Співробітники, які створюють зовнішні облікові записи, але користуються ними всередині корпоративної мережі, становлять ризик для безпеки всієї компанії. В цьому впевнені розробники додатка для зберігання паролів 1Password.
ІТ-фахівці вашої організації, ймовірно, доклали багато зусиль для того, щоб ваші внутрішні акаунти, логіни, паролі та системи були надійно захищені. Але що відбувається, коли працівник компанії, який не сильно розбирається в тонкощах кібербезпеки, створює зовнішній акаунт? Цей процес відомий під назвою тіньове ІТ (Shadow IT), і на думку експертів з 1Password, такі речі становлять ризики для безпеки компанії.
Проілюструємо ІТ Shadow на прикладі наступної історії. Скажемо, співробітник хоче скористатися певним зовнішнім сервісом всередині корпоративної мережі. Можливо, ваш колега хоче використати Amazon, щоб придбати певні продукти для свого департаменту, або Uber для замовлення таксі для інших співробітників, Grammarly для перевірки внутрішніх документів на помилки або Constant Contact для побудови електронних кампаній. Співробітник створює свій власний обліковий запис у зовнішній службі, ймовірно, використовуючи слабкий або незахищений пароль.
Далі цей працівник починає ділитися внутрішніми документами та інформацією із зовнішнім сервісом. Якщо одна з цих служб зазнає порушення даних або витоку пароля, це наражає на небезпеку працівника та потенційно вашу організацію, оскільки відкриває ваші конфіденційні дані. І все це відбувається без участі вашої команди з інформаційної безпеки.
Під час опитування понад 2100 дорослих у США, які працюють в офісі з персоналом ІТ та користуються комп’ютером, дослідники 1Password виявили, що 63% респондентів створили принаймні один обліковий запис за останні 12 місяців, не маючи відповідного знання в ІТ. Крім того, 52% з них згенерували від двох до п’яти акаунтів, тоді як 16% створили понад п’ять таких облікових записів.
Результати дослідження: «Чи створювали ви за минулі 12 місяців на роботі новий акаунт, не звертаючись по допомогу до ІТ-департаменту?»
За підсумками опитування тіньові ІТ-акаунти можуть стати джерелом інших проблем. Близько 37% респондентів сказали, що вони ділилися зовнішнім обліковим записом з колегами. Але спосіб обміну інформацією про акаунт може бути ризиковим. Майже 40% сказали, що вони повідомляли дані облікового запису колезі електронною поштою, тоді як 17% сказали, що вони поділилися ним через засіб обміну миттєвими повідомленнями.
Чи ви коли-небудь ділилися інформацією про акаунт чи логін до веб-сайту з колегами? Ствердно відповіли 37%, негативно — 63%
Ті респонденти, що відповіли ствердно, використовують наступні способи для передачі паролів: електронна пошта, месенжери, менеджери паролів, електронні таблиці або текстові документи, усно, письмово на папері, інше
Але якщо інформацію про акаунт нікому не повідомити, а власник облікового запису категорії Shadow IT звільняється з компанії, то інші люди можуть опинитися без доступу до необхідного сервісу. Крім того, цей працівник, ймовірно, все ще матиме доступ до облікового запису, і така інформація може навіть опинитися в руках конкурента.
Співробітники, які створюють так звані тіньові ІТ-акаунти, не обов’язково генерують надійні та безпечні паролі для кожного сайту. Близько 33% респондентів сказали, що вони повторно використовують паролі, які легко запам’ятати, тоді як 48% сказали, що вони використовують шаблон схожих паролів для усього спектру сервісів чи сайтів. Менш як 3% сказали, що вони використовують унікальний пароль для кожного сайту.
Який ви обираєте пароль для облікових записів? Звички респондентів по вибору паролів, коли вони створюють обліковий запис на зовнішньому ресурсі без залучення ІТ-департаменту
Розв’язанням цієї проблеми може стати повна заборона тіньових облікових записів. Але цей захід уповільнить продуктивність працівників, оскільки вимагатиме, щоб кожна людина погоджувала з командою кібербезпеки створення такого зовнішнього облікового запису.
Ще одним рішенням може стати використання менеджерів паролів. Чимало таких додатків пропонують широкий спектр сервісів, за допомогою яких можна керувати політикою паролів. До того ж, існують різноманітні менеджери паролів. Крім 1Password, іншими ефективними програмами є LastPass, Dashlane, RoboForm та Keeper Password Manager. Хоча менеджери паролів не є ідеальними, все ж вони є цілком життєздатним рішенням, як мінімум до того моменту, поки більш ефективні методи біометричної аутентифікації не стануть універсальними.
ЧИТАЙТЕ ТАКОЖ:
- Як краще зберігати свої паролі? Кращі менеджери паролів
- Як захистити свої дані? Нотатки параноїка
- Про критичність кіберзахисту в сполученому світі
Джерело: 1Password