Самой распространенной ошибкой, выявленной при внешнем тестировании на проникновение, оказались пароли, установленные по умолчанию, слабые и легко подбираемые пароли пользовательских учетных записей (например, «admin/admin», «admin/12345» и похожие), а также отсутствие блокировок учетных записей.
«Сотрудникам компаний следует помнить о том, что ненадежные пароли могут привести к утечке критически важных для организации конфиденциальных данных. Особенно опасно то, что со стороны злоумышленников для этого часто даже не требуется специальных технических средств. Основная причина, которая приводит к таким проблемам, — это человеческий фактор, потому что многие обладают недостаточной киберграмотностью и даже не задумываются о последствиях своих решений», — уточнил Денис Поршин, директор по развитию бизнеса по информационной безопасности МРФ «Сибирь» ПАО «Ростелеком».
Еще одна из часто встречающихся ошибок — хранение учетных данных на общедоступных ресурсах в корпоративной сети или на самих ПК. Например, сотрудники записывают пароли в текстовых файлах. Если в такой ситуации злоумышленник попадает на машину пользователя и находит документ, он получает управление привилегированными учетными записями.
В части организаций выявлены недостатки в парольных политиках для корпоративных учетных записей. В частности, к сотрудникам не предъявляются требования по длине создаваемых паролей и наличию в них спецсимволов (строчных и прописных букв, цифр, знаков). Ряд недостатков связан с частотой смены паролей: такое требование в одних компаниях отсутствует, а в других чрезмерно усилено (например, смена пароля каждый месяц), что провоцирует сотрудников использовать слишком простые сочетания символов и записывать их на ненадежных носителях.
По мнению экспертов компании, решить проблему можно введением двухфакторной аутентификации пользователей. Более доступный вариант — обучение сотрудников основам кибергигиены: объяснение правил создания надежных паролей и их безопасного хранения, в том числе с использованием специальных баз и программ.
