Процессы найма и увольнения во всех крупных компаниях формализованы. В числе прочего, в них входит предоставление доступа к корпоративным IT-системам после найма и отзыв этих доступов перед увольнением. На практике второй процесс работает существенно хуже, и у сотрудника часто остаются доступы к рабочей информации. Какие риски это несет и как их избежать?
Как возникают забытые доступы
При поступлении на работу сотрудник получает доступ к системам, нужным ему по работе. Со временем доступов становится больше, но они далеко не всегда выдаются централизованно, да и сам процесс далеко не всегда стандартизован. К каким-то системам доступ дает непосредственное начальство, забыв уведомить об этом IT; какие-то чаты в мессенджерах или системы обмена документами заводятся стихийно внутри департамента. Эти дополнительные и плохо структурированные доступы практически гарантированно никто не будет отзывать у сотрудника при увольнении.
Перечислим типовые сценарии, в которых IT-службы забывают отозвать доступ.
- В компании используется SaaS-система (Ariba, Concur, Salesforce, Slack, тысячи их), но доступ в нее идет по имени и паролю, которые нужно заводить в системе. Интеграции с корпоративным каталогом сотрудников нет.
- Сотрудники совместно используют один пароль для доступа к определенной системе. Например, для экономии денег коллеги используют общую подписку или работают с системой, не имеющей полноценной многопользовательской архитектуры. После увольнения одного из сотрудников пароль никто не меняет.
- Какая-то из корпоративных систем позволяет входить при помощи номера мобильного телефона и присланного по SMS кода. Проблемы возникают, если сотрудник при увольнении оставил за собой номер телефона.
- В некоторых системах обязательна привязка к личным учетным записям. Например, администраторы корпоративных страниц в соцсетях получают эту роль через личную учетную запись, и отзывать этот доступ нужно тоже внутри соцсети.
- Последней в списке, но не последней по значимости является проблема «теневого IT». Любая система, которую сотрудники стали использовать по своей инициативе и запустили сами, почти наверняка выпадает из стандартных процедур инвентаризации, контроля паролей и т. п. Чаще всего у ушедших сотрудников остаются возможности совместного редактирования документов в Google Docs, управления задачами в Trello или Basecamp, обмена файлами через Dropbox и другие хранилища, а также доступ к рабочим и полурабочим чатам в мессенджерах. Впрочем, в списке может оказаться вообще любая система.
Чем опасны доступы, не отозванные у сотрудника
В зависимости от роли сотрудника и обстоятельств увольнения, забытые доступы могут создавать следующие риски.
- Аккаунты бывшего сотрудника могут использоваться третьей стороной для кибератак на организацию. Здесь возможны самые разные сценарии, от компрометации бизнес-переписки до несанкционированного входа в некоторые корпоративные системы для кражи данных. Поскольку сам сотрудник аккаунтами уже не пользуется, весьма вероятно, что эта деятельность долго останется незамеченной. На таких забытых аккаунтах могут использоваться слабые пароли и отсутствовать двухфакторная аутентификация.
Неудивительно, что атака на забытые аккаунты стремительно набирает популярность у злоумышленников. - Сотрудник может продолжать пользоваться какими-то аккаунтами для личной выгоды (доступ к базе клиентов, чтобы преуспеть на новой работе; корпоративные подписки на сторонние платные сервисы).
- Может происходить утечка конфиденциальной информации (например если документы для служебного пользования синхронизируются с папкой на личном компьютере бывшего сотрудника). Причем не столь важно, сознательно ли сотрудник оставил себе этот доступ для кражи документов, или это простая забывчивость. В любом случае такая утечка создает долгосрочные риски для организации.
- Обиженный сотрудник может воспользоваться своими доступами для деструктивных действий.
Дополнительные сложности: текучесть кадров, фриланс, субподрядчики
Уследить за системами SaaS и теневым IT уже достаточно сложно, но ситуация усугубляется тем, что не все процессы расставания в компании вообще формализованы.
Дополнительным фактором риска становятся фрилансеры. Если им по служебной необходимости был выдан какой-то доступ, крайне маловероятно, что при завершении фриланс-контракта IT узнает об этом и сможет вовремя его отозвать.
Опасность также представляют собой компании-подрядчики. Если у подрядчика увольняется сотрудник и работу с клиентом подхватывает другой, зачастую новому работнику просто передают логин и пароль от ваших IT-систем, а не заводят новые реквизиты и не удаляют старые. При этом, конечно, узнать о смене человека в штате подрядчика ваша IT-служба не сможет.
В организациях, где есть сезонные работники или просто высока текучесть кадров на определенных позициях, полноценная централизованная процедура приема на работу и увольнения часто не выполняется, она упрощена по бизнес-необходимости. Поэтому ни стартовые инструктажи и обучение, ни полноценный обходной лист при увольнении не гарантирован. Сотрудники на таких должностях нередко используют один пароль для доступа к внутренним системам, и часто он просто написан на бумажке прямо возле компьютера или терминала.
Как взять ситуацию под контроль
Административный аспект — самый важный. Вот несколько элементов решения, значительно снижающих остроту ситуации.
- Регулярные аудиты доступа. Необходима периодическая проверка, выявляющая, к чему имеют доступ сотрудники. При такой проверке следует отзывать доступы, которые перестали быть актуальны или были выданы случайно; идентифицировать доступы, выданные в обход стандартных процедур. Для аудитов недостаточно технического анализа инфраструктуры — желательно в той или иной форме проводить опросы сотрудников и их руководителей. Это позволяет также выявлять и приводить в соответствие с политиками сервисы «теневого IT».
- Тесное сотрудничество HR и IT при увольнении. Сотрудника при увольнении нужно опросить (exit interview) и, помимо вопросов, важных для HR (удовлетворенность от компании и должности, отзыв о коллегах), задать вопросы, существенные для IT (запросить полный список систем, которыми сотрудник пользовался повседневно, удостовериться, что вся служебная информация передана коллегам и не осталась на личных устройствах, и так далее). В рамках увольнения обычно подписываются документы, подразумевающие ответственность увольняемого сотрудника за разглашение информации или ее неправомерное использование. Кроме самого сотрудника желательно опросить его коллег и руководство, чтобы убедиться, что у IT и ИБ есть полная картина по его аккаунтам и доступам.
- Создание типовых ролей в организации. Эта мера сочетает технический и организационный аспект. Для каждой должности и каждого вида работы можно описать шаблонный набор необходимых доступов, чтобы выдавать их при приеме на работу и отзывать при увольнении. Это позволяет создать систему RBAC (role based access control) и сильно упростить работу IT.
В заключение приведем технические меры, которые облегчают управление доступом и повышают общий уровень ИБ.
- Внедрение систем Identity and Access Management и технологий Identity Security. Краеугольным камнем здесь будет решение single sign-on (SSO) на базе централизованного каталога сотрудников.
- Использование каталога активов (Asset and Inventory Tracking), чтобы централизованно отслеживать корпоративные устройства, служебные номера мобильных телефонов, выданные лицензии и так далее.
- Мониторинг устаревших аккаунтов. С помощью инструментов ИБ вводятся правила мониторинга, которые будут помечать аккаунты в различных корпоративных системах, если в них давно не было никакой активности. Такие аккаунты надо периодически проверять и отключать вручную.
- Компенсирующие меры для общих паролей, от использования которых невозможно отказаться (их нужно чаще менять).
- Лимитированный по времени доступ для фрилансеров, подрядчиков и сезонных сотрудников. Им всегда желательно выдавать доступы на короткий срок и продлевать или заменять только по необходимости.