Niedawne uchwalenie nowelizacji kodeksu pracy, wprowadzającej na stałe model pracy zdalnej, zbiegło się w czasie z wejściem w życie tzw. dyrektywy NIS2 określającej prawa i obowiązki w zakresie cyberbezpieczeństwa podmiotów zobowiązanych. Okoliczności te podkreślają, jak aktualną kwestią jest zapewnienie odpowiedniego poziomu cyberbezpieczeństwa, w szczególności w zakładach pracy.
Jak zatem bezpiecznie zarządzić zagadnieniem potencjalnego cyberataku w zakładzie? Jaka jest rola stron stosunku pracy w zapewnieniu odpowiedniego bezpieczeństwa technologicznego w zakładzie pracy? Postaramy się wyjaśnić.
W jaki sposób zabezpieczyć firmę
Pracodawcy powinni dołożyć wszelkich starań, by zapobiegać cyberatakom. Wybór odpowiednich narzędzi zabezpieczających należy dostosować do profilu działalności pracodawcy. W niektórych organizacjach standardowe procedury bezpieczeństwa będą wystarczające, zaś w przypadku podmiotów szczególnie narażonych na cyberprzestępczość, działania muszą być o wiele bardziej rozbudowane.
Czytaj więcej:
Pracodawcy mają obowiązek zapewnić pracownikom zaplecze techniczne i organizacyjne, a także zaszczepić i egzekwować od załogi mechanizmy działania w sytuacji wystąpienia cyberataku. Istotne jest budowanie świadomości zatrudnionych na wystąpienie możliwych cyberataków poprzez organizowanie cyklicznych szkoleń oraz ćwiczeń praktycznych. Pomocne będzie opracowanie, zaznajomienie, a co najważniejsze – egzekwowanie od pracowników przestrzegania polityki bezpiecznego użytkowana narzędzi pracy, przestrzegania zasad bezpieczeństwa w sieci czy procedur postępowania w sytuacjach kryzysowych, a taką niewątpliwie jest cyberatak.
Lepiej zapobiegać niż leczyć
Po pierwsze, należy technicznie zabezpieczyć narzędzia pracy, np. poprzez zainstalowanie oprogramowania antywirusowego, antyszpiegowskiego, ustawienie zabezpieczeń sieciowych i bieżące aktualizowanie tych programów. Pracodawcy powinni na bieżąco kontrolować dostęp do narzędzi pracy i komponentów sieciowych, np. poprzez wymuszanie podawania hasła bądź ustanowienie szerszych zabezpieczeń – uwierzytelnianie wieloskładnikowe.
Ograniczenie dostępu do newralgicznej infrastruktury informatycznej oraz posiadanie kopii zapasowych materiałów elektronicznych przyczyni się do większego bezpieczeństwa zakładu pracy.
Po drugie, należy zapewnić odpowiednie wsparcie techniczne. Pracodawcy mogą to zrobić, korzystając z outsourcingu usług IT lub bezpośrednio zatrudniając pracownika działu IT, tworząc wyspecjalizowaną jednostkę organizacyjną.
Po trzecie, należy wdrożyć procedury użytkowania powierzonych narzędzi IT, zasady postępowania w cyberprzestrzeni, zapobiegania cyberprzestępczości itp. Same dokumenty nie będą wystarczające, jeśli obowiązki nałożone na podwładnych nie będą realizowane w praktyce. Ważne, by jasno nakreślić obowiązki, wyjaśnić ewentualne wątpliwości oraz na bieżąco monitorować ich przestrzeganie przez pracowników. Należy pamiętać, że polityka przeciwdziałania cyberprzestępczości nie może mieć jednorazowego charakteru. Powinna być długofalowa i skrojona do profilu działalności zakładu pracy. Pożądane jest, aby w regulaminie pracy wskazać obowiązek przestrzegania zasad cyberbezpieczeństwa jako jednego z podstawowych obowiązków pracowniczych. W razie wykrycia naruszeń w tym zakresie, łatwiej będzie pociągnąć pracownika do odpowiedzialności.
Po czwarte, konieczne jest kształtowanie świadomości pracowników w zakresie zagrożeń cyberatakiem. Warto na bieżąco uświadamiać pracowników o skutkach niewłaściwego postępowania w sieci i przygotować ich na ewentualne zagrożenia. Rynek oferuje wiele możliwości, by szkolenia w zakresie cyberbezpieczeństwa były interaktywne, ciekawe i praktyczne. Konieczne jest wypracowanie u podwładnych odpowiednich mechanizmów postępowania. Przydatne mogą być symulowane cyberataki przeprowadzane w kontrolowanych warunkach, by szkolenia spełniały swój praktyczny cel. Nie należy pomijać aspektów psychologicznych. Pracownicy powinni mieć poczucie, że mają wpływ na cyberbezpieczeństwo w zakładzie pracy, a nieprzestrzeganie ustalonych norm będzie rodziło konsekwencje.
Kto odpowiada
Co do zasady wszyscy. Zarówno pracodawca, pracownicy, jak i współpracownicy jeżeli tylko mają jakikolwiek dostęp do danych zgromadzonych w systemach IT i korzystają z narzędzi teleinformatycznych za pośrednictwem których może dojść do cyberataku (np. e-mail czy dane w chmurze). Jeżeli w strukturze organizacyjnej nie określono wyraźnie zasad ponoszenia odpowiedzialności, domniemanie odpowiedzialności za cyberbezpieczeństwo spoczywa na zarządzie. W zależności od struktury zarządczej może to być desygnowany członek zarządu odpowiedzialny za kwestie IT lub prezes zarządu. Ewentualną odpowiedzialność za cyberbezpieczeństwo poniesie specjalista ds. IT. W praktyce mniejsze zakłady pracy korzystają z zewnętrznej obsługi informatycznej, stąd bardzo ważne jest, by w umowie z takim podmiotem odpowiednio określić zasady ponoszenia odpowiedzialności w przypadkach cyberataków. W bardziej rozbudowanych strukturach tworzy się odrębne stanowiska, a nawet całe zespoły odpowiedzialne za cyberbezpieczeństwo lub/i IT compliance. Wówczas podmiotem odpowiedzialnym będzie menedżer takiego zespołu, główny informatyk – chief information officer (CIO), administrator bezpieczeństwa informacji czy nawet samodzielny pracownik zatrudniony w celu zapobiegania cyberatakom i zwalczania cyberprzestępczości. Nie sposób pominąć inspektorów ochrony danych (IOD), którzy także mogą ponosić odpowiedzialność za stan bezpieczeństwa danych osobowych w zakładzie pracy.
Rola zatrudnionych
Pracownicy powinni współkształtować cyberbezpieczeństwo w zakładzie pracy. Jednym z podstawowych obowiązków pracowniczych jest dbałość o dobro zakładu pracy, ochrona jego mienia oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Warto zadbać, by pracownicy mieli poczucie, że pracodawca szkoli, egzekwuje i weryfikuje ich aktywności związane z zapobieganiem wystąpieniu przejawów cyberprzestępczości w zakładzie pracy. Prawny obowiązek każdego pracownika dbania o dobro zakładu pracy jest określany nie tylko jako obowiązek dbałości o interesy pracodawcy. Przyjmuje się, że obowiązek dbałości o „dobro zakładu pracy” powinien być rozumiany szeroko, jako wspólna wartość, „dobro” nie tylko pracodawcy, ale również zatrudnionych. W związku z tym, że przedmiotem obowiązku dbałości pracownika jest całokształt interesów zakładu pracy, dotyczy to także zapewnienia stałego i odpowiedniego poziomu cyberbezpieczeństwa w zakładzie pracy. Współpraca ze związkami zawodowymi w tym zakresie jest nie tylko dobrą praktyką, ale i pożądanym działaniem. Przepisy ustawy o związkach zawodowych wyraźnie wskazują, że do zakresu działania zakładowej organizacji związkowej należy sprawowanie kontroli nad przestrzeganiem w zakładzie pracy przepisów prawa pracy, w tym zajmowanie stanowiska wobec pracodawcy w sprawach dotyczących zbiorowych interesów i praw osób wykonujących pracę zarobkową. Oznacza to, że poziom zapewnionego pracownikom cyberbezpieczeństwa należy do zakresu kompetencyjnego związków zawodowych.
BHP a bezpieczeństwo technologiczne
W dotychczasowym postrzeganiu BHP rozumiane było wąsko, jako zapobieganie występowaniu urazów i wypadków fizycznych. Europejska Agencja Bezpieczeństwa i Zdrowia w Pracy opracowała zalecenia zachęcające do podjęcia działań, by uwzględnić kwestie BHP w ocenie ryzyka w cyberprzestrzeni. Biorąc pod uwagę powszechne stosowanie technologii cyfrowej oraz wzrost liczby cyberataków w zakładach pracy, należy rozważyć pojawienie się nowych zagrożeń dla zdrowia i bezpieczeństwa pracowników. BHP musi być dostosowane do tych wyzwań. Należy odejść od powszechnego modelu rozumienia BHP i spojrzeć na to zagadnienie szerzej. Ważnym elementem BHP są aspekty psychologiczne i psychofizyczne. Podstawowym obowiązkiem każdego pracodawcy jest poinformowanie pracowników o niebezpieczeństwach związanych z pracą na danym stanowisku. Ta informacja powinna uwzględniać kwestie związane z bezpieczeństwem technologicznym oraz adresować ryzyko cyberprzestępczości. Cyberataki mogą nie tylko narazić dany zakład na poważne szkody majątkowe (np. ujawnienie tajemnic przedsiębiorstwa, uzyskanie dostępu do zasobów informacyjnych czy danych osobowych, spowodowanie przestoju w produkcji/świadczeniu usług), lecz mogą zagrażać zdrowiu fizycznemu i psychicznemu zatrudnionych.
Urazy pracowników występujące wskutek skutecznego cyberataku uzależnione są od indywidualnych czynników – np. mogą powodować lęk przed przestrzenią cyfrową czy poważniejsze konsekwencje, które długoterminowo mogą doprowadzić do stanów depresyjnych, co może być przyczynkiem do powstania choroby zawodowej. Należy także pamiętać o możliwym wystąpieniu fizycznych szkód wyrządzonych pracownikom (np. wypadku przy pracy wskutek cyberataku na maszyny produkcyjne). Pracodawca powinien mieć to na uwadze, dbając o należyty stan BHP, a przede wszystkim być świadomym wystąpienia rozmaitych skutków naruszenia zasad cyberbezpieczeństwa i przyjąć kompleksowe podejście do optymalizacji zarządzania ryzykiem technologicznym dostosowując proces pracy do nowych realiów.
Jak należy postąpić
Przede wszystkim zabezpieczyć krytyczną infrastrukturę informatyczną i odeprzeć atak lub zminimalizować skutki jego wystąpienia. Dopiero później należy zidentyfikować przyczynę wystąpienia cyberataku i wyciągnąć stosowne konsekwencje. Rekomendowanym działaniem jest przeprowadzenie wewnętrznego audytu czy postępowania wyjaśniającego, który pozwoliłby ustalić przyczyny wystąpienia cyberataku. W zależności od rozmiaru cyberataku może to być szybka wewnętrzna procedura weryfikacyjna bądź bardziej sformalizowane działanie, przy udziale zewnętrznych doradców – informatyków czy prawników. Należy wtedy ustalić, czy ktoś z zatrudnionych jest za to odpowiedzialny. Nie należy rzucać pochopnych oskarżeń, bo pracownik może podnieść kwestie naruszenia dóbr osobistych czy nawet nierównego traktowania. Nie dotyczy to sytuacji ewidentnych, w których pracownik intencjonalnie przeprowadza lub umożliwia przeprowadzenie cyberataku.
Jeżeli pracownik naiwnie lub podstępnie padł ofiarą cyberataku, może się okazać, że dotychczas stosowane zabezpieczenia techniczne czy organizacyjne były niewystarczające lub podmiot odpowiedzialny za bezpieczeństwo technologiczne zawiódł. Należy krytycznie przyjrzeć się mechanizmom cyberbezpieczeństwa w organizacji, wyciągnąć stosowne wnioski i podjąć działania naprawcze, by zmniejszyć ryzyko powtórnego cyberataku. Jeżeli jednak do wystąpienia cyberataku przyczynił się pracownik i jest to należycie uprawdopodobnione, należy wyciągnąć stosowne konsekwencje.
Odpowiedzialność pracownika
Odpowiedzialność pracowników będzie wątpliwa, jeżeli pracodawca nie stosował żadnych zabezpieczeń systemów teleinformatycznych. Pracodawcy trudno będzie wtedy wyciągnąć konsekwencje wobec pracownika, o ile nie działał on umyślnie. Podstawowym obowiązkiem pracodawców jest organizowanie procesu pracy w sposób bezpieczny w najpełniejszym sensie. Pracodawcy nie mogą przerzucać odpowiedzialności za cyberbezpieczeństwo na pracowników, pozostając biernymi w tym zakresie.
Jeżeli jednak zastosowane zabezpieczenia techniczne i organizacyjne zawiodą, w zależności od okoliczności, a przede wszystkim szkody wyrządzonej cyberatakiem, pracodawca może działać w sposób opisany w kodeksie pracy – może zastosować karę porządkową, wyegzekwować od pracownika odpowiedzialność materialną, zwolnić takiego pracownika (także w trybie dyscyplinarnym w razie spełnienia przesłanki ciężkiego naruszenia podstawowych obowiązków pracowniczych), a w szczególnych przypadkach wszcząć postępowanie karne, np. poprzez zgłoszenie uzasadnionego podejrzenia popełnienia przestępstwa przeciwko ochronie informacji.
Ważny jest zakres obowiązków
Kluczowym aspektem, by określić zakres odpowiedzialności za cyberbezpieczeństwo w zakładzie pracy, jest wyraźne określenie zakresu obowiązków w tym zakresie. Najlepiej ustalić to na piśmie w umowie o pracę zawartej z konkretnym pracownikiem bądź podobnym wewnętrznym dokumencie. Wobec specjalistów i pracowników technicznych ze względu na posiadaną wiedzę i kompetencje można stosować podwyższone wymogi i kryteria staranności w wykonywaniu obowiązków. Nietechniczni pracownicy również mogą być odpowiedzialni za kwestie cyberbezpieczeństwa, bowiem jednym z podstawowych obowiązków pracowniczych jest dbałość o dobro zakładu pracy, ochrona jego mienia oraz zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Pracodawca powinien wówczas stosować standardowe kryteria oceny niedopełnienia obowiązków pracowniczych, biorąc pod uwagę niższy stopień umiejętności technologicznych pracowników nietechnicznych.
Zdaniem autorów
Krystian Stanasiuk radca prawny, partner i szef zespołu prawa pracy w kancelarii Taylor Wessing
Granice odpowiedzialności pracownika za wystąpienie lub przyczynienie się do przeprowadzenia cyberataku.
Odpowiedzialność pracownika jest ewidentna, jeżeli w świetle dokonanych ustaleń, umyślnie wyrządził on szkodę przeprowadzając lub przyczyniając się do wystąpienia cyberataku. W takiej sytuacji, pracownik odpowiada zawsze w pełnej wysokości bez względu na to, czy wyrządził szkodę przy wykonywaniu obowiązków pracowniczych, czy tylko korzystając z „prywatnej okazji lub sposobności” – np. użytkując prywatne narzędzia do celów służbowych. Jeżeli pracownik nie działał intencjonalnie – należy zweryfikować, czy dochowano należytej staranności wymaganej w danej sytuacji. Będzie ona oceniana z uwzględnieniem stanowiska pracy i zakresu powierzonych pracownikowi obowiązków. Pracownik, który tylko sporadycznie pracuje z użyciem komputera, nie będzie musiał zachowywać takiego poziomu ostrożności w sieci, jak analityk czy inżynier oprogramowania, od którego wymaga się zwiększonych standardów i pełnej świadomości ryzyka wystąpienia cyberataku. Przy ustalaniu zakresu odpowiedzialności pracownika należy każdorazowo brać pod uwagę okoliczności zdarzenia, w tym wiedzę i doświadczenie, jakie powinny być uwzględnione standardowo przy działaniach danego typu. Jeżeli wszystkie działania zostały przeprowadzone poprawnie, pracownik nie ponosi odpowiedzialności, ponieważ działał w granicach dopuszczalnego ryzyka. Ciekawe stanowisko wyraził Sąd Najwyższy, który podkreślił, że wyrządzenie pracodawcy szkody przez samowolne używanie powierzonego sprzętu służbowego do celów prywatnych, nie jest działaniem ani w granicach ryzyka pracodawcy, ani w granicach dopuszczalnego ryzyka pracownika, wobec czego nie wyłącza pełnej odpowiedzialności odszkodowawczej na podstawie kodeksu pracy (wyrok Sądu Najwyższego z 22 marca 2016 r., sygn. II PK 31/15).
Michał Zabost aplikant adwokacki, associate w zespole prawa pracy w kancelarii Taylor Wessing
Pracodawcy również mogą odpowiedzieć za szkody wyrządzone cyberatakiem
w zakładzie pracy. Pracodawcy poniosą odpowiedzialność odszkodowawczą względem pracowników, w szczególności jeżeli zatają incydent lub wskutek cyberataku nastąpi wyciek danych osobowych pracowników. Przepisy RODO określają ścieżkę postępowania pracodawcy – administratora danych w takich sytuacjach. Maksymalnie w ciągu 72h pracodawca powinien zgłosić incydent organowi nadzorczemu (UODO) oraz ewentualnie powiadomić organy ścigania, jeżeli istnieje wysokie prawdopodobieństwo popełnienia przestępstwa. Pracodawcy muszą także udokumentować wszelkie przypadki i okoliczności naruszenia danych osobowych oraz podjąć działania następcze. Pracownik, który poniesie szkodę w wyniku wycieku danych osobowych, ma prawo dochodzić stosownego odszkodowania. Aby zapobiec takim sytuacjom, pracodawcy powinni stworzyć rzetelne instrukcje i procedury w zakresie ochrony przetwarzanych danych osobowych, poinformować o nich zatrudnionych oraz bezwzględnie weryfikować i egzekwować ich przestrzeganie. Jeżeli ryzyko wystąpienia cyberataku jest znaczne, pracodawcy, w celu pełniejszego zabezpieczenia interesów pracowników, mogą podjąć dodatkowe środki bezpieczeństwa. Przykładem może być pokrycie kosztów alertów Biura Informacji Kredytowej (BIK), które powiadomią pracowników o przypadku wykorzystania ich danych przez osoby trzecie w sposób nieuprawniony. Ustawodawca również przedsięwziął kroki zabezpieczające przed wykorzystaniem danych pozyskanych m.in. w wyniku cyberataku. Trwają prace legislacyjne nad umożliwieniem obywatelom zastrzeżenia numeru PESEL. Opracowywane przepisy mają skutecznie zabezpieczyć obywateli przed wykorzystaniem ich danych, m.in. uzyskanych w wyniku cyberataku i prób ich nielegalnego wykorzystania. Według informacji prasowych przepisy mają wejść w życie jeszcze w 2023 r.