Zdjęcie do artykułu: Informatyka śledcza i elektroniczny materiał dowodowy

Digitalizacja w ochronie sygnalistów, a bezpieczny system whistleblowingowy

Digitalizacja, automatyzacja i informatyzacja to terminy, które zadomowiły się już nie tylko w słowniku języka polskiego, ale także w świadomości kadry zarządzającej. Narzędzia IT stały się synonimem zwiększonej efektywności, skuteczniejszego nadzoru nad procesami, ale także, a może - przede wszystkim - zapewnienia zgodności podejmowanych działań z prawem.  Od momentu wybuchu pandemii COVID-19 rynek oprogramowania „rozgrzał się do czerwoności”. To naturalne, zwłaszcza w sytuacji, w której od wdrożonych rozwiązań IT zależy „być albo nie być” organizacji. W tym samym okresie, równolegle do rozwoju legislacji, rozwijały się narzędzia służące sygnalistom.

Zgłaszanie nieprawidłowości online

W teorii do zgłaszania naruszeń nie potrzeba stosować żadnych specjalnych narzędzi. Posiadane przez pracowników wątpliwości mogą być przekazane pisemnie lub osobiście (ustnie lub telefonicznie). Jednak coraz rzadziej do realizacji tego celu korzystają oni dzisiaj ze stacjonarnej skrzynki skarg i zażaleń. Te tradycyjne rozwiązania obarczone są bowiem zwyczajowymi wadami. Nie zawsze zapewnione są anonimowe zgłoszenia, ograniczona jest poufność, czy brak możliwości uzyskania informacji zwrotnej. To one w znacznym stopniu blokują skuteczność rozwiązań stosowanych w przeszłości.

Pojawienie się regulacji nakładających na przedsiębiorców obowiązek wdrażania specjalnych kanałów uruchamianych wyłącznie dla sygnalistów stało się dla rynku katalizatorem sprzyjającym wykształceniu rozwiązań służących usprawnieniu procesu zgłaszania nieprawidłowości. Najpopularniejszym dotychczas narzędziem były tzw. gorące linie umożliwiające rozmowę telefoniczną, podczas której sygnalista miał możliwość zgłoszenia swoich podejrzeń, które przekazywane były następnie właściwym osobom. Choć tego typu rozwiązania, pod pewnymi względami, były niedogodne (wymagały często kosztownej wielojęzycznej obsługi, także poza standardowymi godzinami pracy) to na ich bazie wprowadzono tzw. „whistleblower hotline”. Jest to narzędzie funkcjonujące dzisiaj jako synonim rozwiązania stworzonego specjalnie dla sygnalistów. Z uwagi na ograniczenia techniczne, tego typu rozwiązania powoli „przechodzą do lamusa”, ustępując miejsca narzędziom online. Z perspektywy efektywności tego rozwiązania trudno jest podważyć sens tendencji do dalszego jego usprawnienia. Nowoczesne platformy IT nie wymagają wieloosobowej obsługi, dostępne są 24 godziny na dobę, a przy tym są dostępne w wielu wersjach językowych, czyli jest to korzystne dla spółek działających w rozproszeniu geograficznym. Wybrane z nich potrafią również spełniać nawet najbardziej wygórowane wymagania regulatorów.



Odpowiedzią Regtech

Tym terminem określa się rozwiązania wykorzystujące technologie informatyczne w celu spełnienia wymagań regulacyjnych (od ang. regulatory technology). Ich wykorzystanie może się okazać szczególnie przydatne w kontekście wymogów unijnej dyrektywy o ochronie sygnalistów, zwłaszcza tam, gdzie tradycyjny system whistleblowingowy może zawodzić.

Informacja zwrotna a anonimowość

Aplikacje dostępne online generują unikalny identyfikator zgłoszenia, z pomocą którego anonimowy sygnalista może sprawdzić status sprawy, a także utrzymać kontakt z osobami weryfikującymi zgłoszenie.

Zarządzanie procesem obsługi zgłoszenia

Narzędzie IT może generować przypomnienia ułatwiając dotrzymywanie wymaganych terminów. Może także odnotowywać podjęte działania, dokumentując tym samym należytą staranność podczas weryfikacji zgłoszenia. Wreszcie, może pomóc ograniczyć do minimum wiedzę o zgłoszeniu w organizacji. Fundamentalnie sprzyja to zachowaniu poufności.

Najważniejsze (cyber)bezpieczeństwo

W przypadku systemów informatycznych nieodzowną pozostaje kwestia bezpieczeństwa. Według  Światowego Badania Uczciwości w Biznesie[1] opublikowanego przez EY w 2022r., 27% respondentów wskazuje cyberbezpieczeństwo jako źródło najistotniejszego zagrożenia podczas nabywania / przejmowania innych organizacji, współpracy z nimi lub inwestowania w nie. Badanie EY objęło również kwestie ochrony danych osobowych, które w ostatnich latach są przedmiotem znaczących zmian legislacyjnych. 67% respondentów w Polsce (i 61% globalnie) zgadza się z twierdzeniem, że obecnie obowiązujące przepisy w zakresie ochrony i poufności danych są korzystne dla biznesu. Jednocześnie 38% respondentów w Polsce (i 33% globalnie) uważa, że stanowią one barierę dla osiągnięcia sukcesu w biznesie. 

Upowszechnienie wykorzystywania Internetu w trakcie pandemii zwiększyło też presję wywieraną na działy cyberbezpieczeństwa. 58% respondentów z Polski deklaruje, że ich firmy prowadzą szkolenia związane z RODO, a 50%, że szkolą pracowników na wypadek ewentualnego wycieku danych. Jednak tylko 32% polskich firm (41% globalnie) posiada plan reagowania w przypadku faktycznego wycieku danych. Dodatkowo, jak wynikało z Globalnego Badania Bezpieczeństwa Informacji EY 2021[2], 56% respondentów stwierdziło, że wiele spółek szło na skróty w zakresie cyberbezpieczeństwa, aby ułatwić zdalną i elastyczną pracę w czasie pandemii.

Informacje o możliwych naruszeniach, bez wątpienia, należą do poufnych, a ich ujawnienie zwykle nie leży w interesie firmy. Nie można pominąć tego założenia decydując się na wdrożenie rozwiązania zaprojektowanego dla sygnalistów. Podobnie nie można zapomnieć, że informacje powinny być szyfrowane i przechowywane na bezpiecznych serwerach. Aby spełniać wymagania dotyczące ochrony danych osobowych, przedmiotowe serwery musza być zlokalizowane na terytorium Europejskiego Obszaru Gospodarczego.

Utrata danych w wyniku prowadzonych cyberataków to nie jedyne zagrożenie, na które narażone są firmy. Narzędzia dostępne za pośrednictwem stron lub aplikacji internetowych (aktualnie w ten sposób tworzy się rozwiązania dla sygnalistów) powinny być m.in. zabezpieczone przed atakami typu XSS (od ang. cross-site scripting) czy DDoS (od ang. Distributed Denial of Service). XSS polega na wprowadzeniu do treści atakowanej strony (np. poprzez formularz zgłaszania nieprawidłowości) kodu przechwytującego dane użytkownika lub zainstalowanie prowadzącej niepożądane działania aplikacji. DDoS powoduje niedostępność usługi poprzez zajęcie wszystkich wolnych zasobów.


Podsumowanie

Te dwa przykłady nie wyczerpują oczywiście listy zagrożeń, choć skutecznie ilustrują problemy, z jakimi firmy mogą się borykać. Mając to na uwadze, warto wybierać właściwie zabezpieczone i stale uaktualniane rozwiązania. W obszarze cyberbezpieczeństwa ryzyko jest pochodną kreatywności hakerów, stąd nie da się go definitywnie wyeliminować. Owszem, ryzyko cyberataku zawsze istnieje, ale powierzenie wdrożenia efektywnych rozwiązań sprawdzonym dostawcom pozwala mu skutecznie przeciwdziałać.


Kontakt
Chcesz dowiedzieć się więcej? Skontaktuj się z nami.

Informacje


Inne artykuły w tym temacie