У 83% экс-сотрудников до сих пор есть доступ к своим аккаунтам на предыдущем месте работы, а более половины используют их и имеют возможность навредить бывшему работодателю. Это показало международное исследование, проведенное в компаниях США, Великобритании и Ирландии. В России эта проблема тоже актуальна, заявили «Известиям» эксперты по предотвращению киберугроз. Они подчеркнули, что халатное отношение к цифровой безопасности может грозить большими потерями. При этом в случае несанкционированного доступа экс-сотрудника можно привлечь даже к уголовной ответственности, указали юристы.
Чрезмерная открытость
83% уволившихся до сих пор имеют доступ к своим аккаунтам на предыдущем месте работы. Это показал опрос, который провели специалисты компании Beyond Identy, в нем приняли участие сотрудники более 1 тыс. фирм из США, Великобритании и Ирландии. «Известия» ознакомились с результатами.
Более половины (56%) респондентов заявили, что использовали свой старый аккаунт, чтобы навредить экс-работодателю. Бывшие сотрудники читали корпоративную рассылку и были в курсе всех важных новостей со своей старой работы. Однако оказались виноваты и сами компании, так как плохо охраняют свою цифровую собственность. По данным исследования, только половина работодателей забрала у экс-сотрудников корпоративные устройства. Столько же меняли пароли после ухода.
Проблема актуальна и для России. Хотя точных данных о проценте работодателей, халатно относящихся к проблеме доступа, на данный момент у аналитиков нет, эксперты по безопасности регулярно сталкиваются с подобными кейсами.
— Часто нелегитимный доступ становится инструментом конкурентной разведки. Он может привести к переманиванию клиентов, к краже технологических ноу-хау или бизнес-стратегии компании. Всё зависит от того уровня доступа, который сотрудник имел, — сказал «Известиям» директор центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар» Дмитрий Бондарь. — Проблема усугубляется, если у бывшего работодателя не было сегментированного доступа. Ситуации, когда у всех сотрудников есть доступ ко всей информации, вдвойне критичны. Самое страшное, что компания может долгое время нести те или иные убытки, находясь в полном непонимании, почему это происходит.
Особенно опасно, если расставание с работником состоялось на фоне конфликта. В таком случае после ухода экс-сотрудник может захотеть навредить компании. Работодатели начинают задумываться о внедрении автоматизированных систем управления доступом уже после того, как инцидент случился.
— Реальный случай: уволенный администратор информационных систем вывел из строя информационные системы компании. Время простоя и восстановления нанесло ущерб организации, — рассказал Дмитрий Бондарь.
Новые риски
Хотя само по себе большое количество оставленных нелегитимных доступов ни к какому ущербу не приводит, они наращивают объем потенциальных угроз, которые могут реализоваться, когда этого меньше всего ждут, предупредил Дмитрий Бондарь. Поэтому для безопасности информации важно минимизировать доступ к рабочим аккаунтам с личных устройств, подчеркнул эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
— Открывать сотрудникам доступ с личных устройств изначально менее безопасно. Но, пока человек работает в компании, ИБ-специалисты могут предъявлять требования по обеспечению безопасности устройств. После ухода контроль за сохранностью данных остается полностью в руках пользователя, и никто не застрахован от перехода на недоверенный ресурс, загрузки вредоносного ПО или банальной потери устройства, — отметил эксперт.
«Спящие» аккаунты создают огромную брешь в безопасности компаний: получив к нему доступ, злоумышленники легко доберутся к важным корпоративным данным, отметил специалист по информационной безопасности Group-IB Сергей Золотухин.
— Хакеры получают больше возможностей для проведения кибератаки, например, заражения программой-вымогателем или шпионским ПО, — добавил эксперт.
Поэтому блокировка учетной записи сотрудника — обязательный шаг при его увольнении, уверена руководитель группы аналитики информационной безопасности Positive Technologies Екатерина Килюшева.
— Если сотрудник обладал правами администратора сайта компании, то он может нарушить его работоспособность или разместить на сайте вредоносное программное обеспечение. Но более распространены утечки данных, — указала эксперт.
Она добавила, что причина большинства утечек — действия сотрудников, в частности, тех, кто в скором времени собирается уйти из компании, и бывших работников.
— Причем необязательно речь идет о преднамеренных действиях — учетная запись может быть скомпрометирована злоумышленником, например, если человек использовал несложный пароль или устанавливал один пароль как для рабочих, так и для личных целей, — рассказал Екатерина Килюшева.
Чем больше активных учетных записей содержит система, тем больше вероятность, что какие-то из них удастся взломать, считает она.
Преступление и наказание
Существует несколько способов привлечь бывшего сотрудника к ответственности за разглашение или использование информации фирмы, отметила юрист компании «Косенков и Суворов» Евгения Савельева. В случае если бывший работник использует какие-либо объекты интеллектуальной собственности, то к нему может быть предъявлен иск о защите исключительных прав и взыскании компенсации.
— Такая ситуация возможна, если сотрудник скопировал дизайн портала, взял картинки, символику с него и использует ее у нового работодателя или для своего проекта. Наиболее популярны такие споры в сфере информационных технологий, где бывшие работники могут использовать программный код или иные разработки работодателя. Одновременно в этой сфере нарушение наиболее сложно доказуемо в суде, в особенности если ПО было переработано или изменено работником, — рассказала эксперт.
Если бывший сотрудник воспользовался доступом в личный кабинет ради выгоды, то его возможно привлечь к уголовной ответственности по статьям о мошенничестве или присвоении и растрате (ст. 159, ст. 160 УК РФ), добавила Евгения Савельева.
— Например, работник мог управлять платежными средствами компании (к примеру, отвечал за оплату услуг контрагентам), но перечислял их подставным лицам или напрямую себе, — пояснила юрист.
В отдельных случаях экс-сотрудника можно привлечь и к уголовной ответственности за разглашение коммерческой тайны (ст. 183 УК РФ), и с него могут быть взысканы убытки (п. 4 ст. 11 ФЗ «О коммерческой тайне»), отметила она.
Для взыскания убытков работодателем должен быть введен режим коммерческой тайны, в том числе определен перечень информации, ограничен доступ к ней, введены локальные нормативные акты (и работники с ними ознакомлены), а также приняты иные меры, предусмотренные действующим законодательством, указала Евгения Савельева. Зачастую компании определяют как коммерческую тайну вообще все сведения, которые сотрудник может получить в ходе работы. Такое обширное определение может привести к невозможности взыскания каких-либо убытков, так как нельзя будет определить, какая именно информация защищена коммерческой тайной, отметила юрист.