В каждой второй компании не используются централизованные системы управления учетными записями сотрудников

Как отметили представители более 40% компаний, доступ к информационным ресурсам организаций под учетными записями сотрудников сохраняется после увольнения. Самой частой причиной становится несогласованность действий кадровых служб и IT‑подразделений, ответственных за управление доступом к цифровым активам организаций. Поэтому такие учетные записи могут существовать в корпоративных информационных системах подолгу, а уволенные сотрудники сохраняют доступ к цифровым активам бывшего работодателя. При этом если в компании не внедрены процедуры регулярного обновления парольной политики, именно эти учетные записи чаще всего становятся точкой входа для киберпреступников.

Аналогично в более чем 40% компаний есть сложности с выявлением устаревших учетных записей и накоплением избыточных прав. По мнению экспертов Solar inRights, основные причины — это отсутствие аудита категорий пользователей, большое количество разрозненных информационных систем, общие учетные записи, которые скрывают реального владельца, и различные механизмы предоставления доступа к IT-инфраструктуре.

В 35% случаев отсутствие автоматизации в управлении доступом создает трудности при расследовании инцидентов и получении информации о полномочиях уволенных сотрудников. Таким образом, у компаний нет возможности оперативно реагировать на потенциальные угрозы, анализировать и снижать риски инцидентов, связанных с нелегитимными правами доступа.

Более 25% участников исследования также отметили, что существующие ручные и полуавтоматические скрипты для блокировки учетных записей работают неэффективно. На практике даже одна незаблокированная учетная запись с расширенными правами, принадлежащая, например, недавно уволенному сотруднику финансового отдела, способна привести к значительным потерям и юридическим последствиям.

Технические учетные записи (ТУЗ) — еще одна уязвимая точка в управлении доступом к информационным системам. Они создаются для управления инфраструктурой, работы различных ИТ-сервисов. Для таких ТУЗ ответственный либо не определяется, либо данные о нем фиксируются в документации на проект по интеграции.

Если в компании нет единой системы учета ответственных по таким типам УЗ, то при увольнении сотрудников практически нет шансов определить, за какие учетные записи он отвечал. При этом в ТУЗ логины и пароли могут сохраняться годами, если в компании не прописаны требования к регулярной смене паролей. Поэтому возрастает риск разглашения данных для аутентификации в информационных системах, которыми могут воспользоваться киберпреступники.

При этом представители более 30% компаний отметили, что не ведут реестр технических учетных записей (ТУЗ) и ответственных, которые назначены за каждую ТУЗ, в четверти компаний не разработана и не исполняется парольная политика в отношении технических «учеток». В более 50% случаев компании не автоматизируют процессы для передачи ответственности, если пользователь увольняется или переводится на другую должность.

Участники исследования также отметили проблемы в управлении доступом для подрядчиков и субподрядчиков. В более 40% случаев компании не владеют актуальным статусом об уровне доступа для внешнего контрагента, в трети — доступ прекращается несвоевременно, в 48% компаний нет автоматизированных процессов, чтобы отозвать полномочия и заблокировать учетные записи подрядчиков в случае расторжения договора. Почти в 15% случаев в компаниях не разработана и не исполняется парольная политика для учетных записей подрядчиков, которые имеют доступ к информационным системам.

Как отметили респонденты, в каждой второй компании не используются централизованные системы управления учетными записями сотрудников и доступом.

«Разрозненные процессы, отсутствие автоматизации и, как следствие, сложный контроль УЗ и полномочий пользователей в ИТ-инфраструктуре серьёзно влияют на стабильность кибербезопасности, создают риски, которые влияют на стабильность работы. Поэтому аудит: кому, в каком объеме и для каких целей компания предоставляет свои ресурсы — это ключ к формированию безопасной рабочей среды. Без автоматизированного контроля жизненного цикла учетных записей и уровня полномочий сотрудников, владельцев технических учетных записей и подрядчиков риски несанкционированного доступа к критически важным цифровым активам и клиентским данным возрастают в разы», — комментирует Юлия Семенова, руководитель отдела управления правами доступа к информационным ресурсам департамента inRights ГК «Солар».

Еще более острой проблема управления доступом становится в рамках слияний и поглощений. В среднем, в 2023–2024 гг. в России фиксируются около 400 сделок M&A в год, и это заставляет компании системно заниматься проблемами аутентификации, идентификации и регулирования доступа на всех уровнях. Автоматизированные системы позволяют провести аудит прав доступа всех сотрудников и контрагентов объединенной компании, а далее обобщить и структурировать политики ИБ на основе комплексного подхода к кибербезопасности.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!