Nawyki w zakresie haseł w miejscu pracy mogą narazić organizacje na cyberataki

Złe nawyki w zakresie stosowania haseł w miejscu pracy stanowiły zagrożenie dla cyber-bezpieczeństwa jeszcze przed pandemią COVID-19. Gdy COVID-19 zmusił organizacje na całym świecie do szybkiego wprowadzenia i zabezpieczenia zdalnego środowiska pracy, zespoły zaczęły uzyskiwać zdalny dostęp do zasobów organizacji w środowiskach, których pracodawcy nie kontrolowali, często korzystając ze swoich własnych urządzeń.

Respondenci raportu „Cyber-bezpieczeństwo w erze pracy zdalnej: globalne ryzyko” przeprowadzonego w 2020 r. przez Instytut Ponemon na zlecenie Keeper Security wyrazili głębokie obawy dotyczące bezpieczeństwa haseł w ich organizacjach:

• 60% respondentów odpowiedziało, że ich organizacje doświadczyły cyber-ataku w ciągu ostatnich 12 miesięcy.
• Ponad 50% ataków jest związanych ze skradzionymi danymi logowania.
• W przypadku 25% firm kradzież aktywów IT spowodowała straty wynoszące co najmniej 5 mln $.

Pandemia zmusiła organizacje do szybkiego wprowadzenia nowych technologii, aby umożliwić łączność i współpracę zdalnym pracownikom. Od Zoom i Google Workspace po Slack, pracownicy musieli logować się do większej liczby kont online — i zapamiętywać jeszcze więcej haseł.

W Keeper zastanawialiśmy się, jak bardzo zmieniła się kwestia zabezpieczania haseł od momentu przejścia na pracę zdalną. Czy pracownicy zdalni przestrzegają prostych zaleceń w zakresie zabezpieczania haseł, czy są już zmęczeni zabezpieczaniem haseł i mają złe nawyki, które mogą prowadzić do poważnego ryzyka związanego z cyber-bezpieczeństwem? Dlatego we współpracy z Pollfish Keeper przeprowadził ankietę na temat złych praktyk w zakresie używania haseł w pracy.

Ponemon przeprowadził ankietę wśród kadry zarządzającej organizacjami, a my zdecydowaliśmy się zapytać o zdanie bezpośrednio pracowników. Przeprowadziliśmy badanie na temat zwyczajów używania haseł wśród 1000 pełnoetatowych pracowników w Stanach Zjednoczonych. Badanie zakończyło się w lutym 2021 r., a udział w nim wzięły wyłącznie osoby używające haseł do logowania do kont on-line związanych z ich pracą.

Poniżej można znaleźć najważniejsze wnioski płynące z ankiety. Pełne dane można znaleźć tutaj.

Wniosek 1: Pracownicy w USA nie przechowują swoich danych logowania w bezpieczny sposób

Wyniki naszej ankiety pokazują, że pracownicy w USA ne przestrzegają najlepszych praktyk w zakresie przechowywania haseł w pracy, co dla ich pracodawców stanowi poważne ryzyko dot. cyber-bezpieczeństwa.

• Ponad połowa respondentów (57%) przyznaje się do zapisywania firmowych haseł online na przyklejanych karteczkach, a dwie trzecie (67%) odpowiedziała, że zgubiła te zapiski. Wiąże się to z pozostawieniem poufnych firmowych informacji na widoku dla osób mieszkających razem z respondentami lub odwiedzających ich dom, a dodatkowo zmniejsza efektywność firmy. Zgubione karteczki oznaczają utracone hasła, więc i kontakt z działem wsparcia celem zresetowania haseł.
• 62% respondentów przechowuje dane logowania w notatniku lub dzienniku, a zdecydowana większość (82%) przyznaje, że trzyma te notatniki i dzienniki tuż obok urządzenia, więc każdy, kto mieszka w ich domu lub go odwiedza, może uzyskać do nich dostęp bez żadnego problemu.

Korzystanie z papieru i długopisu w celu zarządzania hasłami stało się jeszcze większym problemem w świecie pracy zdalnej. Większość pracowników (66%) stwierdza, że częściej zapisują firmowe hasła na kartce, gdy pracują z domu.

Nawet jeśli amerykańscy pracownicy korzystają z metod cyfrowych do śledzenia i przechowywania swoich haseł, stosują niewłaściwe praktyki w zakresie bezpieczeństwa haseł.

• Blisko połowa respondentów (49%) zapisuje firmowe hasła w dokumencie w chmurze.
• Nieco ponad połowa (51%) twierdzi, że zapisują obecnie hasła w dokumencie zapisanym na komputerze.
• 55% zapisuje hasła związane z pracą na swoim telefonie.

Przechowywanie haseł w niezaszyfrowanych plikach jest niezwykle ryzykowne. Aby uzyskać dostęp do wszystkich haseł pracownika, cyber-przestępcy muszą jedynie włamać się do lokalizacji w chmurze, komputera lub urządzenia mobilnego.

Wniosek 2: Pracownicy w USA tworzą słabe, łatwe do odgadnięcia hasła

Silne, losowo wygenerowane hasło składa się z losowego ciągu wielkich i małych liter, liczb i znaków specjalnych. Wielu respondentów przyznało jednak, że używa hasła zawierające dane osobowe, które cyber-przestępcy mogą z łatwością znaleźć w mediach społecznościowych.

• Ponad jedna trzecia respondentów (37%) używała nazwy swojej firmy w hasłach związanych z pracą.
• Ponad jedna trzecia (34%) używała imienia swojego bliskiej osoby lub daty urodzenia.
• Blisko jedna trzecia (31%) używa imienia swojego dziecka lub daty urodzenia.

Ponowne wykorzystywanie haseł do kont osobistych i związanych z pracą stanowi poważne zagrożenie w zakresie cyber-bezpieczeństwa firm, a 44% respondentów przyznaje się, że używa hasła wielokrotnie zarówno na kontach osobistych, jak i firmowych Z kolei 53% z nich przyznaje, że korzysta z zabezpieczonych hasłami kont osobistych na urządzeniach firmowych.

Wniosek 3: Pracownicy z USA udostępniają nieuprawnionym osobom hasła powiązane z pracą

Wielu pracowników w USA nie przykłada szczególnej uwagi do tego, komu udostępniają firmowe hasła. Naraża to organizacje na ryzyko naruszenia bezpieczeństwa, jeśli hasła wpadną w ręce nieuważnej osoby lub kogoś, kto ma złe intencje.

• W zeszłym roku 14% respondentów udostępniło firmowe hasła małżonkowi lub partnerowi.
• 11% respondentów udostępniło hasła związane z pracą członkom rodziny.

Nawet jeśli nie dojdzie do wycieku danych, pracodawcy mogą grozić wysokie kary za nieprzestrzeganie zgodności z przepisami, jeśli wyjdzie na jaw, że nieuprawniona osoba miała dostęp do danych chronionych określonymi przepisami.

Wniosek 4: Pracownicy w USA nie spełniają swojej roli w procesie dbania o bezpieczne udostępnianie haseł tylko upoważnionym osobom.

Wyniki naszej ankiety pokazują, że wspólne hasła w miejscu pracy to powszechna rzecz.

• Blisko połowa respondentów (46%) przyznaje, że ich firmy udostępniają hasła do kont używanych przez wiele osób.
• Ponad jedna trzecia (34%) respondentów używa tych samych haseł, co ich współpracownicy w zespole.
• Blisko jedna trzecia (32%) używała tych samych haseł, co ich managerowie.
• 19% respondentów dzieliła hasła z zespołem kierowniczym.

Najlepszym rozwiązaniem jest przyznanie każdemu użytkownikowi unikatowego hasła do każdego konta lub aplikacji powiązanych z pracą, co można zrealizować przy użyciu platformy EPM (Enterprise Password Management). Udostępnianie haseł w miejscu pracy jest bezpieczne, jeśli odbywa się to w odpowiedni sposób i jeśli hasła są udostępniane wyłącznie upoważnionym osobom.

Wyniki naszej ankiety wskazują, że wielu pracowników w USA nie przestrzegają strategii zmniejszania ryzyka, aby pomóc w zapewnieniu bezpiecznego udostępniania haseł.

• Większość respondentów (62%) przyznaje, że udostępnia hasła powiązane z pracą przez wiadomości tekstowe lub e-mail, co oznacza, że mogą one zostać przechwycone przez cyber-przestępców w trakcie przesyłania.
• Blisko jedna trzecia respondentów (32%) przyznała , że ma dostęp do konta online byłego pracodawcy, co oznacza, że wielu pracowników nie dezaktywuje kont po odejściu z firmy.

Wniosek

Wprowadzenie platformy do zarządzania hasłami w przedsiębiorstwie, takiej jak Keeper Enterprise, pozwoli zwalczyć złe praktyki opisane w tej ankiecie. Szyfrowanie haseł typu „zero-knowledge” i struktura „zero-trust” zapewniają zaawansowane zarządzanie hasłami, ich bezpieczne udostępnianie i inne funkcje w zakresie bezpieczeństwa.

Administratorzy IT oraz kadra kierownicza zyskuje całkowitą widoczność na praktyki pracowników w zakresie używania haseł, w tym:

• Własnościowy model bezpieczeństwa typu „zero-knowledge” i system ze strukturą „zero-trust”; wszystkie zapisane oraz przesyłane dane są szyfrowane; dane nie mogą zostać wyświetlone przez pracowników Keeper Security ani żaden podmiot zewnętrzny.
• Szybkie wdrożenie na wszystkich urządzeniach bez dodatkowego sprzętu i kosztów instalacji.
• Spersonalizowane wdrażanie i wsparcie 24/7 oraz szkolenie przeprowadzone przez dedykowanego specjalistę ds. wsparcia.
• Obsługa RBAC, 2FA, funkcje audytu i raportów na temat zdarzeń, zapewnienie zgodności z różnymi standardami, w tym HIPAA, DPA, FINRA i GDPR.
• Autoryzacja bezpiecznego udostępniania folderów, podfolderów i haseł dla zespołów.
• Uwierzytelnianie pojedynczego logowania (SAML 2.0)
• Włącz dostęp off-line do sejfu w przypadku niedostępności logowania SSO.
• Dynamiczna obsługa sejfów za pośrednictwem SCIM.
• Konfiguruj, aby uzyskać wysoką dostępność.
• Zaawansowane uwierzytelnianie dwuskładnikowe/wieloskładnikowe.
• Synchronizacja Active Directory i LDP
• Autoryzacja SCIM i Microsoft Entra ID (Azure AD).
• API dewelopera do rotacji haseł i integracji back-end.