Praca zdalna jest już powszechna na całym świecie. Freelancerzy, wykonujący usługi przy użyciu własnych narzędzi, stanowią bardzo duży i stale poszerzający się segment rynku pracy. Niesie to za sobą coraz większe ryzyko zagrożeń ze strony hakerów. Częściowo może temu przeciwdziałać obowiązujące od 25 maja 2018 roku we wszystkich krajach członkowskich Unii Europejskiej Rozporządzenie o Ochronie Danych Osobowych (RODO). Dotyczy ono także freelancerów.
Zasady RODO
Głównym zadaniem rozporządzenia jest zapewnienie obywatelom krajów członkowskich UE transparentności w zakresie przetwarzania ich danych osobowych. Oznacza to, że procedury gromadzenia i wykorzystywania tych danych muszą być jasno sformułowane, a ich przepływ podlega nadzorowi, zaś każdorazowe ich wykorzystanie musi mieć uzasadnienie. Zgodność tych procedur z RODO należy wykazać na żądanie instytucji, która przeprowadza audyt. W tym celu trzeba prowadzić dokładną i przejrzystą dokumentację, umożliwiającą tworzenie raportów.
Według rozporządzenia, danymi osobowymi są takie, które umożliwiają identyfikację konkretnej osoby: imię, nazwisko, zdjęcie, data urodzenia, PESEL, adres e-mail, numer konta w banku, telefon, informacje medyczne, posty na forach. Specjalnymi kategoriami danych są: pochodzenie etniczne lub rasowe, przekonania religijne, poglądy polityczne, orientacja seksualna, przynależność do organizacji politycznych, społecznych lub pracowniczych.
Podstawową zasadą, o której należy pamiętać, jest usuwanie danych osobowych, które zostały już wykorzystane w kontekście konkretnego biznesu. W każdym przypadku konieczności ponownego ich użycia wymagana jest zgoda, zatem właściciel danych będzie musiał je podać ponownie. Wykorzystanie danych bez zgody zagrożone jest drakońską karą finansową. Przykładowo, jeżeli użytkownik podaje numer telefonu w celu weryfikacji dwustopniowej, nie wolno tego numeru użyć w innym celu bez zgody właściciela. Można natomiast wykorzystywać wielokrotnie dane kontaktowe, aby informować użytkownika o zdarzeniach, jakie miały miejsce w powiązaniu z konkretnym biznesem. Przykład: użytkownik skomentował artykuł w serwisie, w którym jest zalogowany, a później pojawiły się dalsze komentarze. Administrator informuje o tym użytkownika e-mailem lub wiadomością sms. Nie wolno mu jednak wykorzystywać adresu mailowego ani numeru telefonu użytkownika do innych celów.
Bezpieczeństwo freelancerów
Freelancerzy należą do grupy sporego ryzyka, muszą bowiem w swojej pracy niejednokrotnie otwierać nadesłane przez zleceniodawcę pliki, o których nic nie wiedzą. Mogą to być teksty do redagowania, tłumaczenia, grafiki, zdjęcia. Pliki te mogą zawierać szkodliwe elementy, a freelancer nie ma wyjścia – zmuszony jest plik otworzyć, aby wykonać zlecenie.
Ostatnimi czasy hakerzy upatrzyli sobie serwisy dla freelancerów, którzy rejestrują się tam w poszukiwaniu zleceń. Kontaktują się z wybranym freelancerem pod pozorem zlecenia np. napisania artykułu, umieszczając szczegóły w załączonym do wiadomości pliku tekstowym w MsWord. Oczywiście plik ten jest niewykonywalny, przez co freelancer może stracić czujność. Po otwarciu pliku pojawia się komunikat o konieczności włączenia makr. W dalszym ciągu niczego nie podejrzewający freelancer wykonuje polecenie, a wówczas na komputerze instaluje się oprogramowanie (keylogger lub RAT), umożliwiające dostęp do konta bankowego, poczty e-mail, itp. Haker widzi każdą czynność wykonywaną na danym komputerze, w tym wszystkie loginy i hasła.
To tylko jeden z przykładów. Freelancerzy narażeni są na różne „niespodzianki”, dlatego warto zastosować się do poniższych wskazówek:
- Nie należy instalować jakiegokolwiek oprogramowania nadesłanego przez zleceniodawcę (klienta). Może to nie być nic groźnego, ale też może być aplikacja, umożliwiająca kradzież danych logowania do banku
- Nie wolno otwierać żadnych plików wykonywalnych (np. .exe). Jeżeli jednak jest to konieczne, przedtem trzeba plik przeskanować za pomocą programu antywirusowego
- Nie włączać makr w dokumentach pakietu MsOffice (Word, Excel, PowerPoint) z powodów, o których już wspomniano
- Uwaga na phishing! Pod żadnym pozorem nie wolno udostępniać komukolwiek swoich danych do logowania. Trzeba mieć się na baczności, jeżeli serwis informuje o konieczności ponownego zalogowania, uważać na wszelkie nietypowe komunikaty i podejrzany wygląd strony serwisu dla freelancerów. Haker, uzyskawszy dostęp do konta w serwisie, zdobędzie dostęp również do zarobionych pieniędzy. Co więcej, może narazić na szwank reputację freelancera
- Nie należy wysyłać komukolwiek skanów kart płatniczych, dat ich ważności i kodów CVC/CVV. Dane te można podawać jedynie podczas transakcji, dokonywanych za pomocą szyfrowanych kanałów
- Warto zakupić i zainstalować dobre oprogramowanie ochronne. Wprawdzie w sieci dostępne są różne darmowe aplikacje, jednak freelancer, utrzymujący się z pracy zdalnej, powinien zainwestować w profesjonalne narzędzie, zabezpieczające nie tylko przed wirusami, ale także przed cyberatakami i spamem.
Pozostałe środki bezpieczeństwa
Stosowane hasła muszą być silne, tzn. trudne do złamania, o całkowicie różnej budowie i dwuskładnikowym uwierzytelnianiu, często zmieniane.
Urządzenia należy stale aktualizować – dotyczy to systemów operacyjnych, przeglądarek, a także programów ochronnych.
Trzeba zachować środki ostrożności podczas korzystania z Wi-Fi w miejscach publicznych. Systemy Wi-Fi nie mają odpowiednich zabezpieczeń i osoby, pracujące np. z restauracji albo lotniska, są łatwym łupem dla hakerów.
Jeżeli freelancer pracuje dla centrali poza jej siedzibą, powinien szyfrować wszystkie dane, przesyłane do sieci głównej. Stanowi to dodatkowe zabezpieczenie przed hakerami, którzy bez klucza nie będą mogli z tych danych skorzystać, nawet jeżeli uda im się je przechwycić.
Gościnnie autorem wpisu jest: Konrad Bielawski, specjalista ds. odzyskiwania danych w firmie DATA Lab. Informatyk z wykształcenia. Pasjonat sportów motorowych i brytyjskiego kina.