Безопасность цифровой информации при работе с диджитал агентством
Вячеслав Крампец рассказал о проблеме потери данных в диджитал работе с логинами и паролями, доступами, а также об информационной безопасности
Эксперт в в бизнес-аналитике и проектировании, автор архитектурных решений платформ и продуктов компании.
Наш основной вид деятельности до работы над платформой TeamDo — разработка сайтов, мобильных приложений, чат-ботов и других информационных систем, а также интернет-маркетинг.
В процессе выполнения контрактов мы всегда получаем от клиентов большой массив исходных данных в разном виде. Отдел разработки получает логины и пароли к доменным именам, базам, хостингу, доступы к внутренним системам. Отдел интернет-маркетинга — доступы к профилям к соцсетям, в административные панели сайтов, к маркетинговым материалам.
Все эти данные передаются к нам от разных специалистов клиента: программистов, сисадминов, маркетологов. При заключении договора мы указываем, что все полученные данные конфиденциальны, и храним их во внутренней системе по управлению проектами. Когда проект заканчивается, мы формируем документ и передаем собранные учетные записи и доступы клиенту с рекомендацией сменить все пароли.
Наша двадцатилетняя практика показала, что 90% клиентов в течение двух лет после завершения контракта обращаются к нам с просьбой найти доступы к их же данным. Около 99% не меняют пароли к своим веб-системам годами.
В чем причина?
Мы фиксируем несколько причин:
- небрежное отношение к данным и непонимание рисков;
- отсутствие внутренних процедур по управлению конфиденциальными данными: нет правил для сотрудников;
- отсутствие инструментов для контроля учетных записей и доступов;
- передача подрядчикам логинов и паролей хаотично, а не по процедуре.
Для многих компаний (это справедливо для тех, у кого нет своей службы ИТ-безопасности) безопасность еще не стала бизнес-процессом.
В диджитал агентствах сотрудники часто работают удаленно, и у многих есть сотрудники вне штата. Но для выполнения работы им передаются логины/пароли и другие доступы. Есть масса историй о том, как компании лишаются доменов, аккаунтов в соцсетях и клиентских баз при работе с фрилансерами.
Чем учетная запись отличается от доступа?
Коллеги рассказывали про доступы в одной из статей. Между учетной записью и доступом есть отличия.
Мы так описываем «доступ»:
- пара «логин и пароль» для доступа к облачному сервису;
- набор данных для входа по протоколу ssh на удаленный сервер (логин, пароль или ключ);
- API-ключи и «секреты» для интеграции с API внешних сервисов (1С, Яндекс, Google и т.д.).
Под учетную запись не подпадают ссылки на внешние документы, скриншоты, ключи шифрования, лицензии на цифровые продукты, брендбуки, фотобанки и видеобанки, электронные книги, инструкции, руководства.
Сколько паролей и доступов приходится на одну компанию?
Это зависит от типа проекта. Если у компании много информационных ресурсов, то нам могут выдать более 100 уникальных доступов. В среднем наши клиенты хранят 30-58 паролей и доступов.
Где компании обычно хранят пароли и доступы?
Хранить даже 5 уникальных пар логин + пароль в памяти обычному человеку невозможно, поэтому сотрудники фиксируют данные на бумаге или в файлах. Обычная практика — свести все данные в таблицу Excel.
Хочу отметить, что все варианты рискованные, но самый большой риск — выложить в облако и расшарить файл. Тут мы рассказываем о том, как и какие данные теряет бизнес.
Как вы решаете проблему хранения паролей и доступов?
Раньше мы хранили все данные во внутренней системе. Она организована так, что сотрудники нашей компании имеют доступы только к тем данным, которые касаются проектов, над которыми они работают.
Сейчас мы используем менеджер паролей и доступов TeamDo. Это наша разработка, которую мы сделали, чтобы закрыть постоянно повторяющуюся утери доступов наших клиентов.
Выигрывают обе стороны: нам не нужно беспокоиться о чужих данных, а компания клиента наводит порядок в ценных данных и уходит от небезопасного хранения.
Какой функционал есть в менеджере паролей?
Базовый функционал менеджера паролей и доступов одинаков и для облачной и для коробочной версии продукта:
- Структурирование паролей и доступов по группам. Например, отдел маркетинга может внести доступы к сайту, соцсетям, внешним маркетинговым сервисам, а бухгалтерия — 1С, клиент-банку, эквайринговой системе и пр.
- Система Ролей и Прав позволяет гибко настроить менеджер паролей под разные уровни. Например, маркетолог будет видеть данные, которые относятся только к его области работы, а бухгалтерия — только свои.
- Безопасность обеспечивается шифрование всех данных по алгоритму RSA с 1024-битным ключом, привязкой устройств пользователей.
- Временная выдача доступов для сотрудников вне команды.
- Встроенный генератор паролей.
- Удобный поиск.
- Импорт паролей и доступов.
- Браузерный плагин для Chrome.
Почему вы не используете уже готовые решения?
Мы сформулировали критерии: менеджер паролей и доступов должен быть понятен неспециалисту в ИТ, прост и удобен, быть российской разработкой. Еще одна причина — мы планируем расширить текущий функционал другими возможностями.
Как компании обезопасить себя при работе с диджитал агентством?
- Определите правила для своих сотрудников: какие данные можно передать подрядчику, кто передает данные и каким способом. Введите ограничения: например, нельзя передавать логины и пароли через мессенджеры, по whatsapp, на стикерах или по электронной почте.
- У вас должна быть процедура и инструмент. Выберите подходящее решение и внедрите его.
- Определите сколько времени агентство будет хранить ваши данные. В договорах редко описываются ситуации, что будет делать диджитал агентство с конфиденциальными данными после завершения контракта. Если вы не хотите, чтобы данные хранились вечно, определите срок хранения сами.
- При завершении работ смените все пароли, закройте доступы ко всем документам.