Беседа с Анной Крампец о цифровой гигиене: управление паролями и доступами, учет цифровых активов, создание платформы для хранения данных.
Как пришла идея создать платформу по управлению паролями и доступами?
Мы более 15 лет работаем в диджитал — создаем сайты, мобильные приложения, чат-боты. Это проектная работа, во время которой мы получаем от клиента материалы, в том числе, нам передают разные доступы. Это не только логины и пароли к какому-нибудь серверу или домену, но и доступы к рабочим материалам, файлам, сертификатам и т.д.
Все эти данные мы храним до тех пор, пока идет проект. Храним у себя в специальной системе учета задач и времени.
Обычно наши клиенты через год (а иногда через несколько лет) после окончания работ обращаются к нам за восстановлением доступов. Кто-то потерял логин с паролем к YouTube, кто-то — к диску, к корпоративной почте. Недавно клиент, который не работает с нами уже три года, спрашивал, не остался ли у нас доступ к биллингу.
Обращения были настолько частыми, что мы решили «вынести» модуль по хранению паролей и доступов в отдельный продукт, который смогли бы использовать для своих процессов. Во время работы с проектами клиентов мы заводим специальное место для хранения данных в TeamDo. Когда проект заканчивается, у клиента остается не файл на гугл-диске, а защищенное хранилище паролей.
Наверное, свои данные теряют маленькие компании?
К сожалению, такие ситуации возникают не только в небольших компаниях. Лучше всего защищен крупный бизнес и госкорпорации, потому что у них есть ресурсы на отделы информационной безопасности, на серьезные IT-решения и на контроль.
Малый и средний бизнес думает о безопасности своих данных, но не сильно о ней заботится: не хватает специалистов, нет знаний у руководителей. Скорее, нет даже фокуса внимания на этой проблеме.
Мы считаем, что в будущем будет все больше проблем с утечкой данных. А новости говорят о том, что большинство проблем идет от отсутствия порядка. Мы хотим дать инструмент, который поможет любой организации навести порядок, будет простым в использовании и недорогим.
Почему вы говорите о «паролях и доступах»?
Мы разделяем «пароли» и «доступы» осознанно. У учетных записей есть логин и пароль, а у ссылки к, например, фотобанку компании, нет пароля. Но сама ссылка ведет на определенный ресурс, где мы можем использовать файлы. В нашей терминологии такую ссылку мы называем доступом.
Поэтому точное название продукта — менеджер паролей и доступов TeamDo.
Сколько паролей и доступов есть у организации?
Еще год назад у одной небольшой компании было 11-35 доступов, сейчас их количество варьируется с 15 до 58.
Это, как я говорила раньше, не только учетные записи, но и другая ценная информация. Мы называем ее «цифровые активы».
Ваш менеджер паролей и доступов могут использовать физические лица?
Использовать могут — запретов на приобретение менеджера паролей в облаке нет. Но мы все же ориентируемся на бизнес и госсектор. Так как основная идея — порядок, для его обеспечения у нас разрабатываются и другие продукты. Это учет материальных и цифровых активов, чек-листы, постановщик задач.
Нам в команде TeamDo нравится слово «Команда». В общем-то любая организация и есть Команда. В нее могут входить как сотрудники организации, так и фрилансеры и подрядчики.
Зачем делать продукт, если на рынке есть подобные?
Конечно, нельзя сказать, что наш менеджер паролей и доступов — пионер среди продуктов. На мировом рынке есть несколько популярных решений, формально они доступны, практически — нет. Юридическому лицу сложно их оплачивать. Дополнительный риск в том, что данные российской компании будут храниться на серверах вне юрисдикции РФ.
На российском рынке есть хорошие корпоративные менеджеры паролей, но как правило все они требуют наличия в организации IT-специалиста. Мы же ставим задачу сделать продукт понятный обычному человеку без знаний в IT.
Как вы решаете вопросы с безопасностью данных?
Так как у нас самих есть пунктик на безопасности, то и тут мы решаем вопрос безопасности на нескольких уровнях. Первый — архитектурное решение, это наше ноу-хау, второе — шифрование данных по алгоритму RSA с 1024-битным ключом, третье — процедурная защита.
Но данные все равно нужно где-то хранить. Где хранятся данные в вашем менеджере паролей?
У нас есть два варианта хранения данных: коробочное и облачное.
В облачном решении данные хранятся на сервере в РФ. Клиентские данные хранятся в зашифрованном виде и недоступны для разработчиков TeamDo. Дополнительная защита — архитектурный подход «ноу-хау» при проектировании системы. Это решение мы рекомендуем использовать для команд менее 100 человек.
При коробочном решении все данные хранятся на вашем сервере. Это подходит для больших команд, где более 100 сотрудников.
Можете дать несколько советов для руководителей компаний: как им разобраться с цифровыми активами без менеджера паролей и системного администратора?
Я рекомендую выполнять 4 основных шага:
-
Проведите инвентаризацию. Соберите список всех интернет-ресурсов, которыми пользуются ваши сотрудники, пароли для входа в «учетки», «админки», аккаунты и др.
-
Рационализируйте цифровой актив. Определите, что наиболее важно для компании, на каких платформах собраны клиенты. Какие есть риски для тех или иных ресурсов — ограничения для пользователей, возможность блокировки и т.д. Все площадки оцените по критериям: надежность, польза, безопасность и незаменимость. Так вы определите самые ценные. Возможно, вы поймете, что какие-то цифровые активы вам и не нужны.
-
Составьте реестр доступов. Соберите все пароли в одном месте. Подумайте, как сделать так, чтоб этот реестр был защищен, чтобы никто не смог его отредактировать без вашего ведома, случайно удалить информацию.
-
Внедрите политику безопасности. Пропишите для сотрудников свод правил: какие активы ваша компания использует, кто имеет доступ к тем или иным активам, кто может их редактировать.
Каждую неделю мы проводим обучающие вебинары по работе с нашей платформой и управлению цифровыми активами и ждем всех желающих навести порядок в своем бизнесе.
Беседу провела Раиса Гибнер, контент-менеджер платформы TeamDo