Корпоративный Wi-Fi: как пароль перестает быть защитой

от

«Пароль от Wi-Fi часто воспринимается как формальность, но в реальности это один из самых слабых и обходимых элементов защиты. Его уязвимость кроется не в длине или сложности, а в человеческом факторе, который делает бесполезными многие формальные требования регуляторов. Достаточно одного звонка, чтобы обойти защиту, потому что система безопасности выстроена вокруг технологий, а не вокруг реальных процессов общения внутри компании.»

Пароль от Wi-Fi как точка доверия, а не защиты

В российских организациях, особенно вне IT-сферы, управление доступом к корпоративной сети часто делегировано непрофильным сотрудникам: секретариату, администраторам, отделу кадров. Для них пароль, это не криптографический ключ, а инструмент для решения повседневных задач: помочь коллеге, подключить гостя, обеспечить работу совещания. Он хранится там, где удобно, — в памяти, на стикере, в общем чате. Его основная функция — удобство, а не безопасность.

Когда злоумышленник звонит и представляется «техподдержкой из центрального офиса» или «сопровождающим срочный груз», он обращается не к политике безопасности, а к социальным нормам. Сотрудник на другом конце провода оценивает не подлинность запроса, а его правдоподобность и срочность. Его задача — не создать проблем и помочь, а не проводить верификацию. В этой ситуации пароль перестаёт быть технической мерой и становится инструментом социального взаимодействия со всеми вытекающими рисками.

Как работает атака одним звонком

Сценарий не требует специальных технических навыков, только базовое понимание корпоративных процессов и уверенность в голосе. Рассмотрим его по шагам.

  1. Разведка. Определяется контактное лицо, которое с высокой вероятностью знает пароль. Часто это секретарь руководителя или администратор офиса. Источником информации может быть сайт компании, открытые соцсети или данные из предыдущих визитов.
  2. Установление контакта. Звонок на общий номер. Спокойный, деловой тон с чётким запросом. Пример: «Добрый день, соедините с Анной, пожалуйста. Это по вопросу подготовки переговорной к видеоконференции».
  3. Формирование авторитета и срочности. После соединения: «Анна, добрый день. Это [Имя] из службы поддержки [Партнёрской компании]. Мы настраиваем оборудование удалённо, но для финальной проверки сигнала нужен доступ в вашу сеть. Чтобы не срывать совещание, можете продиктовать пароль от рабочего Wi-Fi?»
  4. Парирование возражений. Если сотрудник проявляет осторожность, используется приём, снимающий с него ответственность. «Согласование уже есть у вашего IT-отдела, но они на выезде. Пароль нужен буквально на пять минут. Без этого мы не сможем завершить настройку, и совещание придётся переносить».

Эффективность такого подхода объясняется просто: сотрудник не обучен распознавать социальную инженерию. Его мотивация — обеспечить бесперебойность процессов, а не анализировать легитимность запросов. Формальные инструкции в этой ситуации не работают.

Нарушения требований регуляторов

Успешное получение пароля по телефону — не частный случай, а индикатор системных проблем. Это действие напрямую затрагивает выполнение обязательных требований.

  • 152-ФЗ «О персональных данных». Корпоративная сеть, это часто путь к системам, обрабатывающим персональные данные. Несанкционированный доступ к сети может трактоваться как нарушение требований к безопасности ПДн, предусмотренных статьёй 19 Закона. Речь идёт о недостаточности организационных мер защиты, к которым относится и обучение персонала.
  • Требования ФСТЭК России. Для государственных систем и объектов КИИ процедуры доступа строго регламентированы. В коммерческих организациях, которые стремятся соответствовать отраслевым стандартам ФСТЭК, подобная практика вскрывает отсутствие реального контроля доступа к информационным ресурсам, что противоречит базовым принципам защиты информации.
  • Внутренние нормативные документы. Практически любая политика информационной безопасности содержит пункт о неразглашении учётных данных. Однако если этот пункт не подкреплён отработанными процедурами и регулярным обучением, он остаётся на бумаге. Фактическое поведение сотрудников доказывает, что политика не работает.

Почему технические решения не блокируют угрозу

IT-отделы часто фокусируются на технологических барьерах: сложных алгоритмах шифрования, отдельном RADIUS-сервере, изолированных гостевых сетях. Однако в описанном сценарии атака направлена не на криптографию, а на человека, который выступает в роли «слабого звена» или, по сути, живого интерфейса для выдачи доступа.

Даже развёрнутая гостевая сеть не решает проблему, если пароль для неё можно так же легко получить по телефону или он написан на табличке в холле. Кроме того, гостевые сети иногда имеют доступ к некоторым внутренним ресурсам — принтерам, порталам для загрузки документов, что создаёт дополнительные риски.

Единственная действенная техническая мера против этой тактики — полный отказ от статичных общих паролей для сотрудников в пользу индивидуальной аутентификации (учётные записи, сертификаты). Но это не отменяет необходимости управлять гостевым доступом, который по определению должен быть более простым, но не менее контролируемым.

Переход от формальных запретов к рабочей модели

Запретить сотрудникам сообщать пароли невозможно. Нужно изменить саму систему, делая уязвимый сценарий технически невозможным или социально неприемлемым.

1. Устранение общего пароля

Необходимо уйти от концепции единого пароля для всех.
Для сотрудников стоит внедрить персональный доступ.
Для гостевого доступа можно использовать альтернативные механизмы:

  • Портал захвата (Captive Portal) с авторизацией по SMS.
  • Временные гостевые пароли, генерируемые через внутренний портал или приложение, с жёстким ограничением по времени действия.
  • Выдача доступа не по запросу, а через процедуру: QR-код, который печатает принимающий сотрудник, или автоматическая выдача пароля после регистрации заявки в Help Desk.

2. Обучение через практические сценарии

Вместо лекций о конфиденциальности эффективнее проводить короткие практикумы. Смоделируйте типичный звонок и отработайте с сотрудниками безопасный ответ. Например, стандартная реакция секретаря должна сводиться к шаблону: «Я не могу выдать пароль по телефону. Для получения гостевого доступа пожалуйста, обратитесь напрямую к вашему контактному лицу в компании или оформите заявку через наш внутренний портал. Я могу направить вам инструкцию».

Сотрудник должен знать не только правило, но и конкретные фразы для отказа, чувствуя при этом поддержку руководства.

3>Контроль через регулярные проверки

Для оценки реальной эффективности мер стоит периодически проводить контролируемые проверки — тестовые звонки или попытки социальной инженерии с согласия руководства. Цель — не наказание, а сбор данных об уровне осведомлённости персонала. Результаты таких тестов становятся объективным доказательством работы над организационными мерами защиты, что может быть учтено при проверках соблюдения 152-ФЗ и требований ФСТЭК.

Итог: безопасность доступа, это процесс, а не секретная фраза

Возможность получить пароль от корпоративной сети за один телефонный звонок, это симптом. Он показывает, что безопасность сфокусирована на технологиях, но игнорирует человеческий фактор и реальные бизнес-процессы. В условиях ужесточения регуляторных требований, где важен комплексный подход, такие уязвимости становятся критическими.

Защита информации начинается с анализа реальных процедур в организации. Если доступ к ключевой инфраструктуре можно получить, просто позвонив секретарю, то выполнение формальных требований 152-ФЗ или стандартов ФСТЭК остаётся фикцией. Безопасность держится не на директивах, а на выстроенных процессах, которые делают нарушение правил технически сложным, а социально — очевидно неправильным.

Оставьте комментарий