РБК Компании
Главная TeamDo 10 декабря 2023

Безопасность цифровой информации при работе с диджитал агентством

Вячеслав Крампец рассказал о проблеме потери данных в диджитал работе с логинами и паролями, доступами, а также об информационной безопасности
Безопасность цифровой информации при работе с диджитал агентством
Вячеслав Крампец
Вячеслав КрампецСТО, основатель компании Onine Media.ru

Эксперт в в бизнес-аналитике и проектировании, автор архитектурных решений платформ и продуктов компании.

Подробнее

Наш основной вид деятельности до работы над платформой TeamDo — разработка сайтов, мобильных приложений, чат-ботов и других информационных систем, а также интернет-маркетинг.

В процессе выполнения контрактов мы всегда получаем от клиентов большой массив исходных данных в разном виде. Отдел разработки получает логины и пароли к доменным именам, базам, хостингу, доступы к внутренним системам. Отдел интернет-маркетинга — доступы к профилям к соцсетям, в административные панели сайтов, к маркетинговым материалам.

Все эти данные передаются к нам от разных специалистов клиента: программистов, сисадминов, маркетологов. При заключении договора мы указываем, что все полученные данные конфиденциальны, и храним их во внутренней системе по управлению проектами. Когда проект заканчивается, мы формируем документ и передаем собранные учетные записи и доступы клиенту с рекомендацией сменить все пароли.

Наша двадцатилетняя практика показала, что 90% клиентов в течение двух лет после завершения контракта обращаются к нам с просьбой найти доступы к их же данным. Около 99% не меняют пароли к своим веб-системам годами.

Процент клиентов, которые теряют пароли

В чем причина?

Мы фиксируем несколько причин:

  • небрежное отношение к данным и непонимание рисков;
  • отсутствие внутренних процедур по управлению конфиденциальными данными: нет правил для сотрудников;
  • отсутствие инструментов для контроля учетных записей и доступов;
  • передача подрядчикам логинов и паролей хаотично, а не по процедуре.

Для многих компаний (это справедливо для тех, у кого нет своей службы ИТ-безопасности) безопасность еще не стала бизнес-процессом.

В диджитал агентствах сотрудники часто работают удаленно, и у многих есть сотрудники вне штата. Но для выполнения работы им передаются логины/пароли и другие доступы. Есть масса историй о том, как компании лишаются доменов, аккаунтов в соцсетях и клиентских баз при работе с фрилансерами.

Почему теряются пароли и доступы

Чем учетная запись отличается от доступа?

Коллеги рассказывали про доступы в одной из статей. Между учетной записью и доступом есть отличия.

Мы так описываем «доступ»:

  • пара «логин и пароль» для доступа к облачному сервису;
  • набор данных для входа по протоколу ssh на удаленный сервер (логин, пароль или ключ);
  • API-ключи и «секреты» для интеграции с API внешних сервисов (1С, Яндекс, Google и т.д.).

Под учетную запись не подпадают ссылки на внешние документы, скриншоты, ключи шифрования, лицензии на цифровые продукты, брендбуки, фотобанки и видеобанки, электронные книги, инструкции, руководства.

Сколько паролей и доступов приходится на одну компанию?

Это зависит от типа проекта. Если у компании много информационных ресурсов, то нам могут выдать более 100 уникальных доступов. В среднем наши клиенты хранят 30-58 паролей и доступов. 

Сколько паролей и доступов хранит компания

Где компании обычно хранят пароли и доступы?

Хранить даже 5 уникальных пар логин + пароль в памяти обычному человеку невозможно, поэтому сотрудники фиксируют данные на бумаге или в файлах. Обычная практика — свести все данные в таблицу Excel.

Хочу отметить, что все варианты рискованные, но самый большой риск — выложить в облако и расшарить файл. Тут мы рассказываем о том, как и какие данные теряет бизнес.

Где компании обычно хранят цифровые активы: пароли и доступы

Как вы решаете проблему хранения паролей и доступов?

Раньше мы хранили все данные во внутренней системе. Она организована так, что сотрудники нашей компании имеют доступы только к тем данным, которые касаются проектов, над которыми они работают.

Сейчас мы используем менеджер паролей и доступов TeamDo. Это наша разработка, которую мы сделали, чтобы закрыть постоянно повторяющуюся утери доступов наших клиентов. 

Выигрывают обе стороны: нам не нужно беспокоиться о чужих данных, а компания клиента наводит порядок в ценных данных и уходит от небезопасного хранения.

Какой функционал есть в менеджере паролей?

Базовый функционал менеджера паролей и доступов одинаков и для облачной и для коробочной версии продукта:

  • Структурирование паролей и доступов по группам. Например, отдел маркетинга может внести доступы к сайту, соцсетям, внешним маркетинговым сервисам, а бухгалтерия — 1С, клиент-банку, эквайринговой системе и пр.
  • Система Ролей и Прав позволяет гибко настроить менеджер паролей под разные уровни. Например, маркетолог будет видеть данные, которые относятся только к его области работы, а бухгалтерия — только свои.
  • Безопасность обеспечивается шифрование всех данных по алгоритму RSA с 1024-битным ключом, привязкой устройств пользователей.
  • Временная выдача доступов для сотрудников вне команды.
  • Встроенный генератор паролей.
  • Удобный поиск.
  • Импорт паролей и доступов.
  • Браузерный плагин для Chrome.
Возможности менеджера паролей и доступов

Почему вы не используете уже готовые решения?

Мы сформулировали критерии: менеджер паролей и доступов должен быть понятен неспециалисту в ИТ, прост и удобен, быть российской разработкой. Еще одна причина — мы планируем расширить текущий функционал другими возможностями.

Как компании обезопасить себя при работе с диджитал агентством?

  1. Определите правила для своих сотрудников: какие данные можно передать подрядчику, кто передает данные и каким способом. Введите ограничения: например, нельзя передавать логины и пароли через мессенджеры, по whatsapp, на стикерах или по электронной почте. 
  2. У вас должна быть процедура и инструмент. Выберите подходящее решение и внедрите его.
  3.  Определите сколько времени агентство будет хранить ваши данные. В договорах редко описываются ситуации, что будет делать диджитал агентство с конфиденциальными данными после завершения контракта. Если вы не хотите, чтобы данные хранились вечно, определите срок хранения сами.
  4. При завершении работ смените все пароли, закройте доступы ко всем документам.
Как компании не потерять свои пароли: 4 шага

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации03.11.2003
Уставной капитал10 000,00 ₽
Юридический адрес Томская область Г. ТОМСК УЛ. ВЕРШИНИНА Д. 17А КВ. 19
ОГРН 1037000159789
ИНН / КПП 7017081674 701701001
Среднесписочная численность15 сотрудников

Контакты

Адрес Россия, Томская область, Томск, ул. Советская, д. 84
Телефон +78002019921

Социальные сети