Były pracownik jako cyberzagrożenie – dlaczego procedury odejmowania dostępu są tak ważne?

Czy Twój były pracownik wciąż ma dostęp do firmowych danych? Może się to okazać większym zagrożeniem niż myślisz. W 2023 roku dwóch byłych pracowników Tesli doprowadziło do wycieku danych 75 000 osób związanych z firmą - nazwisk, adresów, numerów telefonów, a nawet numerów ubezpieczenia społecznego. Firmie groziła kara za naruszenie unijnych przepisów RODO w wysokości nawet 3,3, mld dolarów, co stanowi 4% rocznych przychodów firmy.  

Kolejny przykład – w styczniu w londyńskim Muzeum Brytyjskim miała miejsce niecodzienna sytuacja, mająca poważne konsekwencje dla funkcjonowania placówki. Były pracownik największego muzeum Wielkiej Brytanii wyłączył część jego sieci informatycznej, zamykając części galerii na kilka dni. Te incydenty stanowią zarówno przestrogę, jak i dowód na to, jak poważne zagrożenie dla organizacji mogą stanowić osoby posiadające dostęp do systemów IT.  

Skala ryzyka jest ogromna 

Jaki odsetek firm ignoruje ten problem? Ogromny! Nawet 63 proc. firm przyznaje, że byli pracownicy wciąż mogą mieć dostęp do wrażliwych informacji, co otwiera drzwi do nadużyć, wycieków danych czy cyberataków, wynika z badania firmy Wing Security, przeprowadzonego na użytkownikach oprogramowania SaaS. 

Choć ataki hakerskie przeprowadzane przez osoby z zewnątrz są poważnym wyzwaniem dla firm każdej wielkości, to często większym zagrożeniem okazują się działania od wewnątrz – na przykład ze strony niezadowolonych pracowników lub byłych współpracowników. To jak zdrada w załodze statku – kiedy ktoś znający pokład i wszystkie liny postanawia wbić sztylet w najważniejsze żagle. Takie wewnętrzne ataki, motywowane chęcią zemsty czy złośliwością, potrafią wywołać poważne zamieszanie i zaszkodzić firmie. 

Co po zakończeniu współpracy? 

Aby zminimalizować ryzyko nieautoryzowanego dostępu do systemów i danych firmy przez byłego pracownika, po zakończeniu współpracy warto uporządkować kwestię dostępu do systemów firmowych i kont. Nie wystarczy uprzejmy uścisk dłoni, konieczna jest natychmiastowa dezaktywacja dostępu oraz usunięcie kont użytkownika. Chodzi o systemy operacyjne, pocztę firmową, systemy CRM, ERP czy VPN. Warto pamiętać również o dostępie do chmury i narzędziach do współpracy zespołowej, takich jak Slack. Powinny być jednocześnie zmienione hasła administracyjne w systemach, do których były pracownik miał dostęp.  

Należy także zabezpieczyć urządzenia, z których korzystał pracownik oraz firmowe dane. Pracownik powinien zwrócić sprzęt służbowy, czyli laptop, telefon, pendrive i karty dostępu. 

– Należy mieć świadomość, że wynoszenie firmowych informacji jest niezwykle groźne. Dlatego ważne jest, szczególnie w przypadku pracowników na wyższych szczeblach organizacji, sprawdzenie czy dane nie zostały skopiowane na prywatne nośniki lub dysk w chmurze. Urządzenia te przed przekazaniem ich kolejnym pracownikom powinny zostać sformatowane 

– radzi Natalia Zajic, Cybersecurity Consultant z Safesqr, firmy specjalizującej się w  cyberbezpieczeństwie.  

Aktywności każdego pracownika w systemie towarzyszy tworzenie logów systemowych w ramach uprawnień, jakie otrzymał na początku lub w trakcie kariery w firmie. Po zakończeniu współpracy koniecznie jest weryfikacja logów aktywności pracownika przed i po zakończeniu współpracy, możliwe jest także sprawdzenie, czy dana osoba próbowała logować się do systemu po dezaktywacji konta. Warto również przeprowadzić audyt dostępu do wrażliwych danych i zweryfikować, czy konta pracownika zostały rzeczywiście pousuwane z list mailingowych i grup. 

Ciągłe zarządzanie bezpieczeństwem  

Zarządzanie cyberbezpieczeństwem to proces ciągły, który powinien obejmować szkolenia oraz dbałość o politykę bezpieczeństwa. Pracownicy powinni regularnie otrzymywać przypomnienia o obowiązujących zasadach ochrony danych, jak NDA czy zakaz wynoszenia informacji poza firmę. W przypadku zakończenia współpracy z konkretną osobą cały zespół powinien zostać o tym poinformowany, aby uniknąć przypadkowego udzielania dostępu byłemu pracownikowi. 

- Obecnie działy bezpieczeństwa mają wiele możliwości działań, które mogą pomóc w ograniczeniu ryzyka cyberzagrożeń i zapewnić bezpieczeństwo organizacji po odejściu pracownika. Mogą bez problemu wykryć podejrzaną aktywność związaną z byłym pracownikiem, jak np. logowania z nietypowych lokalizacji. Mogą też monitorować fora i dark web pod kątem ewentualnych wycieków danych. Aktywności należy dostosować do danej sytuacji w organizacji oraz potencjalnego ryzyka – tłumaczy Natalia Zajic.  

Pomysły na zemstę 

Jeśli po odejściu pracownika firma nie zablokuje jego konta lub dostępu do wewnętrznych systemów, może on nadal logować się do firmowej infrastruktury, wykradać dane lub zakłócać działanie kluczowych usług. W jaki sposób osoba może negatywnie zaskoczyć byłego pracodawcę?  

- Wcale nie tak rzadko zdarzają się przykłady sabotażu, w postaci usuwania lub modyfikowania danych, wprowadzania błędów w kodzie oprogramowania, a nawet blokowania dostępu do kluczowych zasobów firmy – mówi ekspertka Safesqr i dodaje: - Byli pracownicy mogą wykorzystywać poufne dane, takie jak listy klientów, strategie biznesowe czy własność intelektualna do szantażu, sprzedaży konkurencji lub zakładania własnych firm. Generalnie, warto stosować zasadę ograniczonego zaufania „zero trust”, która pomaga w przygotowaniu się na rożne scenariusze.  

Ignorowanie ryzyka związanego z byłymi pracownikami może kosztować firmę nie tylko pieniądze, ale i reputację. Wdrażanie skutecznych procedur bezpieczeństwa IT to dziś absolutna konieczność/