Telelavoro e smart working in tempo di pandemia - il parere dell'esperto

In Italia, in questo particolare periodo di restrizioni dovute al contrasto al Covid-19, sono state numerose le aziende e le PA che hanno modificato le proprie abitudini lavorative ricorrendo al telelavoro ed allo smart working (lavoro agile). Non è questa la sede per disquisizioni in merito all’evoluzione ed alle differenze tra le forme di lavoro sopracitate, qui basti sottolineare che ciò che le accomuna è il fatto che il lavoratore effettua la prestazione lavorativa al di fuori dell’ambiente messo a disposizione dal datore di lavoro per lo svolgimento della stessa. È proprio questa particolarità che potrebbe generare delle vulnerabilità, dovute all’utilizzo di tecnologie o di procedure operative poco sicure che potrebbero compromettere i dati personali trattati e la sicurezza della stessa infrastruttura lavorativa.

Infatti, il massiccio ricorso alla rete Internet ed ai servizi online offerti (ad es. il ricorso a piattaforme per videoconferenze), facilita l’attività di monitoraggio delle reti da parte di soggetti esterni proprio alla ricerca di potenziali o reali vulnerabilità, che rappresentano l’embrione di un attacco informatico. In questi giorni le notizie di una massiccia escalation nella diffusione di malware e di campagne di phishing, che utilizzano la paura legata alla pandemia per far abbassare la guardia e così avere maggiore probabilità di successo, sono state state numerose, clicca qui e qui per leggere alcuni esempi; inoltre, si è assistito a sempre più numerosi attacchi informatici volti a creare delle botnet (reti di computer infettati da software dannoso che possono essere controllate in remoto), come nel caso di dark_nexus che, dopo Mirai, attraverso attacchi Ddos contro router, videocamere di sorveglianza e altri dispositivi IoT, ne compromette le credenziali di accesso (tramite l’utilizzo di tecniche di credential stuffing) e li converte in una rete di dispositivi zombie. 

Cosa si potrebbe fare per contrastare tutto ciò?  Innanzitutto, non dobbiamo scordare come, anche nel caso di ricorso al telelavoro nonché al lavoro agile, la sicurezza debba essere il principale obiettivo. Per un datore di lavoro  le priorità non sono cambiate così come non sono cambiati gli obblighi derivanti dal rispetto delle normative, tra cui quella sul trattamento dei dati personali: il GDPR 2016/679 ed il D.Lgs.196/2003. Il datore di lavoro dovrà continuare a mettere in atto misure tecniche ed organizzative adeguate per essere in grado di garantire e di dimostrare, che il trattamento dei dati personali è effettuato in maniera conforme al Regolamento fermo restando che, adesso più che mai e tenuto conto che una parte del potere di controllo che gli è riconosciuto normativamente viene azzerato, vi dovrà essere un maggiore coinvolgimento dei dipendenti che saranno tenuti a riferire eventuali anomalie, problematiche e vulnerabilità del sistema utilizzato.

Ai lavoratori è richiesta una maggiore cooperazione ed una condotta particolarmente diligente, soprattutto per l’utilizzo e la custodia degli strumenti di lavoro e per la tutela dei dati personali trattati, cooperazione che il datore di lavoro potrà richiedere attraverso la predisposizione di apposite circolari o di linee guida da sottoporre ai propri dipendenti; inoltre, se il dipendente dovesse ricorrere a propri strumenti di lavoro (PC, tablet, smartphone, ecc.) il datore di lavoro dovrebbe prevedere un’apposita policy per la gestione dei BYOD (Bring Your Own Device), al fine di fissare delle regole, dei punti fermi, per il loro utilizzo ed evitare che venga compromessa la sicurezza della infrastruttura informativa dell’Azienda o dell’Ente.

Per concludere si sottolinea come AgID, per i dipendenti delle PA, abbia pubblicato sul proprio sito istituzionale un documento dal titolo “Smart working: vademecum per lavorare online in sicurezza” contente “undici semplici raccomandazioni rivolte ai dipendenti pubblici che hanno adottato la modalità di lavoro agile per aiutarli a utilizzare al meglio e in sicurezza i propri dispositivi personali: pc, smartphone, tablet”.  Raccomandazioni che, a mio avviso, potrebbero essere utilizzate anche per i dipendenti operanti nel settore privato. Le 11 raccomandazioni di AgID per uno Smart working sicuro:

1. Segui prioritariamente le policy e le raccomandazioni dettate dalla tua Amministrazione;
2. Utilizza i sistemi operativi per i quali attualmente è garantito il supporto;
3. Effettua costantemente gli aggiornamenti di sicurezza del tuo sistema operativo;
4. Assicurati che i software di protezione del tuo sistema operativo (Firewall, Antivirus, ecc) siano abilitati e costantemente aggiornati;
5. Assicurati che gli accessi al sistema operativo siano protetti da una password sicura e comunque conforme alle password policy emanate dalla tua Amministrazion;
6. Non installare software proveniente da fonti/repository non ufficiali;
7. Blocca l’accesso al sistema e/o configura la modalità di blocco automatico quando ti allontani dalla postazione di lavoro;
8. Non cliccare su link o allegati contenuti in email sospette;
9. Utilizza l’accesso a connessioni Wi-Fi adeguatamente protette;
10. Collegati a dispositivi mobili (pen-drive, hdd-esterno, etc) di cui conosci la provenienza (nuovi, già utilizzati, forniti dalla tua Amministrazione);
11. Effettua sempre il log-out dai servizi/portali utilizzati dopo che hai concluso la tua sessione lavorativa.

Avvocato Natalia Deplano - Per contatti:  Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.