Cyberbezpieczeństwo przy zmianach kadrowych – o co warto zadbać?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Zarządzanie bezpieczeństwem IT to wyzwanie, które przybiera na sile w obliczu rotacji pracowników w każdej firmie. Odpowiednie cyberbezpieczeństwo przy zmianach kadrowych jest kluczowe dla ochrony poufnych danych osobowych oraz ciągłości działania organizacji. Brak należytego nadzoru nad uprawnieniami do systemów informatycznych może prowadzić do poważnych incydentów i kosztownych naruszeń ochrony danych. W niniejszym artykule wyjaśniamy, jak skutecznie zabezpieczyć infrastrukturę w trakcie przyjmowania, awansowania oraz zwalniania pracowników.

Cyberbezpieczeństwo przy zmianach kadrowych – jak zabezpieczyć firmę po odejściu pracownika?

W przypadku odejścia pracownika szczególnie ważne jest upewnienie się, że jego konto zostało pozbawione dostępu do wszelkich systemów. Przypadkowe pozostawienie aktywnego dostępu do danego środowiska może wiązać się z poważnymi skutkami na gruncie RODO czy cyberbezpieczeństwa.

W przeszłości wielokrotnie zdarzały się incydenty związane z brakiem odebrania uprawnień po zakończeniu stosunku pracy. W decyzji UODO ze stycznia 2022 roku (DKN.5131.33.2021) opisano przypadek pięciokrotnego logowania się do PUE ZUS przez byłego pracownika banku, który uzyskał w ten sposób nieuprawniony wgląd w dane osobowe. W toku analizy okazało się, że kolejne dwie osoby również miały możliwość wglądu do danych w PUE ZUS. Według Prezesa UODO taka sytuacja świadczy o nieskuteczności stosowanych środków ochrony danych.

Odejście pracownika wiąże się również z koniecznością upewnienia się, że dana osoba nie przetwarza już danych osobowych, do których uzyskała dostęp w ramach swoich obowiązków służbowych. Jest to szczególnie ważne podczas pracy zdalnej, wykorzystywania prywatnego sprzętu w pracy (BYOD) czy używania przenośnych nośników danych (pendrive’y i dyski przenośne). 

W komunikacie UODO z grudnia 2023 roku, dotyczącym podtrzymania przez Wojewódzki Sąd Administracyjny decyzji organu nadzorczego, wskazano brak wdrożenia odpowiednich środków ochrony komputerów podczas pracy zdalnej przez Rzecznika Finansowego. Urząd Ochrony Danych Osobowych podkreślił brak analizy ryzyka, co w opinii UODO uniemożliwiło wdrożenie należytej ochrony. Incydent polegał na kradzieży prywatnego komputera byłego pracownika Rzecznika Finansowego, na którym znajdowały się dane osobowe przetwarzane w ramach pracy zdalnej. W orzeczeniu WSA wskazano również brak weryfikacji skutecznego usunięcia danych przez pracownika, co pokazuje praktyczną konieczność upewnienia się, że osoba usunęła dane po zakończeniu stosunku pracy.

Przeoczenie odebrania uprawnień byłego pracownika może wiązać się z poważnymi konsekwencjami nie tylko wskutek bezpośrednich działań danej osoby. Szczególnie groźne jest przejmowanie „zapomnianych” kont, co pokazuje komunikat amerykańskiej CISA (Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) z lutego 2024 roku. Cyberprzestępcy wykradli pliki organizacji administracji stanowej, a następnie umieścili je w tzw. dark webie (ukrytej części internetu). Wykorzystano do tego przejęte konto byłego pracownika. Incydent jasno pokazuje konieczność niezwłocznego działania w zakresie odbierania uprawnień.

W sierpniu 2025 roku odpowiednik UODO z Hongkongu poinformował o kradzieży danych prawie 80 tys. klientów i pracowników jednej z tamtejszych firm jubilerskich. Wykorzystano przy tym konto byłego pracownika, które było nieużywane od ponad 13 lat.

Awanse i zmiany stanowiska

Podczas awansów i zmian stanowiska w JST należy pamiętać o Krajowych Ramach Interoperacyjności (Rozporządzenie Rady Ministrów z dnia 21 maja 2024 roku). W § 19 ust. 2 pkt 4 wskazano, że osoby zaangażowane w proces przetwarzania informacji muszą mieć stosowne uprawnienia – adekwatne do wykonywanych zadań oraz obowiązków z zakresu bezpieczeństwa informacji. W punkcie 5 podkreślono konieczność niezwłocznej zmiany uprawnień w przypadku zmiany zadań osoby.

W przypadku awansów czy zmian stanowiska niezmiennie powinniśmy respektować zasadę przyznawania najmniejszych wymaganych uprawnień. W decyzji UODO z lutego 2026 roku (DKN.5112.13.2023) wskazano wprost, że realizacja odmiennych zadań wiąże się z odmiennym zakresem i sposobem przetwarzania danych.

Ważne rekomendacje zawarto w dokumencie amerykańskiego Narodowego Instytutu Norm i Technologii (NIST SP 800-171r3) z maja 2024 roku, dotyczącego kontrolowanych informacji jawnych w systemach niefederalnych. W punkcie 03.09.02b wskazano kroki konieczne do podjęcia w przypadku zmiany stanowiska lub zakresu obowiązków, takie jak:

  • przegląd dotychczasowych uprawnień w systemach informatycznych oraz w zakresie dostępu fizycznego do obiektu,

  • odebranie niepotrzebnych uprawnień oraz nadanie nowych.

Zatrudnienie pracownika, czyli cyberbezpieczeństwo przy zmianach kadrowych od pierwszego dnia

W przypadku zatrudniania nowego pracownika konieczne jest zapewnienie rozliczalności jego działań – zarówno pod kątem cyberbezpieczeństwa (logów, czyli prowadzenia dziennika zdarzeń), jak i ochrony danych. Art. 29 RODO wskazuje wprost, że osoby działające z upoważnienia administratora przetwarzają dane wyłącznie na jego polecenie.

W kontekście ochrony danych osobowych kluczowe pozostają upoważnienia administratora dla pracowników. W opracowaniu UODO „Czy administrator powinien udzielać upoważnień do przetwarzania danych?” wskazano, że administrator musi mieć kontrolę nad tym, kto przetwarza dane oraz na jakich zasadach to robi. W tym kontekście ważna jest (nieprawomocna) decyzja Prezesa UODO z lutego 2026 roku (DKN.5112.1.2023), gdzie wskazano, że automatyczne nadawanie upoważnień po wykonaniu testu przez pracownika, bez faktycznego wskazania osoby nadającej upoważnienie, stanowi naruszenie przepisów RODO.

Warto przy tym podkreślić, że upoważnień nie powinien nadawać inspektor ochrony danych osobowych. W decyzji z września 2020 roku (ZWAD.405.31.331.2019) Prezes UODO jasno wskazał, że rola IOD polega na „doradzaniu oraz kontrolowaniu działalności administratora” pod kątem zgodności z RODO.

Imienne konta – podstawa rozliczalności

Czasami może dojść do sytuacji, gdy pracownik oprócz swojego konta (np. e-mailowego) musi skorzystać ze skrzynki mailowej, do której dostęp ma więcej niż jedna osoba. W tym przypadku ważne jest nadawanie uprawnień odpowiednim użytkownikom zamiast współdzielenia danych logowania. Pozwala to na rozliczalność działań, definiowaną w Krajowych Ramach Interoperacyjności (wiążących dla podmiotów realizujących zadania publiczne), jako możliwość przypisania danego działania do osoby oraz umiejscowienia go w czasie. Sama rozliczalność wymaga logowania zdarzeń, czyli „dokumentowania w postaci elektronicznych zapisów” (§ 20 KRI).

W sytuacji, gdy wiele osób loguje się na to samo konto, wskazanie osoby odpowiedzialnej za daną czynność (np. usunięcie lub modyfikację pliku) może okazać się bardzo trudne lub niemożliwe.

W przypadku nowych kont służbowych warto podkreślić konieczność wymuszania dwuetapowego uwierzytelniania (2FA) jako praktycznego zabezpieczenia przed nieuprawnionym dostępem. Taka reguła powinna być obowiązkowa w środowisku oraz wymuszona przy tworzeniu konta, nie zaś jako samo zalecenie.

Audyt i procedury – dlaczego cyberbezpieczeństwo przy zmianach kadrowych to ciągły proces?

Zmiany kadrowe bywają nagłe, wobec czego powinno się uwzględnić regularny audyt kont oraz ich uprawnień. Interwał takiej weryfikacji powinien być jasno określony (np. raz na miesiąc lub raz na kwartał) oraz wynikać z ryzyka naruszenia praw i wolności osób fizycznych (zgodnie z art. 32 ust. 1 RODO).

Szczególny nacisk powinien być położony na wyeliminowanie możliwości włamania się do infrastruktury poprzez VPN-y czy zdalny pulpit (RDP) – uzyskanie dostępu do aktywnego konta byłego pracownika może mieć poważne skutki. Pokazał to cyberatak na amerykański Walmart z przełomu 2005 i 2006 roku, gdzie atakujący uzyskali dostęp do infrastruktury za pomocą VPN-owego konta byłego pracownika.

Kluczowe jest jasne określenie reguł podczas zatrudniania, zmian stanowisk i offboardingu. Proces powinien być opisany w ramach wewnętrznych procedur oraz uwzględniony w analizie ryzyka. Zgodnie z art. 8 Ustawy o Krajowym Systemie Cyberbezpieczeństwa podmioty kluczowe i ważne są zobowiązane do systematycznego szacowania ryzyka wystąpienia incydentu oraz wdrażania odpowiednich środków technicznych i organizacyjnych, które są proporcjonalne do oszacowanego ryzyka oraz uwzględniające:

  • najnowszy stan wiedzy,

  • koszty wdrożenia,

  • wielkość podmiotu,

  • prawdopodobieństwo wystąpienia incydentów,

  • narażenie podmiotu na ryzyka,

  • skutki społeczne i gospodarcze.

Praktyka pokazuje, że konieczne jest uwzględnianie ryzyk związanych również z bezpieczeństwem fizycznym czy potencjalnym sabotażem byłego pracownika. Pokazuje to m.in. kradzież dysku z danymi osób z niepełnosprawnościami z oddziału Wojewódzkiego Zespołu do spraw Orzekania o Niepełnosprawności w Województwie Podkarpackim (luty 2025) czy kradzież bazy danych klientów przez pracownika na szczeblu kierowniczym na krótko przed zwolnieniem z firmy zajmującej się szkoleniami (2025/2026).

Podsumowanie

Cyberbezpieczeństwo to nieodłączny element podczas zmian kadrowych. Mowa zarówno o przyjściu nowych pracowników, awansach, jak i przeniesieniach i odejściach. Zasady postępowania powinny być jasno określone i stosowane w praktyce, aby uniknąć incydentów bezpieczeństwa informacji.

Zmiany kadrowe niewątpliwie wiążą się z wieloma rodzajami ryzyka, które powinno być uwzględnione w analizie, co pozwala wdrożyć odpowiednie środki zapobiegawcze.

Szczególnie ważne jest zwrócenie uwagi na rozliczalność działań pracowników. W tym celu powinno się zaprzestać korzystania ze współdzielonych danych logowania oraz zadbać o zbieranie i przechowywanie logów (prowadzenie dziennika zdarzeń).

 

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów