Маркетинговые агентства и SMM-отделы — «чёрная дыра» для корпоративной безопасности. Пароли от аккаунтов во «ВКонтакте», Telegram, видеохостингов и других соцсетях хранятся в электронных таблицах, в личных заметках и стикерах. А доступ к ним есть даже у тех, кто уже годы не работает в компании.
- 1 мин
- 31
Как управлять паролями к корпоративным профилям в соцсетях
Чем грозит взлом аккаунта вашей компании?
Во-первых, это неприятно. У вас могут удалить или отредактировать контент. Если будет опубликован сомнительный контент, то страницу могут заблокировать, а вам придётся тратить силы на переписку с администрацией соцсети и восстановление данных. Как, например, это произошло у автора книги «Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании»:
Во-вторых, взлом может привести к финансовым потерям. Вам могут предложить вернуть доступ к аккаунту за выкуп. Например, такая история случилась с артисткой Еленой Воробей в 2025 году.
В третьих, есть вероятность кражи личных данных ваших клиентов. Через личные сообщения злоумышленники могут рассылать фишинговые ссылки под видом вашей поддержки, воруя данные ваших же покупателей.
В четвертых, если взломана страница, где собирались персональные данные (например, через заявки или комментарии), это нарушение №152-ФЗ. Это может стать основанием для штрафов со стороны Роскомнадзора.
Всё это ведёт к ущербу репутации и потери клиентов.
Слабые места управления паролями к корпоративным аккаунтам соцсетей
Все пароли в одном файле
Это самая частая пробема, которую команда TeamDo наблюдала и наблюдает.
Все доступы хранятся в облачном файле (чаще всего в Google-таблицах). Единый файл с доступом для всей команды (и тех, кто в штате, и фрилансеров) — это «золотая жила». Обычно в этом файле лежат все пароли ко всем соцсетям, права на чтение есть у всех и никто не знает, кто видит и кто пользуется доступами.
Нет 2FA
Так как включение 2FA предполагает получение подтверждающего кода, push-уведомления или входа в приложение/устройство, то двухфакторную аутентификацию часто отключают, чтобы сэкономить время на операции по передачи кода. Отключение 2FA увеличивает риски в тем моменты, когда происходит смена исполнителей или подрядчиков.
Пересылка паролей в мессенджерах и по почте
Пересылка паролей в мессенджерах или по электронной почте — это стандартная операция обмена паролями и ссылками, который легко может привести к утечке или потери аккаунта.
Переиспользование личных паролей
Менеджеры часто ставят один и тот же пароль на десяток корпоративных аккаунтов. Достаточно скомпрометировать один — и все каналы связи с клиентами окажутся в руках мошенников.
Отсутствие контроля доступа
При смене исполнителей менеджеры забывают отозвать права. Так, бывший обиженный SMM-менеджер может легко заблокировать компанию или выложить спам в её паблик.
3 шага для защиты паролей в соцсетях
Чтобы защитить свои активы, не нужно изобретать велосипед. Достаточно внедрить простые, но железные правила.
Отделите личное от корпоративного
Не всем сотрудникам нужен полный доступ к «ВКонтакте» или к рекламному кабинету. Например:
- Копирайтеру — только права на создание постов.
- Дизайнеру — только загрузка медиа.
- Таргетологу — только доступ к рекламному кабинету, но не к редактированию сообщества.
Используйте принцип наименьших привилегий: дайте ровно столько прав, сколько нужно для работы. Это резко снижает риск случайной или намеренной диверсии.
Как это сделать на практике? Для всех каналов соцсетей:
- Привяжите паблик соцсети к профилю собственника или корпоративному номеру телефона. Корпоративный номер «свяжите» с профилем компании в Госулугах.
- Каждый паблик соцсети «свяжите» со своей компанией: загрузите все подтверждающие документы для юридического лица.
-
Оформите юридический документ выдачи доступа, тем сотрудникам (подрядчикам, фрилансерам), которые будут работать с пабликом вашей компании.
- Дайте ограниченный, ролевой доступ: установите соответствующие настройки для каждого пользователя.
Используйте корпоративный менеджер паролей (а не Excel) и исключите пересылку паролей в мессенджерах
Это базовое и главное решение. Менеджеры паролей, как, например Пароли.TeamDo для соцсетей, позволяют:
- Генерировать сложные, уникальные пароли для каждой соцсети и не держать их в голове.
- Хранить их в зашифрованном виде (никаких листочков и файлов!) в менеджере паролей.
- Безопасно делиться доступом с подрядчиком или новым сотрудником.
- Если человек уволился — вы просто отзываете его доступ одним кликом.
Безопасный менеджер паролей для организаций
Предоставьте сотрудникам безопасный способ создания, хранения и обмена паролями. Выполняйте ФЗ-152, снижайте риски потери данных.
Везде, где можно, включите двухфакторную аутентификацию (2FA)
Это обязательное требование для аккаунтов компаний. VK, Telegram, Яндекс, Google, RuTube, ОК, MAX, Дзен — все поддерживают 2FA.
Важный нюанс: дополнительные описания (например, второй подтверждающий номер, эл.почту) лучше хранить в том же менеджере паролей. В менеджере паролей TeamDo их можно ещё и зашифровать для дополнительной защиты.
Заключение
Внедрение может показаться сложно задачей, но в нашей практике мы видим, что за 1–2 рабочих дня можно навести порядок.
Анна Крампец
Директор TeamDo
Отвечает за стратегию и развитие бренда и продукта TeamDo.
Предприниматель. Опыт в IT и управлении бизнесом более 24 лет.
«Навести порядок в управлении пабликами не так сложно, как кажется. Нужно собрать все учётные записи, определить роли и права доступа. Возможно, стоит оставить всего две-три роли: редактора, контент-редактора, модератора. Затем посмотреть, кто из сотрудников будет выполнять эти роли и дать им соответствующие права. ─ рекомендует СЕО платформы TeamDo Анна Крампец. ─ И, конечно, стоит воспользоваться рекомендациями: мы их используем для своих проектов и в нашем агентстве Online Media».
Полезные документы и статьи
Политика паролей: как подготовить документ для сотрудников
Как малому и среднему бизнесу навести порядок во всех паролях. Подробнее