Komoly kockázatot jelentenek a zabos munkavállalók?

A morcos alkalmazottak komoly fenyegetést jelenthetnek a vállalati biztonságra, különösen akkor, ha a hozzáférések szabályozása nem megfelelő egy szervezeten belül.
 

Több mint ezer közép és nagyvállalat IT-biztonsági szakemberének bevonásával készíttetett globális felmérést a One Identity. A kutatás azt vizsgálta, hogy milyen folyamatokat, eszközöket használnak a vállalatok és az állami intézmények a felhasználói hozzáférések kezelésére, milyen kihívásokkal, aggályokkal szembesülnek ezen a területen.
 
A felmérés legfontosabb megállapításai közé tartozik, hogy a szervezetek egyharmada manuálisan kezeli, valamint egyszerű táblázatban tartja nyilván a rendszerüzemeltetéshez létrehozott és ezáltal a legkritikusabb információkhoz is hozzáférést biztosító kiemelt fiókok jelszavait. Húszból legalább egy vállalatnál egyáltalán nem tudják garantálni, hogy az összes jogosultságát megszüntetik a munkavállalónak, amikor elhagyja a munkahelyét, vagy megváltozik a munkaköre.
 
Kiemelt jogosultságok menedzsmentje
 
Az informatikai rendszerek üzemeltetéséhez használt, és ezáltal az egyes rendszerekhez gyakorlatilag teljes hozzáférést biztosító, kiemelt fiókok jelentik biztonsági szempontból a legnagyobb kockázatot. Annál is inkább, mivel minden 25. szervezetnél egyáltalán nem is létezik folyamat ezek menedzselésére. A vállalatok kétharmada biztosít kiemelt jogosultságokat a munkavállalóin kívül külső partnerek és alvállalkozók számára is. A biztonsági kockázatok csökkentéséért felelős biztonsági szakemberek is tisztában vannak a problémával: mindössze 13 százalékuk érzi úgy, hogy a kiemelt jogosultságok kezelése biztos alapokon nyugszik a szervezeténél.
 
Problémás jelszókezelés
 
A jelszóvisszaállítások 68 százaléka több mint öt percet vesz igénybe egy szervezetnél, de az esetek közel tíz százalékában az erre fordított idő a harminc percet is meghaladja. Egy új felhasználó beléptetése a vállalatok 44 százalékánál több naptól több hétig terjedő folyamat is lehet, amire végül minden szükséges alkalmazás- és rendszerhozzáférés beállításra kerül. De, ami ennél rosszabb hír, hogy az informatikai szervezetek harmadánál akár több hetet is igénybe vehet, mire egy kilépő munkavállaló összes jogosultságát sikerül megszüntetni. Nem véletlen tehát, hogy a válaszadók mindössze 15 százaléka teljesen biztos abban, hogy nem érheti őket hozzáférés-kezelésből eredő incidens.
 
Elégedetlen munkavállalók
 
Az IT-biztonsági szakemberek közül a legtöbben (27 százalék) attól tartanak, hogy az elégedetlen munkavállalók megosztják az érzékeny vállalati információkat. A második helyen a hozzáférés-vezérléssel kapcsolatos folyamatok hiányosságaiból eredő adatvesztési incidensek (22 százalék), míg a harmadik helyen a felhasználónév-jelszó párosok dark webre történő feltöltése (18 százalék) áll. Ironikus módon a válaszadó biztonsági szakemberek több mint háromnegyede (77 százaléka) elismerte, hogy könnyű dolguk lenne, ha ők maguk szeretnének érzékeny információkat eltulajdonítani. Sőt 12 százalékuk azt is bevallotta, hogy meg is tenné, ha csalódás érné, vagy elégedetlen lenne a munkahelyi helyzetével.