Projekt zamknięty. Zespół rozwiązany. Raport końcowy zatwierdzony. Podwykonawca wystawił fakturę i zniknął ze struktury organizacyjnej. Wszystko zgodnie z planem? Nie do końca.
Konto projektowe w systemie klienta wciąż istnieje. Skrzynka [email protected] odbiera wiadomości. Hasło do panelu administracyjnego narzędzia SaaS, które trzej członkowie zespołu znali na pamięć, nie zostało zmienione. A historia wątku na Slacku, w którym ktoś wrzucił dane logowania „na szybko, bo spotkanie za pięć minut” jest dostępna dla każdego, kto ma dostęp do kanału.
To nie jest wyjątkowy scenariusz, tylko standard w organizacjach zarządzających projektami bez systemowego podejścia do kontroli dostępów.
Środowisko projektowe to szczególny przypadek zarządzania bezpieczeństwem. Zmienny skład zespołu, presja czasu, współpraca z zewnętrznymi podwykonawcami i naturalny impuls do upraszczania procedur tworzą warunki, w których złe praktyki dotyczące haseł są normą, a nie wyjątkiem. Problem ma dwa wymiary: bezpieczeństwo poświadczeń i efektywność operacyjna zarządzania dostępami. Oba wymagają rozwiązania systemowego.
Dlaczego środowiska projektowe są tak podatne na wycieki?
Gdy do projektu dołącza nowy członek zespołu lub zewnętrzny podwykonawca, najszybszą ścieżką do produktywności jest przekazanie mu istniejących danych logowania do narzędzi projektowych. Nikt nie zakłada nowego konta, nikt nie konfiguruje oddzielnych uprawnień, bo projekt już trwa, termin się zbliża, a konfiguracja „zajmie za długo”.
W efekcie to samo hasło zna pięć, osiem, dwanaście osób. Gdy coś pójdzie nie tak – błąd w systemie, nieautoryzowana zmiana, wyciek danych – ustalenie, kto wykonał konkretną operację, jest niemożliwe. Jak wskazuje analiza CyberFox, gdy wiele osób korzysta z tych samych poświadczeń, rozliczalność przestaje istnieć. Jeśli coś pójdzie nie tak nie ma możliwości ustalenia, kto był odpowiedzialny.
Presja czasu vs. bezpieczeństwo
Środowisko projektowe działa pod stałą presją terminów. Procedury bezpieczeństwa, które w stabilnym środowisku są akceptowalne, w środku „sprintu” stają się przeszkodą. Efektem jest zjawisko określane jako security fatigue, czyli zmęczenie wymogami bezpieczeństwa, które prowadzi do ich obchodzenia. Według badania AwareGO z 2024 roku, 67% pracowników odczuwa przeciążenie wynikające z ciągłych monitów bezpieczeństwa i rygorystycznych polityk haseł. Ta frustracja przekłada się na konkretne zachowania: hasła zapisywane na karteczkach, używanie tych samych danych logowania w wielu systemach, przesyłanie haseł przez komunikatory.
Paradoks polega na tym, że procedury stworzone w celu zwiększenia bezpieczeństwa, gdy są zbyt uciążliwe same generują zachowania, które to bezpieczeństwo obniżają.
Rotacja składu zespołu, czyli niekontrolowany przyrost osób znających te same hasła
Każda zmiana w składzie zespołu projektowego to potencjalne ryzyko. Nowy członek dołącza – poznaje hasła. Podwykonawca kończy etap, ale hasła pozostają w jego pamięci, telefonie, notatniku.
Przy dynamicznej rotacji, typowej dla środowisk projektowych, liczba osób mających lub mających kiedyś dostęp do tych samych poświadczeń rośnie liniowo – podczas gdy kontrola nad tymi poświadczeniami pozostaje statyczna lub maleje.
Ryzyka typowe dla środowisk projektowych
Podwykonawca kończy współpracę, ale hasła z nim zostają
Zewnętrzna agencja realizowała przez trzy miesiące projekt wdrożeniowy. Miała dostęp do środowiska testowego klienta, panelu administracyjnego narzędzia do zarządzania treścią i repozytorium kodu. Projekt zakończony, faktura opłacona, umowa wygasła.
Nikt nie zmienił haseł. Nikt nie sprawdził, czy dostępy do zewnętrznych systemów zostały cofnięte. Pracownicy agencji – obecni i byli wciąż technicznie mogą zalogować się do systemów byłego klienta. Dane Bravura Security pokazują, że tylko 5% liderów IT jest pewnych, że pracownik odchodzący z organizacji nie zabrał haseł ze sobą. W kontekście zewnętrznych podwykonawców ta pewność może być jeszcze mniejsza.
Zmiana project managera bez przekazania dostępów
PM odchodzi w trakcie projektu lub tuż po jego zakończeniu. Dane logowania do kilku systemów projektowych znikają wraz z nim. Nowy PM musi od nowa uzyskiwać dostępy, tracąc czas i ciągłość operacyjną.
Komunikator jako niekontrolowane repozytorium haseł
Wątek na Slacku, Teams lub innym komunikatorze projektowym. Ktoś wrzucił hasło do systemu „na szybko” – bo spotkanie zaczynało się za chwilę, a kolega potrzebował dostępu natychmiast. Wiadomość sprzed ośmiu miesięcy wciąż siedzi w historii kanału. Dostęp do kanału mają nie tylko obecni członkowie projektu, ale też osoby, które dołączyły później i widzą pełną historię wątku.
Dane explodingtopics pokazują, że 41% specjalistów IT przyznaje się do udostępniania haseł przez komunikatory. Każda taka wiadomość to niekontrolowany punkt przechowywania poświadczeń – poza jakimkolwiek systemem zarządzania dostępami.
Centralne zarządzanie dostępami w środowisku projektowym
perc.pass jako narzędzie centralnego zarządzania hasłami w organizacji wprowadza do środowiska projektowego architekturę, która rozwiązuje oba wymiary problemu jednocześnie: bezpieczeństwo poświadczeń i efektywność operacyjną zarządzania dostępami.
Grupy zespołowe z kontrolą uprawnień
Każdy projekt może mieć dedykowaną grupę z precyzyjnie określonymi uprawnieniami dla jego członków – pełny dostęp, tylko do odczytu… Nowe osoby dołączające do projektu uzyskują dostęp do poświadczeń w ciągu minut. Osoby opuszczające projekt tracą go natychmiast.
Historia operacji na poziomie projektu
Centralny rejestr dostępów rejestruje, kto, kiedy i do jakich zasobów projektowych miał dostęp. W przypadku incydentu np. błędu konfiguracyjnego, nieautoryzowanej zmiany lub wycieku danych – historia operacji pozwala precyzyjnie odtworzyć stan faktyczny i ustalić zakres zdarzenia.
Cofnięcie dostępu bez zakłócania pracy zespołu
Gdy podwykonawca kończy współpracę lub pracownik zmienia projekt, jego dostęp kończy się jednym kliknięciem.
Onboarding nowego członka
Nowy developer dołącza do projektu w środku sprintu. Zamiast wysyłać mu listę haseł do kilkunastu systemów przez e-mail lub Teams, właściciel przypisuje go do grupy projektowej w perc.pass. Od tej chwili ma dostęp do wszystkich niezbędnych dostępów.
Jeśli chcesz sprawdzić, jak centralne zarządzanie dostępami wygląda w praktyce projektowej przetestuj perc.pass w bezpłatnym okresie trial. Konfiguracja pierwszego grupy projektowej to kilka kliknięć.