Работа подрядчика завершена. Почему в ИТ-сфере доступ не исчезает сам?
В российских компаниях, особенно проходящих аттестацию по 152-ФЗ, часто возникает парадоксальная ситуация. Подрядная организация получает временный доступ к внутренним системам, серверам или базам данных. Формально доступ выдается «на время работ», но по факту он остается на неопределенный срок. Проект закрыт, работы завершены, но учетные записи в Active Directory или ключи SSH продолжают лежать в недрах корпоративной инфраструктуры. Иногда эти аккаунты даже используются — для тестирования нового функционала или «чтобы не отвлекать своих специалистов».
Это не исключение, а распространенная практика, которая формирует уязвимость. При аудите системы защиты информации (СЗИ) такие «неубитые» сессии и права доступа часто становятся самым простым и критичным нарушением. Контролеры ФСТЭК проверяют не только политики, но и практику их применения. Наличие действующих прав у сотрудников сторонних организаций после завершения работ прямо указывает на несовершенство процессов управления доступом.
Причины: почему доступ «на неделю» превращается в вечный
Чтобы бороться с проблемой, нужно понимать, почему она возникает снова и снова.
- Отсутствие формального регламента. Внутри компании нет четкого документа, который предписывает процедуру закрытия доступа после завершения работ. Ответственность размыта между руководителем проекта, администратором и службой безопасности.
- «Лень админа». С технической точки зрения отозвать права — простая операция. Но она требует времени и концентрации. На практике системный администратор, заваленный текущими задачами, не помнит, что доступ нужно аннулировать, или откладывает это «на потом».
- «А вдруг пригодится». Бытует мнение, что подрядчик может понадобиться снова — для срочного исправления или доработки. Оставить ему права считается удобным способом сэкономить время в будущем. Это прямая угроза конфиденциальности данных.
- Сложность идентификации «чужого» аккаунта. Учетные записи подрядчиков создаются с нестандартными именами или помещаются в отдельную группу, но со временем они теряются среди сотен других. Их просто забывают.
Риски: что на самом деле стоит за оставленным доступом
Проблема не только в нарушении формальных требований ФСТЭК. Последствия могут быть гораздо серьезнее.
Целенаправленная атака
Учетная запись подрядчика — законный легитимный вход в систему. Если учетные данные подрядчика скомпрометированы (например, через фишинг), злоумышленник получит прямой путь во внутреннюю сеть компании. Уровень привилегий такого аккаунта часто выше, чем у рядового сотрудника.
Случайный или намеренный вред
Бывший подрядчик может по ошибке зайти в продовольственную среду и внести некорректные изменения. Или, в случае конфликта с заказчиком, намеренно нанести ущерб — удалить данные, изменить настройки, скопировать коммерческую информацию.
Проблемы с аудитом и аттестацией
При очередной проверке или подготовке к аттестации наличие активных неконтролируемых аккаунтов приведет к предписаниям и срыву сроков. Исправлять ситуацию придется в авральном режиме, что увеличивает риск ошибок.
Решение: как выстроить процесс управления временным доступом
Эффективный механизм состоит не из разовых действий, а из цикла, интегрированного в рабочие процессы компании.
1. Регламент как основа
Разработайте внутренний документ — регламент управления доступом сторонних лиц. Он должен четко определять:
- Кто инициирует выдачу доступа (руководитель проекта).
- Кто его технически реализует (администратор).
- На какой срок выдается доступ (с указанием конкретной даты окончания).
- Каковы процедуры продления доступа (только по заявке).
- Кто и как обязан проверить закрытие доступа по окончании работ (служба ИБ или администратор).
2. Техническая реализация контроля срока действия
Не полагайтесь на человеческую память. Используйте возможности ваших систем.
- Active Directory: задавайте срок действия учетной записи (Account expires) при ее создании.
- SSH-ключи: создавайте ключи с опцией
-Vдля указания даты истечения срока действия. - Системы мониторинга и SIEM: настройте алерты на приближение даты истечения доступа подрядчика, чтобы ответственный получил уведомление.
3. Единый журнал учета
Ведите реестр всех выданных внешних доступов. Это может быть таблица или отдельная система учета. В ней должны фиксироваться:
| Поле | Назначение |
|---|---|
| Подрядчик/сотрудник | ФИО и организация |
| Система/ресурс | К чему предоставлен доступ |
| Учетные данные | Логин, тип доступа (учетная запись, ключ) |
| Дата выдачи / Дата окончания | Конкретные числа |
| Основание | Номер заявки или договора |
| Ответственный | Кто внутри компании курирует |
| Статус | Активен / Отозван / Истекает |
4. Обязательный этап закрытия проекта
Внесите пункт «Проверка и отзыв выданных внешних доступов» в чек-лист завершения любого проекта с участием подрядчиков. Без отметки ответственного лица о выполнении этого пункта проект не может быть считаться официально закрытым, а подрядчику не выплачивается окончательный расчет.
Инструменты автоматизации для российского контура
Для компаний со строгими требованиями ФСТЭК ручное управление становится неэффективным. Рассмотрите решения, доступные на российском рынке.
- PAM-системы (Privileged Access Management). Позволяют выдавать доступ к критичным системам не напрямую, а через прокси-сервер с обязательной записью сессии. Доступ выдается на сессию или строго ограниченное время, после чего аннулируется автоматически.
- Средства мониторинга ИБ и SIEM. Можно настроить корреляции, которые будут обнаруживать попытки входа или активности учетных записей, помеченных как «внешние», после даты окончания их действия.
- Скрипты для регулярной проверки. Напишите простой скрипт, который будет запускаться, например, раз в неделю, проверять учетные записи в AD с истекшим сроком действия и отключать их, отправляя отчет администратору.
Итог: доступ должен быть управляемым активом, а не забытым долгом
Вопрос «вечного доступа» подрядчиков, это индикатор зрелости процессов управления информационной безопасностью в компании. Решение лежит на стыке организационных мер (регламенты, ответственность) и технических возможностей (автоматизация контроля сроков).
Начните с малого: проведите инвентаризацию текущих активных учетных записей и выявите те, что принадлежат внешним исполнителям. Отзовите те, в которых нет явной текущей необходимости. Затем зафиксируйте процедуру в регламенте и настройте хотя бы базовые технические ограничения по времени. Это не только снизит риски и поможет при аудитах, но и дисциплинирует внутренние процессы, переводя безопасность из разряда «проблемы для галочки» в практический инструмент управления рисками.