1. Слабые пароли и их повторное использование
Ошибка: использование простых паролей (например, «123456», «qwerty», даты рождения) или одинаковых паролей для разных сервисов. Сотрудники могут хранить пароли в открытом виде (на стикерах, в Excel-файлах) или передавать их коллегам.
Последствия: злоумышленники легко взломают учётные записи с помощью брутфорс-атак или словарей паролей. Это может привести к утечке конфиденциальных данных, несанкционированному доступу к корпоративным системам, финансовым потерям и репутационному ущербу. По данным исследований, около 23% утечек данных в России происходят по вине сотрудников, часто из-за слабых паролей.
Решение:
- Внедрить парольную политику, требующую использования сложных паролей (минимум 12 символов, сочетание букв разного регистра, цифр и спецсимволов).
- Настроить обязательную смену паролей каждые 6 месяцев.
- Использовать менеджеры паролей для безопасного хранения учётных данных.
- Включить двухфакторную аутентификацию (2FA) для критически важных систем.
- Проводить регулярные тренинги для сотрудников о правилах работы с паролями.
2. Отсутствие резервного копирования данных
Ошибка: пренебрежение созданием резервных копий важных файлов и баз данных. Данные могут храниться без дублирования, без контроля целостности и сроков хранения.
Последствия: при кибератаке (например, заражении программой-вымогателем), случайном удалении данных или сбое системы компания потеряет ценную информацию. Это приведёт к простоям в работе, затратам на восстановление данных, возможным юридическим искам и потере доверия клиентов. По данным Positive Technologies, в 64% случаев компании не могли оперативно оценить масштаб инцидента из-за отсутствия логирования и контроля доступа.
Решение:
- Настроить регулярное резервное копирование критически важных данных (не реже раза в неделю).
- Хранить резервные копии в нескольких местах (локально и в облаке) для минимизации рисков.
- Проверять целостность резервных копий и возможность их восстановления.
- Использовать системы с автоматическим бэкапом и версионированием данных.
3. Неотзыв доступа у бывших сотрудников
Ошибка: несвоевременный отзыв прав доступа у уволенных или переведённых сотрудников. Часто учётные записи остаются активными, а пароли — неизменными.
Последствия: бывший сотрудник может получить доступ к клиентской базе, финансовым данным, интеллектуальной собственности. Это может привести к утечке информации, краже коммерческой тайны, финансовым потерям и судебным разбирательствам. Например, если уволенный руководитель отдела продаж сохранил доступ, он может скачать базу клиентов и перейти к конкуренту.
Решение:
- Внедрить автоматизированную систему управления доступом (например, на базе Active Directory или CRM), которая позволяет мгновенно отзывать права при увольнении.
- Настроить процесс проверки доступов при изменении статуса сотрудника (увольнение, перевод).
- Использовать принцип наименьших привилегий: предоставлять только те права, которые необходимы для выполнения текущих задач.
- Проводить регулярные аудиты доступов для выявления неиспользуемых или избыточных учётных записей.
Вывод
Эти ошибки часто возникают из-за человеческого фактора, недостаточного обучения сотрудников или отсутствия чётких процессов. Их устранение требует комбинации технических мер (внедрение систем управления доступом, резервного копирования) и организационных изменений (политики безопасности, регулярные тренинги). Инвестиции в профилактику таких ошибок окупаются за счёт снижения рисков утечек данных и простоев бизнеса.
