Избыточные права доступа к данным

Избыточные права доступа к данным - чрезмерные права доступа к конфиденциальной информации компании. Корпоративные информационные системы обеспечивают сотрудникам возможность незамедлительно получать всю необходимые для работы данные, существенно ускоряя и упрощая работу, позволяют организовать и координировать работу исполнителей, разделенных стенами и даже многокилометровым расстоянием. Однако широкий доступ к информации является серьезной угрозой, открывая возможности для злоупотреблений и умышленных утечек.

Имея полный доступ ко всем корпоративным системам, сотрудник может осуществить незаконные транзакции со счетов компании, скопировать клиентские базы данных, использовать непубличные отчеты для инсайдерской торговли, сливать информацию о любых нарушениях в работе компании журналистам для создания негативного имиджа и подрыва репутации.

Избыточные права доступа к данным

Информация может обладать огромной ценностью, и чем она выше, тем более узкий круг должен быть к ней допущен, чтобы ущерб от потери работы и репутации превышал возможную выгоду от злоупотребления правами доступа. Но когда такие права есть у множества сотрудников со скромным окладом, то вероятно ее утечки многократно возрастает.

Классификация избыточных прав доступа к данным

Избыточные права пользователей можно разделить на несколько категорий:

  1. Избыточные права на доступ к информации. Базы данных, коммерческие секреты и технические ноу-хау, корпоративная и внешняя переписка, внутренние отчеты и результаты аудита могут представлять огромную ценность для конкурентов и грозить компании многомиллионным ущербом. При невысоком окладе продажа такой информации позволит сотруднику заработать больше, чем за несколько лет честного труда, и единственный способ снизить риск утечки – ограничить круг лиц, допущенных к закрытым данным.
  2. Избыточные права на изменение информации. При их наличии пользователь может легко исказить, подделать, а то и уничтожить важные документы и другие файлы, создавая компании серьезные проблемы.
  3. Избыточные права на создание новых пользователей и предоставление доступа к данным. Возможность бесконтрольно регистрировать аккаунты новых пользователей, особенно без привязки к реальным сотрудникам, а также повышать привилегии открывает злоумышленнику возможность предоставлять доступ к внутрикорпоративной информации заинтересованным посторонним лицам, либо оставлять себе лазейки на случай увольнения. Даже если его собственный аккаунт будет удален из системы, другие им созданные останутся.
  4. Избыточные права на установку и модификацию программного обеспечения, изменение настроек системы. Наиболее опасный вид избыточных прав, поскольку открывает широчайшие возможности для внедрения опасного ПО путем запуска зараженных приложений, особенно если у злоумышленника есть и возможность временно отключить антивирус.

Какие избыточные права доступа к данным опасны

Хотя объектами интереса нечистоплотных сотрудников могут стать любые данные, некоторые представляют особый интерес:

Финансовые документы, в особенности номера и коды доступа к счетам. Легкие деньги всегда притягивают мошенников, а возможность украсть большую сумму нередко перевешивает риск разоблачения.

Базы данных корпоративных и частных клиентов. Первые будут представлять огромную ценность для конкурентов, которые смогут переманивать клиентов, предлагая более выгодные условия, информацию же о частных клиентах (электронная почта, телефоны, иногда домашние адреса и паспортные данные) охотно покупают организаторы рекламных рассылок и другой сомнительной деятельности.

Конфиденциальная переписка с потенциальными клиентами. Интересна опять же конкурентам, зная ход деловых переговоров, они могут должным образом изменять собственные предложения.

Ноу-хау. Уникальная технология приносит огромные деньги, но рано или поздно ее кто-нибудь скопирует. Украденные чертежи, электронные схемы, химические формулы и другие сведения могут сократить время воспроизведения технологии в десятки раз.

Информация о внутренних конфликтах и нарушениях. Большинство компаний предпочитают решать такие проблемы тихо, без лишнего шума, а вот журналисты и конкуренты подобной информации всегда рады. При достаточно серьезных нарушениях заинтересоваться могут также регулирующие и правоохранительные органы.

Причины избыточных прав доступа к данным

Получить избыточные права сотрудник может несколькими способами.

Первый, наиболее простой и частый – плохо разграничение прав, а то и полное отсутствие таких ограничений, когда все сотрудники отдела, подразделения, и даже компании целиком имеют доступ к любым данным. Разделение прав доступа не осуществляется, потому что все свои, к тому же введение ограничений неизбежно затруднит и усложнит работу. Не желая менять то, что работает, руководство реагирует лишь тогда, когда утечка информации создает серьезные проблемы.

Другой вариант – расширение либо реорганизация компании. При слиянии двух отделов их сотрудники получают доступ к данным обоих подразделений, при выделении новых подразделений и филиалов доступ к общим папкам и директориям также сохраняется за всеми работниками.

Аналогичным образом происходит получение избыточных прав при смене должности. Переходя в другой отдел, сотрудник получает доступ ко всем его данным, прежний доступ также сохраняется. При регулярных внутренних перемещениях он может накопить полномочия, многократно превышающие нужные.

Наконец, избыточный доступ можно получить кражей чужого пароля, либо узнать его методами социальной инженерии. Приятельские отношения вкупе с несерьезным отношением некоторых сотрудников к вопросам информационной безопасности как таковой делает задачу злоумышленника довольно легкой.

Как избежать проблемы избыточных прав доступа к данным

Для разделения доступа к конфиденциальным данным имеет смысл использовать системы управления доступа IAM (или IdM).

Целесообразно также проводить регулярный аудит использования сотрудниками частоты обращения к различным категориям данных и операций с ними. Если некоторые разделы используются крайне редко или не используются вообще, то данные права для работы необязательны, и их лучше отключить.

Любые попытки запроса закрытой для пользователя информации, равно как и генерация ошибочных запросов должны регистрироваться, а при большом числе их числе от одного работника его стоит дополнительно проверить.

Особое внимание необходимо уделить вопросам использования для аутентификации сложных паролей, убедиться, что вероятность их кражи минимальна.

Определенная избыточность в правах доступа в любом случае неизбежна – прописывать отдельные права доступа для каждого сотрудника нецелесообразно, а любая категория будет располагать правами, избыточными для отдельного работника. Однако четкая организация работы и распределение полномочий позволит свести подобную избыточность, а с ней и риск утечки информации к минимуму.

При каждой реорганизации, слияниях старых отделов и выделении новых, а также переводах на другую должность необходимо переопределение уровня доступа соответствующих сотрудников.