Довіряй та розділяй: правила безпечного зберігання інформації в вашій корпоративній мережі
Факт: практично в кожній другій компанії понад тисячі файлів доступні абсолютно кожному співробітнику.
Кілька місяців тому аналітики компанії Varonis, розробника програмних рішень в сфері ІБ, провели дослідження стану інформаційної безпеки в 56 фінансових організаціях по всьому світу (банки, страхування, інвестиційні агентства).
Висновок звіту виявився досить невтішний – практично в кожній другій компанії (44%) понад тисячу файлів були доступні абсолютно кожному співробітнику підприємства, а в кожній п'ятій – близько 10 тисяч файлів виявилися загальнодоступними для всього персоналу.
Особливо насторожує той факт, що вже в перший день роботи будь-який співробітник має доступ до приблизно 20% всіх файлів організації, і кожний десятий документ несе в собі конфіденційний контент. У цих файлах можуть бути секретні дані співробітників, документація по виробництву, ланцюжку поставок, маркетингові плани та ін.
Відомо, що надмірний доступ персоналу до конфіденційних даних кардинально підвищує ризик атак і витоків інформації. Адже в разі успішної атаки через фішинг або іншим способом кіберзлочинці потенційно можуть відкрити будь-який файл, до якого є доступ у зламаного облікового запису співробітника.
Ситуацію погіршує той факт, що в компаніях часто забувають деактивувати облікові записи користувачів після звільнення або переходу в інший домен (у зв'язку зі зміною посади). Ці безхазяйні «акаунти-примари» надають кіберзлочинцям більше часу для проникнення, протягом якого їх дії будуть залишатися непоміченими. Дослідження Varonis показало, що до 50% організацій мають сотні таких примарних облікових записів або записів з паролями з безстроковим терміном дії.
Обмеження доступу користувачів до корпоративних документів шляхом переходу на модель найменших привілеїв – критично важливий пункт стратегії щодо зниження ризиків. Адже середня вартість одного витоку у великій компанії, за оцінками аналітичних агентств, може досягати декількох мільйонів доларів, і ця цифра постійно зростає.
Будь-яка операційна чи хмарна система ідентифікує реальних користувачів через їх облікові записи. Тому в ідеалі у кожного працівника має бути свій акаунт. Відповідно до «обліковок» треба роздати права на ресурси, в яких містяться потрібні саме для цього співробітника робочі файли.
При цьому забутьте про такий підхід як «створити пароль на папку». Це незручно, не забезпечує надійний захист і тому – давно неактуально. Користувач має увійти в систему зі своїми акаунтом (ідентифікація), автентифікувати себе за допомогою пароля і автоматично отримати доступ до всіх дозволених ресурсів.
Здавалося б, призначити користувацькі права на робочі ресурси не так складно. Однак це завдання може стати «судним днем» для ІТ-служби, якщо таких папок сотні, а при зміні прав доступу до одній папці «злітають» права на інші. Щоб подібного кошмару не сталося, потрібно слідувати певному регламентому, в якому буде чітко прописано шлях вирішення подібного завдання.
Незалежно від того, в якій системі організація зберігає робочі файли – традиційна екосистема Windows або хмарна типу Google Doc, One Drive, Bitrix24, тощо – слід дотримуватися правила, що доступ до файлів завжди повинен задаватися на рівні каталогів, навіть якщо в цьому каталозі зберігається всього один файл. Розподіляти доступ до окремих файлів недоцільно.
Аналогічного правила потрібно дотримуватися при призначенні прав доступу – створювати групи акаунтів користувачів і надавати права доступу саме для групи. Один обліковий запис може бути в декількох групах.
Вкрай не рекомендується давати права доступу окремим акаунтам – це призведе до плутанини і перетворить роботу адміністратора ІТ в кошмар, якщо в компанії багато співробітників і спостерігається навіть вельми помірна текучка кадрів.
Також до плутанини може призвести застосування явної заборони на доступ до файлів або каталогу (deny permissions). Потрібно пам'ятати, що коли у групи користувачів немає дозволу на читання чи запис в певну групу – це рівносильно забороні на доступ. Якщо одному зі співробітників потрібно обмежити доступ до файлового ресурсу – потрібно просто видалити його «обліковку» з групи, якій дозволено вхід в цей каталог.
Будь-яка система розмежування повноважень дозволяє надавати доступ мінімум двох типів: «Тільки на читання (Read Only)» і RW «Читання і запис (Read & Write)». Наприклад, група співробітників департаменту реклами в компанії може мати доступ Read & Write до каталогу, що містить документи з маркетингу, і Read Only – до папок з продажу та Public Relations. Одночасно все відділи можуть володіти дозволом Read Only на перегляд файлів у відділі Public Relations.
Багато компаній сьогодні працюють з документами в хмарних системах, наприклад, Google Docs. Ці системи надають такий спокусливий інструмент надання доступу як «пряме посилання» на файл чи папку. Цим інструментом потрібно користуватися дуже акуратно.
Зазвичай він доцільний лише тоді, коли мова йде про документ з дуже коротким життєвим циклом. Тобто коли робота з файлом точно буде закінчена до того моменту, як співробітник, який отримав доступ по прямому «лінку», можливо покине компанію. Якщо ж справа стосується надання доступу користувачам поза компанією, слід спочатку створити тимчасовий каталог, помістити туди потрібні файли – і потім надати доступ за «прямим посиланням».
До речі, приблизно такій же стратегії можна слідувати для надання прав новим співробітникам, які ще не пройшли випробувальний термін і невідомо, чи затримаються в компанії. Тобто, створити для них тимчасову папку і скопіювати туди мінімально необхідний обсяг робочих файлів і надати доступ.
Звичайно ж, такий підхід прийнятний не завжди, нерідко фахівцю для роботи потрібен доступ до всіх актуальних документів компанії.
Ми спеціально не згадували в цьому тексті інструменти, за допомогою яких розмежуються права.
Звичайно компаніям, у яких ІТ інфраструктура побудована на базі продуктів Microsoft, доцільно використовувати можливості файлової системи NTFS. Однак сьогодні є безліч рішень для розмежування прав доступу до файлової «шари» і навряд чи варто зациклюватися тільки на Windows.
Варто лише запам'ятати кілька базових принципів:
- один користувач – один акаунт;
- ресурси відкриваються тільки для групи, а не для одного акаунта;
- з Deny Permissions потрібно бути дуже обережним, оскільки примусова заборона може поламати всю систему дозволів.
І звичайно ж, розгортання сховищ файлів на робочих станціях користувачів вкрай не рекомендується, це слід робити тільки на серверах або хмарних платформах.
Довіряйте, але розділяйте, і завжди будьте в безпеці.
- "Алея жіночої сили”: сад сакур – як символ жінок, що пережили насильство Галина Скіпальська 12:37
- Від інтуїції до даних: data-driven підхід до відбудови впізнаваності брендів Вікторія Новак 10:54
- Валютні ризики в енергетичній торгівлі з ЄС: як мінімізувати вплив курсових коливань Ростислав Никітенко 10:32
- Правила визначення, нарахування та сплати неустойки (штрафу, пені) Євген Морозов 10:02
- Кредитные льготы для военнослужащих: что нужно знать Віра Тарасенко вчора о 11:07
- Позовна давність в земельних спорах щодо лісового фонду: ВП ВС Владислав Штика 09.11.2024 23:39
- Підстави для зменшення суми застави у кримінальних провадженнях Євген Морозов 09.11.2024 21:56
- Принцип заборони повороту до гіршого (non reformatio in peius) Євген Морозов 08.11.2024 21:33
- Геополітика та економіка: як зміни при Трампі можуть вплинути на ринки Роман Бєлік 08.11.2024 19:18
- Чи потрібно з'являтися до суду для розгляду справи проти ТЦК Павло Васильєв 08.11.2024 18:03
- Як зробити бізнес бездоганно продуктивним, а співробітників – супергероями Юрій Щуклін 08.11.2024 11:53
- Як українським трейдерам долучитися до енергетичних бірж ЄС? Ростислав Никітенко 08.11.2024 11:18
- Тести заходів контролю: коли і як виконувати Ольга Рубитель 07.11.2024 21:16
- Застосування принципу "jura novit curia" ("суд знає закон") Євген Морозов 07.11.2024 20:46
- Нобелівська премія як орієнтир для розв’язання проблем держави та галузі Ксенія Оринчак 07.11.2024 16:55
- Тести заходів контролю: коли і як виконувати 358
- Скасування Господарського кодексу: ризики для бізнесу та економіки 156
- Від entry-level до CEO: розбираємо головні бар'єри для жінок у корпоративному світі 104
- Втрачені мільйони: як місцеві бюджети недоотримують через неефективне використання земель 101
- Нові зміни до Кримінального кодексу України: що потрібно знати 57
-
Ціни на яйця: чому вони ростуть і чого чекати до кінця року, пояснили в Мінагрополітики
Бізнес 13998
-
Українців попереджають про здорожчання хліба на 10-15%
Бізнес 12117
-
Курахівську ТЕС під загрозою російського наступу розібрали на запчастини й вивезли
Бізнес 3229
-
У РФ хочуть обʼєднати Газпром нефть, Лукойл та Роснефть – WSJ
Бізнес 3091
-
ЄЦБ готує Raiffeisen та UniCredit до можливого виходу з ринку РФ – Reuters
Фінанси 2624