Jeszcze kilka lat temu praca z leżaka kojarzyła się głównie z influencerami i zdjęciami na Instagramie. Dziś workation – czyli połączenie pracy z wyjazdem – stało się codziennością dla tysięcy osób. Wystarczy laptop, dostęp do internetu i kubek kawy z widokiem na morze. Przynajmniej w teorii.
W praktyce praca z hotelowego tarasu, lotniska czy klimatycznej kawiarni może przypominać pozostawienie otwartego laptopa na ławce w parku z kartką: „Zaraz wracam”. Bo choć widok za oknem się zmienia, odpowiedzialność za dane klientów, pracowników czy firmy… urlopu nie bierze.
Według badań firmy Cisco ponad 80 proc. incydentów cyberbezpieczeństwa ma związek z błędem człowieka, a raport IBM pokazuje, że średni koszt naruszenia bezpieczeństwa danych na świecie przekroczył już 4,8 mln dolarów. Czasem jednak nie potrzeba spektakularnego ataku hakerskiego. Wystarczy hotelowe Wi-Fi, pozostawiony bez opieki komputer albo jedno zbyt głośno przeprowadzone spotkanie online.
Wi-Fi „gratis”. Czasem razem z hakerem
Darmowy internet w hotelu czy kawiarni działa na nas niemal jak tabliczka „all inclusive”. Trudno odmówić. – „Publiczne Wi-Fi przypomina trochę wspólną szczoteczkę do zębów. Skoro nie wiemy, kto korzystał z niej przed nami, rozsądek podpowiada, żeby jej nie używać. Z siecią jest podobnie – nigdy nie mamy pewności, kto jeszcze jest po drugiej stronie i czy ktoś nie próbuje właśnie podejrzeć naszej komunikacji.” – mówi Karolina Praszek-Gołębiewska, prawniczka i specjalistka ds. ochrony danych osobowych z Kancelarii Bezpieczeństwa.
Cyberprzestępcy doskonale wiedzą, że wakacje rozleniwiają czujność. Fałszywe sieci Wi-Fi o nazwach przypominających hotelowe, przechwytywanie ruchu internetowego czy ataki typu „man in the middle” to dziś codzienność. Wystarczy połączyć się z niewłaściwą siecią, by nieświadomie udostępnić znacznie więcej niż tylko adres e-mail.
Plaża jest publiczna. Dokumenty firmowe już nie
Praca z widokiem na morze brzmi świetnie, dopóki nie okazuje się, że ekran laptopa z danymi klientów ogląda również osoba siedząca przy sąsiednim stoliku. – „Mamy tendencję do myślenia, że skoro jesteśmy na wakacjach, to wszystko staje się trochę mniej formalne. Tymczasem RODO nie wyjeżdża na urlop. Dane osobowe nadal wymagają takiej samej ochrony, niezależnie od tego, czy pracujemy z biura, hotelu czy plażowego baru.” – podkreśla ekspertka.
Zagrożeniem nie jest wyłącznie internet. To również rozmowy prowadzone przez telefon w miejscach publicznych, dokumenty pozostawione na stoliku czy komputer odblokowany na czas zamówienia kolejnej kawy. – „Czasami wystarczy pięć minut nieuwagi. Idziemy odebrać kawę, a laptop zostaje otwarty. To trochę tak, jakby zostawić na plaży portfel z karteczką „proszę nie zaglądać”. Większość osób tego nie zrobi, ale wystarczy jedna.”
To tylko jeden mail
Specjaliści od cyberbezpieczeństwa od lat powtarzają, że największą luką w systemach nie jest technologia, lecz człowiek. W czasie workation łatwiej kliknąć link wysłany „na szybko”, zalogować się do firmowego systemu z przypadkowego urządzenia albo przesłać dokument przez prywatny komunikator, bo tak będzie szybciej. – „Najgroźniejsze są sytuacje, których nawet nie traktujemy jako zagrożenia. Przesłanie pliku przez prywatną aplikację, zapisanie dokumentów na niezabezpieczonym dysku czy logowanie bez uwierzytelniania wieloskładnikowego wydają się drobiazgami. A to właśnie
z takich drobiazgów później składają się poważne incydenty.”
Workation zaczyna się jeszcze przed wyjazdem
Bezpieczna praca zdalna nie zaczyna się po rozłożeniu leżaka, ale znacznie wcześniej. Eksperci podkreślają, że firmy powinny przygotować jasne zasady dotyczące pracy poza biurem. Chodzi nie tylko o korzystanie z VPN, aktualizacje systemów czy szyfrowanie urządzeń. Równie ważne jest uświadomienie pracownikom, jakie zachowania mogą prowadzić do naruszenia bezpieczeństwa informacji. – „Dobre procedury są trochę jak krem z filtrem. Najbardziej doceniamy je wtedy, gdy jest już za późno. Dlatego lepiej zadbać o nie wcześniej niż później tłumaczyć, dlaczego doszło do wycieku danych.” – uśmiecha się Karolina Praszek-Gołębiewska.
Za dane odpowiada nie tylko firma
Praca zdalna nie oznacza, że cała odpowiedzialność spoczywa na pracodawcy. Każdy pracownik ma obowiązek chronić informacje, do których ma dostęp, niezależnie od miejsca wykonywania obowiązków.
– „Coraz częściej mówimy o kulturze bezpieczeństwa. Nie wystarczy wdrożyć procedury. Potrzebujemy nawyków. Tak samo jak przed wyjściem z domu odruchowo zamykamy drzwi na klucz, tak samo powinniśmy automatycznie blokować ekran komputera czy zastanowić się dwa razy, zanim połączymy się z przypadkową siecią.” – podkreśla ekspertka ds. ochrony danych.
Workation ma być przygodą, nie materiałem na raport o incydencie
Łączenie pracy z podróżowaniem ma wiele zalet. Pozwala zmienić otoczenie, złapać dystans i często pracować bardziej kreatywnie. Problem pojawia się wtedy, gdy zachowujemy się tak, jakby razem
z walizką spakowały się również wszystkie zabezpieczenia z firmowego biura. – „Najpiękniejszą pamiątką z wakacji powinny być zdjęcia i wspomnienia, a nie zgłoszenie naruszenia ochrony danych
do Prezesa UODO. Workation może być świetnym rozwiązaniem, ale tylko wtedy, gdy pamiętamy,
że bezpieczeństwo informacji nie zależy od miejsca, tylko od naszych codziennych nawyków.” – podsumowuje Karolina Praszek-Gołębiewska.
Bo ostatecznie są tylko dwie rzeczy, których naprawdę nie warto przywozić z urlopu: piasku w walizce
i wycieku danych. Pierwszego trudno się pozbyć. Drugie może zostać z firmą na znacznie dłużej.