ГК «Солар»: более 40% компаний сохраняют активными учетные записи уволенных сотрудников

Как отмечают аналитики Центра исследования киберугроз Solar 4RAYS, в первом полугодии 2024 года в 50% успешных кибератак злоумышленники использовали скомпрометированные аккаунты сотрудников компании и взломанные учетные записи подрядчиков и субподрядчиков (supple chain и trusted relationship), имеющих доступ к информационным системам крупных организаций.

Эксперты Solar inRights выяснили, какие факторы в управлении доступом к инфраструктуре способствуют эксплуатации подобных векторов атак. В исследовании приняли участие руководители, специалисты по информационной безопасности и IT более 100 крупных организаций из финансового и промышленного сектора, энергетики, ритейла, транспорта и логистики, медицинских и фармацевтических компаний.

Как отметили представители более 40% компаний, доступ к информационным ресурсам организаций под учетными записями сотрудников сохраняется после увольнения. Самой частой причиной становится несогласованность действий кадровых служб и IT‑подразделений, ответственных за управление доступом к цифровым активам организаций. Поэтому такие учетные записи могут существовать в корпоративных информационных системах подолгу, а уволенные сотрудники сохраняют доступ к цифровым активам бывшего работодателя. При этом если в компании не внедрены процедуры регулярного обновления парольной политики, именно эти учетные записи чаще всего становятся точкой входа для киберпреступников.

Аналогично в более чем 40% компаний есть сложности с выявлением устаревших учетных записей и накоплением избыточных прав. По мнению экспертов Solar inRights, основные причины — это отсутствие аудита категорий пользователей, большое количество разрозненных информационных систем, общие учетные записи, которые скрывают реального владельца, и различные механизмы предоставления доступа к IT-инфраструктуре.

В 35% случаев отсутствие автоматизации в управлении доступом создает трудности при расследовании инцидентов и получении информации о полномочиях уволенных сотрудников. Таким образом, у компаний нет возможности оперативно реагировать на потенциальные угрозы, анализировать и снижать риски инцидентов, связанных с нелегитимными правами доступа.

Более 25% участников исследования также отметили, что существующие ручные и полуавтоматические скрипты для блокировки учетных записей работают неэффективно. На практике даже одна незаблокированная учетная запись с расширенными правами, принадлежащая, например, недавно уволенному сотруднику финансового отдела, способна привести к значительным потерям и юридическим последствиям.

Технические учетные записи (ТУЗ) — еще одна уязвимая точка в управлении доступом к информационным системам. Они создаются для управления инфраструктурой, работы различных ИТ-сервисов. Для таких ТУЗ ответственный либо не определяется, либо данные о нем фиксируются в документации на проект по интеграции.

Если в компании нет единой системы учета ответственных по таким типам УЗ, то при увольнении сотрудников практически нет шансов определить, за какие учетные записи он отвечал. При этом в ТУЗ логины и пароли могут сохраняться годами, если в компании не прописаны требования к регулярной смене паролей. Поэтому возрастает риск разглашения данных для аутентификации в информационных системах, которыми могут воспользоваться киберпреступники.

При этом представители более 30% компаний отметили, что не ведут реестр технических учетных записей (ТУЗ) и ответственных, которые назначены за каждую ТУЗ, в четверти компаний не разработана и не исполняется парольная политика в отношении технических «учеток». В более 50% случаев компании не автоматизируют процессы для передачи ответственности, если пользователь увольняется или переводится на другую должность.

Участники исследования также отметили проблемы в управлении доступом для подрядчиков и субподрядчиков. В более 40% случаев компании не владеют актуальным статусом об уровне доступа для внешнего контрагента, в трети — доступ прекращается несвоевременно, в 48% компаний нет автоматизированных процессов, чтобы отозвать полномочия и заблокировать учетные записи подрядчиков в случае расторжения договора. Почти в 15% случаев в компаниях не разработана и не исполняется парольная политика для учетных записей подрядчиков, которые имеют доступ к информационным системам.

Как отметили респонденты, в каждой второй компании не используются централизованные системы управления учетными записями сотрудников и доступом.

«Разрозненные процессы, отсутствие автоматизации и, как следствие, сложный контроль УЗ и полномочий пользователей в ИТ-инфраструктуре серьёзно влияют на стабильность кибербезопасности, создают риски, которые влияют на стабильность работы. Поэтому аудит: кому, в каком объеме и для каких целей компания предоставляет свои ресурсы — это ключ к формированию безопасной рабочей среды. Без автоматизированного контроля жизненного цикла учетных записей и уровня полномочий сотрудников, владельцев технических учетных записей и подрядчиков риски несанкционированного доступа к критически важным цифровым активам и клиентским данным возрастают в разы», — комментирует Юлия Семенова, руководитель отдела управления правами доступа к информационным ресурсам департамента inRights ГК «Солар».

Еще более острой проблема управления доступом становится в рамках слияний и поглощений. В среднем, в 2023–2024 гг. в России фиксируются около 400 сделок M&A в год, и это заставляет компании системно заниматься проблемами аутентификации, идентификации и регулирования доступа на всех уровнях. Автоматизированные системы позволяют провести аудит прав доступа всех сотрудников и контрагентов объединенной компании, а далее обобщить и структурировать политики ИБ на основе комплексного подхода к кибербезопасности.

Как отмечают эксперты Solar inRights, российские IdM-системы позволяют предупредить или сократить ущерб от утечек информации при комплексном подходе к кибербезопасности. Например, при интеграции с системами контроля и управления доступом они повышают безопасность информационных систем и исключают возможность использовать чужие учетные записи. В интеграции с продуктами класса SIEM (Security information and event management), управляющими событиями безопасности, IdM-система отправляет данные в SIEM для анализа, предотвращения и расследования инцидентов ИБ.

Использование технологии SSO (Single Sign-On) и мультифакторной аутентификации вместе с IdM-решением позволяет выстроить безопасный вход в различные сервисы, используя единый набор учетных данных. Совместная работа платформ IdM и PAM (Privileged Access Management) обеспечивает управление доступом привилегированных пользователей к конфиденциальной информации, критичным бизнес-процессам и информационным системам.