Российские компании и госучреждения столкнулись с ростом кибератак через учетные записи уволенных сотрудников. По данным экспертов по кибербезопасности, злоумышленники месяцами используют «забытые» доступы для скрытой кражи данных, как это произошло в одной из медицинских госорганизаций, где утечка оставалась незамеченной полгода.

Злоумышленники все чаще эксплуатируют «мертвые души» — активные аккаунты персонала, который уже не работает в организации. Одним из наиболее показательных случаев стала атака на российское медицинское госучреждение. По данным экспертов центра Solar 4RAYS (ГК «Солар»), хакеры из группировки Shedding Zmiy проникли в инфраструктуру через корпоративный VPN, используя данные бывшего сотрудника. В течение шести месяцев они беспрепятственно выгружали информацию из внутренних баз, используя ненадежные пароли и отсутствие контроля за периметром.

Ситуация носит массовый характер и затрагивает банки, промышленность и телеком-сектор. Руководитель BI.ZONE DFIR Федор Скворцов отмечает, что в практике встречались инциденты, когда доступ в систему получали через учетную запись человека, покинувшего компанию еще в 2022 году. Проблема усугубляется тем, что пароли от VPN часто дублируют доменные учетные данные, позволяя хакерам мгновенно перемещаться по всей сети.

Уязвимости удаленного доступа и статистика

Согласно исследованию Threat Zone, компрометация сервисов удаленного доступа становится точкой входа в 18% атак на российский бизнес. При этом аудит безопасности часто выявляет отсутствие элементарных мер защиты:

• У 72% пострадавших компаний не была настроена двухфакторная аутентификация (2FA) для VPN;
• Около 70% организаций не контролировали использование привилегированных учетных записей;
• Примерно 5% доменных аккаунтов в корпоративных сетях не использовались более трех лет, но оставались активными.

Правовые риски и методы защиты

Ответственность за последствия взлома через «забытые» профили лежит на работодателе. Юристы предупреждают: если утечка произошла из-за ненадлежащего управления доступом, компании грозят административные штрафы и гражданские иски. В случае грубой халатности ИТ-служб возможна и дисциплинарная ответственность конкретных сотрудников.

Для минимизации рисков эксперты рекомендуют внедрять автоматизированные процедуры отзыва прав при увольнении. Важным инструментом защиты остается мониторинг аномалий: подозрительными признаками считаются входы в нерабочее время, подключения из нетипичных географических локаций или массовая выгрузка данных, не характерная для профиля конкретного пользователя.