Jeśli były pracownik wciąż ma dostęp do firmowych danych może się to okazać większym zagrożeniem niż się wydaje. W 2023 roku dwóch byłych pracowników Tesli doprowadziło do wycieku danych 75 000 osób związanych z firmą – nazwisk, adresów, numerów telefonów, a nawet numerów ubezpieczenia społecznego. Firmie groziła kara za naruszenie unijnych przepisów RODO w wysokości nawet 3,3 mld dolarów, co stanowi 4 procent rocznych przychodów firmy.
Kolejny przykład – w styczniu w londyńskim Muzeum Brytyjskim miała miejsce niecodzienna sytuacja, mająca poważne konsekwencje dla funkcjonowania placówki. Były pracownik największego muzeum Wielkiej Brytanii wyłączył część jego sieci informatycznej, zamykając części galerii na kilka dni. Te incydenty stanowią zarówno przestrogę, jak i dowód na to, jak poważne zagrożenie dla organizacji mogą stanowić osoby posiadające dostęp do systemów IT.
Skala ryzyka
Jaki odsetek firm ignoruje ten problem? Nawet 63 proc. firm przyznaje, że byli pracownicy wciąż mogą mieć dostęp do wrażliwych informacji, co otwiera drzwi do nadużyć, wycieków danych czy cyberataków – wynika z badania firmy Wing Security, przeprowadzonego na użytkownikach oprogramowania SaaS.
Choć ataki hakerskie przeprowadzane przez osoby z zewnątrz są poważnym wyzwaniem dla firm każdej wielkości, to często większym zagrożeniem okazują się działania od wewnątrz – na przykład ze strony niezadowolonych pracowników lub byłych współpracowników.
To jak zdrada w załodze statku – kiedy ktoś znający pokład i wszystkie liny postanawia wbić sztylet w najważniejsze żagle. Takie wewnętrzne ataki, motywowane chęcią zemsty czy złośliwością, potrafią wywołać poważne zamieszanie i zaszkodzić firmie.
Co po zakończeniu współpracy?
Aby zminimalizować ryzyko nieautoryzowanego dostępu do systemów i danych firmy przez byłego pracownika, po zakończeniu współpracy warto uporządkować kwestię dostępu do systemów firmowych i kont – konieczna jest natychmiastowa dezaktywacja dostępu oraz usunięcie kont użytkownika.
Chodzi o systemy operacyjne, pocztę firmową, systemy CRM, ERP czy VPN. Warto pamiętać również o dostępie do chmury i narzędziach do współpracy zespołowej, takich jak Slack. Powinny być jednocześnie zmienione hasła administracyjne w systemach, do których były pracownik miał dostęp.
Należy także zabezpieczyć urządzenia, z których korzystał pracownik oraz firmowe dane. Pracownik powinien zwrócić sprzęt służbowy, czyli laptop, telefon, pendrive i karty dostępu. Bo wynoszenie firmowych informacji jest groźne, szczególnie w przypadku pracowników na wyższych szczeblach organizacji.
Zarządzanie bezpieczeństwem
Zarządzanie cyberbezpieczeństwem to proces ciągły, który powinien obejmować szkolenia oraz dbałość o politykę bezpieczeństwa. Pracownicy powinni regularnie otrzymywać przypomnienia o obowiązujących zasadach ochrony danych, jak NDA czy zakaz wynoszenia informacji poza firmę.
W przypadku zakończenia współpracy z konkretną osobą cały zespół powinien zostać o tym poinformowany, aby uniknąć przypadkowego udzielania dostępu byłemu pracownikowi.
Obecnie działy bezpieczeństwa mają wiele możliwości działań, które mogą pomóc w ograniczeniu ryzyka cyberzagrożeń i zapewnić bezpieczeństwo organizacji po odejściu pracownika. Mogą bez problemu wykryć podejrzaną aktywność związaną z byłym pracownikiem, jak np. logowania z nietypowych lokalizacji. Mogą też monitorować fora i dark web pod kątem ewentualnych wycieków danych. Aktywności należy dostosować do danej sytuacji w organizacji oraz potencjalnego ryzyka – tłumaczy Natalia Zajic, ekspertka ds. cyberbezpieczeństwa.
Pomysły na zemstę
Jeśli po odejściu pracownika firma nie zablokuje jego konta lub dostępu do wewnętrznych systemów, może on nadal logować się do firmowej infrastruktury, wykradać dane lub zakłócać działanie kluczowych usług. W jaki sposób osoba może negatywnie zaskoczyć byłego pracodawcę?
Wcale nie tak rzadko zdarzają się przykłady sabotażu, w postaci usuwania lub modyfikowania danych, wprowadzania błędów w kodzie oprogramowania, a nawet blokowania dostępu do kluczowych zasobów firmy – mówi Zajic i dodaje: – Byli pracownicy mogą wykorzystywać poufne dane, takie jak listy klientów, strategie biznesowe czy własność intelektualna do szantażu, sprzedaży konkurencji lub zakładania własnych firm. Generalnie, warto stosować zasadę ograniczonego zaufania „zero trust”, która pomaga w przygotowaniu się na rożne scenariusze.