«Ростелеком»: 80% российских компаний могут стать добычей хакеров

80% российских компаний не соблюдают требований к паролям и рискуют утечкой данных, сообщили в пресс-службе ПАО «Ростелеком».

   
   

Практически в каждой корпоративной сети дочерняя структура «Ростелекома» – «Ростелеком-Солар» – смогла получить привилегии администратора. Имея такой уровень доступа, злоумышленник может украсть конфиденциальные данные и деньги с банковских счетов. Опаснее всего, что хакера, укравшего пароль сотрудника, сложно вычислить.

В исследовании участвовали компании из банковского сектора, сферы производства, информационных технологий, информационной безопасности и других. Имитация атак предполагала два сценария: проникновение в корпоративную сеть извне, а также имитацию действий внутреннего нарушителя. В первом случае самой распространённой ошибкой оказались слабые пароли (admin, 12345, qwerty) и отсутствие блокировок учётных записей, благодаря которому пароль можно подбирать столько, сколько понадобится. 

Во втором случае сотрудники ставили одинаковые пароли на свои учётные записи с разными уровнями доступа. Предполагается, что если у пользователя есть обычная и привилегированная учётная запись, последнюю сложней взломать, поскольку обычно он её не использует. Но если пользователь ставит на них одинаковые пароли, вычислить его намного проще. Ещё одна ошибка пользователей – хранение паролей в общем доступе или на рабочем компьютере. Достаточно заразить компьютер нужного сотрудника, и все ключи попадут в руки злоумышленника.

В некоторых компаниях не предусмотрено требование к созданию сложных паролей, содержащих определённое количество букв в разных регистрах, цифр и знаков. Иногда пароли меняют слишком часто – раз в месяц, что провоцирует пользователей придумывать наиболее простые сочетания и записывать их, в других компаниях пароли не меняют годами, и бывший сотрудник может в любой момент оставить неприятный сюрприз. 

В «Ростелеком-Солар» считают, что наилучший выход для корпоративных пользователей – двухфакторная аутентификация. Правда, компании не спешат её внедрять из-за сложности организации и дорогого обслуживания. В этом случае остаётся только обучать сотрудников кибергигиене и предоставлять им защищённую базу данных для хранения паролей.