комуникация, както и внедряването им (някои компании вече предоставиха безплатен достъп за определен период от време). Тук отново е необходимо персоналът да бъде запознат с условията за ползване и да бъде отговорен при използването на подобни ресурси.

Организационни мерки

Голяма част от мерките, описани по-горе, биха били трудно приложими, ако при работата си от вкъщи служителите използват личните си устройства. Решение на този проблем би било предоставянето на корпоративни устройства, които отговарят на съответните критерии за сигурност. Ако компанията не разполага с такива, то закупуването на нов хардуер би било свързано със съществен разход, който би могъл да се окаже нерентабилен с оглед финансовите вреди на работодателите, възникнали във връзка с извънредното положение. Възможно решение, което би представлявало по-малко финансово бреме за работодателя, би било със заповедта за въвеждане на дистанционна работа работодателят да информира своите служители, които използват личните си устройства за работни цели, че ще осигури закупуването на лицензи за антивирусен или друг защитен софтуер.

Балансът между сигурността на IT системите на работодателите и работата от разстояние може да бъде внесен от прилагането на съществуващите регулации и въвеждането на нови такива.

Законови задължения на служителите

Кодексът на труда (в чл. 126, т. 5) въвежда задължение за служителите да спазват техническите и технологичните правила на работодателя. Това задължение е въведено във връзка с използване на оборудването на работодателя в рамките на работния процес - категория, в която попада и използването на IT инфраструктурата. Технологичните и техническите правила следва да бъдат приети от съответния работодател и да включват ограничения и задължения във връзка с използването на IT инфраструктурата на компанията.

Вътрешни правила заITсигурност

Една част от бизнесите вече имат приети вътрешни правила във връзка с използване на IT инфраструктурата на компанията, на корпоративните устройства, на корпоративната мрежа, дистанционен достъп до сървъри чрез VPN и др. Те са обвързващи за служителите и следва да бъдат спазвани, като санкцията за нарушението им включва търсенето на дисциплинарна отговорност.

От оперативна гледна точка приетите правила или тези, които предстоят да бъдат приети, могат да бъдат инкорпорирани в правилника за вътрешния трудов ред на съответната организация. С оглед оперативност и яснота би могло да се сметне за по-удачно да се изведат в отделни документи, които да имат не само регулаторно/формално значение, а да бъдат полезни за организацията на работния процес в рамките на компанията.

С оглед на факта, че вътрешните актове на работодателя следва да бъдат сведени до знанието на служителите, за да бъдат обвързващи за тях, възниква въпросът как да процедира работодателят, ако към този момент все още няма приети правила във връзка с IT сигурността, а служителите вече работят от вкъщи и няма как да им бъде предоставен физически екземпляр, който служителите да прочетат и подпишат, че са запознати.

Възможно решение на този въпрос е дадено в чл. 4 от Наредбата за вида и изискванията за създаването и съхраняването на електронни документи в трудовото досие на работника или служителя, а именно, че страните по трудовото правоотношение могат да се договорят в трудовия договор или в друга писмена форма да бъдат адресати на електронни изявления чрез електронна поща. В този случай приетите правила могат да бъдат изпратени до електронните пощи на служителите и по този начин да се осигури формалното им обвързващо действие.

Остава обаче рискът за валидността на комуникацията между работодател и служител при липсата на подобни договорки. При такава ситуация служителят отново ще е обвързан със задължението да опазва имуществото и репутацията на своя работодател, което включва и сигурността на базите данни и IT системите.

Възможен е един междинен подход, чрез който едновременно със заповедта, която въвежда работата от разстояние, да се предоставят и указания според специфичния бизнес на съответния работодател.

Въведените от заповедта противоепидемични мерки безспорно ще окажат влияние върху функционирането на бизнеса като организъм, като освен всичко е възможно организациите да станат по-уязвими за кибератаки, тъй като дистанционната работа и намаленият капацитет увеличават рисковете, както и времето за реакция на отделите по киберсигурност. Факт е, че на тези рискове може да се противопостави изграждането на ясно разписана организация чрез вътрешни правила за използване на IT инфраструктурата и дистанционен достъп до сървърите на компаниите, което, съчетано с имплементирането на подходящите технически мерки, би довело до по-гладка миграция от офис към home office.