Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
konta

Zapomniane konta i nieużywane dostępy – cichy wróg bezpieczeństwa informacji

19.07.2025

konta

Czym są „cyfrowe duchy” w systemach IT?

W miarę jak organizacje rosną, zmieniają strukturę i wdrażają coraz więcej narzędzi cyfrowych, wzrasta też liczba użytkowników, integracji i punktów dostępu. Niestety, wiele z tych elementów – kont użytkowników, kont systemowych, połączeń API – z czasem traci swoją funkcję, ale nie zostaje formalnie wyłączonych. Właśnie w ten sposób powstają „zapomniane konta”: nieaktywne, nienadzorowane, a często nadal aktywne zasoby, które stają się potencjalnymi furtkami dla cyberprzestępców.

Nieużywane konta – jak powstają?

Każde konto w systemie informatycznym powstaje z jakiegoś powodu: nowy pracownik, dostawca, wdrażana aplikacja, zewnętrzny konsultant. Problem pojawia się wtedy, gdy osoba opuszcza organizację, projekt się kończy, aplikacja przestaje być używana – a konto nadal istnieje. Wiele firm nie posiada spójnych procedur offboardingu, czyli odłączania dostępu po zakończeniu współpracy. Dodatkowo, niektóre konta techniczne – np. te służące do integracji między systemami – pozostają aktywne latami, bo… nikt nie pamięta, po co były i czy są jeszcze potrzebne.

Dlaczego to poważne zagrożenie?

Na pierwszy rzut oka nieużywane konto może wydawać się nieszkodliwe. Przecież nikt z niego nie korzysta. W praktyce jednak to idealny wektor ataku. Jeśli konto nadal istnieje, a hasło nie zostało zmienione, może zostać przejęte – bez wzbudzania podejrzeń. Szczególnie niebezpieczne są konta z uprawnieniami administracyjnymi lub zintegrowane z wieloma systemami.

Do tego dochodzi aspekt braku rozliczalności: jeśli dojdzie do incydentu, bardzo trudno ustalić, kto faktycznie korzystał z konta, które formalnie należy do kogoś nieobecnego.

Ryzyka i konsekwencje dla organizacji

Nieusunięte konta to nie tylko problem techniczny, ale też naruszenie przepisów o ochronie danych osobowych. RODO w art. 32 wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, a art. 5 ust. 2 nakłada na administratora obowiązek wykazania zgodności z zasadami ochrony danych (tzw. rozliczalność). Normy ISO/IEC 27001 oraz 27002 również kładą duży nacisk na kontrolę dostępów, przegląd uprawnień oraz usuwanie niepotrzebnych kont.

Efektem zaniedbania może być nie tylko wyciek danych, ale także kara finansowa, negatywny audyt albo utrata zaufania klientów i partnerów.

Gdzie najczęściej ukrywają się zapomniane dostępy?

  • W systemach HR i CRM, gdzie konta pozostają aktywne po odejściu pracowników.
  • W usługach chmurowych (np. Microsoft 365, Google Workspace), gdzie brak automatycznego usuwania kont powoduje zaleganie „martwych” użytkowników.
  • W systemach VPN, FTP, repozytoriach kodu, czy hurtowniach danych.
  • W integracjach API między systemami, które nie są już utrzymywane.
  • W kontach serwisowych, które rzadko podlegają regularnemu przeglądowi.

Jak przeciwdziałać?

1. Przeprowadź audyt tożsamości i dostępów

Zacznij od inwentaryzacji wszystkich kont w organizacji – zarówno tych widocznych (pracownicy, użytkownicy), jak i technicznych (integracje, automaty). Sprawdź, kiedy ostatnio były aktywne. Czy są przypisane do konkretnej osoby? Czy są nadal potrzebne?

2. Wprowadź cykliczny przegląd uprawnień

Dobrym standardem jest kwartalny przegląd, ale w krytycznych systemach warto robić go co miesiąc. Odpowiedzialność za potwierdzenie potrzeby utrzymania konta powinien mieć bezpośredni przełożony lub właściciel systemu.

3. Wdrażaj mechanizmy wygasania kont

Systemy IAM (Identity and Access Management) pozwalają automatycznie blokować konta, które nie były używane przez określony czas (np. 90 dni). Można też stosować konta z datą ważności – szczególnie dla wykonawców, dostawców i podwykonawców.

4. Zamykaj dostęp przy zakończeniu współpracy

Proces offboardingu powinien zawierać listę kontrolną, która obejmuje: zamknięcie konta e-mail, blokadę dostępu do zasobów chmurowych, repozytoriów, systemów wewnętrznych. Warto dokumentować te działania.

5. Edukacja i świadomość

Administratorzy, menedżerowie i specjaliści IT powinni rozumieć, dlaczego „czyszczenie” dostępów to priorytet. Szkolenia z zakresu zarządzania tożsamością i dostępem (IAM) powinny być częścią regularnych działań podnoszących świadomość.

Dobre praktyki i rekomendacje

  • Wprowadź zasadę „minimum uprawnień” – każdy ma tylko te dostępy, które są mu potrzebne.
  • Zapisuj wszystkie zmiany w dostępach – kto, kiedy, co zatwierdził lub odebrał.
  • Korzystaj z rozwiązań klasy IAM / IGA (Identity Governance & Administration) – które ułatwiają centralne zarządzanie dostępami.

Podsumowanie

Zapomniane konta i nieużywane dostępy to jak otwarte drzwi w zamkniętym budynku – może nikt ich nie zauważy, ale wystarczy jeden włamywacz, by wyrządzić poważne szkody. W świecie, w którym cyberataki są codziennością, zarządzanie tożsamościami i regularne przeglądy dostępów powinny być równie ważne jak aktualizacje systemów czy backupy.

Zadbaj o to, by każde konto miało uzasadnienie, właściciela i datę wygaśnięcia.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści