Как потерять деньги, репутацию и свободу за счёт халатного отношения к корпоративным паролям?

Украденные учётные данные сотрудников — это больше чем просто утечка персональных данных, это возможность получить несанкционированный доступ к внутренним системам и данным компании. Поэтому грамотная система управления паролями — необходимая составляющая любой системы информационной безопасности, особенно в условиях активной кибервойны.

К утечке персональных данных клиентов и сотрудников. Эти данные могут быть использованы в различных мошеннических схемах, а сами компании и их ответственные сотрудники понести наказание в виде существенных штрафов (см. таблицу ниже) и даже уголовной ответственности по 272.1 УК РФ (если будет доказана корыстная заинтересованность в утечке и использование своего служебного положения).

Если речь идёт про госучреждение, то к негативным последствиям также добавляется снижение доверия и рост напряженности среди населения.

К распространению вредоносного ПО и атакам на инфраструктуру организации. Получив доступ к учетным записям, злоумышленники могут установить шпионское или вымогательское ПО, которое зашифрует данные, остановив тем самым важные бизнес-процессы. Такие ситуации могут привести к длительному простою работы организации и дорогостоящему (и не всегда возможному) восстановлению.

К доступу к конфиденциальной информации об организации: коммерческие тайны, финансовые отчеты и переписки. Получив такую информацию, злоумышленники могут удалить её или украсть для распространения, передачи конкурентам или представителям недружественных стран.

К прямым финансовым убыткам. Например, с помощью украденных паролей злоумышленники могут проводить мошеннические операции — переводить деньги, оформлять покупки или изменять финансовые документы.

— Использование простых и повторяющихся паролей.

— Небезопасное хранение паролей: передача через мессенджеры, хранение в папке на рабочем столе или облачном документе, запись на стикерах и пр.

— Редкое обновление паролей.

— Отсутствие многофакторной аутентификации.

— Передача паролей третьим лицам, например подрядчикам или напрямую злоумышленникам.

— Отсутствие разграничений прав доступа для различных сотрудников (у каждого сотрудника должен быть минимально необходимый для работы набор доступов с минимально необходимым для работы набором прав).

— Отсутствие работающих процедур отзыва доступов у сотрудников в случае их ухода из компании или с занимаемой должности.

Халатное отношение к корпоративным паролям — это прямой путь к финансовым потерям, репутационным кризисам и даже уголовной ответственности. В условиях современной кибервойны и роста числа кибератак организациям необходимо:

— Внедрить в своей организации строгую политику управления паролями.

— Как минимум, раз в год проводить аудиты информационной безопасности.

— Регулярно обучать сотрудников цифровой безопасности, в частности, работе с паролями.

— Использовать современные средства управления паролями, например корпоративный менеджер паролей ОдинКлюч.