Верните ваши привилегии: как учетные записи пользователей становятся причиной утечек данных
Сотрудники, которые получают учетные записи с привилегированным доступом, ежемесячно угрожают информационной безопасности более 60% российских компаний. Многие из них скачивают запрещенный контент, обходят системы безопасности, тем самым увеличивая риски масштабных утечек данных в сеть. При этом руководство многих компаний не отдает себе отчет в том, насколько важно решать эту проблему в приоритетном порядке.
Согласно исследованию компании «РТК-Солар» более 60% российских компаний регулярно сталкиваются с тем, что привилегированные пользователи становятся причинами угроз их кибербезопасности. Большинство из них создают риски для работодателей, скачивая запрещенный контент: раз в месяц и чаще с этим сталкиваются 13% крупных и небольших компаний, а также 11% госструктур. При этом многие пытаются обойти системы безопасности в личных целях.
Как отметил и.о. директора Института конкурентной политики и регулирования рынков НИУ ВШЭ, партнер КА «Муранов, Черняков и партнеры» Олег Москвитин, привилегированные пользователи – это не только системные администраторы, но и многие другие категории «юзеров». «В свое время та же “РТК-Солар” давала такое обобщающее определение ПП: это любые пользователи, которые управляют значимыми компонентами информационных систем. Под это определение в зависимости от особенностей организации и принятых в ней правил могут подпадать и системные администраторы, и работники, отвечающие за определенные компьютерные программы, и руководители структурных подразделений с полномочиями в отношении программного обеспечения, и внешние лица – разработчики установленного в компании ПО и аудиторы. Соответственно ИТ-угрозы создают как злоупотребления таких лиц, так и неправомерное завладение злоумышленниками контролем за учетными записями привилегированных пользователей с последующим хищением важной информации и хакерскими атаками», - добавил он.
Кроме того, больше 50% компаний, которые участвовали в опросе «РТК-Солар», выразили опасения, что в связи с постоянно растущим количеством обезличенных и неуправляемых учетных записей, а также отсутствием видимости всех привилегированных пользователей риски для компаний многократно возрастают практически с каждым днем. Для того, чтобы справиться с этой проблемой, 10% компаний используют соответствующие специализированные системы, еще 30% применяют какие-то другие нецелевые системы. Большинство организаций - 41% - стараются управлять доступом привилегированных пользователей вручную, в то время как 19% просто приняли все связанные с этим риски и не управляют доступом привилегированных пользователей вообще. Как отмечают в Центре компетенций управления доступом Solar inRights компании «Ростелеком-Солар», сейчас руководство многих компаний просто не понимает важности снижения рисков привилегированного доступа. Усугубляет проблему и нехватка бюджетов на информационную безопасность в целом и управление доступом в частности.
«Странно видеть, что несмотря на постоянно растущее число угроз в сети, многие компании по-прежнему не уделяют этому вопросу достаточного внимания. За последние два года результатом утечек у компаний стало попадание в сеть более 700 млн записей конфиденциального характера о россиянах. При этом люди, которые имеют учетные записи с привилегированным доступом, по сути, распоряжаются возможностью вносить изменения в конфигурацию всей системы. И именно они могут стать «окном» для мошенников, которые стремятся заполучить доступ к конфиденциальным данным любой компании всеми доступными способами. Самым серьезным последствием безответственного отношения к тому, как распределен привилегированный доступ к системе в компании, может стать слив данных сотрудников и клиентов компании в сеть. Помимо очевидных проблем, которые это принесет компании, ей придется столкнуться с многочисленными проверками, разбирательствами и серьезные наказаниями. При этом предотвратить все это можно, разобравшись с доступом сотрудников уже сейчас, не доводя до крайностей», - отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
Подходить к решению проблемы стоит поэтапно, уверен Немкин. В первую очередь, стоит сформировать список всех сотрудников, которые имеют учетные записи с привилегированным доступом, после чего тщательно разобраться в том, кому они действительно нужны для осуществления рабочего процесса.
«Регулировать количество сотрудников с таким доступом следует крайне аккуратно, четко определяя актуальность и техническую необходимость его наличия у того или иного человека. При этом руководствоваться надежностью, ответственностью и другими личными качествами не стоит: оказаться под психологическим давлением мошенников может каждый. Дальше в игру уже вступает отработанная схема злоумышленников, которым нужно просто заставить человека совершить несколько лишних действий. Чем меньше будет лиц, чьи действия могут нарушить всю систему безопасности компании, тем проще будет избежать столкновений с хакерами. Не стоит также позволять сотрудникам иметь несколько учетных записей без необходимости – очищайте цифровое пространство компании, это облегчит процесс его контроля», - добавил Антон Немкин.
Использовать учетные записи с привилегированным доступом только для технических нужд советуют и в Роскачестве. Так, по словам специалистов, для выполнения рядовых рабочих обязанностей - переписки, работы с файлами и доступа к электронной почте - все сотрудники компаний должны использовать обычные учетные записи, особенно если речь идет о тех, кто работает удаленно.
При этом в том случае, если рабочая необходимость в том, чтобы у пользователей были определенные привилегии в доступе, отпадает, они должны оперативно отменяться или изменяться, подчеркнул Москвитин. Сегодня для этого есть специальные программы, управляющие жизненным циклом учетных записей с различными привилегиями.
«Существует и ПО, контролирующее критичные действия обладателей как привилегированных, так и иных учетных записей, включая попытки скачать конфиденциальную информацию или неправомерно поделиться ею. Наконец, современное программное обеспечение позволяет в реальном времени отслеживать состояние информационной безопасности и оперативно реагировать на возникающие угрозы. С учетом требований законодательства об обеспечении, например, сохранности персональных данных и иных конфиденциальных сведений совершение перечисленных и других организационных действий и/или внедрение подобного ПО перестало быть личным делом конкретных компаний и стало, по сути, их обязанностью. При этом, безусловно, у разных организаций есть разные потребности в подобном программном обеспечении, где-то они уже, а где-то явно шире», - заключил эксперт.