Problem
Najczęstszą przyczyną incydentów jest zachowanie człowieka, który nieświadomy zagrożeń staje się podatny na działania cyberprzestępców, zwłaszcza na tzw. ataki socjotechniczne. Dlatego personel biura rachunkowego powinien posiadać wiedzę o ryzyku wiążącym się z pracą w środowisku cyfrowym. Jest to konieczne ze względu na potrzebę ochrony informacji finansowych, jak również innych danych, do których dostęp posiadają pracownicy i współpracownicy biura rachunkowego.
Cyberbezpieczeństwo można zdefiniować jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Należy zatem podejmować działania edukacyjne, w celu zapewnienia nieprzerwanego świadczenia usług i bezpieczeństwa przetwarzanych danych.
W przypadku biur rachunkowych konieczność realizowania odpowiednich szkoleń przede wszystkim wynika z obowiązków nałożonych w RODO. Biuro rachunkowe przetwarza dane osobowe zarówno we własnym imieniu, jak również dane osobowe powierzone mu przez klientów. Z tego powodu powinno wdrożyć odpowiednie środki techniczne i organizacyjne (art. 32 RODO). Do środków organizacyjnych zaliczane są m.in. szkolenia personelu, które mają na celu zapoznanie z przepisami RODO i obowiązującymi w organizacji procedurami. Ponadto ze względu na wykorzystywanie zautomatyzowanych narzędzi istnieje ryzyko wystąpienia incydentu w postaci np. ataku hackerskiego, zainstalowania złośliwego oprogramowania, czy wyłudzenia informacji. Wyposażenie personelu w odpowiednią wiedzę ma za zadanie zminimalizowanie prawdopodobieństwa wystąpienia niepożądanych zdarzeń. Zgodnie z wyrażoną w RODO zasadą rozliczalności, realizację wspomnianych działań należy wykazać (art. 5 ust. 2 RODO).
Osiągniecie właściwego poziomu wiedzy będzie możliwe dzięki prawidłowo zorganizowanemu systemowi szkoleń. Szkoleniami powinni zostać objęci wszyscy pracownicy i współpracownicy mający dostęp do informacji. W szczególności obowiązek odbycia szkoleń dotyczy pracowników i współpracowników dopuszczonych do przetwarzania danych osobowych, gdyż w szczególności ich działanie może narazić organizację na wystąpienie incydentu. Ponadto warto podnosić poziom wiedzy również innych osób.
Zorganizowanie efektywnego systemu szkoleń nie jest łatwym zadaniem. Poza programem szkoleń należy uwzględnić wiele innych elementów. Między innymi znaczenie ma forma współpracy. W przypadku osób współpracujących w oparciu o umowę prawa cywilnego (np. umowa zlecenia, umowa o współpracę pomiędzy przedsiębiorcami) istotne jest zawarcie w treści umowy odpowiednich postanowień zobowiązujących współpracownika do uczestniczenia w szkoleniach organizowanych przez biuro rachunkowe. W przypadku pracowników, kluczowe znaczenie mają przepisy kodeksu pracy.
W praktyce
Podejście biur rachunkowych do organizacji systemu szkoleń personelu jest zróżnicowane i w dużej mierze uzależnione od takich czynników jak: rozmiar prowadzonej działalności, czy liczba osób odpowiadających za bezpieczeństwo danych osobowych. Najczęściej można spotkać się z praktyką przeprowadzania szkolenia wstępnego dla nowo zatrudnianych osób i szkolenia cyklicznego (jeden lub dwa razy w roku) dla wszystkich członków personelu, którzy posiadają dostęp do danych osobowych. Realizacja szkoleń jest organizowana w ramach własnych zasobów lub zlecana zewnętrznym dostawcom świadczącym usługi w tym zakresie.
Forma szkoleń również nie jest jednorodna. Często są to wykłady, których zaletę stanowi możliwość interakcji z prowadzącym, w tym zadanie dodatkowych pytań i wyjaśnienie problematycznych zagadnień.
Popularnością cieszą się platformy e-learningowe. Tego typu narzędzia umożliwiają przekazanie wiedzy, jak również jej weryfikację poprzez testy. Ułatwiają także rozliczalność, czyli sprawdzenie, czy wszyscy pracownicy i współpracownicy wykonali szkolenie.
Stanowiska urzędowe
Kwestia sposobu prowadzenia, monitorowania i wykazania realizacji szkoleń z zakresu ochrony danych osobowych była poruszana w decyzjach Prezesa Urzędu Ochrony Danych Osobowych. Zdaniem organu nadzoru nie wystarczy samo zorganizowanie systemu szkoleń. Działania edukacyjne powinny być monitorowane i weryfikowane pod względem ich skuteczności. Administrator danych osobowych powinien być w stanie wykazać monitorowanie procesu szkolenia, w tym dysponować potwierdzeniem odbycia szkoleń. W sytuacji nieobecności pracownika lub współpracownika na szkoleniach dedykowanych, należy podjąć skuteczne działania w celu zapewnienia przeszkolenia nieobecnej osoby w zaplanowanym zakresie poprzez dobór odpowiedniej formy kształcenia (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 21.8.2020 r., ZSOŚS.421.25.2019, Legalis). Przy czym właściwe zrozumienie zasad przetwarzania danych osobowych umożliwiają tylko prawidłowo przeprowadzone szkolenia. Natomiast za adekwatny środek bezpieczeństwa mogą zostać uznane wyłącznie szkolenia realizowane w sposób cykliczny, gdyż taki proces zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 19.01.2023 r., DKN.5131.12.2020, Legalis).
Ponadto, Prezes Urzędu Ochrony Danych Osobowych zwrócił uwagę na rolę budowania świadomości bezpieczeństwa danych w organizacji poprzez koncentrowanie uwagi pracowników na kwestiach związanych z bezpieczeństwem informacji. Takie działania zmniejszają ryzyko dla przetwarzania danych osobowych. Stąd w interesie administratora jest odpowiednie przeszkolenie osób dopuszczonych do przetwarzania danych osobowych. Obowiązek ten w szczególności dotyczy osób mających dostęp do danych osobowych, których przetwarzanie ze względu na skalę, zakres i kontekst jest obarczone większym ryzykiem. Jednocześnie podkreślono, że pracodawca dysponuje instrumentami prawnymi pozwalającymi na zmobilizowanie pracownika do odbycia szkolenia, zwłaszcza, że szkolenie jest związane z obowiązkami służbowymi pracownika (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 21.08.2020 r., ZSOŚS.421.25.2019, Legalis).
W związku z koniecznością realizacji zasady rozliczalności organ nadzoru wymaga wykazania, że pracownicy zostali przeszkoleni. Obowiązkiem tym obciążony jest pracodawca, uprawniony do podjęcia określonych działań, określonych w przepisach prawa pracy. Jak wynika z orzecznictwa, pracodawca będzie uprawniony do odsunięcia pracownika od pracy, w przypadku, gdy pracownik np. odmówi podpisania oświadczeń (np. o zapoznaniu się z procedurami obowiązującymi w organizacji). Takie zachowanie może bowiem być interpretowane jako zagrożenie, że dany pracownik nie posiada stosownej wiedzy w przedmiocie, którego dotyczą procedury. Ewentualnie można uznać, że pracownik mimo posiadania stosownej wiedzy nie będzie z niej czynił praktycznego użytku. Zachowanie pracownika w takim przypadku rodzi obawę, czy będzie postępował zgodnie z zasadą dbałości o dobro zakładu pracy. W takiej sytuacji pracodawca posiada podstawy do niezwłocznego odsunięcia pracownika od pracy, bez zachowania prawa do wynagrodzenia wobec nieświadczenia pracy z winy pracownika. Ponadto pracodawca pozostaje uprawniony do wypowiedzenia umowy o pracę. Reasumując, pracodawca jest uprawniony do żądania formalnego potwierdzenia przez pracownika posiadania określonego zasobu wiedzy i przestrzegania wprowadzonych procedur od naruszeń związanych z ich niestosowaniem (wyrok Sądu Rejonowego w Toruniu z 28.12.2018, IV P364/18, Legalis). Niemniej jednak odmowy dokonania formalnego potwierdzenia nie można potraktować jako ciężkie naruszenie obowiązków pracowniczych. Odmowa podpisania dokumentów nie została zakwalifikowana jako naruszenie obowiązku pracowniczego.
W kwestii rodzaju szkoleń, Prezes Urzędu Ochrony Danych Osobowych potwierdził zasadność realizacji szkoleń z zakresu potencjalnych zagrożeń, gdyż zapoznanie personelu z taką tematyką może zwiększyć świadomość kształcenia (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 13.7.2021 r., DKN.5131.22.2021, Legalis). Program szkolenia powinien obejmować wszystkie zagadnienia związane z przetwarzaniem danych osobowych w ramach ustalonego tematu szkolenia. W przeciwnym przypadku szkolenie nie spełni swojej roli, gdyż uczestnicy szkolenia nie otrzymają pełnej wiedzy w danym zakresie (decyzja Prezesa Urzędu Ochrony Danych Osobowych z 19.1.2023 r., DKN.5131.12.2020, Legalis).
Ryzyka
Jak zostało wspomniane na wstępie, najczęstszą przyczynę incydentów stanowi działanie człowieka. Brak odpowiedniej wiedzy spowodowany zaniechaniem realizacji szkoleń, brakiem cyklicznych szkoleń, nie objęciem szkoleniami wszystkich członków personelu, czy nieadekwatnym program szkoleń, to istotne czynniki ryzyka, które powinny być brane pod uwagę przez biura rachunkowe podczas projektowania środków służących zabezpieczeniu środowiska cyfrowego. Niewłaściwe środki bezpieczeństwa zwiększają ryzyko wystąpienia niepożądanego zdarzenia.
Personel nieposiadający odpowiedniej wiedzy swoim działaniem może narazić organizację na np. ujawnienie informacji uzyskanych od klientów. Przestępcy coraz częściej próbują wyłudzić informacje przez telefon i stosują w tym celu popularne ataki jak vishing. Działanie polega na podszywaniu się pod inne osoby, w tym przy wykorzystaniu narzędzi do modyfikacji głosu. Z kolei brak świadomości co do zasad prawidłowej obsługi poczty elektronicznej może skutkować wprowadzeniem do systemów biura rachunkowego złośliwego oprogramowania, które może zostać pobrane wraz z załącznikiem (np. fakturą). Często stosowaną metodą wyłudzenia ważnych informacji jest phishing. Może on polegać na stworzeniu falsyfikatów stron internetowych, czy przesyłaniu wiadomości z linkami. Fałszywe strony do złudzenia przypominają oryginalne strony internetowe istniejących firm czy instytucji. Atak jest powszechnie wykorzystywany do wyłudzenia danych dostępowych do bankowości elektronicznej. W przypadku ataków ukierunkowanych na konkretną organizację przestępcy stworzą stronę przypominającą witrynę do logowania do wewnętrznych zasobów firmy, aby w tym celu wyłudzić dane dostępowe. Atak może być także prowadzony z wykorzystaniem telefonów komórkowych, na które ofiary otrzymują wiadomości z linkami. Dlatego istotne jest, aby personel został wyposażony w wiedzę umożliwiającą mu wychwycenie anomalii (np. wychwycenie różnicy w adresie strony internetowej).
Ponadto nieprawidłowa organizacja szkoleń może skutkować nałożeniem kary administracyjnej na biuro rachunkowe. Zgodnie z przepisami regulującymi zasadę ochrony danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę administracyjną po przeprowadzeniu właściwego postępowania.
Rekomendacje
Odpowiednie zarządzanie szkoleniami stanowi element brany pod uwagę przy ocenie skuteczności zastosowanych środków bezpieczeństwa. Dlatego system szkoleń powinien uwzględniać wymagania organu nadzoru. W celu zapewnienia efektywności warto stosować różne środki komunikacji.
Szkolenie wstępne
Każdy nowozatrudniony pracownik i współpracownik przed dopuszczeniem go do wykonywania czynności służbowych powinien przejść szkolenie wstępne. Powinien zostać zapoznany z zasadami ochrony danych osobowych obowiązującymi w organizacji (politykami, procedurami, instrukcjami), jak również z przepisami dotyczącymi ochrony danych osobowych.
W przypadku biur rachunkowych istotne jest, aby szkolenie wstępne obejmowało kwestie dotyczące ochrony danych osobowych, w tym podstawowe informacje na temat zagrożeń wynikających z pracy w środowisku cyfrowym. Warto, aby program obejmował zagadnienia dotyczące rozpoznawania ataków typu phishing i postępowania w przypadku podejrzenia naruszenia bezpieczeństwa. Po zapoznaniu z materiałami szkoleniowymi pracownik i współpracownik powinien posiadać wiedzę na temat ostrożnej pracy z pocztą elektroniczną. W szczególności powinien zwracać uwagę na adresy e-mail pochodzące z podejrzanych domen i umieć zweryfikować nagłówki wiadomości.
Szkolenie okresowe
Szkolenia okresowe należy prowadzić cyklicznie. Ich program powinien uwzględniać przypomnienie głównych zasad bezpieczeństwa w zakresie przetwarzania informacji, jak również zasad bezpieczeństwa w zakresie m.in.: korzystania z poczty e-mail, stron internetowych, aktualizacji oprogramowania, szyfrowania danych, zabezpieczania nośników z informacjami.
Testowanie wiedzy
Zalecane jest weryfikowanie wiedzy uczestników szkolenia. Można tego dokonać w formie pisemnych sprawdzianów lub korzystając z dedykowanych platform lub ogólnodostępnych narzędzi. Wyniki należy przechowywać w celu wykazania przestrzegania zasady rozliczalności.
Kampanie informacyjne
Warto prowadzić okresowe kampanie informujące personel o nowych zagrożeniach, np. nowych rodzajach złośliwego oprogramowania, czy atakach socjotechnicznych.
Listy obecności
Sporządzenie i przechowywanie listy obecności stanowi element konieczny do wykazania przestrzegania zasady rozliczalności.
