Безопасность цифровой информации при работе с диджитал агентством

Наш основной вид деятельности до работы над платформой TeamDo — разработка сайтов, мобильных приложений, чат-ботов и других информационных систем, а также интернет-маркетинг.

В процессе выполнения контрактов мы всегда получаем от клиентов большой массив исходных данных в разном виде. Отдел разработки получает логины и пароли к доменным именам, базам, хостингу, доступы к внутренним системам. Отдел интернет-маркетинга — доступы к профилям к соцсетям, в административные панели сайтов, к маркетинговым материалам.

Все эти данные передаются к нам от разных специалистов клиента: программистов, сисадминов, маркетологов. При заключении договора мы указываем, что все полученные данные конфиденциальны, и храним их во внутренней системе по управлению проектами. Когда проект заканчивается, мы формируем документ и передаем собранные учетные записи и доступы клиенту с рекомендацией сменить все пароли.

Наша двадцатилетняя практика показала, что 90% клиентов в течение двух лет после завершения контракта обращаются к нам с просьбой найти доступы к их же данным. Около 99% не меняют пароли к своим веб-системам годами.

В чем причина?

Мы фиксируем несколько причин:

• небрежное отношение к данным и непонимание рисков;
• отсутствие внутренних процедур по управлению конфиденциальными данными: нет правил для сотрудников;
• отсутствие инструментов для контроля учетных записей и доступов;
• передача подрядчикам логинов и паролей хаотично, а не по процедуре.

Для многих компаний (это справедливо для тех, у кого нет своей службы ИТ-безопасности) безопасность еще не стала бизнес-процессом.

В диджитал агентствах сотрудники часто работают удаленно, и у многих есть сотрудники вне штата. Но для выполнения работы им передаются логины/пароли и другие доступы. Есть масса историй о том, как компании лишаются доменов, аккаунтов в соцсетях и клиентских баз при работе с фрилансерами.

Чем учетная запись отличается от доступа?

Коллеги рассказывали про доступы в одной из статей. Между учетной записью и доступом есть отличия.

Мы так описываем «доступ»:

• пара «логин и пароль» для доступа к облачному сервису;
• набор данных для входа по протоколу ssh на удаленный сервер (логин, пароль или ключ);
• API-ключи и «секреты» для интеграции с API внешних сервисов (1С, Яндекс, Google и т.д.).

Под учетную запись не подпадают ссылки на внешние документы, скриншоты, ключи шифрования, лицензии на цифровые продукты, брендбуки, фотобанки и видеобанки, электронные книги, инструкции, руководства.

Сколько паролей и доступов приходится на одну компанию?

Это зависит от типа проекта. Если у компании много информационных ресурсов, то нам могут выдать более 100 уникальных доступов. В среднем наши клиенты хранят 30-58 паролей и доступов. 

Где компании обычно хранят пароли и доступы?

Хранить даже 5 уникальных пар логин + пароль в памяти обычному человеку невозможно, поэтому сотрудники фиксируют данные на бумаге или в файлах. Обычная практика — свести все данные в таблицу Excel.

Хочу отметить, что все варианты рискованные, но самый большой риск — выложить в облако и расшарить файл. Тут мы рассказываем о том, как и какие данные теряет бизнес.

Как вы решаете проблему хранения паролей и доступов?

Раньше мы хранили все данные во внутренней системе. Она организована так, что сотрудники нашей компании имеют доступы только к тем данным, которые касаются проектов, над которыми они работают.

Сейчас мы используем менеджер паролей и доступов TeamDo. Это наша разработка, которую мы сделали, чтобы закрыть постоянно повторяющуюся утери доступов наших клиентов. 

Выигрывают обе стороны: нам не нужно беспокоиться о чужих данных, а компания клиента наводит порядок в ценных данных и уходит от небезопасного хранения.

Какой функционал есть в менеджере паролей?

Базовый функционал менеджера паролей и доступов одинаков и для облачной и для коробочной версии продукта:

• Структурирование паролей и доступов по группам. Например, отдел маркетинга может внести доступы к сайту, соцсетям, внешним маркетинговым сервисам, а бухгалтерия — 1С, клиент-банку, эквайринговой системе и пр.
• Система Ролей и Прав позволяет гибко настроить менеджер паролей под разные уровни. Например, маркетолог будет видеть данные, которые относятся только к его области работы, а бухгалтерия — только свои.
• Безопасность обеспечивается шифрование всех данных по алгоритму RSA с 1024-битным ключом, привязкой устройств пользователей.
• Временная выдача доступов для сотрудников вне команды.
• Встроенный генератор паролей.
• Удобный поиск.
• Импорт паролей и доступов.
• Браузерный плагин для Chrome.

Почему вы не используете уже готовые решения?

Мы сформулировали критерии: менеджер паролей и доступов должен быть понятен неспециалисту в ИТ, прост и удобен, быть российской разработкой. Еще одна причина — мы планируем расширить текущий функционал другими возможностями.

Как компании обезопасить себя при работе с диджитал агентством?

1. Определите правила для своих сотрудников: какие данные можно передать подрядчику, кто передает данные и каким способом. Введите ограничения: например, нельзя передавать логины и пароли через мессенджеры, по whatsapp, на стикерах или по электронной почте. 
2. У вас должна быть процедура и инструмент. Выберите подходящее решение и внедрите его.
3.  Определите сколько времени агентство будет хранить ваши данные. В договорах редко описываются ситуации, что будет делать диджитал агентство с конфиденциальными данными после завершения контракта. Если вы не хотите, чтобы данные хранились вечно, определите срок хранения сами.
4. При завершении работ смените все пароли, закройте доступы ко всем документам.