Забытые подписки: как SaaS-сервисы годами списывают деньги

от

«Это не взлом, а эксплуатация легитимного доступа. Регуляторы смотрят на это как на уязвимость в процессах управления доступом — ваш финансовый периметр оказался незащищённым.»

Тихая утечка: когда подписка работает без тебя

Сценарий взлома и слива данных очевиден, но есть другой путь, который часто остаётся вне фокуса. Когда сервис для проверки доменов или анализа логов подключен к корпоративной карте для теста, а затем проект закрывается или команда переключается на другую задачу, сервис продолжает работать. Через месяц начинаются списания — 5–10 тысяч рублей. Бухгалтерия, видя знакомое название и небольшую сумму, проводит платеж. Этот процесс повторяется месяц за месяцем, иногда годами.

Это не фишинг и не взлом API. Это эксплуатация легального, но вышедшего из-под контроля финансового соглашения. В корпоративной среде такие «спящие» списания маскируются несколькими факторами:

  • Небольшие суммы, которые не выделяются при массовой обработке счетов.
  • Легитимные названия плательщиков, которые не вызывают подозрений.
  • Отсутствие регулярной сверки подключенных сервисов с актуальным списком используемых инструментов.

Проблема глубже финансовых потерь. С точки зрения 152-ФЗ и требований ФСТЭК, такие ситуации указывают на слабость процессов управления доступом и учёта активов. Если у вас нет актуального реестра внешних сервисов, имеющих доступ к ресурсам или финансам, это прямая дорога к инцидентам информационной безопасности.

Почему это проблема регуляторики, а не только финансов

ФСТЭК России в своих требованиях делает акцент на управлении доступом и инвентаризации. Речь идет не только о внутренних пользователях, но и о любых внешних субъектах, взаимодействующих с информационной системой. Забытый SaaS-сервис, который списывает деньги, это такой внешний субъект. У него есть легитимные учётные данные, и он совершает автоматические действия в вашем периметре.

Если такой сервис будет скомпрометирован, злоумышленники получит не просто доступ к данным, а уже настроенный канал для финансовых операций. Обнаружение подобных «спящих» подключений становится частью работ по категорированию информационных активов и анализу угроз.

Как обнаружить забытые подключения: практические шаги

Выявление таких утечек требует системного подхода, который выходит за рамки проверки банковских выписок.

1. Финансовый аудит следов

Запросите детализированные выписки по всем корпоративным картам и счетам за последние 12-24 месяца. Ищите не просто подозрительные платежи, а регулярные списания с неизменной суммой или периодичностью. Для каждого плательщика задайте ключевый вопрос: какой отдел или проект инициировал подключение и зачем? Если ответа нет, это кандидат на отключение.

2. Инвентаризация API-токенов и ключей

Многие сервисы работают через API. Создайте реестр всех выданных токенов, ключей доступа и webhook-адресов. Особое внимание уделите токенам с широкими правами. Используйте встроенные средства платформ или системы мониторинга для поиска неиспользуемых ключей.

3. Анализ DNS-трафика и исходящих подключений

Забытый сервис может периодически осуществлять подключения. Настройте логирование DNS-запросов и анализ исходящего сетевого трафика с рабочих станций и серверов. Постоянные подключения к незнакомым доменам — повод для расследования.

Процедурная защита: как не допустить утечки

Технические проверки эффективны только в сочетании с установленными процедурами.

  • Единый реестр внешних сервисов. Любое подключение нового SaaS, API или платёжного шлюза должно регистрироваться с указанием ответственного, цели, срока действия и лимитов стоимости.
  • Принцип «одобрения продления». Подписка не должна автоматически продлеваться на новый платёжный период. Перед каждым списанием ответственный должен подтверждать необходимость дальнейшей оплаты.
  • Регулярные сверки. Ответственные по отделам должны подтверждать актуальность всех сервисов из реестра каждые квартал или полгода.
  • Сегментация финансовых доступов. Используйте виртуальные или одноразовые карты с жёсткими лимитами для подключения пробных версий сервисов. По истечении тестового периода карта блокируется автоматически.

Что делать, если нашли «тихое» списание

Обнаружение многолетнего списания, это инцидент. Его обработка должна быть формализована.

  1. Немедленно отзовите доступ. Отзовите API-токен, отключите webhook, разорвите привязку карты в интерфейсе сервиса. Если это невозможно — заблокируйте карту.
  2. Задокументируйте всё. Соберите доказательства: скриншоты интерфейса сервиса с вашим аккаунтом, выписки со списаниями, переписку о подключении.
  3. Обратитесь в службу поддержки сервиса. Запросите возврат средств за период, когда услугами не пользовались.
  4. Проведите расследование. Установите причину: почему подключение вышло из-под контроля?
  5. Внесите изменения в процессы. На основе расследования дополните регламенты, чтобы подобное не повторилось.

Такая ситуация — чёткий сигнал о пробелах в системе информационной безопасности. Она показывает, что управление доступом внешних субъектов не работает. При следующей проверке регулятор или аудитор задаст вопрос о подобных рисках. Лучше найти и устранить их самостоятельно, чем объяснять постфактум.

Оставьте комментарий