| Kamil Porembiński Zwykle w kontekście bezpieczeństwa zatrudnienia mówię o odpowiedzialności cyfrowej. Podkreślam wtedy, że audyt powinien robić każdy i każdy powinien się uczyć. Ja nie chciałbym pracować z człowiekiem, który nie zadbał o moje dane i w ten sposób, być może, zrobił krzywdę mi lub mojej rodzinie. Zwykle niechcący, ale jednak. Pracodawcy nic się nie stanie, większy problem ma pracownik - czyli osoba, której prywatne i ważne dane poszły w internet. To jest dla niego realny problem. Tak samo dzieje się, gdy specjalista HR udostępnił pliki CV ludzi, biorących udział w rekrutacji. W najgorszym razie się go zwolni, a duża firma wrzuci to w koszty biznesowe działalności. Ale te dane z CV, które zostały udostępnione, krążą i pociągają za sobą dużo większe konsekwencje.
theprotocol.it Możesz podać taki przykład, case? Kamil Porembiński Tak, podam Wam przykład firmy biżuteryjnej i działu kadr. Wyciekły tam dane, tj. badania lekarskie, umowy medycyny pracy, konsultacje psychologiczne, BHP, dokumenty związane z zatrudnieniem, pełnomocnictwa, plany urlopów, informacje o pracy zdalnej (czyli adresy zamieszkań pracowników), rozwiązania umów, świadectwa o pracy, upomnienia.
theprotocol.it To wyciekło przez uchybienia pracowników? Co się zdarzyło? Kamil Porembiński Atak, hakerzy. Ale nie pamiętam, co było wektorem ataku. Wiem jednak, że najprościej jest dostać się do tych danych przez człowieka. Czyli haker przejmuje np. konto pracownika na Facebooku, który się loguje w ten sposób dalej. I po zalogowaniu haker zbiera sobie dane, np. o samochodach, zawiadomieniach o aktualnym stanie zadłużenia człowieka itd.
theprotocol.it Naprawdę? Kamil Porembiński To są dane kadrowe, tak? Przykładowo gdy któryś z pracowników nie zapłacił mandatu, to potem jest to odciągane z jego pensji. Idzie też w ten sposób dostać informacje jakie wnioski do sądu pisał, numery PESEL, dokładną pensję - to też jest duża wtopa. Bo może się okazać, że np. Ty zarabiasz dwa razy mniej niż kolega na takim samym stanowisku. Przykładowo: my sobie nagrywamy rozmowę, robimy to w przestrzeni Google Workspace, te dane są jakoś tam trzymane. Ale teraz wyobraźmy sobie, że firma nie ma płatnego narzędzia AI. No i taki specjalista HR wrzuca nagrania, rozmowy i dokumenty w pierwszy-lepszy darmowy produkt. Bo tak robią pracownicy. W firmie nie ma wdrożonego AI, bo jest niebezpieczny, więc pracownik na prywatnych zasobach wrzuca zasoby firmowe, żeby wykazać produktywność. Zdarza się, że specjaliści HR wrzucają CVki w ChataGPT, prosząc aby wytypował najlepszego kandydata na dane stanowisko. Firma mówi nie wolno, to niebezpieczne, ale specjalista chce mieć awans, chce być team liderem… i wykorzystuje narzędzia zakazane na prywatnych kontach. Wynosi te pliki. Nieświadome z tego korzysta, bo nikt nie mówił w firmie o bezpieczeństwie danych.
theprotocol.it A jaki, z pozoru wydający się prosty i ryzykowny błąd mogą popełnić niedoświadczeni rekruterzy? Kamil Porembiński Jeśli HR ma dedykowaną do tego platformę, np. eRecruitera, to okej. Wtedy taka apka przyjmuje na siebie wzięcie CV. A co jeśli nie ma? Przecież w takim CV, które wpada do komputera danej firmy, może być wirus, trojan, cokolwiek. Rzadko to się zdarza, ale jednak. Dlatego podkreślam: nie należy otwierać plików .docs na swoim komputerze. Zwłaszcza, jak się jest niedoświadczonym, początkującym pracownikiem działu HR. Ba! Ja nawet myślę, że jestem wykształcony cyfrowo, a nie otwieram plików cudzych na komputerze. Otwieram je przez Google Drive'a, bo wtedy chroni mnie Google Dysk. Nie pobieram pliku na swój komputer i go nie otwieram, bo nie wiem, co tam jest. Na dysku Google są też antywirusy, które skanują pliki. To jest cyfrowe BHP i wystarczy to powiedzieć rekruterom i tak przeprowadzać rekrutację.
theprotocol.it A kandydaci, którzy aplikują? Na co muszą uważać w kontekście rekrutacji? Kamil Porembiński Mam na to inny case. Hakerzy często robią na social mediach profile, które przypominają profile specjalistów HR. Przykładowo: osoba, która w wiadomościach pisze, że szuka deweloperów do pracy nad jakimś projektem oraz, że w procesie rekrutacji konieczne jest wykonanie zadania. Klasyczne zagranie – a w tym zadaniu testowym przestępca daje instrukcję programiście: ściągnij pliki i je uruchom na swoim komputerze. Kandydaci, często bez refleksji, robią to i instalują w ten sposób wirusa, który zbiera hasła, loginy do kont. Właśnie w ten sposób łapie się programistów, poprzez rekrutację. Bo nie sprawdzamy, komu wysyłamy swoje CV, swoje dokumenty, zdjęcia. Są przypadki hostess, które wysyłały swoje zdjęcia do nieprawdziwych rekrutacji, na nieprawdzie targi w Hali Expo. Bo nie sprawdziły, że maile “rekruterów” wyglądają dziwnie. Nie powinno się wysyłać swoich danych w odpowiedzi na ogłoszenia, które nie wyglądają profesjonalnie. Albo bez sprawdzenia firmy. Bo wtedy dzieje się tzw. harvesting danych. |
Czym jest Harvesting danych (z ang. „żniwa danych”)?
Pojęcie to oznacza masowe i zautomatyzowane gromadzenie informacji z Internetu. Często używa się go zamiennie z terminem data scraping, choć harvesting jest pojęciem szerszym – obejmuje nie tylko samo pobieranie danych (scraping), ale także ich czyszczenie, segregowanie i przygotowanie do dalszej analizy.
Bezpieczeństwo zatrudnienia - podsumowanie
Jak wynika z historii przytoczonych przez Kamila Porembińskiego, najsłabszym ogniwem w łańcuchu zabezpieczeń pozostaje człowiek – czy to w roli rekrutera ulegającego pokusie "drogi na skróty" poprzez korzystanie z darmowych narzędzi AI do analizy CV, czy kandydata, który w pogoni za atrakcyjnym projektem bezkrytycznie uruchamia pliki niewiadomego pochodzenia.
Wnioski płynące z przedstawionych przypadków są jasne: fundamentem bezpieczeństwa w procesach HR musi stać się rygorystyczne cyfrowe BHP – od weryfikacji tożsamości rekruterów w mediach społecznościowych, przez unikanie otwierania plików poza bezpiecznymi chmurami, aż po systemową edukację. Prawdziwe bezpieczeństwo zaczyna się tam, gdzie świadomość zagrożeń wygrywa z pośpiechem i nadmiernym zaufaniem do cyfryzacji.

