Забытые учётные записи: тихий долг в доступах
Почему аудит прав доступа - это не разовая проверка, а постоянный процесс, и как бывшие сотрудники и подрядчики остаются точкой входа в систему.
Когда компания растёт, количество систем растёт вместе с ней - корпоративная почта, CRM, ERP, облачные сервисы, подрядческие инструменты, тестовые среды. Каждый раз, когда к работе подключается новый человек, ему открывают доступ. Это нормально.
Проблема в том, что когда человек уходит - подрядчик, сотрудник, временный специалист - доступ закрывается не всегда. Или закрывается в одной системе, но остаётся в трёх других, о которых HR и ИТ-отдел просто не знали.
Я встречал компании, где бывшие сотрудники сохраняли активный доступ к корпоративным системам на протяжении полугода после увольнения. Не из злого умысла - просто никто не следил.
Почему это происходит
Отзыв доступа - операция, которую нужно повторять в нескольких местах. Для каждой системы - отдельно. В небольшой компании это пять-семь систем. В компании, которая несколько лет активно использует SaaS, это может быть двадцать и более.
Ни у HR, ни у ИТ-отдела, как правило, нет полного актуального списка того, к каким системам имеет доступ конкретный сотрудник. Список формировался стихийно: человек сам попросил доступ, руководитель написал в мессенджер, подрядчик получил права "временно", которые никто не удалил.
Это и есть теневое ИТ в части управления доступом - не намеренная диверсия, а просто накопленный беспорядок.
Что из этого следует
Активная учётная запись - это потенциальная точка входа. Не обязательно для внешнего злоумышленника. Бывший сотрудник с действующим паролем от CRM - это уже риск, даже если он об этом не думает.
Большинство инцидентов, которые расследуются как "взлом", при ближайшем рассмотрении оказываются чем-то другим: использованием учётных данных, которые никогда не были отозваны; паролем, который угадать легко, потому что политика его не ограничивала; правами администратора, которые выдавались "на пять минут" и остались навсегда.
Три практики, которые работают
Инвентаризация систем и доступов. Прежде чем делать аудит - составить список. Какие системы есть в компании? Кто имеет к ним доступ? Это звучит банально, но в большинстве компаний такого списка нет. Его нужно составить один раз и поддерживать актуальным.
Процедура offboarding с чеклистом. При уходе человека из компании должен существовать конкретный список систем, в которых нужно деактивировать доступ. Этот список должен поддерживаться, а не существовать в голове одного системного администратора.
Регулярный аудит "спящих" учётных записей. Раз в квартал - проход по всем системам и деактивация учётных записей, которые не использовались дольше определённого срока. Это не замена offboarding-процедуре, но дополнительный слой защиты.
Простая проверка
Попробуйте ответить на такой вопрос: если сотрудник уволился три месяца назад, можете ли вы за один час получить список всех систем, к которым у него был доступ, и убедиться, что все они деактивированы?
Если ответ неуверенный - значит, управление доступами работает на доверии, а не на процессе. Это работает до тех пор, пока не перестаёт.