Аккаунты бывших сотрудников помогают хакерам совершать атаки на бизнес
Так, представители более 40% организаций сказали, что уволившиеся сотрудники имеют доступ к информационным ресурсам организаций долгое время. Это объясняется несогласованностью действий кадровых служб и IT-подразделений, которые ответственны за доступ к цифровым активам. Если же компания не проводит регулярные обновления паролей, то эти аккаунты чаще всего становятся точкой входа для злоумышленников, выяснили эксперты Solar inRights (IdM-система ГК "Солар").
Причем в более чем 40% компаний есть сложности с выявлением устаревших профилей и накоплением избыточных прав. Как правило, это связано с отсутствием аудита категорий пользователей, большим количеством разрозненных информационных систем, различными механизмами предоставления доступа к IT-инфраструктуре и общими учетными записями, которые скрывают реального владельца.
"Даже одна незаблокированная учетная запись с расширенными правами, принадлежащая, например, недавно уволенному сотруднику финансового отдела, способна привести к значительным потерям и юридическим последствиям", - говорится в исследовании.
35% опрошенных отметили, что отсутствие автоматизации в управлении доступом создает сложности при расследовании инцидентов и получении информации о полномочиях бывших работников, а 25% добавили, что ручные и полуавтоматические скрипты, блокирующие аккаунты, работают неэффективно.
Еще одна уязвимая точка в управлении доступом к информационным системам - это технические учетные записи (ТУЗ), создающиеся для управления инфраструктурой, работы различных IT-сервисов. Для них, как правило, ответственный не определяется, поэтому при увольнении сотрудника почти нет шансов определить, за какие учетные записи он отвечал.
"В ТУЗ логины и пароли могут сохраняться годами, если в компании не прописаны требования к регулярной смене паролей. Поэтому возрастает риск разглашения данных для аутентификации в информационных системах, которыми могут воспользоваться киберпреступники", - уточнили эксперты.
Они также выяснили, что в каждой второй компании не используются централизованные системы управления учетными записями сотрудников и доступом.
Однако не удаленные аккаунты могут навредить не только компании, но и самим бывшим сотрудникам. Хакер, к примеру, может получить доступ к ФИО человека, его паспортным данным, расчетным листам, информации о ДМС, перепискам в почте и другой чувствительной и конфиденциальной информации, которая относится к деятельности организации, сказал руководитель направления "Киберразведка" компании "Бастион" Константин Ларин.
По его словам, компрометация данных обычно происходит с помощью фишинга или класса вредоносного программного обеспечения - Stealer. Для того, чтобы избежать этого, организациям нужно придерживаться ряда правил. Во-первых, вести строгую инвентаризацию учетных записей сотрудников, особенно файловых хранилищ, корпоративных порталов, систем контроля версий и т.д. Во-вторых, сразу после увольнения деактивировать аккаунты сотрудника в домене.