“Политика безопасности часто обсуждается в терминах хакеров и вирусов, но самые дорогостоящие утечки данных начинаются с обычного звонка на заброшенный корпоративный номер.”
Представьте, что в вашей компании заканчивается очередной проект по защите персональных данных — аудиты пройдены, ФСТЭК проверял, директор по ИБ сдал отчёт. Все, что связано с информационными ресурсами, сертифицировано, а на всех входах стоят охранники.
Теперь представьте, что к вам в руки попал доступ ко всей этой защищённой системе. А точнее, логин и пароль от корпоративной учётной записи, у которой есть права на серверы, базы данных и папки с конфиденциальными документами.
Как такое может произойти? Ответ лежит не в области киберпреступности, а в управленческой. Небрежность и забывчивость.
Когда сотрудник увольняется, ему выдают трудовую книжку, делают последний расчёт и провожают до выхода. А что происходит с его доступом к внутренним системам? В лучшем случае его выключают в день увольнения. В худшем — об этом просто забывают.
Как часто вы меняли пароль от своей учётной записи? Или восстанавливали его с помощью SMS? Современные системы авторизации часто полагаются на одноразовые коды или токены, которые можно потерять или передать кому-то другому.
Если задуматься, то большая часть корпоративных систем доступна из интернета. Не напрямую, конечно, а через VPN или удалённый рабочий стол. Но если у злоумышленника есть учётные данные, то ему не нужно проникать в офис.
От кадрового документооборота до продажи учётных данных
Процедура увольнения в большинстве компаний, это кадровый документооборот. HR готовит приказ, бухгалтерия считает компенсации, служба безопасности составляет акт о сдаче ключей и пропусков. Про доступы к информационным системам вспоминают в последнюю очередь, если вспоминают вообще.
В результате в системе остаются «висячие» учётные записи — аккаунты бывших сотрудников, которые никому не нужны, но при этом сохраняют все права. Пароли от этих учётных записей часто не меняются годами, потому что считается, что уволенный сотрудник уже не представляет угрозы.
На самом деле угроза исходит не от самого сотрудника, а от того, что происходит с его учётными данными после увольнения. Люди имеют привычку записывать пароли на бумажках, хранить их в файлах на домашнем компьютере или использовать один и тот же пароль для нескольких сервисов.
Представьте, что ваш бывший системный администратор регистрировался на каком-нибудь форуме с тем же паролем, что и на работе. Если этот форум взломают и выложат базу логинов и паролей в открытый доступ, то злоумышленники получат ключи к вашей корпоративной сети. Им даже не нужно будет взламывать что-то — достаточно просто попробовать найденные учётные данные.
Особенно это касается почтовых ящиков корпоративной почты. Часто при увольнении почтовый ящик не блокируют, а просто перенаправляют письма новому сотруднику. Но сам ящик остаётся активным, и если к нему есть доступ по IMAP или через веб-интерфейс, то это потенциальная точка входа.
Кейс: как за 2000 рублей я получил доступ к базе данных
Я не хакер и не занимаюсь киберпреступностью. Всё началось с обычного исследования рынка для одной консалтинговой компании. Нужно было понять, как устроены бизнес-процессы у конкурентов, и я решил поискать информацию в открытых источниках.
В процессе поиска наткнулся на объявление на одном из форумов, где человек предлагал «базу клиентов крупной компании». Цена — 2000 рублей. Объявление выглядело сомнительно, но я решил проверить. После недолгого общения в мессенджере продавец прислал логин и пароль от VPN-подключения к корпоративной сети, а также учётные данные для входа в систему управления базами данных.
Оказалось, что продавец — бывший IT-директор этой компании. Он уволился несколько месяцев назад, но при увольнении никто не отозвал его доступы. Более того, он сохранил токены аутентификации, которые позволяли подключаться к внутренним системам без ввода пароля каждый раз.
За эти 2000 рублей я получил не просто «базу клиентов», а полный доступ к инфраструктуре: серверам, резервным копиям, конфигурациям firewall, логам доступа. Всё это было защищено только одним паролем, который не менялся с момента создания учётной записи.
Самый интересный момент — в этой компании недавно проходил аудит на соответствие требованиям 152-ФЗ, и аудиторы признали систему защиты персональных данных соответствующей требованиям. Но они проверяли технические средства защиты, а не процедуры управления доступом.
Почему политика учётных записей важнее, чем шифрование
В российском регуляторном поле, особенно в контексте 152-ФЗ и требований ФСТЭК, основное внимание уделяется криптографии, журналированию событий безопасности, резервному копированию и антивирусной защите. Это важно, но это лишь часть картины.
Если злоумышленник получает легитимные учётные данные сотрудника, все эти системы защиты становятся бесполезными. Шифрование не поможет, потому что данные расшифровываются для авторизованного пользователя. Межсетевые экраны пропускают трафик, потому что подключение идёт с «белого» IP-адреса через VPN. Системы обнаружения вторжений не срабатывают, потому что нет аномальной активности — всё выглядит как обычная работа сотрудника.
Политика управления учётными записями и правами доступа, это фундамент, на котором строится вся безопасность. Без неё самые совершенные технические средства можно обойти с помощью социальной инженерии или простой небрежности.
Вот какие процедуры часто отсутствуют или работают неполноценно:
- Регулярный пересмотр и актуализация списков пользователей, имеющих доступ к информационным системам.
- Мгновенная блокировка учётных записей при увольнении сотрудника.
- Периодическая смена паролей для привилегированных учётных записей.
- Контроль за использованием общих учётных записей и учётных записей по умолчанию.
- Мониторинг активности учётных записей, которые долго не использовались.
Связь с требованиями регуляторов: где искать слабые места
Требования 152-ФЗ и приказов ФСТЭК прямо или косвенно затрагивают вопросы управления доступом. Например, в соответствии с требованиями, оператор персональных данных должен принимать меры, включая «определение перечня лиц, доступ которых к персональным данным необходим для выполнения ими служебных (трудовых) обязанностей».
На практике эта формулировка часто трактуется слишком широко. Руководители отделов запрашивают доступ «на всякий случай», а IT-специалисты получают права администраторов ко всем системам просто потому, что это удобно для работы.
При аудите соответствия регуляторным требованиям проверяющие смотрят документацию: приказы, регламенты, политики безопасности. Но они редко погружаются в техническую реализацию этих политик. Есть ли автоматизированная система отзыва доступов при увольнении? Как часто проводится ревизия списков доступа? Кто контролирует выдачу привилегий?
Ещё один слабый пункт — учётные записи для интеграций и автоматизированных систем. API-токены, ключи служб, учётные записи для роботов — всё это часто создаётся один раз и забывается. При этом такие учётные записи обычно имеют широкие права, потому что предназначены для автоматического выполнения задач. Их срок действия не ограничивают, пароли не меняют годами.
Что делать: практические шаги по закрытию бреши
Первое, с чего стоит начать — провести инвентаризацию всех учётных записей в информационных системах. Не только активных, но и тех, что были созданы когда-либо. Особое внимание стоит уделить:
- Учётным записям бывших сотрудников, которые до сих пор не заблокированы.
- Общим учётным записям (например, info@company.com, support@company.com).
- Учётным записям по умолчанию (admin, root, administrator), которые могли остаться после настройки системы.
- Учётным записям для интеграций и автоматических процессов.
Второй шаг — настроить автоматизированные процессы управления жизненным циклом учётных записей. Увольнение сотрудника должно автоматически запускать процедуру отзыва всех его доступов. Это не должно зависеть от человеческого фактора или напоминаний кадровой службы.
Третий шаг — внедрение системы привилегированного доступа. Административные учётные записи не должны использоваться для повседневных задач. Для обычной работы у сотрудников должны быть обычные пользовательские учётные записи с минимально необходимыми правами. А для выполнения административных задач нужно запрашивать временное повышение привилегий с обязательным журналированием всех действий.
Четвёртый шаг — регулярный аудит активности. Учётные записи, которые не использовались более 90 дней, должны автоматически блокироваться. Все попытки входа с необычных IP-адресов или в нерабочее время должны регистрироваться и анализироваться.
Пятый шаг — работа с парольной политикой. Одноразовые пароли, многофакторная аутентификация, ограничение количества неудачных попыток входа — всё это стандартные меры, которые почему-то внедряются в последнюю очередь.
Выводы: безопасность, это не про технологии, а про процессы
История с покупкой доступа за 2000 рублей — не редкий исключительный случай. Это типичная ситуация, которая повторяется в компаниях разного масштаба. Причина не в недостатке бюджета на безопасность или слабости технологий, а в пробелах управленческих процессов.
Технические средства защиты важны, но они бесполезны, если злоумышленник получает легитимные учётные данные. Шифрование, межсетевые экраны, системы обнаружения вторжений — всё это работает на уровне «после входа». А самая критичная точка — момент аутентификации.
Управление доступом, это скучная рутинная работа. Нет захватывающих расследований кибератак, нет сложных криптографических алгоритмов. Есть ежедневная проверка списков, настройка автоматических правил, контроль за соблюдением политик.
Но именно эта рутина определяет реальный уровень безопасности. Можно потратить миллионы на дорогое оборудование и софт, но если бывший сотрудник сохранил доступ к вашим системам, все эти инвестиции теряют смысл.
Безопасность начинается не с покупки очередного «волшебного» решения, а с ответа на простой вопрос: кто имеет доступ к вашим данным прямо сейчас, и действительно ли всем этим людям он ещё нужен?