Журнал "Information Security/ Информационная безопасность" #5, 2023

№ 1. Всеми забытые учетные записи В ходе проведения аудитов прав досту- па были выявлены две главные пробле- мы: ручное управление доступом и избы- точный доступ к данным организаций. Обе они свидетельствуют о несоответ- ствии мере УЗП.3 "Контроль отсутствия незаблокированных учетных записей уволенных сотрудников" (подпроцесс "Управление учетными записями и пра- вами субъектов логического доступа"). Незаблокированные учетные записи Своевременно не заблокированные учетные записи сотрудников, ушедших из компании, нередко становятся при- чиной возникновения инцидентов инфор- мационной безопасности. Почему про- исходят такие ситуации? Есть несколько объяснений. 1. Например, с момента увольнения сотрудника до получения администрато- ром задачи по блокировке его учетной записи проходит много времени. В неко- торых организациях все еще используют обходной лист, и пока он "гуляет" по всем подразделениям, проходят недели. 2. В другом случае, чтобы доступ был прекращен, руководитель должен офор- мить заявку, но пока у него до этого "дой- дут руки" и пока заявка дождется своей очереди в ИТ-отделе, проходит время. 3. Иногда заблокировать учетную запись вообще забывают, что выясняется в луч- шем случае в процессе аудита ИБ, а в худшем – при расследовании инцидента. Накопление прав В вопросе накопления прав главными источниками рисков становятся бывшие работники финансовых организаций и те, кто перешел из одного подразделе- ния в другое. Дело в том, что при изме- нении штатной позиции сотрудник, занявший новую должность, получает новые права в информационной системе, а старые права не удаляются – их по- прежнему можно использовать. Или бывает, что работнику дали вре- менно расширенные права на период отсутствия руководителя (отпуск, боль- ничный), а потом забыли их удалить. В обоих случаях вовремя не удаленные права могут стать причиной ненамерен- ной или намеренной утечки конфиден- циальных данных, что порой приводит к уголовной ответственности. Известный случай. В 2014 г. бывший сотрудник "АльфаСтрахования" после увольнения воспользовался доступом к корпоративной системе: скачал базу данных заключенных договоров и пере- дал ее посреднику для перепродажи. В результате – два года условно 1 . Бесхозные учетные записи Речь идет об учетных записях, которые дают доступ к внутренним системам, службам и приложениям, но не имеют реального владельца (учетные записи уволенных работников, а также техни- ческие и тестовые). Во время аудитов количество таких учетных записей исчис- ляется десятками. В чем опасность бесхозных "учеток"? l Из-за них бывшим работникам и зло- умышленникам доступны почтовые ящики, учетные данные приложений и другая конфиденциальная информа- ция, добравшись до которой, злоумыш- ленники могут совершить кражу данных и нанести вред организации. l Они функционируют, когда в этом уже нет необходимости, потребляя ресурсы и нагружая систему. Зачастую это случается с техническими учетными записями, которые из-за ошибки или неправильной конфигурации используют приложения организации. l Их могут использовать несколько сотрудников, что только увеличивает шансы на несанкционированный доступ, в то время как идентифицировать того, кто именно нанес вред организации, невозможно. l Когда под такой учетной записью продолжительное время никто не рабо- тает, она "выпадает из поля зрения" действующей политики и регламентов ИБ. Требования к ней не применяются и не обновляются. Например, у такой учет- ной записи может оказаться слабый или скомпрометированный пароль, что ведет к возникновению инцидентов. № 2. "Заходите, гости дорогие": нарушение правил доступа к учетным записям после неудачных попыток аутентификации Еще одна закономерность, выявленная в ходе аудитов, – игнорирование меры РД.11 (подпроцесс "Идентификация, аутентификация, авторизация (разгра- ничение доступа) при осуществлении логического доступа"), требующей бло- кировать на 30 минут учетную запись пользователя после выполнения ряда неуспешных попыток аутентификации. Организации редко включают данное правило в свою политику, давая зло- умышленникам возможность после нескольких неудачных попыток все-таки войти в учетную запись сотрудника и осуществить действия, влекущие за собой похищение конфиденциальных данных. № 3. "Хлипкие" пароли Как показывает статистика 2 , пароли – настоящая "головная боль" безопасни- ков. По данным "Ростелеком-Солар" (дочерней структуры ПАО "Ростелеком"), 80% организаций не соблюдает базовых правил парольной защиты: специалисты по анализу защищенности смогли полу- чить администраторские права практи- чески в каждой из тестируемых органи- заций. Что уж говорить о киберпреступ- никах. Распространенная ситуация: в орга- низации сотрудники пользуются множе- ством приложений, для каждого из кото- рых нужен свой пароль, что крайне 66 • УПРАВЛЕНИЕ Топ-8 ошибок соответствия ГОСТ 57580.1 анковские и финансовые организации – “лакомые” кусочки для киберпреступников: атаки на них особенно часты, а способы кражи информации совершенствуются невероятными темпами. Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму. Б Константин Чмиль, консультант по ИБ RTM Group 1 https://www.banki.ru/news/lenta/?id=8287417 2 https://rt-solar.ru/events/news/1840/