Zabawa z Pokemon Go odbywa się też w pracy, a to może się okazać niebezpieczne dla tajemnicy przedsiębiorstwa. Rodzi bowiem ryzyko wycieku ważnych informacji.
Niedawno na fanpage’u portalu internetowego Niebezpiecznik uczulano, by nie łapać pokemonów w biurze, bo przy okazji ktoś „złapie” hasła z żółtych karteczek. Takie dane często trafiają na pracownicze biurka lub monitory, co samo w sobie rodzi ryzyko nieuprawnionego dostępu do nich osób postronnych. Na stanowiskach pracy mogą też znajdować się dokumenty firmowe, zawierające np. tajemnice przedsiębiorstwa. Dane te mogą wypłynąć z firmy również pośrednio – za pomocą programu na smartfon czy tablet. Mając na uwadze skalę korzystania z aplikacji Pokemon Go, w tym również w pracy, w ostatnim czasie mogło więc dojść do znacznego wycieku poufnych informacji z firm.
Niepozorna aplikacja
Wraz z dynamicznie postępującym rozwojem technologicznym aplikacje mobilne korzystające z trybu rozszerzonej rzeczywistości (ang. Augmented Reality, AR) coraz bardziej zyskują na popularności. Gra Pokemon Go jest przykładem tego nowego trendu. W ciągu zaledwie kilkunastu dni od jej ukazania się na rynku zyskała status kultowej i spowodowała znaczny wzrost cen akcji firm zaangażowanych w jej stworzenie.
Aplikacja łączy świat rzeczywisty z komputerowym. Wykorzystuje do tego obraz z kamery, na który nałożona jest, generowana w czasie rzeczywistym, grafika 3D. Przy użyciu kamery gra rejestruje okolicę, w której znajduje się użytkownik, a w obrazie wyświetlanym na ekranie osadza pokemona, którego gracz ma za zadanie schwytać. To w połączeniu z gorączką, jaka panuje wokół tej aplikacji, może okazać się istotnym problemem dla pracodawcy.
Sekrety idą w świat
Na zagrożenia zwraca uwagę radca prawny Piotr Grzelczak z kancelarii prawnej GFP Legal. – Pokemon Go wykorzystuje geolokalizację i przetwarza informacje z tym związane. Te o pracownikach są zwykle niezbyt szkodliwe dla pracodawcy, choć i tu są wyjątki. W przypadku policji, służb specjalnych czy wojska informacje o lokalizacji funkcjonariuszy/żołnierzy mogą być bardzo cenne, a ich nieuprawnione ujawnienie – niebezpieczne. Problem ten dostrzeżono w USA, gdzie wydano nawet specjalne rządowe instrukcje dotyczące bezpieczeństwa operacyjnego dla funkcjonariuszy korzystających z gry – zauważa.
Ekspert wskazuje, że ujawnienie informacji geolokalizacyjnych może być niebezpieczne również dla samego pracownika korzystającego z aplikacji. Za granicą zdarzały się przypadki napadów rabunkowych na graczy znajdujących się w odludnych miejscach. Co istotne, jeżeli w wyniku takiego napadu pracownikowi zostanie skradziony służbowy smartfon lub telefon prywatny, z którego uzyskiwał dostęp do firmowych zasobów, ryzyko wycieku wielu tajemnic pracodawcy jest niebagatelne.
Co zatem dzieje się z takimi danymi? Według adwokat Anny Wołczkiewicz i aplikant Anny Dopart z kancelarii adwokackiej Osiński i Wspólnicy wszelkie gry pobierane na urządzenia elektroniczne, a szczególnie smartfony, uzyskują często bardzo szeroki dostęp do danych tam przechowywanych. - W przypadku gdy telefon służbowy używany jest do celów prywatnych (lub odwrotnie), część znajdujących się tam danych staje się dostępna na serwerach producenta gry, które mogą należeć do niego lub do podmiotu zewnętrznego. Z kolei serwery bywają celem hakerów komputerowych, którzy dzięki uzyskanym danym mogą wyrządzić wielkie szkody. Dlatego pracodawcom zaleca się uczulanie pracowników na tego typu działania, które często nie wynikają ze złej woli, a jedynie z braku świadomości. Rekomendowane jest także wprowadzenie dodatkowych, uwzględniających obecne realia zapisów w regulaminie co do użytkowania urządzeń elektronicznych na terenie firmy – wyliczają ekspertki.
Polityka czystego biurka
Na mechanizmy prewencyjne uczula też Ministerstwo Cyfryzacji. Według Kingi Graczyk, głównego specjalisty wydziału komunikacji w Ministerstwie Cyfryzacji, pracowników zwykle obowiązują regulacje wewnętrzne dotyczące bezpieczeństwa informacji, popularnie zwane polityką bezpieczeństwa. - Przepisy te w szczególności zabraniają zapisywania haseł dostępowych do systemów, wnoszenia urządzeń rejestrujących dźwięk i obraz do stref bezpieczeństwa, przechowywania w sposób niedbały dokumentów zawierających informacje, które mogą być wykorzystane na szkodę danej instytucji lub osób trzecich (tzw. polityka czystego biurka), oraz takiego ustawiania monitorów ekranowych, które umożliwia wgląd w nie osobom postronnym. Należy pamiętać, że jeśli są zachowane odpowiednie warunki, to nawet w razie pojawienia się określonego zagrożenia, np. takiego jak gra Pokemon Go, nie będzie ono miało wpływu na bezpieczeństwo informacji – zaznacza Graczyk.
Jak twierdzi Piotr Kupczyk, dyrektor biura komunikacji z mediami Kaspersky Lab Polska, w kontekście gry Pokemon Go warto także zastosować wzmożoną czujność wobec e-maili z zainfekowanymi załącznikami lub odnośnikami do niebezpiecznych stron WWW. - Gra jest fenomenem globalnym, który, co zrozumiałe, wzbudza ogromne zainteresowanie cyberprzestępców i oszustów – przypomina Kupczyk.
Małgorzata Kałużyńska-Jasak, rzecznik prasowy generalnego inspektora ochrony danych osobowych, przypomina, że kto korzysta z usług świadczonych przez podmioty prywatne, sam decyduje o przekazaniu informacji na swój temat. - Jeśli się na to godzi, ponosi wszelkie konsekwencje swojej decyzji, również tej nietrafnej – zaznacza.
Kwestia odpowiedzialności
Kto będzie odpowiadał za wyciek danych? Edyta Jagiełło, radca prawny z kancelarii Raczkowski Paruch, twierdzi, że przede wszystkim pracodawca, na którym jako administratorze danych ciąży ustawowy obowiązek ochrony danych. - Jeśli firma zawarła umowę z klientami, w grę może wchodzić nawet zapłata sporych sum kar umownych zastrzeżonych na wypadek wycieku danych klienta. Na tym oczywiście się nie kończy. Może ona ponosić także odpowiedzialność odszkodowawczą, a osoby ją reprezentujące – karną i administracyjną za niedostateczne zabezpieczenie danych na podstawie ustawy o ochronie danych osobowych – przekonuje.
Odpowiedzialność nie ominie też winnego pracownika. Pracodawca może pociągnąć go do odpowiedzialności materialnej na podstawie kodeksu pracy – aż po rozwiązanie stosunku pracy za naruszenie obowiązków pracowniczych. Przy czym takim naruszeniem będzie już samo granie w godzinach pracy. Dodatkowo pracownik może odpowiadać za ujawnienie tajemnicy przedsiębiorstwa, jeżeli informacje udostępnione osobom trzecim to kody, hasła itd. Zatrudniony, tak samo jak pracodawca, podlega też odpowiedzialności karnej przewidzianej w przepisach o ochronie danych osobowych (grozi mu grzywna, ograniczenie wolności, a nawet pozbawienie wolności).
! W przypadku policji, służb specjalnych czy wojska informacje o lokalizacji mogą być bardzo cenne, a ich nieuprawnione ujawnienie – niebezpieczne.