Доступ к информационным ресурсам организаций под учетными записями сотрудников сохраняется после увольнения в более чем 40% компаний, выяснили эксперты ГК «Солар».
Самой частой причиной этого явления становится несогласованность действий кадровых служб и IT подразделений, ответственных за управление доступом к цифровым активам организаций. Поэтому такие учетные записи могут существовать в корпоративных информационных системах подолгу, а уволенные сотрудники сохраняют доступ к цифровым активам прошлого работодателя. При этом если, предположим, в компании не внедрены процедуры регулярного обновления парольной политики, именно эти учетные записи чаще всего становятся точкой входа для киберпреступников.
Как отмечают аналитики Центра исследования киберугроз Solar4RAYS, в первом полугодии 2024 года в 50% удачных кибератак преступники использовали скомпрометированные аккаунты сотрудников компании и взломанные учетные записи поставщиков и субподрядчиков (supplechain и trustedrelationship), имеющих доступ к информационным системам крупных организаций.
В разработке, посвященном тому, какие факторы в управлении доступом к инфраструктуре способствуют эксплуатации аналогичных векторов атак, принимали участие руководители, профессионалы в информационной безопасности и IT более 100 крупных организаций из финансового и промышленного сектора, энергетики, ритейла, транспорта и логистики, медицинских и фармацевтических компаний.
Подобно в более чем 40% компаний есть сложности с выявлением устаревших учетных записей и накоплением избыточных прав. На взгляд знатоков, основные причины - это неименье аудита категорий пользователей, большое количество разрозненных информационных систем, общие учетные записи, которые укрывают реального владельца, и разные механизмы предоставления доступа к IT-инфраструктуре.
В 35% случаев неименье автоматизации в управлении доступом создает трудности при расследовании инцидентов и получении информации о полномочиях уволенных сотрудников. Таким образом, у компаний нет возможности оперативно реагировать на потенциальные угрозы, анализировать и снижать риски инцидентов, связанных с нелегитимными правами доступа.
Более 25% участников исследования также отметили, что существующие ручные и полуавтоматические скрипты для блокировки учетных записей работают неэффективно. На практике даже одна незаблокированная учетная запись с расширенными правами, принадлежащая, например, недавно уволенному сотруднику финансового отдела, способна привести к значительным утратам и юридическим последствиям.
С самого начала года выявлено более двух тысяч ресурсов для кражи аккаунтов в мессенждерах
Технические учетные записи (ТУЗ) - еще одна уязвимая точка в управлении доступом к информационным системам. Они создаются для управления инфраструктурой, работы разных ИТ-сервисов. Для таких ТУЗ ответственный либо не определяется, либо данные о нем фиксируются в документации на проект по интеграции. Если в компании нет единой системы учета ответственных по таким типам УЗ, то при увольнении сотрудников практически нет шансов определить, за какие учетные записи он отвечал. При этом в ТУЗ логины и пароли могут сохраняться годами, если, предположим, в компании не прописаны требования к регулярной перемене паролей. Поэтому вырастает риск разглашения данных для аутентификации в информационных системах, которыми могут воспользоваться киберпреступники.
При этом представители более 30% компаний отметили, что не водят реестр технических учетных записей (ТУЗ) и ответственных, которые назначены за каждую ТУЗ, в четверти компаний не разработана и не исполняется парольная политика по части технических «учеток».
В более 50% случаев компании не автоматизируют процессы для передачи ответственности, если пользователь увольняется или переводится на иную должность.
Участники исследования также отметили проблемы в управлении доступом для поставщиков и субподрядчиков. В более 40% случаев компании не владеют актуальным статусом об уровне доступа для наружного контрагента, в трети - доступ прекращается безвременно, в 48% компаний нет автоматизированных процессов, чтобы отозвать полномочия и заблокировать учетные записи поставщиков в случае расторжения контракта. Почти в 15% случаев в компаниях не разработана и не исполняется парольная политика для учетных записей подрядчиков, которые имеют доступ к информационным системам.
Как отметили респонденты, в каждой второй компании не используются централизованные системы управления учетными записями сотрудников и доступом.
Еще больше острой проблема управления доступом становится в масштабах слияний и поглощений.
«Аудит: кому, в котором объеме и для каких целей компания предоставляет свои ресурсы - это ключ к формированию безопасной рабочей среды. Без автоматизированного контроля срока жизни учетных записей и уровня полномочий сотрудников, владельцев технических учетных записей и поставщиков риски несанкционированного доступа к критически важным цифровым активам и клиентским данным вырастают в разы», - объясняет руководитель отдела управления правами доступа к информационным ресурсам департамента in Rights ГК «Солар» Юлия Семенова.
Фото: Freepik