Według Unit 42,75% cyberataków jest dziełem niezadowolonych byłych pracowników. Sytuacja jest na tyle poważna, że FBI i Amerykańska Agencja ds. Bezpieczeństwa Infrastruktury Cyberbezpieczeństwa (CISA) wydały alert dotyczący cyberbezpieczeństwa, w którym ostrzegają pracodawców o problemie. Jednocześnie badanie PasswordManager wykazało, że aż 58% byłych pracowników nadal może korzystać z haseł poprzedniej firmy. Ekspert Vectra AI zwraca uwagę na konieczność wdrożenia odpowiednich procedur bezpieczeństwa.
Holenderska firma hostingowa Verelox musiała zmierzyć się z poważną awarią wszystkich swoich usług po tym, jak większość jej serwerów została usunięta przez byłego pracownika. Z kolei amerykańska – Allegro Microsystems – pozwała byłego administratora IT za rzekome zainstalowanie złośliwego oprogramowania, które usunęło krytyczne dane finansowe. Mimo, że takie przypadki zawsze są nagłaśniane i dużo mówi się o wzmożonym zagrożeniu cybernetycznym, wiele firm wciąż nie przykłada odpowiedniej wagi do zabezpieczeń.
PasswordManager.com w marcu tego roku przeprowadził ankietę, która wykazała, że 58% respondentów stwierdziło, że po odejściu nadal może używać haseł swojej poprzedniej firmy. Jeden na trzech ankietowanych przyznał, że korzysta z takiego dostępu od ponad dwóch lat, co jest bardzo niepokojące. Wiedza na temat tego, kto uzyskuje dostęp do kont i usług, powinna być kluczowa dla każdej organizacji.
Usunięcie dostępu byłych pracowników do systemów jest krokiem koniecznym, jeśli chcemy ograniczenia ryzyka przyszłych naruszeń danych lub innych incydentów związanych z bezpieczeństwem. To po prostu dobra higiena bezpieczeństwa. – podkreśla Christian Putz. Country Manager w Vectra AI, dostarczającej rozwiązania cyberbezpieczeństwa oparte o zaawansowaną AI.
Zatrważająca liczba firm wciąż jednak nie przeprowadza odpowiedniego offboardingu, zwłaszcza w odniesieniu do haseł.
Prawie połowa firm ma świadomość tego, że byli pracownicy mają dostęp do haseł
W ankiecie, którą Unit 42 przeprowadził wśród 500 decydentów IT, tylko około połowa respondentów stwierdziła, że jest pewna, że byli pracownicy, nie mogą już uzyskać dostępu do aplikacji korporacyjnych.
48% organizacji przyznało, że są świadome, że byli pracownicy nadal mają dostęp do sieci firmowej – połowa liderów IT odpowiedziała, że konta byłych pracowników pozostają aktywne po ich odejściu z firmy dłużej niż jeden dzień, 32% stwierdziło, że trwa to tydzień, a 20% stwierdziło, że trwa to miesiąc lub dłużej. Kolejne 25% stwierdziło, że nie wie, jak długo konta pozostają aktywne po odejściu pracownika z firmy.
Aby zmienić tę sytuację, konieczna jest współpraca działów IT i HR, co obecnie jest rzadką praktyką. HR jest źródłem wiedzy o tym, którzy pracownicy są w firmie, a którzy już nie, IT kontroluje dostęp do aplikacji – połączenie ich katalogów użytkowników, zdecydowanie usprawniłoby proces zarządzania dostępem.
Firmy powinny rozważyć również utworzenie zdefiniowanej umowy o poziomie usług (SLA), która określa, jak szybko dostęp musi zostać usunięty po odejściu pracownika z firmy. Oznacza to również ustanowienie jasnych procesów i zasad określających, w jaki sposób menedżerowie inicjują proces usuwania dostępu, w jaki sposób zespół ds. bezpieczeństwa usuwa dostęp oraz w jaki sposób audytorzy wewnętrzni mogą testować i weryfikować, czy dostęp został poprawnie usunięty. – radzi przedstawiciel Vectra AI.
Byli pracownicy nie muszą mieć złych intencji, by stanowić poważne zagrożenie
Bezpieczeństwo sieci w dużej mierze opiera się na bezpieczeństwie urządzeń, z których korzystają pracownicy. W przypadku byłych pracowników firma nie ma żadnej kontroli nad tym z jakiego sprzętu nastąpiło logowanie do jej systemu.
Korzystając z niezabezpieczonej sieci, byli pracownicy stanowią bardzo łatwy cel dla hakerów, którzy nieustannie szukają możliwości obejścia zabezpieczeń. Jeśli uda im się przechwycić hasło, organizacja staje się bezbronna.
Ataki z wykorzystaniem oprogramowania ransomware, kierowane przez człowieka są obecnie tak powszechne, że nie ma firmy, która mogłaby się przed nimi uchronić. Ważne jest, aby jak najwcześniej zidentyfikować naruszenie, tak by zespół ds. bezpieczeństwa mógł przeciwdziałać, zanim dojdzie do wycieku danych? Brak wiedzy o wtargnięciu jest największym pojedynczym zagrożeniem dla bezpieczeństwa, przed którym stoją dziś organizacje, a coraz bardziej złożone środowiska, z większą ekspozycją na atak, bardziej zwinne metody ataku i przytłaczający hałas alertów, zwiększają ilość niewiadomych dla zespołów ds. bezpieczeństwa. – mówi Christian Putz.
Niestety, trudno wskazać naruszenie, jeżeli ataku dokonuje osoba, która zna login i hasło i doskonale wie, jak poruszać się po firmowej sieci i jak znaleźć potrzebne informacje. Dlatego tak ważne jest budowanie wśród firm świadomości zagrożeń dla ich tożsamości cyfrowej.