Кибербезопасность: 80% российских компаний не соблюдают базовых требований к паролям

Исследование «Ростелеком-Солар» показало, что около 4/5 компаний не соблюдают базовых правил парольной защиты. При этом практически в каждой тестируемой корпсети специалистам удалось получить привилегии администратора. Реальному киберпреступнику это позволило бы скрытно развивать атаку, способную привести к краже финансовых средств или конфиденциальной информации.

Эксперты предупреждают: недостатки парольной защиты приводят к тому, что злоумышленники проникают в корпоративную сеть без специальных технических средств и достаточно долго действуют там незамеченными.

В основу исследования «Ростелеком-Солар» легли данные, полученные экспертами компании в ходе киберучений, тестирований на проникновение и проектов по анализу защищенности заказчиков из банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Имитация атак предполагала два сценария:

• проникновение в корпоративную сеть извне,
• имитацию действий внутреннего нарушителя.

Самой распространенной ошибкой, выявленной при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin», «admin/12345» и т.п.), а также отсутствие блокировок учетных записей, что позволяет проводить атаки на подбор паролей.

Основной недостаток, обнаруженный при внутреннем тестировании на проникновение, — использование сотрудниками одинаковых паролей учетных записей с различными правами. Например, в целях безопасности системным администраторам, как правило, выдаются две учетные записи: пользовательская, в которой он работает по умолчанию, и привилегированная административная, используемая по мере необходимости. Однако часто администраторы в обоих случаях ставят одинаковые пароли, что сводит на нет принятые меры безопасности.

Еще одна распространенная ошибка — хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК. Например, пароли в груповых политиках или записанные рядовым сотрудником пароли в текстовых файлах на рабочей станциях. В такой ситуации даже случайное попадание вредоносного ПО на машину одного сотрудника становится критической угрозой безопасности всей организации.

В части организаций выявлены недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что обычно провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.

Решить проблему, по мнению экспертов, можно введением двухфакторной аутентификации пользователей. Однако на данный момент из-за сложности организации и высокой стоимости услуги многие компании этого не делают. Более доступным вариантом является обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.

Фото Unsplash

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна