Bezpieczny offboarding pracownika a ryzyko wycieku danych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Odejście pracownika, freelancera lub dostawcy z organizacji to nie tylko proces kadrowy, ale także ważny moment z perspektywy cyberbezpieczeństwa. Źle przeprowadzony offboarding może zostawić aktywne konta, nieodebrane urządzenia i dostęp do danych, których nikt już nie kontroluje. Jak przeprowadzić bezpieczny offboarding pracownika?

Pracownicy odchodzą z organizacji z różnych powodów. Zmieniają pracę, kończą projekt, przechodzą do innego zespołu albo kończą współpracę z firmą. To naturalny proces, ale z punktu widzenia bezpieczeństwa nie powinien być traktowany wyłącznie jako formalność kadrowa. Offboarding to cały zestaw działań, które mają uporządkować odejście danej osoby z organizacji, od przekazania obowiązków, przez zwrot sprzętu, po zamknięcie dostępów do systemów. 

Jednym z najważniejszych elementów tego procesu jest obszar IT i cyberbezpieczeństwa. To właśnie tu pojawia się ryzyko pozostawienia aktywnych kont, niewycofanych uprawnień, działających tokenów, dostępu do poczty, chmury, repozytoriów kodu czy systemów finansowych. 

Dlatego dobrze zaprojektowany offboarding jest jednym z podstawowych mechanizmów ochrony organizacji przed wyciekiem danych, nadużyciem uprawnień i dostępem osób, które nie powinny już mieć wpływu na jej środowisko cyfrowe.

Kogo obejmuje bezpieczny offboarding pracownika?

Bezpieczny offboarding nie dotyczy wyłącznie pracownika odchodzącego z firmy. W nowoczesnych organizacjach dostęp do systemów, danych i narzędzi mają także osoby oraz podmioty zewnętrzne, które często funkcjonują poza klasyczną strukturą HR.

W związku z powyższym procedura offboardingu powinna obejmować co najmniej:

  • pracownika etatowego;
  • freelancera;
  • agencję marketingową lub PR;
  • software house, czyli firmy specjalizujące się m.in. w projektowaniu, tworzeniu i wdrażaniu oprogramowania na zamówienie;
  • administratora IT;
  • podwykonawcę z dostępem do systemów klienta;
  • osobę zmieniającą rolę wewnątrz firmy.

Szczególnie ważna jest ostatnia kategoria. Offboarding powinien działać także przy tzw. movers, czyli osobach, które nie odchodzą z organizacji, ale zmieniają stanowisko, dział, projekt albo zakres odpowiedzialności. W takiej sytuacji nie zawsze trzeba zamykać wszystkie konta, ale trzeba przejrzeć i ograniczyć uprawnienia, które przestały być potrzebne. 

Z perspektywy bezpieczeństwa ryzykowny jest nie tylko były pracownik, ale także obecny pracownik z dostępami, które nie odpowiadają już jego aktualnej roli.

Znaczenie oceny ryzyka przy offboardingu 

Procedura offboardingu zależy od sytuacji, w jakiej kończy się współpraca. Inaczej wygląda spokojne odejście pracownika po okresie wypowiedzenia, inaczej zakończenie współpracy w konflikcie, a jeszcze inaczej zamknięcie relacji z zewnętrzną agencją.

Standardowe odejście oznacza sytuację, w której osoba kończy współpracę w normalnym trybie. Jest czas na przekazanie obowiązków, zamknięcie projektów, zwrot sprzętu i zaplanowane odebranie dostępów w ostatnim dniu pracy.

Odejście podwyższonego ryzyka dotyczy m.in. konfliktu, zwolnienia dyscyplinarnego, dostępu do danych wrażliwych, roli administracyjnej, dostępu do finansów, kodu źródłowego lub informacji strategicznych. W takim scenariuszu dostęp powinien zostać ograniczony lub odebrany w sposób skoordynowany, zgodnie z oceną ryzyka, prawem, umową i procedurą HR/IT.

Zakończenie współpracy z agencją lub freelancerem wymaga sprawdzenia nie tylko konta jednej osoby, ale całego zakresu dostępów po stronie dostawcy. Agencja marketingowa może mieć dostęp do paneli reklamowych, analityki, kont social media, dysków, grafik, narzędzi newsletterowych i danych klientów. Natomiast software house może mieć dostęp do repozytoriów, środowisk testowych, dokumentacji, API, systemów zgłoszeniowych i chmury.

Po pierwsze inwentaryzacja dostępów

Nie da się odebrać dostępów, o których firma nie wie. Dlatego podstawą bezpiecznego offboardingu jest aktualny, centralny i możliwie kompletny rejestr uprawnień.

W takim rejestrze powinny znajdować się co najmniej:

  • konto użytkownika;
  • adres e-mail;
  • rola i zakres uprawnień;
  • system lub aplikacja;
  • właściciel biznesowy systemu;
  • data nadania dostępu;
  • planowana data zakończenia dostępu;
  • informacja, czy konto ma MFA;
  • informacja, czy konto jest uprzywilejowane lub administracyjne;
  • informacja, czy dostęp jest indywidualny czy współdzielony.

Duże ryzyko pojawia się tam, gdzie dostęp nadawano ad hoc, np. do narzędzia SaaS, panelu reklamowego, współdzielonego dysku, repozytorium, systemu CRM albo konta klienta. 

Jeżeli nie ma rejestru, organizacja zaczyna polegać na pamięci managera, administratora albo samego odchodzącego pracownika. To słaby model kontroli. Każdy dostęp powinien mieć właściciela, uzasadnienie biznesowe oraz datę wygaśnięcia albo datę kolejnego przeglądu. 

Odebranie przedmiotów

Jednym z podstawowych elementów offboardingu jest odzyskanie sprzętu, dokumentów i nośników, które zostały powierzone pracownikowi lub współpracownikowi. National Protective Security Authority w poradniku „Exit procedures guidance” wskazuje, że dobrą praktyką jest stworzenie checklisty dokumentującej, jakie przedmioty muszą zostać zwrócone oraz jakie działania końcowe należy wykonać. Taka checklista powinna zostać zatwierdzona dopiero wtedy, gdy wszystkie aktywa zostaną zwrócone, a wszystkie czynności zamknięte. 

Zwrotowi mogą podlegać m.in.:

  • przepustki bezpieczeństwa i identyfikatory;
  • firmowe telefony komórkowe;
  • firmowy laptop i inny sprzęt IT;
  • firmowe karty kredytowe;
  • tokeny umożliwiające dostęp do systemów elektronicznych;
  • książki, dokumenty papierowe lub dokumentacja zawierająca informacje wrażliwe biznesowo;
  • klucze do zabezpieczonych pomieszczeń lub miejsc przechowywania.

Ważne jest także sprawdzenie, czy osoba nie ma sprzętu lub dokumentów z wcześniejszych ról w organizacji. Pracownik mógł zmieniać dział, projekt albo lokalizację, a część zasobów mogła zostać wydana poza obecnym zespołem.

Jeżeli odejście następuje ze skutkiem natychmiastowym, mienie firmowe powinno zostać jak najszybciej zwrócone. Gdy nie da się odzyskać go od razu, organizacja powinna ustalić konkretną datę i sposób zwrotu, np. osobiste przekazanie sprzętu albo przesyłkę rejestrowaną. Chodzi nie tylko o wartość materialną urządzenia, ale przede wszystkim o dane, dostęp i możliwość dalszego korzystania z zasobów firmy.

Odebranie dostępu

Drugim kluczowym elementem jest dezaktywacja dostępów cyfrowych i fizycznych. NPSA podkreśla, że podobnie jak przy zwrocie aktywów, organizacja powinna używać checklisty również do usunięcia wszystkich dostępów, które dana osoba wcześniej posiadała. W tym procesie szczególnie przydatny jest scentralizowany system pozwalający rejestrować indywidualne uprawnienia do budynków i systemów. 

W praktyce należy rozważyć m.in.:

  • częściowe lub całkowite zablokowanie identyfikatorów użytkownika;
  • dezaktywację kont e-mail;
  • zmianę haseł do wspólnych systemów;
  • dezaktywację przepustki bezpieczeństwa;
  • zmianę kodów dostępu do wspólnych przestrzeni;
  • zmianę kombinacji do zabezpieczonych miejsc przechowywania;
  • anulowanie upoważnień do składania podpisów;
  • anulowanie firmowej karty kredytowej i kont rozliczania wydatków.

Te działania powinny zostać formalnie potwierdzone dopiero wtedy, gdy faktycznie zostały wykonane. Samo wysłanie maila do IT albo wpisanie zadania w systemie zgłoszeniowym nie wystarcza, jeśli nie ma późniejszej weryfikacji.

Szczególnej uwagi wymagają konta uprzywilejowane, dostępy administracyjne, konta współdzielone, dostęp do VPN, poczta, narzędzia chmurowe, repozytoria kodu, systemy finansowe, CRM, narzędzia do podpisu elektronicznego, konta reklamowe i profile social media. W wielu organizacjach to właśnie one pozostają aktywne najdłużej, bo nie są powiązane bezpośrednio z centralnym katalogiem użytkowników.

Warto przy tym odróżnić odebranie dostępu od trwałego usunięcia konta. W wielu przypadkach bezpieczniejszym rozwiązaniem jest zablokowanie lub dezaktywacja konta, odebranie uprawnień, zakończenie aktywnych sesji i odwołanie tokenów, przy jednoczesnym zachowaniu danych, logów oraz historii audytowej zgodnie z polityką retencji organizacji. Dzięki temu firma ogranicza ryzyko dalszego dostępu, ale nie traci materiału potrzebnego do audytu, wyjaśnienia incydentu, przekazania obowiązków albo spełnienia wymogów prawnych i organizacyjnych.

Konta współdzielone i dostępy zewnętrzne

Jednym z najczęstszych błędów jest pomijanie kont współdzielonych. Jeżeli kilka osób korzysta z jednego loginu i hasła, odejście jednej z nich oznacza konieczność zmiany hasła oraz sprawdzenia, kto nadal powinien mieć dostęp. W przeciwnym razie były pracownik, freelancer albo członek agencji może nadal korzystać z narzędzia, mimo że jego indywidualne konto zostało zamknięte.

Dotyczy to szczególnie:

  • paneli administracyjnych stron internetowych;
  • kont reklamowych;
  • systemów newsletterowych;
  • hostingów;
  • narzędzi analitycznych;
  • kont social media;
  • narzędzi do zarządzania projektami;
  • współdzielonych dysków i folderów.

Dostępy zewnętrzne są trudniejsze do kontroli, bo często nie znajdują się w głównym systemie zarządzania tożsamością. Dlatego organizacja powinna regularnie sprawdzać, kto ma dostęp do narzędzi firmowych poza centralnym katalogiem. W idealnym modelu dostęp zewnętrzny powinien być nadawany imiennie, z MFA i datą ważności.

Jakie ryzyka wiążą się ze źle przeprowadzonym offboardingiem?

Źle przeprowadzony offboarding tworzy realne ryzyka dla bezpieczeństwa organizacji. Problemem nie jest wyłącznie były pracownik, który nadal ma aktywne konto, ale cały zestaw pozostawionych dostępów, urządzeń, tokenów, plików i uprawnień, nad którymi firma traci kontrolę. Niesie to za sobą następujące ryzyka: 

  • wyciek lub wyniesienie danych – osoba z aktywnym dostępem może skopiować dane klientów, dokumenty handlowe, kod źródłowy, raporty finansowe albo pliki projektowe. NCSC wskazuje eksfiltrację danych przez insiderów jako ryzyko wymagające konkretnych środków technicznych i organizacyjnych;

  • pozostawione aktywne konta jako furtka dla cyberprzestępców – nieaktywne, ale niezablokowane konto może zostać przejęte i wykorzystane do ataku. Ryzyko rośnie szczególnie wtedy, gdy konto nie ma MFA, a organizacja nie monitoruje prób logowania;

  • utrata kontroli nad zasobami firmy – problemem może być nie tylko konto użytkownika, ale także pliki, foldery, konta reklamowe, domeny, repozytoria, profile social media, integracje i tokeny API. Jeżeli firma nie przejmie własności tych zasobów, może utracić dostęp do elementów kluczowych dla codziennego działania;

  • naruszenie poufności i tajemnicy przedsiębiorstwa – szczególnie groźne jest pozostawienie dostępu osobie przechodzącej do konkurencji, skonfliktowanej z organizacją albo posiadającej wcześniej dostęp do informacji handlowych, finansowych lub strategicznych. W takim przypadku nawet krótki okres po zakończeniu współpracy może wystarczyć do skopiowania lub wykorzystania wrażliwych danych.

Podsumowanie - bezpieczny offboarding pracownika

Bezpieczny offboarding powinien być stałym elementem systemu zarządzania bezpieczeństwem, a nie jednorazową czynnością wykonywaną przy okazji odejścia pracownika. Organizacja musi wiedzieć, kto ma dostęp do jakich systemów, na jakiej podstawie i do kiedy ten dostęp jest potrzebny. Kluczowe znaczenie mają aktualne rejestry, jasna odpowiedzialność właścicieli systemów oraz procedury dostosowane do poziomu ryzyka. Im większy dostęp do danych, finansów, kodu, infrastruktury lub informacji strategicznych, tym szybciej i dokładniej należy przeprowadzić odebranie uprawnień. Dobrze zaprojektowany offboarding chroni firmę przed wyciekiem danych, nadużyciem dostępu i utratą kontroli nad własnymi zasobami.

Źródła: 

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów