Почему компании забывают отозвать доступы
При приеме на работу новый сотрудник получает необходимые доступы к рабочим системам. Со временем их количество обычно растет, причем часто хаотично. Некоторые доступы предоставляются непосредственным руководством без уведомления IT отдела, в то время как чаты в мессенджерах и системы обмена документами создаются спонтанно внутри подразделения. Такие доступы с большой вероятностью не будут удалены у сотрудника при его увольнении.
Обычно проблемы возникают по таким причинам:
Компания использует SaaS-сервисы, доступ к которым часто осуществляется через браузер. Войти в систему можно по логину и паролю, то есть нет интеграции с корпоративным каталогом сотрудников.
В некоторых случаях сотрудники используют одну и ту же учетную запись для доступа к конкретной системе, например, чтобы сэкономить на подписке или использовать сервис, который не поддерживает многопользовательский режим. После того как один из сотрудников увольняется, пароль остается неизменным.
Некоторые корпоративные системы позволяют аутентификацию по номеру мобильного телефона и кода из SMS. Это создает проблемы, если уволившийся сотрудник продолжает использовать свой номер телефона.
Во многих случаях требуется привязка к личной учетной записи. Например, ее используют администраторы корпоративных аккаунтов в социальных сетях. В этом случае отзыв доступа также должен быть выполнен внутри социальной сети.
Еще одна проблема связана с так называемым «теневым IT». Любая система, которую сотрудники используют по своей инициативе и запускают самостоятельно, скорее всего, выходит за рамки стандартного процесса учета, контроля паролей и т.д. Например, часто у бывших сотрудников сохраняются возможности совместного редактирования документов Google Docs, доступы к рабочим чатам в различных мессенджерах.
В чем риски безопасности, связанные с увольняющимися сотрудниками
Обстоятельства увольнения бывают разные, и в зависимости от них риски для безопасности данных компании тоже отличаются. Разделить риски можно на две большие группы в зависимости от того, кто наносит ущерб: сам бывший сотрудник или третьи лица.
В случае с третьим лицом аккаунт бывшего работника может захватить злоумышленник и использовать для кибератак на компанию.
Сценарии атак различны: от компрометации бизнес-переписки до несанкционированного входа в корпоративные системы с целью похитить данные. Так как сотрудник не заходит в аккаунт, то такая деятельность может долго оставаться незамеченной.
Ущерб также может нанести сам сотрудник, причем как намеренно, так и по своей забывчивости или халатности. Практика показывает, что основные мотивы у бывших работников таковы:
Желание продвинуться по карьерной лестнице. Сотрудник, который переходит к конкурентам, может прихватить с собой базу текущих клиентов или информацию о новых разработках. Его мотивация — продвинуться по службе в новой компании. Также использовать конфиденциальную информацию он может, чтобы начать собственный бизнес. Так, в мае 2022 года Цянь Сан из Yahoo украл конфиденциальную информацию о продукте Yahoo AdLearn, когда ему предложили работу в конкурирующей компании The Trade Desk. Ему удалось загрузить на свои личные устройства 570 тысяч страниц конфиденциальной информации Yahoo.
Месть бывшему работодателю. Если вы расстаетесь в не самых хороших отношениях, обиженный работник способен повредить или уничтожить конфиденциальные корпоративные данные. В 2021 бывшая сотрудница кредитного союза Нью-Йорка, из мести бывшему работодателю за 40 минут уничтожила более 20 000 файлов, в которых были данные клиентов компании. Хотя у компании были резервные копии некоторых данных, ей все равно пришлось потратить более 10 000 долларов на восстановление уничтоженных сведений.
Финансовая выгода. Если сотрудника не пригласили работать к конкурентам, это не значит, что он не продаст им ноу-хау или другие ценные данные бывшего работодателя. Например, Tesla не раз подавала в суд на бывших сотрудников, которые, по мнению компании, похищали данные компании, чтобы продать их другим организациям.
Ложное ощущение владения интеллектуальной собственностью. Когда сотрудник долгое время создает объект интеллектуальной собственности, ему начинает казаться, что тот принадлежит ему. И при увольнении он имеет право забрать ИС с собой. Один из известных примеров кражи данных с такой мотивацией — дело Энтони Левандовски, инженера по беспилотным автомобилям в Google. В начале 2021 года Левандовски его помиловали за кражу у Google ПО для беспилотных автомобилей, над которым он работал до своего увольнения.
Незнание правил безопасности данных. Не всегда в действиях бывших сотрудников присутствует злой умысел. Например, они могут случайно сохранить копию конфиденциальных данных компании на своих личных устройствах или в учетных записях электронной почты. Однако для компании последствия будут не менее разрушительными.
Среди основных последствий преднамеренных или непреднамеренных действий бывшего сотрудника можно выделить такие:
Потеря конкурентного преимущества в связи с кражей интеллектуальной собственности. Если увольняющийся сотрудник выдаст конкуренту проекты, программный код и документы, над которыми он работал, другая компания может стать обладателем ваших коммерческих секретов.
Нарушение деятельности компании — например, если сотрудник удалил информацию о важном проекте перед увольнением.
Потеря клиентов. Сообщения об утечках конфиденциальных данных — тревожные сигналы для многих клиентов. Даже если они не пострадают от взлома, то могут потерять доверие к вашей компании и отказаться от сотрудничества.
Многоуровневая защита рабочих мест
Адаптивная защита от продвинутых киберугроз
Как обеспечить информационную безопасность при увольнении
Снижение рисков при увольнении — это сочетание административных и технических мер. Что рекомендуется делать:
1. Регулярно проверять, к каким системам имеют доступ сотрудники. Так можно оперативно отслеживать и отзывать неактуальные доступы или те, что были выданы случайно, а также находить доступы, которые выданы в обход стандартных процедур.
Причем недостаточно просто мониторить инфраструктуру — желательно также опрашивать сотрудников и их руководителей, чтобы приводить в соответствие с политиками сервисы «теневого IT».
2. Проводить «выходные» интервью. В числе прочих вопросов нужно выяснять, какими системами сотрудник пользовался ежедневно, передал ли он служебную информацию коллегам. Также не лишним будет напомнить о правилах NDA-соглашения, если таковое было подписано.
Кроме самого увольняющегося, стоит опросить его коллег и руководителей, чтобы получить полную картину по его аккаунтам и доступам. Обычно «выходные» интервью проводит HR-специалист — ему следует взаимодействовать с отделом ИБ и передавать всю нужную информацию безопасникам.
В целом, как только сотрудник подал заявление об увольнении, HR-ам стоит незамедлительно сообщить об этом IT-отделу или отделу безопасности, чтобы они были готовы оперативно запретить доступы к корпоративным учетным записям.
Об увольнении следует своевременно оповещать и текущих сотрудников, чтобы они не стали жертвами социальной инженерии и случайно не предоставили бывшему сотруднику несанкционированный доступ к конфиденциальным данным.
Оптимизируйте выполнение повседневных задач с помощью комплексного решения для защиты конкретных точек Kaspersky Security для бизнеса. В его состав входит мощная консоль для управления безопасность IT-системам в любом месте с любого устройства.
3. Мониторить компьютерную активность сотрудника, который увольняется. Часто с момента подачи заявления об увольнении до непосредственного дня расставания с сотрудником проходит не меньше двух недель. В это время наиболее велик риск кражи данных, поэтому нужно внимательно следить за использованием сотрудником рабочего ПК на предмет подозрительной активности.
В частности, нужно:
контролировать отправку файлов на USB-устройства;
просматривать интернет-историю на предмет посещений несанкционированных веб-сайтов для хранения файлов;
отслеживать использование неизвестного ПО и активность электронной почты — нет ли пересылки конфиденциальных данных;
просматривать журналы действий пользователя — так, например, можно отследить подозрительную активность после обычного рабочего дня.
Мониторинг компьютерной активности увольняющихся сотрудников дает возможность предотвратить попытки кражи данных. Чтобы упростить отслеживание, можно настроить контекстно-зависимые оповещения в программах предотвращения потери данных и мониторинга сотрудников.
4. Установить типовые роли. Для всех должностей можно разработать контрольный список нужных доступов, которые выдают сотрудникам при поступлении на работу и отзывают при увольнении.
5. Внедрить систему Identity and Access Management и технологию Identity Security, с помощью которых можно эффективно управлять всеми видами учетных записей, централизовать базу учетных записей и унифицировать процесс аутентификации.
Технологии, обеспечивающих безопасный доступ сотрудников к корпоративным ресурсам, содержатся вKaspersky Security для бизнеса. Это комплексное решение для защиты рабочих устройств, которое помимо блокирования массовых киберугроз содержит функции по управлению безопасностью, контролю программ, веб-контролю, предотвращению утечек.
6. Выдавать фрилансерам и подрядчикам ограниченные по времени доступы к корпоративным системам. Процедура заключения договора с такими исполнителями — более упрощенная, а у заказчика гораздо меньше возможностей для контроля их деятельности. Значит, и обеспечить безопасность информации, к которой они получают доступ, сложнее.
7. Отслеживать устаревшие аккаунты, в которых давно не было никакой активности, и своевременно отключать их.
8. Использовать каталог активов (Asset and Inventory Tracking), чтобы централизованно контролировать устройства, лицензии, служебные номера телефонов.
Многоуровневая защита рабочих мест
Адаптивная защита от продвинутых киберугроз
Реклама: АО «ЛАБОРАТОРИЯ КАСПЕРСКОГО», ИНН 7713140469, erid: LjN8KVrra
Комментарии
2Уволилась когда-то из ведомственного учреждения - на руках оставались копии КЭП руководителя и пароли от всех кабинетов контролирующих органов, с кем работали. Никто ничего не спросил даже. Вот тебе и безопасность.
у меня как-то после увольнения еще минимум полгода оставался доступ к удаленке, я это случайно заметила