Legal & Tax Updates

Data Security matters, even when working from home! – Potential Risks and Key Tips

30.03.2020 – Authors: Roxana Ionescu and Madalina Bucur.

The article is available in English and Romanian. Please scroll down for Romanian language./Articolul este disponibil în limba engleză și în limba română.

The COVID-19 pandemic is determining more and more businesses to “put the lock” on their offices. This means that a large number of employees all over the world have already been forced to set their homes as comfortable as possible to ensure an appropriate work environment.

Besides the operational and logistical challenges that may arise to make work from home possible, both businesses and employees should consider the security risks this may bring to the business activity and even to the employees’ own privacy.

The materialization of these risks could surprisingly change the priorities of the businesses in the context of COVID-19 pandemic, due to the major or even irreversible consequences the security risks could produce. This is why businesses have to implement preventive measures and avoid approaches like “this is not a priority right now”, “we focus only on keeping the business running”. Beyond the obvious reasons to do so – mainly to safeguard the confidentiality of its business – companies need to do this in order to comply with the general data security requirement under the General Data Protection Regulation.

Security risks can take different forms and can be of different degrees of severity. Among others, the following security risks may happen while working from home without even noticing or requiring great efforts from malicious parties:

• using personal devices, in lack of sufficient company equipment for all employees –  This means that the professional and efficient tools implemented on business networks (e.g., backup tools, strong antivirus software) are no longer available, thus opening or facilitating the malware way to attack the devices and to leak personal data and confidential information stored therein;
• using unsecured Wi-Fi networks, even for a limited period of time. For example, an employee has to send an absolutely urgent e-mail with business data, but its Wi-Fi network is down at that moment so he chooses to connect to a public or to his neighbor’s Wi-Fi network, probably thinking that – well it’s just an email, what could happen in 10 minutes?! – This may open the doors wide for hackers to position themselves between the employee and its connection point and therefore to access every piece of information the employee sends out, including personal data and confidential information that may be crucial for a business;
• keeping smart devices using virtual assistants turned on into the working room. This may affect the confidentiality of business discussions carried out on telephone or skype – Hey, Alexa! I’m having a business call, so stop listening! – It is no longer a secret that such devices may record conversations even without specific commands from the users, in order to ‘improve voice-recognition features’. While this is disturbing enough when thinking to our private life, this may have a greater impact if we consider the importance of confidentiality for a business;
• “old fashioned” phishing and hack attacks should not be forgotten, since it is expected for such not only to stop happening during COVID-19 pandemic, but even experience an increased number of attacks due to more favorable conditions while working from home.

While the security risks associated with working from home might already be observed by those companies who implemented this practice long time before COVID-19 outbreak, other companies who were forced to suspend overnight their office activity may be taken by surprise.

Here are some tips to prevent and mitigate the security risks of working from home the companies should think about:

1. Adopt and implement a work from home policy to set out practical rules each employee working from home must follow in order to ensure the security of personal and business data;
2. Refresh the employees’ memory on existing information security policies, by conducting various surveys or by remembering the employees where they can access such polices (for example, online intranet);
3. Check with employees if they have secure internet network and updated antivirus programs in place on their personal equipment and provide the necessary support, if possible remotely;
4. To the extent possible, ensure the use of Virtual Private Network (VPN) systems with encryption of traffic data;
5. Instruct the employees to:

• • avoid using social platforms to communicate business related aspects both with clients and with other colleagues;
  • avoid working, if possible, in shared spaces;
  • shut the door of the working room and lower the voice when having phone calls or videoconference, when they are in a space where others might hear the conversation;
  • lock the equipment screen when leaving the desk/work area;
  • avoid making and posting on social media selfies in/of the place set to work, in order to prevent zooming on such photos and seeing confidential business data;
  • keep all hard copy documents containing personal data or confidential information until returning to the office, where such may be disposed in a safety way;
  • avoid keeping smart devices using virtual assistants in the workplace.

6. Reassess the access rights of employees into the business system and limit the access, if such is not necessary while working at home;
7. Adopt and implement a clear procedure to be followed in case of a security incident and of a personal data breach (in case such does not already exist);
8. Ensure technical support for all employees working from home;
9. Check that the employees know the (new) rules and follow them.

It is likely that organizations have already putted in place similar measures as the above, in their prior efforts to ensure security of personal data and information security at the workplace. This is way organizations should start by checking if the already implemented technical and organizational measures are adequate and sufficient to ensure security even when working from home. Finally, organizations should not miss on documenting the actions taken to address the specific risks associated with their employees working from home, as this will be the first element checked by data protection authorities in case of an incident.

Considering the specific security risks when employees work from home and implementing measures addressing said risks is a long time win, as work dynamics continue to evolve, is likely remote work will become regularly used even after COVID-19 will be left behind, hopefully soon.

Securitatea Datelor contează, chiar dacă se muncește la domiciliu! – Riscuri Potențiale și Sfaturi Cheie

Pandemia COVID-19 determină din ce în ce mai multe companii „să pună lacătul” la birouri. Astfel, un număr mare de angajați din întreaga lume au fost deja nevoiți să își adapteze cât mai confortabil locuințele pentru a-și asigura un mediu adecvat de muncă.

Pe lângă provocările de ordin operațional și logistic care pot apărea pentru a face posibilă munca la domiciliu, atât companiile, cât și angajații ar trebui să aibă în vedere riscurile de securitate pe care munca la domiciliu le poate aduce activității companiei și chiar vieții private a angajaților.

Materializarea acestor riscuri ar putea modifica în mod surprinzător prioritățile companiilor în contextul pandemiei COVID-19, din cauza consecințelor majore sau chiar ireversibile pe care le-ar putea produce riscurile de securitate. Din acest motiv, companiile trebuie să implementeze măsuri preventive și să evite abordări precum „aceasta nu este o prioritate în acest moment”, „ne concentrăm doar pe continuarea activității”. Dincolo de motivele evidente pentru a face acest lucru – în principal pentru a păstra confidențialitatea activității lor – companiile trebuie să facă acest lucru pentru a respecta cerințele generale de securitate a datelor din Regulamentul General privind Protecția Datelor.

Riscurile de securitate pot îmbrăca diverse forme și pot avea diferite grade de severitate. Printre altele, următoarele riscuri de securitate se pot materializa în timpul muncii la domiciliu, fără măcar să fie observate sau să necesite eforturi speciale ale părților rău intenționate:

• utilizarea echipamentelor personale, în lipsa unor echipamente suficiente pentru toți angajații companiei – Aceasta înseamnă că instrumentele profesionale și eficiente implementate în rețelele companiei (de exemplu, sisteme de copii de rezervă, software antivirus puternic) nu mai sunt disponibile, deschizând sau facilitând calea programelor dăunătoare (malware) să atace echipamentele și să scurgă date cu caracter personal și informații confidențiale stocate în acestea;
• utilizarea rețelelor Wi-Fi nesecurizate, chiar și pentru o perioadă limitată de timp. De exemplu, un angajat trebuie să trimită un e-mail urgent, cu date de afaceri, dar la acel moment rețeaua sa Wi-Fi este nefuncțională, deci alege să se conecteze la o rețea Wi-Fi publică sau la rețeaua vecinului său, gândind probabil că – ei bine, este doar un e-mail, ce s-ar putea întâmpla în 10 minute ?! – Aceasta poate deschide larg ușile pentru ca hackerii să se poziționeze între angajat și punctul său de conectare și, prin urmare, să acceseze orice informație pe care angajatul o transmite, inclusiv date cu caracter personal și informații confidențiale care pot fi cruciale pentru o afacere;
• păstrarea în spațiul unde se lucrează, pe modul activ, a dispozitivelor inteligente care implică asistenți virtuali. Acest lucru poate afecta confidențialitatea discuțiilor în interes de afaceri purtate pe telefon sau skype – Hei, Alexa! Am un apel în interes de afaceri, așa că nu mai asculta! – Nu mai este un secret faptul că aceste dispozitive pot înregistra conversații chiar și fără comenzi specifice de la utilizatori, pentru a „îmbunătăți funcțiile de recunoaștere vocală”. Deși acest lucru este destul de deranjant atunci când ne gândim la viața noastră privată, poate avea un impact mai mare dacă luăm în considerare importanța confidențialității informațiilor pentru o afacere;
• atacurile „de modă veche” de tip „phishing” și ale hackerilor nu ar trebui nici ele uitate, având în vedere că este de așteptat ca acestea nu doar să nu mai aibă loc în timpul pandemiei COVID-19, ci chiar să se experimenteze un număr crescut de atacuri din cauza condițiilor mai favorabile în timpul muncii la domiciliu.

În timp ce riscurile de securitate asociate cu munca la domiciliu ar putea fi deja avute în vedere de către acele companii care au implementat această practică cu mult timp înainte de COVID-19, alte companii care au fost nevoite să își suspende peste noapte activitatea la birou pot fi mai surprinse.

Iată câteva sfaturi pentru prevenirea și atenuarea riscurilor de securitate asociate muncii la domiciliu, pe care companiile ar trebui să le aibă în vedere:

1. Adoptarea și implementarea unei politici privind munca la domiciliu, pentru a stabili regulile practice pe care trebuie să le respecte fiecare angajat care muncește la domiciliu, în vederea asigurării securității datelor cu caracter personal și a informațiilor de afaceri;
2. Reîmprospătarea memoriei angajaților cu privire la politicile privind securitatea informației existente, prin efectuarea diverselor sondaje sau prin a le aminti locul unde pot accesa astfel de politici (de exemplu, prin intranetul online);
3. Verificarea cu angajații dacă rețeaua acestora de internet este securizată și dacă au instalate programe antivirus actualizate pe echipamentul personal și oferirea asistenței necesare, dacă este posibilă de la distanță;
4. În măsura posibilă, asigurarea utilizării sistemelor private – Virtual Private Network (VPN) cu măsuri de criptare a datelor de trafic;
5. Instruirea angajaților pentru ca aceștia să:

• • evite utilizarea platformelor de socializare pentru a comunica aspecte legate de afaceri atât cu clienții, cât și cu alți colegi;
  • evite, dacă este posibil, să lucreze în spații comune;
  • închidă ușa spațiului de muncă și să coboare vocea atunci când sunt implicați în apeluri telefonice sau videoconferințe în interes de serviciu și când se află într-un spațiu în care alte persoane ar putea auzi conversația;
  • blocheze ecranul echipamentului când părăsesc biroul/zona de muncă;
  • evite realizarea de fotografii de tipul „selfie” în/din locul amenajat pentru a munci și postarea lor pe rețelele de socializare, pentru a preveni posibilitatea de a mări aceste fotografii (funcția „zoom”) și de a vedea în acest context informații de afaceri confidențiale;
  • păstreze toate documentele pe suport hârtie care conțin date cu caracter personal sau informații confidențiale până la întoarcerea la birou, unde aceste documente pot fi distruse într-un mod sigur;
  • evite păstrarea în spațiul în care muncesc, pe modul activ, a dispozitivelor inteligente care implică asistenți virtuali.

6. Reanalizarea drepturilor de acces ale angajaților la sistemele companiei și limitarea accesului, acolo unde acesta nu este necesar pe timpul muncii la domiciliu;
7. Adoptarea și implementarea unei proceduri clare care trebuie urmată în cazul unui incident de securitate și a unei încălcări a securității datelor cu caracter personal (în cazul în care nu există deja);
8. Asigurarea asistenței tehnice pentru toți angajații care muncesc la domiciliu;
9. Verificarea dacă angajații cunosc regulile (noi) și dacă le urmează.

Este posibil ca organizațiile să fi pus deja în aplicare măsuri similare ca cele de mai sus, în eforturile anterioare de a asigura securitatea datelor cu caracter personal și securitatea informațiilor la locul de muncă. Astfel, organizațiile ar trebui să înceapă prin a verifica dacă măsurile tehnice și organizatorice deja implementate sunt adecvate și suficiente pentru a asigura securitatea chiar în context de muncă la domiciliu. În cele din urmă, organizațiile nu ar trebui să omită documentarea acțiunilor întreprinse pentru a aborda riscurile specifice asociate cu munca la domiciliu, acesta fiind primul element ce va fi verificat de autoritățile pentru protecția datelor în caz de incident.

Având în vedere riscurile specifice de securitate atunci când angajații lucrează la domiciliu și că punerea în aplicare a unor măsuri care adresează aceste riscuri este un câștig de lungă durată, în contextul în care dinamica muncii continuă să evolueze, e posibil ca munca la distanță să fie folosită în mod regulat, chiar și după ce COVID-19 va fi lăsat în urmă, sperăm că în curând.