Снижение рисков при увольнении и смене ролей: отзыв доступов, возврат носителей, контроль выгрузок
Изображение: recraft
В условиях постоянно меняющегося корпоративного ИТ-ландшафта и широкого распространения удаленной работы сотрудников уровень безопасности данных и информационных систем (ИС) компаний существенно зависит от процессов приема сотрудников, их перевода на новые должности и увольнения.
Как правило, ни одна компания не рассчитывает на то, что сотрудник остается в ней навсегда — увольнение является штатной ситуацией для бизнеса. Однако вопросам безопасности при реализации процедур увольнения зачастую уделяется меньше внимания, чем при найме сотрудника на работу.
Такой подход ошибочен, поскольку риски безопасности, связанные с увольняющимися сотрудниками, весьма высоки.
Согласно многочисленным исследованиям, утечка данных при увольнении относится к числу наиболее типичных видов умышленных нарушений со стороны сотрудников российских компаний. А спрос на подобную информацию в даркнете огромен. По данным исследований Angara MTDR, в среднем на одну компанию приходится шесть упоминаний, связанных с поиском инсайдеров (67% случаев), а также с деятельностью по покупке (7%) или продаже (26%) баз данных.
Процесс увольнения сотрудника или смены его должности сопровождается рядом потенциальных угроз для безопасности. В первую очередь, среди них:
- несвоевременное и/или неполное удаление доступов к информационным ресурсам, обусловленное сложностью составления исчерпывающей карты всех разрешений, которые когда-либо предоставлялись сотруднику, особенно если он проработал в компании многих лет или обладал административными полномочиями;
- использование «теневого ИТ» и информационных систем при отсутствии автоматической интеграции с корпоративным каталогом, что, в частности, может привести к сохранению доступа к SaaS-системам после увольнения;
- отсутствие контроля за выгрузками и копиями данных. Сотрудник может сохранить критическую информацию, которая в дальнейшем будет использована вне контура компании.
Эти ключевые риски выделены для упрощения понимания проблем и разработки эффективной стратегии их решения. Риски, практические шаги и меры, которые позволят контролировать и снижать соответствующие угрозы, приведены в таблице.
| Риск | Описание | Меры по снижению риска |
| Прием на работу сотрудника с недостаточно проверенной благонадежностью. | Повышенные риски совершения неправомерных действий и нанесения ущерба организации при увольнении: кража конфиденциальных данных, передача коммерческих тайн конкурентам, удаление ценной информации. | Всесторонняя проверка службой ИБ компании с целью убедиться в том, что за плечами кандидата отсутствует «история», которая может поставить под угрозу безопасность организации (верификация образования, предшествующей трудовой деятельности, наличие судимостей и пр.). Организация регулярного обучения и повышения осведомленности сотрудников в области ИБ.Реализация принципа минимальных привилегий и контроль доступа. Доступ разрешен только к необходимым для работы ИС. Это снижает потенциальные риски утечки и саботажа.Создание резервных копий и защита критически важных файлов |
| Несвоевременное и неполное удаление доступов | Уволенный сотрудник может воспользоваться имеющимися доступами для совершения различных злоумышленных действий, включая организацию утечки сведений конфиденциального характера, извлечение личной выгоды за счет доступа к клиентским базам. Выпавшие из поля зрения администраторов учетные записи могут использоваться внешними нарушителями для организации атак на внутренние ресурсы компании. | Регулярное проведение аудитов, направленных на: — систематизацию имеющихся у сотрудников категорий и видов доступа; — выявление неактуальных доступов; — выявление доступов, выданных с нарушением согласованных процедур. Для получения объективной оценки возможно привлечение сторонних специализированных организаций, предоставляющих услуги комплексного аудита, оценки рисков, а также построения и внедрения процессов ИБ. Внедрение систем Identity and Access Management (IAM) и технологий Identity Security. Настройка workflow-автоматизации на отзыв ролей в течение 24 часов после события, с уведомлениями ответственным лицам и аудиторскими логами. |
| Угрозы безопасности, обусловленные использованием «теневого» ИТ, охватывают широкий спектр — от потенциального внедрения вредоносного ПО до утечки данных и невозможности организовать их аварийное восстановление. Положение усугубляется для облачных и SaaS-систем/приложений, использование которых не требует специального сетевого доступа или физического присутствия сотрудника в офисе. Поскольку такие системы выходят за рамки IAM и механизмов «нулевого доверия» к управлению доступом, доступ к ним почти наверняка сохраняется после увольнения сотрудника из компании. | Применение инструментов мониторинга сети, аналитика поведения пользователей и сущностей (User Entity Behavioral Analytics, UEBA) с целью обнаружения аномального поведения пользователей и скрытых угроз, связанных с «теневым ИТ», через анализ паттернов активности. Формирование списка всех облачных/SaaS-платформ, используемых компанией, и уровней доступа сотрудников, с последующим непрерывным поддержанием его в актуальном состоянии.Применение технологии управления правами в облачной инфраструктуре (cloud infrastructure entitlements management, CIEM), которая позволяет обнаруживать все разрешения на доступ к облачным активам, накопленные сотрудником за время работы, с возможностью их отзыва или удаления администраторами компании. | |
| Неконтролируемое хранение и распространение данных | Данные могут храниться без шифрования, локально на незащищенных личных устройствах, передаваться с использованием домашних Wi-Fi-соединений, что может привести к утечке информации. | Изъятие всех устройств увольняющегося сотрудника и прекращение любого разрешенного доступа к сети для личных устройств (BYOD). Принудительная блокировка устройств для загрузки файлов на личные почтовые адреса, файлообменные сайты и USB-порты до объявления о сокращениях.Отключение единого входа (single sign-on, SSO) с целью предотвращения несанкционированного доступа пользователя к корпоративным приложениям и устройствам, сброс паролей привилегированных учетных записей, запрет доступа к основной учетной записи. |
| Кража данных | Сотрудники могут намеренно или случайно уносить с собой чувствительную корпоративную информацию (написанный ими программный код, данные, относящиеся к коммерческой тайне, или клиентские базы данных). | Обновление систем физического доступа для предотвращения входа бывших сотрудников в офисы и центры обработки данных.Аналитика поведения пользователей и сущностей (UEBA) и мониторинг ИБ с целью обнаружения нетипичных шаблонов поведения или активности пользователей с последующим реагированием. Мониторинг активности в информационных системах в течение нескольких недель после увольнения сотрудника.Применение ретроспективной проверки активности, загрузок, электронных писем с момента подачи сотрудником заявления на увольнение.Создание и сохранение в течение нескольких недель forensic-образов компьютера сотрудника для помощи в возможных будущих расследованиях |
| Создание предпосылок для инсайдерской деятельности | Сотрудник, уведомленный о дате увольнения, может испытывать негативные эмоции по отношению к организации и стать инсайдером. За счет раннего предупреждения, он может собирать конфиденциальную информацию и данные даже в последний рабочий день. | Выстраивание тактичных, деликатных и прозрачных (в том числе с точки зрения разъяснения причин) процедур увольнения сотрудников вне зависимости от продолжительности его трудовой деятельности в компании: — информирование членов команды о датах увольнения сотрудников и текущих проектах, работу в которых они завершают; — проведение выходных интервью с целью получения представления об отношении сотрудника к компании, оценки связанных с ним рисков безопасности, напоминания об ответственности за разглашение конфиденциальной информации; — поддержание общения с бывшим сотрудником и, в качестве перспективного варианта, возможное включение его в социальную сеть бывших сотрудников |
| Снижение морального духа оставшихся сотрудников | Массовые сокращения вызывают ощущение дискомфорта у оставшихся сотрудников, что может привести к созданию дополнительных уязвимостей в ИС, обусловленных халатностью. |
Внедрение перечисленных лучших практик в процессы, связанные со сменой ролей и увольнением сотрудников, позволяет значительно снизить риски, защитить данные и активы компании, способствует формированию культуры, в рамках которой осознается и ценится важность вопросов обеспечения ИБ.
Автор: Сергей Лыдин, системный архитектор Angara Security.
