Доступы уволенных сотрудников: как забытая учётка стоит миллионы

Представьте: кто-то в вашем интернет-магазине создал промокод на скидку 100%. Без лимита по количеству использований, без ограничения по сумме. Промокод попал в CPA-сеть. За один час — 112 заказов по 0 рублей. Пока заметили, пока заблокировали — убытки на сотни тысяч. Причина — доступ к админке у бывшего сотрудника, которому этот доступ был не нужен уже три месяца.

Это не гипотетический сценарий. Подобные истории происходят регулярно — просто компании предпочитают о них не рассказывать. И если в e-commerce последствия измеряются деньгами, то в HR-системах ставки ещё выше: персональные данные сотрудников, зарплаты, медицинская информация, результаты оценок. Утечка такой информации — это штрафы по 152-ФЗ, судебные иски и разрушенное доверие команды.

Масштаб проблемы: статистика забытых доступов

Цифры, которые заставляют задуматься:

• 50% компаний не отзывают все доступы уволенного сотрудника в день увольнения (исследование Ivanti)
• 25% бывших сотрудников сохраняют доступ к корпоративным системам спустя неделю после увольнения
• 20% инцидентов информационной безопасности связаны с действиями бывших сотрудников (Ponemon Institute)
• Среднее время обнаружения несанкционированного доступа через аккаунт бывшего сотрудника — 150–200 дней
• В 71% компаний нет автоматизированного процесса отзыва доступов при увольнении

Проблема особенно остра в компаниях среднего размера (100–500 сотрудников): достаточно большие, чтобы иметь десятки корпоративных систем, но недостаточно зрелые для полноценного IAM (Identity and Access Management).

Какие доступы «забываются» чаще всего

HR-специалист помнит про пропуск и корпоративную почту. IT-отдел отключает учётку в Active Directory. Но между «основными» и «всеми» доступами — пропасть.

Корпоративные сервисы:

• Почта (Google Workspace, Microsoft 365)
• Мессенджеры (Slack, Teams, Telegram-каналы)
• Облачные хранилища (Google Drive, OneDrive, Notion)
• Корпоративный портал и база знаний

HR-системы:

• Кадровая система (1С:ЗУП, HRM-платформа)
• LMS и система обучения
• Система оценки и обратной связи
• Портал вакансий (если доступ был)

Бизнес-системы:

• CRM (данные клиентов, сделки, контакты)
• ERP и финансовые системы
• Системы аналитики (Metabase, Power BI, Tableau)
• Административные панели сайтов и приложений

Инфраструктура:

• VPN-доступ
• SSH-ключи и доступы к серверам
• API-токены и сервисные аккаунты
• Wi-Fi корпоративной сети

Типичная компания на 200 сотрудников использует 50–80 SaaS-сервисов. У среднего сотрудника — доступ к 15–25 из них. При увольнении «вручную» IT-отдел отзывает 5–7 основных. Остальные 10–18 остаются активными. Подробнее о защите данных — в материале по безопасности HR-систем.

Типы рисков: от утечки до саботажа

Активная учётка уволенного — это не абстрактная угроза. Вот конкретные сценарии, которые случаются на практике:

1. Утечка персональных данных. Бывший HR-специалист сохранил доступ к кадровой системе. Через месяц после увольнения скачал базу сотрудников — ФИО, должности, зарплаты, контакты — и передал конкурирующему работодателю для хантинга. Или — хуже — данные утекли в результате взлома его личного устройства, на котором сохранились пароли.

2. Финансовый саботаж. Обиженный бывший сотрудник с доступом к CRM удаляет клиентскую базу или изменяет данные в сделках. Бывший маркетолог с доступом к рекламному кабинету запускает кампании на пустой бюджет. Бывший администратор сайта добавляет редиректы на сторонний ресурс.

3. Репутационный ущерб. Доступ к корпоративным соцсетям позволяет публиковать от имени компании. Доступ к почтовому сервису — рассылать письма клиентам и партнёрам. Один неуместный пост от имени компании может стоить месяцев репутационной работы.

4. Комплаенс-нарушения. Наличие активных учёток бывших сотрудников с доступом к персональным данным — прямое нарушение 152-ФЗ. При проверке Роскомнадзора или в случае утечки компания не сможет доказать, что обеспечивает надлежащую защиту данных.

5. Шпионаж. В конкурентных отраслях (IT, фарма, финтех) доступ к стратегическим документам, роадмапу продукта или финансовой отчётности — ценный актив. Бывший сотрудник, перешедший к конкуренту, может использовать сохранённый доступ для получения коммерческой тайны.

Почему ручной оффбординг не работает

Большинство компаний полагаются на ручной процесс: HR отправляет IT-отделу список доступов для отзыва, IT выполняет запрос. Звучит просто — но на практике ломается на каждом шагу.

Проблема 1: Нет полного реестра доступов. HR не знает, к каким системам имеет доступ конкретный сотрудник. IT знает про «свои» системы, но не про SaaS-сервисы, которые подразделения подключили самостоятельно (shadow IT). В итоге отзывают то, что помнят, а не то, что есть.

Проблема 2: Несовпадение сроков. HR оформляет увольнение. Сотрудник отрабатывает две недели. IT-запрос уходит в последний день или после. В промежутке сотрудник, уже мотивированный к уходу, сохраняет полный доступ ко всем системам.

Проблема 3: Человеческий фактор. Заболел IT-специалист, завалили тикетами, «забыл одну систему». Один пропущенный доступ — одна открытая дверь.

Проблема 4: Отсутствие проверки. Никто не верифицирует, что все доступы действительно отозваны. Нет финального чек-листа, нет аудита. «Вроде всё сделали» — не работает как стратегия безопасности.

Полный чек-лист оффбординга помогает структурировать процесс — но без автоматизации остаётся зависимость от дисциплины конкретных людей.

Автоматизированный оффбординг: как должно работать

Цель — при изменении статуса сотрудника в HR-системе (увольнение, перевод, завершение проекта) доступы перестраиваются автоматически. Вот архитектура процесса:

Триггер: HR-специалист оформляет увольнение в кадровой системе → статус сотрудника меняется на «увольняется».

Автоматические действия в день увольнения:

1. Деактивация учётной записи в корпоративном каталоге (AD / LDAP / Google Directory)
2. Отзыв доступов во всех интегрированных SaaS-сервисах через SSO/SCIM
3. Блокировка VPN и удалённого доступа
4. Переназначение прав на файлы и документы (руководителю или преемнику)
5. Архивирование почтового ящика
6. Удаление из корпоративных групп и каналов
7. Деактивация пропуска (СКУД)
8. Отзыв API-токенов и SSH-ключей

Уведомления:

• Руководителю: «Доступы сотрудника [Имя] деактивированы. Проверьте передачу дел»
• IT-отделу: «Автоматический оффбординг выполнен. Требует ручной проверки: [список систем без интеграции]»
• Службе безопасности: «Аудит-лог оффбординга доступен по ссылке»

Верификация: через 24 часа — автоматическая проверка активности учётных записей во всех системах. При обнаружении активной учётки — эскалация на ответственного.

Ролевая модель доступа: профилактика проблемы

Автоматизация оффбординга решает проблему «после». Но лучшая стратегия — минимизировать риск «до». Ролевая модель доступа (RBAC) — фундамент этого подхода.

Принцип минимальных привилегий: сотрудник получает только те доступы, которые необходимы для его роли. Маркетолог не видит CRM, бухгалтер не видит маркетинговые кабинеты, HR-специалист не видит код продукта.

Как выстроить ролевую модель:

1. Определите роли. Не должности, а функциональные роли: «Рекрутер», «HR-менеджер», «Руководитель подразделения», «Финансовый аналитик». Одна должность может включать несколько ролей.

2. Сопоставьте роли и системы. Для каждой роли — список систем и уровень доступа (просмотр / редактирование / администрирование). Это «матрица доступов».

3. Автоматизируйте назначение. При онбординге нового сотрудника система автоматически выдаёт доступы согласно его роли. Подробнее — в пошаговом плане автоматизации онбординга.

4. Регулярный пересмотр. Раз в квартал — ревизия матрицы: «Все ли доступы актуальны? Нет ли избыточных прав?». Особое внимание — сотрудникам, которые сменили должность: старые доступы часто остаются при назначении новых.

Интеграция HR-системы и IT-инфраструктуры

Ключевой технический элемент — связка между HR-системой (источник правды о статусе сотрудника) и IT-инфраструктурой (управление доступами). Без этой интеграции автоматизация невозможна.

SSO (Single Sign-On). Единая точка аутентификации. Сотрудник входит один раз — получает доступ ко всем связанным системам. При деактивации — теряет доступ ко всем сразу. SSO сокращает количество «забытых» учёток в разы.

SCIM (System for Cross-domain Identity Management). Стандарт автоматического управления учётными записями в SaaS-сервисах. HR-система создаёт, обновляет и деактивирует аккаунты во внешних сервисах через SCIM-интеграцию.

API-интеграции. Для систем, не поддерживающих SCIM — кастомные интеграции через API. Событие в HR-системе («сотрудник уволен») вызывает API-запрос к каждой связанной системе.

LDAP/Active Directory. Корпоративный каталог как центральный узел. HR-система синхронизирует статусы сотрудников с AD, AD управляет доступами к внутренним ресурсам.

Степень зрелости интеграции определяет скорость и надёжность оффбординга:

Комплаенс: 152-ФЗ и ответственность

Забытые доступы — не только операционный риск, но и юридический. Вот что говорит законодательство:

152-ФЗ «О персональных данных» требует от оператора обеспечить конфиденциальность данных и ограничить доступ к ним. Если уволенный сотрудник сохраняет доступ к персональным данным коллег — компания нарушает закон.

Штрафные санкции:

• До 18 000 000 ₽ за утечку персональных данных (с 2024 года)
• Оборотные штрафы до 3% годовой выручки за повторные нарушения
• Уголовная ответственность для должностных лиц при умышленном или грубо-неосторожном обращении с данными

Что проверяет Роскомнадзор:

• Кто имеет доступ к персональным данным сотрудников
• Как управляется доступ при увольнении
• Есть ли документированный процесс отзыва прав
• Ведётся ли журнал доступов

Наличие автоматизированного процесса оффбординга с аудит-логами — сильный аргумент при проверке. Отсутствие процесса — отягчающее обстоятельство.

Чек-лист безопасного оффбординга доступов

Вот минимальный чек-лист, который должен выполняться при каждом увольнении:

В день увольнения (или ранее, в зависимости от политики):

• Деактивирована учётная запись в корпоративном каталоге (AD/LDAP)
• Отозван доступ к корпоративной почте
• Заблокирован VPN и удалённый доступ
• Отозваны доступы ко всем SaaS-сервисам (по матрице доступов)
• Деактивирован пропуск (СКУД)
• Отозваны API-токены, SSH-ключи, сертификаты
• Удалена учётка из корпоративных мессенджеров и каналов
• Сменены общие пароли, к которым сотрудник имел доступ
• Проверена переадресация почты (убрать форвардинг)
• Архивированы рабочие файлы, переданы руководителю

В течение 24 часов:

• Аудит активности учётных записей во всех системах
• Проверка отсутствия несанкционированных действий в последние дни работы
• Подтверждение от IT о полном отзыве доступов

В течение 7 дней:

• Удаление персональных данных сотрудника из систем, где хранение более не требуется
• Обновление матрицы доступов (если должность закрыта или реорганизована)
• Передача лицензий и подписок

Аудит текущего состояния: с чего начать

Если вы подозреваете, что в вашей компании есть «забытые» учётки — вот план действий:

Шаг 1. Список уволенных за последние 12 месяцев. Выгрузите из кадровой системы. Обычно это десятки, а в крупных компаниях — сотни человек.

Шаг 2. Ревизия учётных записей. По каждой корпоративной системе проверьте: есть ли среди активных аккаунтов люди из списка уволенных. Начните с критичных систем: почта, CRM, HR-система, финансовые системы.

Шаг 3. Немедленная деактивация. Все найденные активные учётки бывших сотрудников — деактивировать немедленно. Не удалять (может понадобиться аудит), а именно заблокировать.

Шаг 4. Анализ активности. Проверьте логи: были ли входы в систему после даты увольнения. Если да — это инцидент безопасности, требующий расследования.

Шаг 5. Построение процесса. На основе результатов аудита — выстройте или улучшите процесс оффбординга, используя чек-лист выше.

Профилактика: культура безопасности в HR

Технические меры — необходимое, но недостаточное условие. Безопасность доступов — это также вопрос культуры и процессов.

Обучение HR-команды. Каждый HR-специалист должен понимать: оффбординг — это не «подписать обходной лист», а критический процесс безопасности. Включите модуль по информационной безопасности в обучение HR-команды.

Ответственность. Назначьте ответственного за процесс оффбординга доступов. Не «все понемножку», а конкретный человек с чек-листом и дедлайнами.

Регулярный аудит. Ежеквартальная ревизия доступов: сравнение списка активных учёток со списком действующих сотрудников. Автоматически или вручную — но регулярно.

Политика паролей и общих аккаунтов. Минимизируйте использование общих учётных записей (admin@, marketing@). Каждый сотрудник — персональный аккаунт. Тогда отзыв доступа при увольнении не ломает работу команды.

Связь между качественным оффбордингом и онбордингом неслучайна: компании, которые системно выстраивают жизненный цикл сотрудника от первого дня до последнего, минимизируют и кадровые, и информационные риски. Платформа HRBP.ru помогает автоматизировать оба конца этого процесса — от назначения доступов при выходе нового сотрудника до их отзыва при увольнении, с полным аудит-логом и интеграцией с корпоративной IT-инфраструктурой.