Привычки при использовании паролей на работе делают организации уязвимыми для кибератак

Плохая гигиена паролей на рабочих местах представляла угрозу кибербезопасности организаций еще до пандемии COVID-19. Когда COVID-19 вынудил организации по всему миру быстро развертывать и обеспечивать безопасность удаленных сотрудников, команды начали подключаться к ресурсам организации удаленно, в средах, которые их работодатели не контролировали, часто используя свои собственные устройства.

Респонденты отчета Ponemon Institute "Кибербезопасность в эпоху удаленной работы: глобальный риск", заказанного Keeper Security в 2020 году, выразили серьезную озабоченность по поводу безопасности паролей в своих организациях:

• 60% респондентов заявили, что их организации подвергались кибератакам за последние 12 месяцев.
• Более 50% этих атак были связаны с украденными учетными данными.
• Кража ИТ-активов нанесла ущерб в размере 5 млн долларов и более для 25% предприятий.

Пандемия подтолкнула организации к быстрому внедрению множества новых технологий, позволяющих удаленным сотрудникам оставаться на связи, сотрудничать и работать. От Zoom до Google Workspace и Slack — сотрудникам приходилось регистрировать еще больше онлайн-аккаунтов и отслеживать еще больше паролей.

Keeper задался вопросом, насколько изменилась безопасность паролей с тех пор, как компании перешли на удаленную работу. Следовали ли удаленные сотрудники простым наилучшим методам защиты своих паролей, или же они становились жертвами «усталости от паролей» и приобретали вредные привычки, которые приводили к значительным рискам для кибербезопасности? Вот почему Keeper в партнерстве с Pollfish провел опрос о порочной практике использования паролей на рабочих местах.

В то время как организация Ponemon проводила опрос руководителей организаций, мы решили обратиться непосредственно к сотрудникам и опросили 1000 штатных сотрудников в США об их привычках при использовании паролей. Опрос был завершен в феврале 2021 года и включал только лиц, которые использовали пароли для входа в онлайн-аккаунты, связанные с работой.

Ниже приведены наиболее важные выводы по результатам опроса. Полные данные также можно посмотреть здесь.

Вывод 1: сотрудники США небезопасно отслеживают и хранят свои учетные данные

Наш опрос показал, что сотрудники США не следуют лучшим практикам хранения и отслеживания своих рабочих паролей, что представляет серьезные риски для кибербезопасности для их работодателей.

• Более половины респондентов (57%) признались, что записывают рабочие онлайн-пароли на «листочках», а две трети (67%) признались, что теряли эти листочки. Помимо того, что конфиденциальная корпоративная информация остается на виду у всех, кто живет в их доме или посещает его, это наносит ущерб организационной эффективности. Потеря таких листочков означает потерю паролей, что приводит к обращениям в службу поддержки для сброса указанных паролей.
• 62% респондентов хранят учетные данные для входа в записной книжке или журнале, и подавляющее большинство (82%) говорят, что они хранят эти записные книжки рядом со своими рабочими устройствами, где к ним может получить доступ любой, кто живет в их доме или посещает его.

Использование ручки и бумаги для отслеживания паролей стало еще более проблематичным в мире удаленной работы. Большинство сотрудников (66%) говорят, что они чаще записывают рабочие пароли, работая дома, чем в офисе.

Даже при использовании цифровых методов для отслеживания и хранения своих паролей сотрудники США используют плохие методы защиты паролей.

• Почти половина респондентов (49%) хранят рабочие пароли в документе в облачном хранилище.
• Чуть более половины (51%) говорят, что сейчас они хранят эти пароли в документе, сохраненном на своем компьютере.
• 55% хранят рабочие пароли на своем телефоне.

Хранение паролей в незашифрованных файлах чрезвычайно рискованно. Все, что нужно сделать киберпреступнику, — это взломать облачное хранилище, компьютер или мобильное устройство, и тогда он сможет получить доступ ко всем паролям сотрудника.

Вывод 2: сотрудники США создают ненадежные, легко подбираемые пароли

Надежный случайный пароль состоит из случайной последовательности прописных и строчных букв, цифр и специальных символов. Однако многие респонденты признались, что использовали пароли, содержащие личные данные, которые киберпреступники могут легко найти в социальных сетях.

• Более трети (37%) респондентов использовали имя своего работодателя в пароле, связанном с работой.
• Более трети (34%) использовали имя или день рождения своего супруга.
• Почти треть (31%) использовали имя или день рождения своего ребенка.

Повторное использование и смешение паролей для личных и рабочих учетных записей стало серьезной угрозой кибербезопасности для компаний: 44% респондентов признались в повторном использовании паролей для личных и рабочих учетных записей, а 53% признались, что хранят защищенные паролем личные учетные записи на своих рабочих устройствах.

Вывод 3: сотрудники США делятся паролями, связанными с работой, с неавторизованными лицами

Многие сотрудники в США не заботятся о том, с кем они делятся своими рабочими паролями. Это подвергает организации риску взлома, если эти пароли окажутся в руках кого-то, кто небрежно обращается с ними или имеет злонамерения.

• За последний год 14% респондентов делились своими рабочими паролями со своими близкими или супругами.
• 11% респондентов делились рабочими паролями с другим членом семьи.

Даже при отсутствии утечки данных работодатель может быть признан нарушившим нормативные требования и подвергнут очень крупным штрафам, если обнаружится, что неавторизованные лица просматривали защищенные данные.

Вывод 4: сотрудники США небрежно относятся к тому, чтобы предоставлять пароли безопасным образом и/или только авторизованным лицам

Наш опрос показал, что общие пароли на рабочем месте являются обычным явлением.

• Почти половина респондентов (46%) сообщают, что в их компании практикуются общие пароли для учетных записей, которые используются несколькими людьми.
• Более трети (34%) делились рабочими паролями с коллегами из той же команды.
• Почти треть (32%) делились рабочими паролями со своими руководителями.
• 19% делились своими паролями со своим высшим руководством.

Лучше всего предоставить каждому пользователю уникальный пароль для каждой учетной записи или приложения, связанного с работой, что на практике можно сделать, используя платформу управления паролями предприятия (EPM). Совместное использование паролей на рабочем месте безопасно, если пароли передаются безопасно и если пароли передаются только авторизованным лицам.

Результаты нашего опроса показывают, что многие работодатели в США не используют стратегии снижения рисков для обеспечения безопасной передачи паролей.

• Большинство респондентов (62%) сообщают о передаче рабочих паролей в мессенджерах или по электронной почте, а эти сообщения могут быть перехвачены киберпреступниками при передаче.
• Почти треть респондентов (32%) признаются в доступе к онлайн-аккаунту, принадлежащему предыдущему работодателю, что указывает на то, что многие работодатели не удаляют учетные записи, когда сотрудники покидают компанию.

Вывод

Внедрение и внедрение корпоративной платформы управления паролями, такой как Keeper Enterprise, позволит устранить проблему порочной практики при обращении с паролями, выявленную в ходе этого опроса. Платформа Keeper шифрования паролей с нулевым разглашением и нулевым доверием обеспечивает расширенное управление паролями, безопасное предоставление паролей и другие возможности обеспечения безопасности.

ИТ-администраторы и руководители получают полное представление и контроль над использованием паролей сотрудников, включая следующие возможности и преимущества:

• Эксклюзивная, запатентованная модель безопасности с нулевым разглашением и система с нулевым доверием; все передаваемые и хранящиеся данные шифруются; их не могут просматривать ни сотрудники Keeper Security, ни какие-либо посторонние лица.
• Быстрое развертывание на всех устройствах без предварительных затрат на оборудование или установку.
• Персонализированная адаптация, круглосуточная поддержка и обучение, предоставляемые выделенным специалистом службы поддержки.
• Поддержка RBAC, 2FA, аудита, отчетности о событиях и множества нормативных стандартов, включая HIPAA, DPA, FINRA и GDPR.
• Предоставление защищенных общих папок, подпапок и паролей для групп.
• Аутентификация с помощью единого входа (SAML 2.0)
• Возможность доступа к хранилищу в режиме офлайн, когда единый вход не доступен.
• Динамически предоставляемые хранилища через SCIM.
• Настройка для обеспечения высокой доступности (HA).
• Расширенная двухфакторная/многофакторная аутентификация.
• Синхронизация Active Directory и LDP.
• Инициализация SCIM и Microsoft Entra ID (Azure AD).
• API для разработчиков в целях ротации паролей и внутренней интеграции.