offboarding IT
· ·

Zapomniane konto byłego pracownika, czyli jak zostawiliście klucze do firmy komuś, kto już tu nie pracuje

PrzezMateusz Karpacz

Marek odszedł z firmy trzy miesiące temu. Dostał wypowiedzenie w piątek, w poniedziałek HR wystawił mu świadectwo pracy, a w środę był już u konkurencji. Jego konto w Active Directory wciąż istnieje. Skrzynka e-mail odbiera wiadomości. Dostęp do VPN – aktywny, a folder na SharePoincie z ofertami dla klientów wciąż otwarty. 

Czy to brzmi znajomo? Jak przeprowadzić bezpieczny offboarding IT?

48% organizacji jest świadomych, że byli pracownicy wciąż mają dostęp do sieci firmowej, a 20% organizacji doświadczyło naruszenia danych powiązanego bezpośrednio z byłym pracownikiem. 

Dlaczego zapomniane konta są niebezpieczne

Aktywne konto byłego pracownika to problem z dwóch różnych kierunków jednocześnie i oba są realne. 

Pierwszy kierunek: były pracownik. Badania Beyond Identity pokazują, że 83% byłych pracowników przyznaje, że po odejściu z firmy nadal logowało się na konta poprzedniego pracodawcy, a 56% z nich przyznało, że użyło tego dostępu w celu wyrządzenia szkody firmie. Nie chodzi tu wyłącznie o spektakularne akty sabotażu. Najczęstsze „zemsty” to przeglądanie e-maili innych pracowników, kopiowanie danych klientów albo po prostu korzystanie z subskrypcji opłacanych przez firmę. Motywem bywa zwykła uraza – pracownik, który nie dostał podwyżki, nie miał zgody na urlop albo został zwolniony w nieprzyjemnych okolicznościach. 

Drugi kierunek: zewnętrzny atakujący. Nieaktywne konto z przeciętnym hasłem i bez MFA to wejście dla kogoś z zewnątrz. Nieaktywne konta są celem dla cyberprzestępców – jeśli nie zostaną szybko dezaktywowane, mogą zostać przejęte i użyte jako punkt wejścia do sieci, omijając standardowe mechanizmy ochrony. 

Przykład: w 2022 roku Uber padł ofiarą ataku, w którym haker uzyskał dostęp do wewnętrznych systemów firmy przez aktywne dane uwierzytelniające byłego kontraktora. Pomimo, że kontraktor nie pracował już dla Ubera, jego dane dostępowe wciąż były aktywne. Pozwoliło to napastnikowi wejść do infrastruktury firmy i doprowadzić do poważnego naruszenia bezpieczeństwa. 

Gdzie najczęściej zostawiamy „otwarte drzwi" dla atakujących

Klasyczny offboarding IT kończy się na dezaktywacji konta w Active Directory i odebraniu laptopa. To zdecydowanie za mało. Pracownik może mieć dostęp do poczty, chmury, systemów finansowych, platformy CRM, bazy klientów i narzędzi do komunikacji wewnętrznej. Te punkty dostępu pozostają otwarte – czasem tygodniami, a czasem bezterminowo. 

Najczęściej pomijane miejsca: 

  • Konta w aplikacjach SaaS (Slack, Notion, Trello, Jira, HubSpot) często zakładane poza wiedzą IT 
  • Udostępnione foldery w Google Drive lub SharePoint, których pracownik był współwłaścicielem 
  • Zewnętrzne systemy kontrahentów i partnerów, do których firma dała dostęp 
  • Wspólne hasła do kont usługowych (media społecznościowe firmy, skrzynki typu „biuro@…”) 
  • Tokeny API i klucze do systemów, które pracownik konfigurował samodzielnie 

Checklista – co zrobić po zakończeniu współpracy z członkiem zespołu

Dobra wiadomość: problem ma niekosztowne rozwiązanie, które nie wymaga zaawansowanych narzędzi, a procesu. 

Dezaktywacja konta powinna nastąpić w dniu odejścia pracownika. Najlepiej o określonej godzinie, uzgodnionej z działem HR, a nie wtedy, gdy IT znajdzie na to czas. 

Minimalna lista kontrolna na dzień odejścia: 

  1. Dezaktywacja konta w AD/Azure AD – natychmiast, nie „do końca tygodnia” 
  2. Wylogowanie ze wszystkich aktywnych sesji – szczególnie w aplikacjach chmurowych 
  3. Odwołanie dostępu VPN i zdalnego pulpitu 
  4. Przegląd aplikacji SaaS – dezaktywacja konta w każdej usłudze osobno (jeśli nie ma SSO) 
  5. Zmiana wspólnych haseł, do których pracownik miał dostęp 
  6. Przekazanie własności plików i folderów innemu użytkownikowi 
  7. Usunięcie z grup bezpieczeństwa i list dystrybucyjnych 
  8. Unieważnienie tokenów API wygenerowanych przez pracownika 

Jeśli zarządzasz środowiskiem bez centralnego systemu zarządzania tożsamością (IAM), prowadź rejestr aplikacji i dostępów przypisanych do każdego pracownika. Bez tej listy nie wiesz, kiedy skończyłeś offboarding, bo nie wiesz, od czego zacząłeś.

Jeden dodatkowy krok- audyt kont

Raz na kwartał przeprowadź audyt kont. Przejrzyj listę aktywnych użytkowników i porównaj ją z aktualnymi pracownikami. W każdej organizacji, która istnieje dłużej niż rok i miała jakąkolwiek rotację kadry, znajdziesz konta, o których istnieniu nikt już nie pamięta. 

Konto zapomniane to konto niechronione. A konto niechronione, to otwarte drzwi. 

Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.


Powiązane wpisy