Блог · Киберсигурност · 27 март 2026 · 4 мин четене

Одит на достъпите: кой какво вижда във вашите системи

Бивши служители с живи акаунти и споделени пароли — най-тихият риск в средния бизнес.

Одитът на достъпите отговаря на един прост въпрос: кой има достъп до кои системи и данни във вашата компания — и трябва ли да го има. На практика това е инвентаризация на всички акаунти, права и споделени пароли, съпоставена с реалните роли на хората. В почти всяка средна компания първият такъв одит открива акаунти на отдавна напуснали служители и права, раздадени „временно“ преди години.

Защо достъпите са най-тихият риск

Пробивът рядко започва с ефектна хакерска атака. Много по-често започва с валидна парола: акаунт на напуснал служител, който никой не е закрил; парола за банкирането, записана в споделена таблица; достъп на външна фирма за поддръжка, останал активен след края на договора. Такъв достъп не вдига аларма, защото за системите той изглежда напълно легитимен.

Точно затова щетите са големи. Ако през подобен акаунт влезе криптовирус, той наследява всичките му права — колко далеч ще стигне, описваме в статията „Ransomware и резервни копия: планът, който спасява бизнеса“. А когато достъпът е бил споделен между няколко души, после е почти невъзможно да се установи кой какво е направил.

Какво включва одитът — стъпка по стъпка

1. Опишете системите. ERP, счетоводен софтуер, имейл, онлайн банкиране, КЕП, облачни услуги, VPN, споделени папки — всичко, където живеят данни или пари.

2. Извадете списъка на акаунтите. За всяка система — кой има акаунт и с какви права. Съпоставете го със списъка на действащите служители от ТРЗ.

3. Проверете правата срещу ролите. Складовият служител трябва ли да вижда заплатите? Всеки достъп, който не е нужен за конкретната работа, се премахва.

4. Намерете споделените акаунти. Общи пароли „на офиса“, сервизни акаунти, вход с един профил от три компютъра — всяко от тях се персонализира или документира с ясен собственик.

5. Прегледайте външните лица. Счетоводна къща, ИТ поддръжка, подизпълнители — какъв достъп имат, докога и на какво основание.

Ключово

Одитът е снимка на момента. Стойността идва от процеса след него: достъп се дава по роля, отнема се в деня на напускането и се преглежда периодично.

Как да поддържате реда след одита

Въведете кратък списък за напускане: в последния работен ден се закриват всички акаунти, сменят се споделените пароли, до които човекът е имал достъп, и се връщат устройствата. Добавете многофакторно удостоверяване за критичните системи и тримесечен преглед на правата. Прегледът на достъпите е и изрично изискване по новите правила за киберсигурност — измененията в Закона за киберсигурност са в сила от 17 февруари 2026 г., а какво друго обхващат, ще намерите в „NIS2 съответствие: пълният checklist за 2026“.

И още нещо: решете предварително какво правите, ако одитът открие следи от злоупотреба. Първите стъпки сме описали в „План за реакция при киберинцидент: първите 72 часа“. А ако предпочитате одитът да се направи с външен поглед и опитен екип, това е част от услугата Киберсигурност на Wiennovation.

Често задавани въпроси

Колко често трябва да се прави одит на достъпите?

Пълен одит — поне веднъж годишно, а съкратен преглед на ключовите системи — на всяко тримесечие. Задължително проверявайте достъпите и при всяко напускане или смяна на роля.

Какво е принципът на най-малките права?

Всеки служител получава само достъпа, който му е нужен за конкретната работа — нищо повече. Така една компрометирана парола дава на нападателя възможно най-малко.

Знаете ли кой има ключ за системите ви?

Ще прегледаме достъпите ви и ще ви дадем ясен списък с действия.

Заявете преглед →
Blog · Cybersecurity · 27 March 2026 · 4 min read

Access audit: who sees what in your systems

Ex-employees with live accounts and shared logins — the quietest mid-market risk.

An access audit answers one simple question: who has access to which systems and data in your company — and should they. In practice it is an inventory of all accounts, permissions and shared passwords, matched against people's actual roles. In almost every mid-sized company, the first such audit uncovers accounts belonging to long-departed employees and permissions handed out "temporarily" years ago.

Why access is the quietest risk

A breach rarely starts with a spectacular hack. Far more often it starts with a valid password: an account of a departed employee that nobody closed; the online banking password saved in a shared spreadsheet; access for an external support company left active after the contract ended. Access like this raises no alarm, because to your systems it looks entirely legitimate.

That is exactly why the damage is so large. If ransomware gets in through such an account, it inherits all of its permissions — how far it can go, we describe in "Ransomware and backups: the plan that saves the business". And when a login has been shared among several people, it is later almost impossible to establish who did what.

What the audit involves — step by step

1. Map the systems. ERP, accounting software, email, online banking, e-signatures, cloud services, VPN, shared folders — everything where data or money lives.

2. Pull the account lists. For every system — who has an account and with what permissions. Match it against the payroll list of current employees.

3. Check permissions against roles. Should the warehouse clerk see the salaries? Any access not needed for the specific job gets removed.

4. Find the shared accounts. A common "office" password, service accounts, one profile used from three computers — each gets personalised, or documented with a clear owner.

5. Review external parties. The accounting firm, IT support, subcontractors — what access they have, until when and on what grounds.

Key point

The audit is a snapshot. The value comes from the process after it: access is granted by role, revoked on the day someone leaves, and reviewed periodically.

How to keep things tidy after the audit

Introduce a short leaver's checklist: on the last working day all accounts are closed, every shared password the person had access to is changed, and devices are returned. Add multi-factor authentication for the critical systems and a quarterly review of permissions. Reviewing access is also an explicit requirement under the new cybersecurity rules — the amendments to the Bulgarian Cybersecurity Act have been in force since 17 February 2026, and what else they cover you will find in "NIS2 compliance: the complete 2026 checklist".

One more thing: decide in advance what you do if the audit finds traces of misuse. We have described the first steps in "Cyber incident response plan: the first 72 hours". And if you would rather have the audit done with an outside eye and an experienced team, it is part of our cybersecurity service at Wiennovation.

Frequently asked questions

How often should an access audit be carried out?

A full audit at least once a year, and a shorter review of the key systems every quarter. Always check access whenever someone leaves or changes role.

What is the principle of least privilege?

Every employee gets only the access they need for their specific job — nothing more. That way a compromised password gives an attacker as little as possible.

Do you know who holds a key to your systems?

We will review your access rights and give you a clear list of actions.

Request a review →