«Когда учетные записи моей жены были взломаны и мы потеряли 800 долларов в результате ограбления в интернете, стало очевидно, что нам нужно более серьезно относиться к нашей онлайн-безопасности» — таких историй от частных пользователей валом лежит на форумах и на сайтах-ревьюшниках.
А что с безопасностью данных у малого и среднего бизнеса?
Да, мы знаем, что есть уже «цифровые финансовые активы», но мы не про них.
Все эти «админки», «учетки», аккаунты в соцсетях и так далее — цифровые активы бизнеса. Некоторые из них являются частью вашей интеллектуальной собственности и имеют денежную стоимость — например, сайт или мобильное приложение.
Попробуйте провести ревизию:
Домены, логотип, лицензии на цифровые продукты, криптовалюты, подтвержденные ключом, учетные записи, ответы на контрольные вопросы, электронные книги, патенты, конфигурации программного обеспечения, сертификаты, видео с обучения, устройства, авторизованные к корпоративным аккаунтам и т.п.
Как насчет общих рабочих мест? Например, в медучреждениях врачи часто делят между собой один кабинет, общий компьютер, или планшет. Где хранятся данные об учетных записях?
Мы более 10 лет ведем все проекты во внутренней системе постановке задач и учета времени. И у нас была типовая процедура: наши клиенты передавали данные для хостинга, по доменам и прочие доступы, необходимые для работы. Для того, чтобы доступы по проекту были в одном месте мы написали небольшой модуль для учета доступов.
За 10 лет накопилась приличная статистика и мы видим, что на 1 компанию приходится, в среднем от 11 до 35 аккаунтов. Например, у нас сейчас 58.
Вот что говорят, пользователи 1password (данные trustpilot.com):
Как правило, в небольших компаниях (а это любой малый и средний бизнес) нет IT-отдела или инженера по IT-безопасности. Если и есть приходящий системный администратор, то он может и не знать, чем сотрудники разных отделов пользуются.
Обычно доступы хранят на листочках, в файлах на сервере или рабочем компьютере. Бывает, что нам дают ссылки на гугл-доки с правами «на чтение» или присылают в телеграм.
Исследование Серчинформ от 2018 г. сообщает — в 74% инцидентов, связанных с потерей данных, виноваты рядовые сотрудники. Это — руководители, бухгалтера, секретари, IT-специалисты. Они когда случайно, а когда и намеренно сливают корпоративные данные. К корпоративным данным, помимо сотрудников есть еще и подрядчики, фрилансеры.
Часто наши клиенты теряют доступы к соцсетям, YouTube, доменам, хостингу. Последняя история — почти месяц нам пришлось переписываться с хостером от имени клиента для того, чтобы восстановить доступ к хостингу. Все это время сайт невозможно было обновить, а без этого обновления нельзя было запускать рекламные кампании.
Как бы пафосно это не звучало, но первая линия обороны для бизнеса от потери данных — системы управления доступами.
Есть проверенные западные решения, но с использованием и их оплатой на территории РФ есть проблемы. Есть несколько российских решений.
Для командной работы:
В этой статье мы не будем проводить сравнительные характеристики продуктов, во-первых обзоров много, в во-вторых считаем, что выбор решения — дело индивидуальное и сильно зависит от общей технологической культуры компании, наличия/отсутствия специалистов, ресурсов и планов на будущее.
Для начала нужны общие правила внутри компании:
Соберите список всех ресурсов, которыми пользуются ваши сотрудники, пароли для входа в «учетки», «админки», аккаунты и т.д.
Выясните, каково назначение всех собранных ресурсов; что из них используется редко или не используется вообще. Определите, что наиболее важно для компании. Какие есть риски для тех или иных ресурсов — ограничения для пользователей, возможность блокировки и т.д.
Все ресурсы оцените по критериям: надежность, польза, безопасность и незаменимость. Так вы определите самые ценные. Возможно, вы поймете, что какие-то цифровые активы вам и не нужны.
Соберите все доступы в одном месте. Подумайте, как сделать так, чтоб этот реестр был защищен, чтоб никто не смог его отредактировать без вашего ведома, случайно удалить информацию.
Например, доступы могут быть у тех, кому это действительно необходимо: у маркетолога — к соцсетям, у бухгалтерии — к личным кабинетам банка и налоговой и т.д. У собственника должны быть доступы ко всем ресурсам.
Потом уже можно установить менеджер паролей. С ним все будет на виду: кто к чему имеет доступ, кто что отредактировал. А главное — ни один пароль или логин не потеряются.
Мы сделали структуру похожую на структуру организации: есть роли (должности/совмещение должностей), пользователи и группы (департаменты/отделы).
Добавлять в менеджер паролей можно как своих сотрудников, так и фрилансеров, работающих на аутсорсе, или заказчиков. После окончания проекта этих пользователей можно просто удалить из приложения, а пароли, которыми они пользовались, поменять.
Пропишите для сотрудников свод правил: какие активы ваша компания использует, кто имеет доступ к тем или иным активам, кто может ими управлять.
Резюме следующее: цифровые активы — вопрос не только безопасности, но и репутации. Поэтому мы очень советуем в ближайшее время провести их инвентаризацию, с менеджером паролей или без.
