Epidemie covid-19 přiměla mnoho zaměstnavatelů, včetně úřadů, co nejvíce vyprázdnit kanceláře a umožnit zaměstnancům tzv. home office (práci z domova). Současný trh nabízí velké množství nástrojů určených pro videokonference a komunikaci. Každý z nich má svá pozitiva, ale i negativa. Pro úřady je základním kritériem bezpečnost, zorientovat se v podmínkách a parametrech nástrojů však není vždy jednoduché.
V souvislosti s pokračující situací, kdy mnoho zaměstnanců využívá tzv. home office, tedy pracují z domova, musí mnoho úřadů řešit problém se zabezpečením dlouhodobé práce vykonávané vzdáleně. V případě zaměstnanců úřadu se jedná především o umožnění přístupu k agendovým systémům, spisové službě a zajištění komunikace jak s občany, tak i s kolegy.
Nejbezpečnější způsob pro přístup k agendovým systémům je prostřednictvím zabezpečené – šifrované VPN s použitím certifikátů s vyšší úrovní zabezpečení, a to i pro autentizaci uživatelů. Při výběru správného nástroje je nutné se podívat nejen na jejich cenu či uživatelské funkcionality, ale také na způsob uživatelského přístupu, možnosti administrátorského nastavení, způsobu ukládání vstupů a výstupů z videokonference atd.
Nástroje pro videokonferenci můžeme rozdělit na ty, které má organizace ve vlastní správě, a na nástroje provozované v cloudu.
Nástroje ve vlastní správě
V prvním případě organizace provozuje nástroj ve vlastní síti, na vlastním HW a pečuje o něj vlastní administrátor organizace. To znamená, že má plný vliv na administrátorské nastavení aplikace a má také pod kontrolou vstupy a výstupy z jednání (podkladové materiály, zápisy, audiovizuální záznam jednání apod.).
Do této skupiny patří nástroje:
- Cisco Meeting Server
- YEALINK
- POLYCOM
Nástroje provozované v cloudu
V případě interního cloudu poskytovaného například krajem nebo magistrátem pro podřízené organizace je nutné mít smluvně sjednané konkrétní podmínky nastavení, správy a přístupů uživatelů, včetně způsobu zálohování a výmazu dat dokumentů v rámci skartace. V tomto případě poskytovatelská organizace vystupuje vůči úřadu v roli zpracovatele. Je tedy nutno smluvně definovat, kdo bude mít za zpracovatele přístup k datům a s jakým oprávněním. Další postup nakládání s datovými soubory a dokumenty se bude striktně řídit dohodnutými pravidly.
Do této skupiny mohou patřit nástroje:
- Cisco Meeting Server
V současnosti jsou však nejvíce rozšířené služby videokonferencí poskytované komerčními poskytovateli – komerční cloud. Tito poskytovatelé většinou videokonference obohacují o další funkcionality či služby. Jedná se o tzv. kolaborativní nástroje, kdy je možné si mezi jednotlivými uživateli sdílet dokumenty, vyhodnocovat data apod.
Výhodou těchto nástrojů je cena, kdy je možné je využívat za nízký měsíční poplatek nebo dokonce zdarma. Z pragmatického hlediska je však nutné upozornit na to, že nikdy nic není zcela zdarma a cloudové služby zvláště. Proto vždy při výběru cloudového nástroje doporučuji nejprve si důkladně a pozorně přečíst jak obchodní podmínky, tak bezpečnostní zásady, které daný poskytovatel deklaruje.
Důležité je zaměřit se zvláště na pasáže definující místo uložení uživatelských dat, účely případného dalšího využití dat poskytovatelem služby, způsoby výmazu dat, způsoby uživatelských přístupů atd. Z povahy věci při využívání komerční cloudové služby nemáte nad daty vzniklými a uloženými v takovém cloudu žádnou kontrolu. Naopak máte, jako správce, za tato data odpovědnost a v případě, že dojde k bezpečnostnímu incidentu, který se bude týkat i osobních údajů, budete jej muset hlásit a řešit.
Vzhledem k výše uvedenému tedy doporučuji videokonferenční nástroje používat striktně pro videokonferenci. Nepropojovat tyto nástroje s dalšími aplikacemi nebo je dokonce používat jako dokumentové úložiště. Audionahrávky z videokonferencí nebo printscreeny obrazovek ukládejte do zabezpečeného úložiště pod vlastní kontrolou. V případě, že nativní nahrávací funkcionalita takového nástroje neumožňuje ukládat data do vámi zvoleného úložiště, používejte raději externí nástroje nebo funkcionalitu nahrávání obrazovky xboxu u MS Windows 10.
Nechte administrátora nastavit aplikaci, případně zakázat nebezpečné funkcionality, jako je přidávání dalších aplikací, sledování polohy uživatelů, umožnění zasílání pozvánek pozvanými osobami atd. V případě, že není možné některé z funkcionalit zakázat nebo bezpečně nastavit v aplikaci, zakažte jejich používání v návodu nebo v rámci školení.
Do této skupiny patří nástroje:
- ZOOM
- MS Skype
- MS Teams
- Google Workspace (aplikace Meets)
- Cisco Webex
- Lifesize
Závěrečné doporučení
Jako správce nezapomeňte zahrnout používání nových nástrojů a nakládání s novými typy dat a dokumentů do dokumentace jako např. evidence zpracování osobních údajů, analýza rizik nebo archivační a skartační řád úřadu. Zároveň je vhodné mít zpracované a zveřejněné návody pro zaměstnance, jak s nástroji zacházet, a provádět pravidelná školení týkající se ochrany osobních údajů a kybernetické bezpečnosti vůbec.
Vladimíra Hloušková
Autorka je místopředsedkyně Komory pověřenců.