«Самый надёжный замок бесполезен, если ключ лежит под ковриком. В корпоративной безопасности таким ковриком часто становится Excel. Пароли в зашифрованной книге на рабочем столе — это не мелкое нарушение, а системная уязвимость, которая делает бессмысленными бюджеты на DLP, сертифицированные средства защиты и формальное соответствие 152-ФЗ. Угроза уже внутри, легитимна и использует удобство против вас.»
Отчёт об инциденте, которого не было
Во время плановой оценки реальных рисков в одной из компаний аудиторы сфокусировались на рабочей станции финансового директора. Поверхностный осмотр занял минуты. На рабочем столе лежал файл «Пароли_к_банкам.xlsx», защищённый стандартным паролем Excel. Эта защита была снята специализированным софтом за три минуты.
Внутри — таблица с колонками «Банк», «Логин», «Пароль», «Контактное лицо». Учётные данные для клиент-банков, включая основной расчётный счёт, хранились в открытом виде. В примечании — ответ на контрольный вопрос.
Это оказалось лишь началом. На том же компьютере обнаружилась целая коллекция:
Доступы_к_CRM.xlsx— логины администраторов корпоративной CRM-системы.Wi-Fi_пароли.xlsx— ключи от гостевой и корпоративной сетей, включая WPA2-Enterprise.Серверы_и_БД.xlsx— root-пароли к виртуальным машинам.Личные_пароли_ФД.xlsx— смесь корпоративных и личных данных: от мессенджера до пин-кода служебной SIM.
Все файлы изменялись в течение последнего месяца. Каждый был под паролем, не являющимся серьёзным препятствием. Вместе они составляли готовый комплект для захвата контроля без единого взлома — только сбор.
Почему это происходит в компаниях с «выстроенной» безопасностью
Корень проблемы — не в безответственности сотрудника, а в фундаментальном разрыве между корпоративными директивами и реальными рабочими процессами. Руководитель не саботировал политики — он решал оперативную задачу, а штатные инструменты ему мешали.
Типичный сценарий: срочный платёж, требование «пришли пароль сейчас же». Корпоративный менеджер паролей требует установки клиента, одобрения и времени. В условиях стресса проще открыть Excel, который всегда под рукой, записать данные и отправить файл. Так рождается первый файл, который потом забывается на рабочем столе.
Политики информационной безопасности часто пишутся для абстрактного «сотрудника», не учитывая workflow ключевых ролей. Если процесс получения учётных данных неудобен, он будет оптимизирован в обход правил.
Добавляет уверенности психологическая иллюзия: пароль в файле на «своём» компьютере воспринимается как контролируемый и безопасный. Сложный пароль на книгу Excel считается достаточной мерой, хотя эта защита давно не является надёжной.
Технический корень — наследие старых практик. Excel десятилетиями был универсальным инструментом для структурированных данных. Эта привычка перекочевала из эпохи с другими угрозами в современность, особенно в организациях с длинной историей.
Реальная цена одного файла: сценарии для злоумышленника
Обнаружение таких файлов — не теоретический риск, а готовый план действий. Угрозы синергичны: получив доступ к одному ресурсу, атакующий использует его для атаки на другой.
| Найденный файл | Непосредственная угроза | Возможные сценарии развития атаки |
|---|---|---|
| Пароли_к_банкам.xlsx | Прямой доступ к корпоративным счетам. | Кража средств через легальные платежи. Подмена реквизитов контрагентов в системе банк-клиент. Инициирование транзакций с последующим сокрытием следов. |
| Доступы_к_CRM.xlsx | Контроль над базой клиентов и коммерческой логикой. | Экспорт полной клиентской базы. Социальная инженерия: изменение платёжных реквизитов в истории переписки с клиентами. Саботаж бизнес-процессов. |
| Wi-Fi_пароли.xlsx | Доступ во внутреннюю сеть организации. | Прослушивание незашифрованного сетевого трафика. Атаки на другие устройства внутри периметра (например, принтеры, камеры, слабо защищённые серверы). |
| Серверы_и_БД.xlsx | Административный доступ к инфраструктуре. | Установка шифровальщиков на боевые серверы. Создание скрытых учётных записей для постоянного доступа (backdoor). Кража или уничтожение баз данных. |
| Личные_пароли_ФД.xlsx | Компрометация личности и цифрового профиля руководителя. | Вход в корпоративный мессенджер для социальной инженерии против других руководителей. Доступ к личной почте, где часто дублируются рабочие переписки и уведомления. |
Главная опасность — атака становится невидимой для большинства систем мониторинга. Действия выполняются с авторизованных учётных записей с привычных IP-адресов. Для внутреннего аудита это выглядит как стандартная работа сотрудника.
[ИЗОБРАЖЕНИЕ: Диаграмма связей, показывающая, как компрометация одного ресурса (например, Wi-Fi) открывает путь к другому (серверы), а затем к целевому (банк). Стрелки отображают этапы цепочки атаки.]
Как найти «кладбища паролей» до того, как это сделает злоумышленник
Поиск не должен быть тотальным сканированием — это вызовет сопротивление. Эффективнее целевой анализ по косвенным признакам.
1. Анализ метаданных и шаблонов имён. Большинство опасных файлов называют предсказуемо. Регулярный поиск по файловым хранилищам по шаблонам даёт результат:
*парол*.xls*, *доступ*.xls*, *password*.xls*, *логин*.xls*. Особое внимание — рабочим столам и папкам «Документы», где «временные» файлы становятся постоянными.
2. Мониторинг почтовых вложений. Пароли в Excel редко хранятся только локально — их отправляют коллегам. Системы защиты почтового трафика можно настроить на сканирование вложений .xls/.xlsx. Искать нужно не только слово «пароль», но и комбинации столбцов: «логин» рядом с «pass» или «pwd». Сам факт пересылки файла с таким названием — индикатор проблемы.
3. Проверка файловых серверов и общих папок. «Удобный» файл часто выкладывают в общий доступ. Регулярный аудит сетевых папок с названиями вроде «Общее», «Для всех» — обязательная практика.
4. Выборочный аудит рабочих станций ключевых сотрудников. Для руководителей, системных администраторов, бухгалтеров стоит проводить плановые проверки как часть заботы об их безопасности, а не как тотальный контроль.
5. Использование возможностей EDR-систем. Современные решения для защиты конечных точек позволяют отслеживать не только вредоносное ПО. Можно создать правило для мониторинга создания или изменения файлов Excel, в именах или содержимом которых встречаются ключевые слова, связанные с учётными данными.
Что делать после обнаружения: исправлять систему, а не наказывать людей
Найденные файлы — симптом сбоя в процессах. Реакция должна устранять причину.
Шаг 1. Немедленная нейтрализация. Без публичных разбирательств. Помочь владельцу файла:
- Сменить все пароли, которые были записаны в файлах. Все до одного.
- Удалить файлы-источники не только локально, но и из корзины, облачных дисков, почты.
- Принудительно завершить сессии в системах, пароли от которых были скомпрометированы.
Шаг 2. Анализ первопричины. Приватная беседа. Вопрос не «почему вы нарушили?», а «с какой задачей не справился штатный инструмент?». Нужно понять рабочий процесс, который привёл к созданию файла. Возможно, корпоративный менеджер паролей не интегрирован с браузером или требует много действий для получения данных.
Шаг 3. Внедрение работающих альтернатив. На основе анализа — предложить удобное решение:
- Корпоративный менеджер паролей с плагином для браузера, мобильным приложением и функцией безопасного обмена данными между сотрудниками.
- Система управления привилегированным доступом (PAM) для администрирования серверов, где пароли не выдаются на руки, а проверяются из хранилища при каждом входе.
- Внедрение единого входа (SSO) для корпоративных сервисов, чтобы сократить количество паролей.
- Для банковских доступов — переход на аппаратные токены или мобильную подпись, которые физически нельзя скопировать в файл.
Шаг 4. Обучение через конкретный кейс. Вместо формального курса — показать обезличенную историю: «Вот что произошло, вот какие системы под угрозой, вот как мы это обнаружили и исправили». Так угроза становится осязаемой.
Шаг 5. Техническое предотвращение. Настройка групповых политик для запрета сохранения файлов с определёнными ключевыми словами в именах на рабочий стол. Использование скриптов для периодической проверки проблемных мест. Меры должны блокировать только очевидно опасные действия, не мешая работе.
Итог: безопасность как часть рабочего процесса, а не препятствие для него
Коллекция файлов Excel с паролями — не анекдот, а реальность многих организаций. Проблема в разрыве между строгими правилами и процессами, которые эти правила игнорируют.
Люди выберут самый простой способ выполнить задачу. Если безопасный способ сложнее или медленнее, выберут небезопасный. Задача — встроить защиту в рабочий процесс так, чтобы она была незаметной и даже удобной.
Поиск и ликвидация «паролей в Excel» — это стратегическая операция по закрытию самого простого пути для серьёзных инцидентов. Точка, где небольшие усилия по исправлению процессов дают максимальный прирост реальной, а не бумажной, защищённости.