Керівник відділу IT-безпеки одного з великих банків виявив, що колишній співробітник, звільнений три місяці тому, досі має доступ до внутрішніх систем. Це сталося після того, як колишній працівник випадково надіслав службовий документ на свою стару корпоративну пошту, яка, як виявилося, ще була активною. Цей випадок — не поодинокий, а типовий приклад того, як недооцінений offboarding створює критичні прогалини в системі кіберзахисту компанії.
Причини ігнорування offboarding’у
Часто процес звільнення співробітника сприймається як суто адміністративна процедура, а не як критичний етап управління ризиками кібербезпеки. Основні причини такого підходу:
- Пріоритетність onboarding’у: Більшість ресурсів HR та IT спрямовані на інтеграцію нових співробітників, а не на безпечне виведення тих, хто йде.
- Відсутність чітких протоколів: Недостатньо розроблені або застарілі політики offboarding’у, які не враховують сучасні загрози.
- Міжвідомча роз’єднаність: HR, IT та служба безпеки часто працюють ізольовано, не забезпечуючи комплексного підходу до процесу звільнення.
- Людський фактор: Забудькуватість, помилки або свідоме нехтування процедурами з боку відповідальних осіб.
Ключові ризики, пов’язані з offboarding’ом
Неправильний offboarding може призвести до низки серйозних інцидентів кібербезпеки:
| Ризик | Опис | Потенційні наслідки |
|---|---|---|
| Несанкціонований доступ | Збереження доступу до корпоративних систем, мереж, хмарних ресурсів після звільнення. | Витік конфіденційних даних, саботаж, встановлення шкідливого ПЗ. |
| Витік даних (Data Loss) | Звільнений співробітник може скопіювати або видалити критично важливі дані. | Фінансові втрати, репутаційні збитки, юридичні позови. |
| Втрата інтелектуальної власності | Колишній працівник може винести розробки, коди, бізнес-плани. | Втрата конкурентних переваг, зниження інноваційного потенціалу. |
| Використання корпоративних облікових записів | Доступ до корпоративної пошти, месенджерів, CRM-систем, що дає можливість для фішингу або шахрайства. | Компрометація інших співробітників, маніпуляції з клієнтами. |
| Відсутність контролю над пристроями | Неповернені корпоративні ноутбуки, смартфони, токени доступу. | Втрата контролю над апаратним забезпеченням, потенційний доступ до даних через пристрої. |
Комплексний підхід до offboarding’у
Ефективний offboarding вимагає злагодженої роботи декількох відділів і чітко визначених процедур. Це включає:
- Відкликання всіх прав доступу: Негайна деактивація облікових записів у всіх системах (ERP, CRM, ЕДО, хмарні сервіси, Active Directory, VPN).
- Зміна паролів: Для спільних облікових записів, до яких мав доступ звільнений співробітник.
- Повернення корпоративного майна: Обов’язкова процедура повернення ноутбуків, смартфонів, ключів, перепусток.
- Резервне копіювання даних: Збереження всіх робочих даних співробітника перед його звільненням.
- Юридичні аспекти: Підписання угод про нерозголошення, відсутність претензій.
- Проведення exit-інтерв’ю: Збір інформації, що може бути корисною для покращення внутрішніх процесів, зокрема й безпекових.
Як Softline вирішує це завдання
Команда Softline розуміє критичність безпечного offboarding’у і пропонує комплексні рішення для мінімізації ризиків. Наші експерти з кібербезпеки допомагають компаніям розробити та впровадити надійні політики та процедури, що охоплюють усі аспекти звільнення співробітників.
- DLP-системи (Data Loss Prevention): Впровадження рішень для контролю за рухом конфіденційних даних, що дозволяє запобігти їх витоку ще до моменту звільнення співробітника. Це включає моніторинг копіювання файлів на зовнішні носії, відправки через пошту або хмарні сервіси.
- Управління доступом та ідентифікацією: Ми допомагаємо налаштувати системи, які автоматично відкликають права доступу до всіх корпоративних ресурсів (включно з хмарними рішеннями IaaS/PaaS/SaaS) відразу після зміни статусу співробітника. Це забезпечується інтеграцією HR-систем з рішеннями для управління ідентифікацією та доступом.
- Аудит кібербезпеки: Регулярні аудити допомагають виявити потенційні прогалини в процесах offboarding’у та інших аспектах захисту інформації. Команда Softline проводить комплексні перевірки на відповідність вимогам КСЗІ та захисту персональних даних.
- Розробка на UnityBase: Наша Low-Code платформа UnityBase дозволяє створювати корпоративні системи, які інтегруються з HR-системами та системами безпеки. Це забезпечує автоматизований контроль за життєвим циклом облікових записів співробітників, від onboarding’у до offboarding’у, мінімізуючи людський фактор та ризики.
- IT-консалтинг: Експерти Softline надають консультації щодо розробки внутрішніх політик, стандартів та процедур, які відповідають найкращим практикам у сфері кібербезпеки та законодавчим вимогам.
Безпечний offboarding — це не просто формальність, а критично важливий елемент комплексної стратегії кіберзахисту. Ігнорування цього етапу створює відкриті двері для внутрішніх загроз, які можуть мати руйнівні наслідки для бізнесу. Інвестування в надійні процеси та технології offboarding’у є не витратами, а необхідною інвестицією в безпеку та стійкість компанії.
Ігнорування належного offboarding-процесу в IT – це прямий шлях до неконтрольованих ризиків, які можуть коштувати компанії набагато дорожче, ніж інвестиції в його налагодження. Ми неодноразово бачили, як втрата доступу до корпоративних ресурсів після звільнення співробітника призводила до серйозних інцидентів; тому впровадження чітких, автоматизованих протоколів відкликання доступу є критично важливим.