Поделиться
Система ИБ: когда не работают механизмы защиты
В статье "Посторонним вход воспрещен: как обезопасить корпоративные данные?" речь шла о технических решениях, применяемых для управления доступом сотрудников к информационным ресурсам предприятия. Этот материал посвящен живым примерам ситуаций, когда меры и инструменты защиты оказываются неработоспособными: почему так происходит и как добиться максимального синергетического действия используемых ИТ-средств?В незрелых (с точки зрения ИБ) компаниях администратор имеет практически неограниченные права для входа в любые системы от имени любого пользователя, т. к. владеет данными о всех логинах и паролях. Таким образом, администратор не только может получить доступ, скопировать, изменить или удалить любую информацию в любой системе, но и скрыть следы своей деятельности, переложив ответственность за содеянное на ничего не подразумевающего человека. Именно поэтому современные IDM-системы позволяют сделать так, чтобы администраторы вообще не имели доступа к паролям сотрудников. Например, система может генерировать ПИН-код и печатать в ПИН-конверт – по аналогии с тем, как выдаются банковские карты. В этом случае никто в организации, кроме самого пользователя, не владеет его паролем доступа к ИТ-системам.
Нечистые на руку системные администраторы пользуются еще одним приемом. Если в компанию внедрен или завербован еще один агент, то сисадмин может невзначай ненадолго открыть этому сотруднику не положенные ему по должности права — и всю грязную работу выполнит этот агент. После чего неположенные права могут быть снова отозваны, а «хвосты» в виде логов – подчищены. В итоге, с очень высокой вероятностью все пройдет незаметно и безнаказанно. Но такие изменения очень быстро будут обнаружены и о них будет незамедлительно сообщено ответственным сотрудникам службы ИБ и руководству, если в компании внедрена IDM-система, которая ведет постоянный мониторинг фактических прав доступа каждого пользователя во все ИТ-системы компании и автоматически сопоставляет их с заданной ролевой моделью и включает сценарий реагирования на выявленные расхождения.
Расстанемся друзьями
Но не только администраторы являются зоной риска. Еще одна группа, за которой нужен особый контроль, – это сотрудники, увольняемые или покидающие компанию по собственному желанию. Хорошо, если расставание происходит мирно и ни одна из сторон не имеет претензий друг к другу. Но и в этом случае сотрудник, как правило, копирует целый ряд рабочих файлов себе, про запас. А что уж говорить о том, если расставание конфликтное и обиженный работник готов использовать любую возможность насолить своему бывшему работодателю? В таком состоянии многие с радостью крадут или уничтожают корпоративную информацию, готовые поспособствовать попаданию в сеть компании какого-либо компьютерного вируса. Но какое отношение к этому имеет управление доступом?
К моменту увольнения все права доступа у сотрудника должны быть отозваны
Ответ прост. Чаще всего недружественные действия предпринимаются сотрудником после получения трудовой книжки и полного расчета. Это и понятно: предпринимать недружественные шаги до этого рискованно как с юридической, так и с финансовой точки зрения. А после формального увольнения, когда деньги получены и человек уже не связан с компанией какими-либо юридическими обязательствами, он гораздо более свободен в своих действиях. К моменту увольнения все права доступа у сотрудника должны быть отозваны. Но это только в теории.
На практике же в крупных компаниях длительные бюрократические процедуры обмена информацией приводят к тому, что указания о закрытии тому или иному работнику всех прав доступа поступают в ИТ-подразделение с большой задержкой или не поступают вовсе (служебная записка потерялась где-то по пути из отдела персонала в отдел ИТ). Но и добравшись до отдела ИТ, требование отрабатывается с задержками – в связи с высокой загрузкой ИТ-персонала. В итоге уволенный работник надолго сохраняет доступ к своим рабочим приложениям. Надежда, что он физически не сможет попасть в офис и воспользоваться своими правами, оправдывется далеко не всегда. При современном уровне развития мобильных устройств велика вероятность, что для работы с ИТ-системами совершенно не нужно находиться в офисе.
Очевидно, что при таких условиях мы имеем потенциальную зону риска, позволяющую использовать доступ к информации не на благо компании. Именно поэтому необходимо, чтобы в компании был реализован автоматизированный процесс связи кадровой базы компании с системой предоставления доступа. И чтобы отзыв всех прав доступа проходил мгновенно, как только менеджер по персоналу отразит факт увольнения в кадровой системе. А эта связь, как уже было сказано, также является функционалом IDM-системы.
К сожалению, приемов и инструментов совершения компьютерных преступлений гораздо больше. Однако именно управление доступом к ИТ-системам организации является первостепенной задачей обеспечения ИБ компании.
Андрей Конусов
Поделиться
Короткая ссылка
