Firma outsourcingowa IT obsługuje 40 klientów. Agencja full-service zarządza kampaniami reklamowymi, stronami i sklepami internetowymi kilkunastu marek. Konsultant wdrożeniowy ma dostęp do środowisk produkcyjnych organizacji, z którymi pracował przez ostatnie trzy lata.
Każda z tych firm posiada coś, czego atakujący szukają aktywnie: dostęp do systemów wielu organizacji jednocześnie. Nie dlatego, że są słabym ogniwem, ale dlatego, że są efektywnym wektorem. Jeden skompromitowany dostęp po stronie dostawcy usług może otworzyć drzwi do dziesiątek klientów równocześnie.
Problem nie polega na tym, że firma usługowa ma dostęp do systemów klientów. To warunek konieczny świadczenia usług. Problem leży w tym, jak tym dostępem zarządza. Kto w zespole ma które hasła, jak są przekazywane przy rotacji pracowników, jak aktualizowane po zmianie i to co ma kluczowe znaczenie w kontekście odpowiedzialności karnej – czy w razie incydentu firma jest w stanie udowodnić, że dostępami zarządzała prawidłowo.
Dlaczego firmy usługowe są szczególnym celem
Trzecia strona jako wektor ataku
Dostępy third-party (zewnętrznych dostawców, partnerów i firm serwisowych) stają się jednym z dominujących wektorów naruszeń bezpieczeństwa. Według danych SentinelOne, w 2024 roku połączenia third-party były powiązane z 35,5% wszystkich zgłoszonych naruszeń. To wzrost o 6,5% rok do roku. Ryzyko eskaluje, ponieważ konta dostawców często mają szerokie uprawnienia, brak monitorowania sesji i pozostają aktywne długo po zakończeniu projektu.
Zgodnie z danymi IBM i Secureframe, naruszenie z udziałem third-party kosztuje średnio 4,76 mln USD – więcej niż przeciętne naruszenie bez udziału zewnętrznego dostawcy. Co więcej, wykrycie naruszenia wywołanego przez podatność w oprogramowaniu trzeciej strony zajmuje średnio 210 dni, a kolejne 76 dni na jego opanowanie. (Imprivata)
Firma usługowa jako mnożnik ryzyka
Dla atakującego skompromitowanie jednej agencji marketingowej z dostępem do kont reklamowych 20 klientów jest znacznie efektywniejsze niż atakowanie każdego klienta osobno. To samo dotyczy outsourcera IT z dostępem do paneli administracyjnych, serwerów i systemów zarządzania infrastrukturą dziesiątek organizacji.
Firmy usługowe operują w modelu, który z natury koncentruje dostęp. To nieuniknione. Pytanie nie brzmi, jak tego uniknąć, tylko jak zarządzać dostępem w sposób, który minimalizuje ryzyko i pozwala wykazać odpowiedzialność.
Jak wygląda problem
Outsourcing IT – jeden zespół, dziesiątki paneli administracyjnych
Firma IT zarządza infrastrukturą 35 klientów. Każdy klient ma swoje konto w panelu hostingowym, dostęp do routera, login do systemu monitorowania, hasło do serwera pocztowego i konto administratora w systemie operacyjnym. To minimum 5–10 poświadczeń na klienta – przy 35 klientach oznacza to ponad 200 haseł w obiegu.
Jak wygląda zarządzanie nimi bez dedykowanego narzędzia? Hasła trafiają do arkusza Excel na wspólnym dysku, są przesyłane przez Slacka przy zmianie technika prowadzącego lub kopiowane przez każdego pracownika do własnych notatek. Gdy technik odchodzi z firmy, nikt nie ma pewności, ile haseł zabrał ze sobą i do których systemów klientów nadal może się zalogować.
Agencja full-service – jedno konto na cały zespół kreatywny
Agencja prowadzi działania dla 15 klientów: kampanie Google Ads i Meta, zarządzanie treścią na stronach (CMS), obsługę sklepów (WooCommerce, Shopify), wysyłkę newsletterów i moderację social mediów. Każdy klient ma konto w Google Ads, konto w Meta Business Manager, dostęp do panelu CMS, login do platformy e-mail marketingowej i dane do FTP lub panelu hostingowego.
Jedno konto klienta jest używane przez account managera, specjalistę SEM, grafika, copywritera i czasem zewnętrznego freelancera. Hasło krąży przez e-mail, Slacka lub jest wpisywane ręcznie na podstawie screenshota z dokumentu. Gdy klient zmienia hasło, ponieważ „chciał się upewnić” – cały przepływ informacji zaczyna się od nowa. Często ze zgubionymi wiadomościami i opóźnieniami operacyjnymi.
Konsultant / wdrożeniowiec – tymczasowy dostęp, który nigdy nie wygasa
Firma konsultingowa realizuje wdrożenia systemów ERP, platform e-commerce i niestandardowych rozwiązań dla klientów korporacyjnych. Na czas projektu jej pracownicy otrzymują dostępy do środowisk testowych i produkcyjnych. Projekt trwa trzy miesiące. Dostępy – często rok lub dłużej.
Klient rzadko pilnuje, żeby po zakończeniu projektu cofnąć wszystkie dostępy. Konsultant rzadko zgłasza, że powinny zostać cofnięte. W efekcie środowisko produkcyjne klienta jest dostępne dla osób, które zakończyły pracę wiele miesięcy wcześniej.
Jak zarządzać dostępami klientów bez kompromitacji hasła
Jeden klient, jedna grupa
Podstawą kontroli dostępów w firmie usługowej jest organizacja poświadczeń według klientów, nie według pracowników. Każdy klient ma dedykowaną grupę w perc.pass z przypisanym zestawem użytkowników – tych i tylko tych, którzy faktycznie obsługują to konto. Nowy pracownik dołączający do projektu klienta jest dodawany do grupy. Pracownik kończący współpracę z klientem – usuwany. Hasła pozostają niezmienione. Zmienia się wyłącznie to, kto ma do nich dostęp.
W modelu skarbców per klient możliwe jest też precyzyjne różnicowanie uprawnień: account manager ma dostęp do danych logowania do narzędzi marketingowych, ale nie do panelu hostingowego. Technik ma dostęp do infrastruktury, ale nie do danych reklamowych. Każdy widzi wyłącznie to, czego potrzebuje do swojej pracy.
Zmiana dostępu, nie hasła
Jeden z najczęstszych problemów operacyjnych w firmach usługowych występuje, gdy technik lub account manager odchodzi, trzeba albo zmienić hasła do wszystkich systemów klientów (i poinformować o tym klientów lub pozostały zespół), albo zostawić stare hasło i zaakceptować ryzyko.
W perc.pass ten dylemat nie istnieje. Usunięcie pracownika grupy dostępowej klienta cofa jego dostęp do wszystkich poświadczeń w tej przestrzeni natychmiast – bez zmiany samych haseł, bez informowania klientów, bez przerwy w dostępności usługi dla pozostałego zespołu.
Aktualizacja hasła w jednym miejscu
Klient zmienia hasło do swojego panelu administracyjnego. W modelu bez centralnego zarządzania oznacza to: e-mail do wszystkich w zespole, ręczna aktualizacja w arkuszu Excel, ryzyko, że ktoś przez tydzień będzie próbował logować się starym hasłem i blokować konto.
Z perc.pass hasło jest aktualizowane w jednym miejscu przez osobę, która je otrzymała od klienta. Wszyscy pozostali użytkownicy grupy mają dostęp do aktualnych danych.
Rozliczalność w razie incydentu
Historia operacji
Gdy klient zgłosi incydent np. nieautoryzowaną zmianę w systemie, podejrzaną aktywność na koncie reklamowym, modyfikację konfiguracji serwera – pierwsze pytanie skierowane do firmy usługowej brzmi: kto się logował i kiedy?
Perc.pass w ramach logów systemowych rejestruje każdą operację: kto, kiedy i do czego miał dostęp. W przypadku incydentu firma może w ciągu minut przedstawić dokumentację operacyjną: listę logowań, historię zmian uprawnień, datę ostatniej rotacji dostępów. To różnica między „wydaje nam się, że…”, a „możemy pokazać, że…”.
W kontekście odpowiedzialności kontraktowej wobec klienta i potencjalnych postępowań regulacyjnych (RODO, NIS2) historia operacji jest dowodem na to, że firma usługowa działała z należytą starannością – niezależnie od tego, po czyjej stronie leżała przyczyna incydentu.
Eliminacja niekontrolowanych kanałów
Hasło przesłane e-mailem, wklejone na Slacku lub zapisane w wiadomości Teams to hasło, które istnieje poza jakąkolwiek kontrolą. Jest archiwizowane na serwerach dostawców komunikacji, dostępne z każdego urządzenia zalogowanego odbiorcy i nie do usunięcia bez pewności, że zniknęło ze wszystkich miejsc.
Firma usługowa, która może udokumentować, że jej proces zarządzania dostępami eliminuje ten kanał, ponieważ hasła są udostępniane wyłącznie przez szyfrowany skarbiec ma konkretny argument w kontekście bezpieczeństwa.
Natychmiastowe cofnięcie dostępu
Gdy pracownik odchodzi z firmy, a firma jest w stanie wskazać dokładną godzinę, w której jego dostęp do systemów klientów został cofnięty – to jest to dowód proaktywnego zarządzania. Gdy nie jest w stanie wskazać tej godziny lub, gdy okazuje się, że dostęp nie został cofnięty w ogóle, cóż…. ma spory problem
W modelu zarządzania dostępami z perc.pass każda zmiana uprawnień jest zarejestrowana z datą i godziną. Offboarding pracownika to nie proces do zrealizowania „przy okazji”, tylko operacja, której wykonanie jest udokumentowane.
Jeśli chcesz, aby zarządzanie dostępami klientów było proste i bezpieczne – przetestuj perc.pass w bezpłatnym okresie trial.