روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ همه شرکت‌های بزرگ پروسه‌های رسمی هم برای استخدام و هم برای خروج کارمند دارند. این‌ها شامل دادن دسترسی به سیستم‌های آی‌تی سازمانی بعد از استخدام و لغو دسترسی مذکور موقع خروج کارمند از شرکت می‌شوند. در عمل، مورد دومی شاید کمتر اثر داشته باشد (ممکن است کارمند وقتی از سازمان خارج می‌شود هنوز هم دسترسی به اطلاعات کاری داشته باشد). در ادامه قرار است وجه امنیتی این مورد را بررسی کنیم. با ما همراه باشید.

چطور دسترسی فراموش می‌شود؟

به کارمندان جدید دسترسی به سیستم‌هایی که برای کارشان بدان‌ها نیاز دارند داده می‌شود. به مرور زمان این دسترسی‌ها جمع شده اما همیشه هم به طور مرکزی صادر نمی‌شوند و خود پروسه نیز همیشه به صورت استاندارد صورت نمی‌گیرد. مدیریت مستقیم ممکن است به سیستم‌ها بدون خبر دادن به دپارتمان آی‌تی دسترسی بدهد و این درحالیست که در اپ‌های پیام‌رسان یا سیستم‌های تبادل داکیومنت سیستم‌ها مشخصاً داخل خود دپارتمان ساخته می‌شوند. دسترسی از این جنس که کنترل ضعیفی رویش باشد می‌شود تا حدی با اطمینان گفت از سمت کارمندی که از سازمان خروج کرده لغو نمی‌شود. در ادامه سناریوهایی را خواهیم داشت که در آن‌ها کارمند آی‌تی در لغو دسترسی قصور کرده:

•         شرکت از سیستم  SaaS (Ariba, Concur, Salesforce, Slack و کلی اسم دیگر) که وارد کردن نام کاربری و پسوردِ کارمند (در اولین لاگین) آن را قابل‌دسترسی می‌سازد استفاده کند.
•         کارمندان پسورد مشترک برای سیستم خاص داشته باشند. (دلیل ممکن است صرفه‌جویی در پول با استفاده از یک عضویت مشترک باشد یا نبود سازه تمام‌عیار چند کاربره در یک سیستم) و وقتی یکی از آن‌ها از سازمان خارج شود دیگران به خود زحمت عوض کردن آن رمز عبور را نخواهند داد.
•         یک سیستم سازمانی با شماره موبایل و کدی که توسط متن ارسال شده باشد لاگین را مجاز می‌کند. اگر کارمندِ از شرکت خارج‌شده این شماره را برای این منظور نگه داشته باشد ممکن است کار به جاهای باریک بکشد.
•         برای دسترسی به برخی سیستم‌ها به اکانت شخصی نیاز است. برای مثال ادمین صفحات سازمانی در رسانه‌های اجتماعی اغلب با اختصاص نقش مربوطه به اکانت شخصی چنین دسترسی‌ای می‌گیرند پس این دسترسی به رسانه اجتماعی هم نیاز دارد.
•         و بعد مشکل آی‌تی سایه  یا همان shadow IT. هر سیستمی که کارمند خودش شروع به استفاده و اجرای آن کرده خارج از استاندارد و رویه‌های سازمانی است. بیشتر، کارمندانی که از سازمان خروج می‌کنند هنوز می‌توانند در گوگل داکس ادیت مشارکتی کنند، تسک‌ها را در ترلو یا بیس‌کمپ مدیریت کرده، با دراپ‌باکس و سرویس‌های مشابه میزبانی فایل، فایل به اشتراک بگذارند و نیز در اپ‌های پیام‌سان به چت‌های نیمه کاری دسترسی داشته باشند.

خطر دسترسی لغونشده

بسته به نقش کارمند و شرایط خروج آنها، دسترسی لغو نشده می‌تواند خطرات زیر را ایجاد کند:

•         حساب‌های کارمند خارج شده می‌تواند توسط شخص ثالث برای حملات سایبری به شرکت استفاده شود. سناریوهای مختلفی در اینجا امکان پذیر است - از به خطر افتادن ایمیل تجاری گرفته تا ورود غیرمجاز به سیستم های شرکتی و سرقت داده‌ها. از آنجایی که کارمند خارج شده دیگر از این حساب‌ها استفاده نمی کند، احتمالاً چنین فعالیتی برای مدت طولانی مورد توجه قرار نمی‌گیرد. حساب‌های فراموش‌شده همچنین ممکن است از رمزهای عبور ضعیف استفاده کنند و احراز هویت دو مرحله‌ای نداشته باشند، که کنترل آن‌ها را ساده‌تر می‌کند. پس جای تعجب نیست که حساب های فراموش شده به اهداف بسیار محبوبی برای مجرمان سایبری تبدیل می‌شوند.
•         کارمند خارج شده ممکن است به استفاده از حساب‌ها برای منافع شخصی (دسترسی به پایگاه مشتری برای پیشرفت در یک شغل جدید، یا استفاده از اشتراک شرکتی برای خدمات پولی شخص ثالث) ادامه دهد.
•         ممکن است اطلاعات محرمانه درز کند (به عنوان مثال، اگر اسناد تجاری با یک فولدر در رایانه شخصی کارمند خارج شده همگام شود). این که آیا کارمند عمداً این دسترسی به سرقت اسناد را حفظ کرده یا این که فراموشی آشکار بوده است، تفاوت چندانی ندارد. در هر صورت، چنین نشت‌هایی برای شرکت خطرات بلند مدت ایجاد می‌کند.
•         اگر کارمند خروج چالش‌برانگیزی داشته باشند ممکن است خودش دست به انجام کاری شرورانه برای خسارت زدن به شرکت بزند.

دردسرهای اضافی: جابجایی کارکنان، فریلنسری، پیمانکاران فرعی

پیگیری سیستم‌های SaaS و IT سایه‌ در حال حاضر انگشت‌شمار است، اما با این واقعیت که همه فرآیندهای خارج کردن شرکت به درستی رسمی نشده‌اند، وضعیت بدتر می‌شود.

یک عامل خطر اضافی فریلنسرها هستند. اگر به عنوان بخشی از یک پروژه به آنها نوعی دسترسی داده شود، بسیار بعید است که وقتی قرارداد منقضی شود IT آن را فوراً لغو کند - یا حتی از آن مطلع شود. شرکت‌های پیمانکاری نیز خطراتی را ایجاد می‌کنند. اگر یک پیمانکار یک کارمند را اخراج و دیگری را استخدام کند، اغلب اعتبارنامه‌های قدیمی به جای حذف و جایگزینی با افراد جدید، به سادگی به فرد جدید داده می‌شوند. هیچ راهی وجود ندارد که سرویس فناوری اطلاعات شما از تغییر پرسنل مطلع شود. در شرکت‌هایی که کارمندان فصلی یا فقط گردش مالی بالایی در موقعیت‌های خاص دارند، معمولاً هیچ رویه متمرکز کامل و کاملی وجود ندارد - فقط برای ساده کردن عملیات تجاری. بنابراین، نمی‌توانید فرض کنید که آنها یک جلسه توجیهی مربوط به ورود به هواپیما را انجام می‌دهند یا یک چک لیست جامع خارج از هواپیما را اجرا می‌کنند. کارمندان در این مشاغل اغلب از رمز عبور یکسانی برای دسترسی به سیستم های داخلی استفاده می‌کنند، که حتی می‌تواند روی Post-It درست در کنار کامپیوتر یا ترمینال نوشته شود.

چطور این شرایط را کنترل کنیم؟

جنبه اداری بسیار مهم است. در زیر چند اقدام وجود دارد که به طور قابل توجهی خطر را کاهش می‌دهد:

•         ممیزی منظم دسترسی: ممیزی‌های دوره ای انجام دهید تا مشخص شود کارکنان به چه چیزی دسترسی دارند. حسابرسی باید دسترسی‌هایی را که دیگر جاری نیستند یا به طور ناخواسته یا خارج از رویه های استاندارد صادر شده‌اند شناسایی و در صورت لزوم آنها را لغو کند. برای ممیزی، تحلیل فنی زیرساخت کافی نیست. علاوه بر این، نظرسنجی از کارکنان و مدیران آنها باید به یک شکل انجام شود. این همچنین به خارج کردن سایه IT از سایه و مطابق با سیاست‌های شرکت کمک می‌کند.
•         پایان همکاری منابع انسانی و آی‌تی در طول خروج کارمند: کارکنان در حال خروج باید یک مصاحبه خروج داده انجام دهند. علاوه بر سؤالات مهم برای منابع انسانی (رضایت از کار و شرکت؛ بازخورد در مورد همکاران)، این باید شامل مسائل فناوری اطلاعات شود (لیست کاملی از سیستم هایی که کارمند به طور روزانه از آنها استفاده می‌کند درخواست کنید؛ اطمینان حاصل کنید که تمام اطلاعات کاری با همکاران به اشتراک گذاشته می‌شود و روی دستگاه‌های شخصی و غیره باقی نماند). فرآیند خارج کردن هواپیما معمولاً شامل امضای اسنادی است که مسئولیت افشای یا سوء استفاده از چنین اطلاعاتی را به کارمند در حال خروج تحمیل می‌کند. علاوه بر کارمند، توصیه می‌شود با همکاران و مدیریت آنها مصاحبه کنید تا IT و InfoSec به طور کامل در مورد تمام حساب ها و دسترسی های آنها مطلع شوند.
•         ایجاد نقش‌های استاندارد در شرکت: این معیار جنبه‌های فنی و سازمانی را ترکیب می‌کند. برای هر موقعیت و هر نوع کار، می‌توانید یک مجموعه الگو از دسترسی‌ها را طراحی کنید تا هنگام گرفتن نیرو آن‌ها را صادر کنید و در هنگام خروج کارمند نیز آن را لغو. این به شما امکان می‌دهد یک سیستم کنترل دسترسی مبتنی بر نقش (RBAC[1]) و کار IT را تا حد زیادی ساده کنید.

اقدامات فنی برای تسهیل کنترل دسترسی و افزایش سطح کلی امنیت اطلاعات:

•         پیاده‌سازی سیستم‌های مدیریت هویت و دسترسی و امنیت هویت. نکته کلیدی در اینجا راهکار SSO بر اساس دایرکتوری متمرکز کارمند است.
•         ردیابی دارایی و موجودی برای ردیابی مرکزی دستگاه‌های شرکتی، شماره تلفن همراه کار، مجوزهای صادر شده و غیره.
•         نظارت بر حساب‌های قدیمی ابزارهای امنیت اطلاعات را می‌توان برای معرفی قوانین نظارتی برای پرچم‌گذاری اکانت‌ها در سیستم‌های شرکتی در صورتی که برای مدت طولانی غیرفعال باشند استفاده کرد. چنین اکانت‌هایی باید به صورت دوره‌ای بررسی و به صورت دستی غیرفعال شوند.
•         اقدامات جبرانی برای رمزهای عبور مشترکی که باید استفاده شوند (اینها را باید زود به زود تغییر داد).
•         دسترسی محدود زمانی برای مترجمان آزاد، پیمانکاران و کارمندان فصلی. برای آن‌ها، همیشه بهتر است دسترسی‌های کوتاه‌مدت صادر شود و فقط در صورت لزوم آن‌ها را تمدید یا تغییر دهید.

[1] role-based access control

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.