Napisałem na tym blogu sporo o prawnych aspektach bezpieczeństwa informatycznego, czyli o tym w jaki sposób regulacje prawne kształtują obowiązki w zakresie stosowania rozwiązań bezpieczeństwa IT. Mamy już w Polsce sporo regulacji i wskazówek dotyczących tej kwestii – przepisy RODO, ustawy o krajowym systemie cyberbezpieczeństwa albo np. wytyczne Komisji Nadzoru Finansowego dot. bezpiecznej chmury.
Jednym z zabezpieczeń, które można wdrożyć po to aby zwiększyć poziom bezpieczeństwa IT, jest monitorowanie infrastruktury informatycznej organizacji i urządzeń, które w skład tej infrastruktury wchodzą. Przepisy prawa stawiają jednak pewne wymogi w tym zakresie.
Na czym polega takie monitorowanie? Na tym, że jako administrator systemu informatycznego, możesz widzieć jakie dane przesyłane są w ramach sieci LAN, jakie urządzenia są do niej podłączone i kto łączy się z określonymi zasobami. Możesz też wykrywać różne „podejrzane zdarzenia”, które mają miejsce w ramach naszej infrastruktury IT albo blokować dostęp do niektórych zasobów.
Mówimy tu więc o różnych rozwiązaniach, które mają zróżnicowane funkcjonalności, ale w ten czy inny sposób pomagają weryfikować co u nas w sieci się dzieje, np. takich jak Cisco Umbrella, różne produkty i usługi od Fortinetu, inne next-generation firewalle czy UTMy (unified threat management) albo nawet prosty Wireshark czy centralnie zarządzane oprogramowanie antywirusowe.
W skład tych rozwiązań wchodzą też zróżnicowane programy do weryfikacji tego co użytkownik robi na swoim urządzeniu – począwszy od kontroli jakie programy uruchamia, aż po weryfikowanie tego kto kiedy nacisnął jaki klawisz i zrobił ruch kursorem (od razu mówię, że nie wszystko będzie tu zgodne z prawem). Niekiedy same logi z serwera wystarczą nawet do tego aby weryfikować jakie działania podjął konkretny użytkownik.
I to są działania, które również podlegają pod różne przepisy prawa – głównie RODO i Kodeks pracy.
Czy tu w ogóle przetwarzamy dane osobowe?
Być może zastanawiasz się, czy monitorowanie działań w ramach infrastruktury informatycznej wiąże się automatycznie z przetwarzaniem danych osobowych? Przecież to tylko weryfikacja, które urządzenie łączy się z innym albo skanowanie przesyłanych pakietów pod kątem złośliwego oprogramowania.
W praktyce w większości przypadków prowadzenie monitorowania infrastruktury IT wiąże się z przetwarzaniem danych osobowych pracownika. Administrator sieci może (przeważnie) powiązać konkretne urządzenie (np. po lokalnym adresie IP w ramach sieci LAN albo po adresie MAC karty sieciowej) z użytkownikiem tego urządzenia. Wie bowiem z reguły kto używa danego komputera. Tym samym zebrane w tym zakresie dane stanowią dane osobowe dotyczące konkretnego użytkownika.
Jeszcze łatwiej jest gdy działania użytkownika powiązane są z jego konkretnym loginem (identyfikatorem użytkownika) – wtedy możemy (oczywiście jeśli korzystamy z odpowiednich rozwiązań) bez problemu zobaczyć co dana osoba robiła np. po zalogowaniu się do zasobów na jakimś serwerze i nie musimy nawet zastanawiać się, do kogo należy lokalny adres IP.
Co to jest to monitorowanie?
Monitorowanie to m.in. takie działania, które pozwalają na śledzenie działań użytkownika w ramach sieci, śledzić go, obserwować jego działania i analizować je. Tym samym, rozwiązania służące do weryfikowania tego co dana osoba robi np. w sieci lokalnej, przesądzają o tym, że tego typu działanie stanowi monitoring. Wskazała na to m.in. Grupa Robocza ds. art. 29 (obecnie zwana Europejską Radą Ochrony Danych) w swoich wytycznych dot. przetwarzania danych w miejscu pracy, wydanych 8 czerwca 2017 r.
Jaka podstawa z RODO jest właściwa do monitorowania sieci lokalnej?
Przede wszystkim muszę tu napisać jedną ważna rzecz – monitorowanie infrastruktury IT w celach związanych z bezpieczeństwem generalnie jest legalne. Nie będziemy mogli robić wszystkiego, gdyż musimy pamiętać o prywatności użytkowników, ale generalnie to jest dozwolone. Dotyczy to zarówno pracowników jak i innych użytkowników naszej sieci, np. osób współpracujących z organizacją w oparciu o umowy b2b.
Prawną podstawą do przetwarzania danych w tym zakresie jest przepis art. 6 ust. 1 lit f) RODO, który mówi, że przetwarzanie danych jest dopuszczalne w sytuacji gdy jest niezbędne do realizacji prawnie uzasadnionych interesów administratora. Administratorem danych będzie w tym zakresie przeważnie organizacja (np. spółka, przedsiębiorca prowadzący działalność gospodarczą, stowarzyszenie albo inna osoba prawna), która ma swoją infrastrukturę IT. Osobami, których dane są przetwarzane będą zaś ci ludzie, którzy korzystają z rozwiązań informatycznych takiej organizacji (mają dostęp do sieci lokalnej, zasobów serwerowych, chmury itp.). Będą to z reguły pracownicy danej organizacji albo osoby współpracujące w oparciu o kontrakty b2b, ew. inne umowy cywilnoprawne.
Wykonaj test równowagi zanim zaczniesz monitorować sieć
Przepis dotyczący przetwarzania danych na podstawie prawnie uzasadnionego interesu administratora danych wskazuje, że możemy oprzeć się na tej przesłance jeśli nie dochodzi do sytuacji gdy w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Innymi słowy, musimy sprawdzić czyje interesy są ważniejsze – nasze bezpieczeństwo (jako organizacji) czy też np. prywatność użytkowników sieci.
To dość trudne do wyważenia w przypadku monitorowania infrastruktury IT, bo możliwości w tym zakresie jest naprawdę ogrom. Co można robić? Na pewno można:
zbierać logi,
skanować pakiety pod kątem złośliwego oprogramowania,
sprawdzać które urządzenie łączy się z innym
weryfikować dokąd jest kierowany ruch na zewnątrz (tzn. z jakimi zewnętrznymi adresami IP łączą się osoby z naszej sieci lokalnej),
analizować natężenie ruchu,
wykrywać podejrzane zdarzenia w ramach sieci i poszczególnych urządzeń (np. złośliwe oprogramowanie, wpięcie dysku do USB,
weryfikować czy osoba ma dostęp do danego zasobu (albo np. próbuje się do niego dostać chociaż dostępu nie ma).
To tylko przykłady – to co będziemy robić w dużej mierze zależy od tego co chcemy chronić i jakich narzędzi zamierzamy użyć. Zawsze musimy jednak pamiętać o tym, aby zbyt mocno nie naruszyć prywatności użytkowników i dać im trochę swobody - nawet w miejscu pracy.
Nieczęsto więc będziemy mogli weryfikować to jakie konkretnie klawisze naciska użytkownik czy też jakie ruchy myszą wykonuje. To niewiele nam da, a ingerencja w jego prywatność jest znaczna. Ogólnie rzecz biorąc, powinniśmy dość ostrożnie podejść do tego co dzieje się na urządzeniu, które wykorzystuje sam użytkownik – co nie oznacza oczywiście, że nie możemy np. widzieć tego czy są tam wykonywane działania, które wymagają uprawnień administratora (np. instalacja programów) albo podejrzane rzeczy, które wykryło oprogramowanie antywirusowe.
Kodeks pracy a monitoring infrastruktury IT
Teraz przechodzimy do sedna tej całej układanki, czyli monitoringu w rozumieniu Kodeksu pracy – a dokładnie to tzw. innych form monitoringu. O co chodzi? Otóż nasz polski Kodeks Pracy reguluje kwestie prowadzenia monitoringu wizyjnego (czyli kamer CCTV), o którym pisałem tutaj oraz monitoringu poczty elektronicznej. Ten drugi może być prowadzony w celu:
zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy ,
właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
Jak widać, o samym bezpieczeństwie sieci i urządzeń nic tu nie ma. Monitorowanie poczty elektronicznej polega, w wielkim skrócie, na weryfikowaniu jakie wiadomości wysyła nasz pracownik - jaką mają treść i do kogo są wysyłane, oczywiście za pomocą służbowej skrzynki pocztowej. Taki monitoring to jednak coś innego niż monitoring infrastruktury IT, w tym sieci lokalnej czy poszczególnych urządzeń.
Mamy też w Kodeksie Pracy przepis, że regulacje dotyczące monitoringu poczty elektronicznej stosuje się również w przypadku stosowania tzw. innych form monitoringu, jeżeli są one prowadzone w celu takim samym jak monitoring poczty elektronicznej.
Monitoring infrastruktury IT jest właśnie taką inną formą monitoringu. Jeżeli więc stosowalibyśmy taki monitoring po to aby kontrolować czas pracy pracowników albo to czy właściwie użytkują udostępnione im narzędzia pracy, to musimy spełnić takie same wymogi jakbyśmy prowadzili monitoring poczty elektronicznej. Nie można tego wykluczyć, bo wiele organizacji to robi np. w celu monitorowania czasu pracy albo ochrony tajemnic przedsiębiorstwa, które pracownik może wykraść.
W takim przypadku gdy stosujemy monitoring infrastruktury IT w celach powyżej, powinniśmy:
opisać w regulaminie pracy albo w układzie zbiorowym pracy (jeśli pracodawca taki ma) cele, zakres oraz sposób zastosowania monitoringu – jeśli takich dokumentów pracodawca nie ma, należy zrobić to w obwieszczeniu,
poinformować pracowników o tym, ze w zakładzie pracy będzie stosowany monitoring infrastruktury IT co najmniej na 2 tygodnie przed rozpoczęciem takiego monitoringu, oraz informować o tym na bieżąco nowych pracowników,
wskazywać (np. przez oznaczenia, plakaty, naklejki), że infrastruktura IT jest monitorowana.
Ważne! To musimy zrobić jeśli prowadzimy monitoring w tych celach opisanych powyżej. Jeżeli naszym celem jest wyłącznie bezpieczeństwo infrastruktury, rozumiane jako zabezpieczenie się przed atakami z zewnątrz, złośliwym oprogramowaniem itp. – nie ma takiego obowiązku. Bez sensu? Być może, ale tak właśnie skonstruowano przepis Kodeksu pracy o „innych formach monitorowania”. Nadal jednak musimy np. informować o tym pracowników w ramach obowiązku informacyjnego znanego z RODO.
Oczywiście jeśli monitoring jest prowadzony w celach bezpieczeństwa, również możesz opisać to w dodatkowych dokumentach (np. regulaminie pracy) - po prostu to Twoje prawo a nie obowiązek.
Regulacje wewnętrzne organizacji
Niezależnie od tego, czy musimy podejmować działania wskazane w Kodeksie pracy, zawsze w sytuacji gdy przetwarzamy dane osobowe w jakimś celu, musimy spełnić ogólne wymogi wynikające z RODO i stworzyć odpowiednią dokumentację dot. takiego przetwarzania.
Tym samym, powinieneś poinformować o monitorowaniu infrastruktury IT osoby, które z tej infrastruktury korzystają, zgodnie z przepisami o spełnianiu obowiązku informacyjnego, wynikającymi z RODO. Pracownik (i inne osoby, które mogą być monitorowane) powinien więc wiedzieć jak jego dane będą przetwarzane, w jakim celu, czy będą mieli do nich dostęp podwykonawcy (podmioty przetwarzające) albo np. jak długo będą przechowywane przez podmiot, który monitoruje swoją infrastrukturę IT.
Moim zdaniem informacja o monitorowaniu urządzeń czy też sieci lokalnej powinna znaleźć się również w treści dokumentacji dotyczącej ochrony danych osobowych, przyjętej zgodnie z przepisami RODO. Szczegóły dotyczące tego jak prowadzony jest monitoring infrastruktury IT, kto ma dostęp do danych zapisanych w związku z takim monitoringiem, co obejmuje monitoring i w jakim celu jest prowadzony, mogą więc np. znaleźć się w treści polityki bezpieczeństwa albo w jakimś załączniku do niej. Powinny być także uwzględnione w ramach rejestru czynności przetwarzania oraz analizy ryzyka związanej z przetwarzaniem danych. Monitorowanie infrastruktury IT z jednej strony podnosi bowiem poziom bezpieczeństwa, a z drugiej może stanowić dodatkowe zagrożenie dla bezpieczeństwa informacji o użytkownikach sieci.
Ocena skutków dla ochrony danych – czy jest potrzebna?
Monitorowanie infrastruktury IT może łączyć się z koniecznością sporządzenia dodatkowego dokumentu, czyli oceny skutków dla ochrony danych. Pisałem o niej nieco tutaj. Dlaczego powinieneś ją zrobić? Zaleca to wspomniana tu Grupa Robocza ds. art. 29 w komunikacie, o którym pisałem wcześniej, dotyczącym przetwarzania danych w miejscu pracy. Na taką konieczność wskazał również Prezes UODO w swoim wykazie operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania, który jest tutaj.
Podsumowanie
Monitoring infrastruktury IT w organizacji może być prowadzony legalnie, pod warunkiem spełnienia kilku opisanych powyżej wymogów. Mam nadzieję, że to co napisałem powyżej, pomoże Ci w stosowaniu tego rodzaju rozwiązań w sposób zgodny z prawem.
Monitorowanie infrastruktury IT a kwestie prawne to nieczęsto poruszany temat. Jeśli masz jakieś dodatkowe pytania, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.
