Автор: Андрей Самохвалов, директор по информационной безопасности интернет-агентства «Технологии успеха»
Как-то один клиент поделился со мной, что использует в работе очень много сервисов: электронные почты, сервис телефонии, Google Adwords, Яндекс.Метрику, хостинги и т.д.
И я спросил его: «А как ты контролируешь доступы? Знаешь, когда и кто создавал пароли, где и как хранит их?».
На что получил очень уверенный ответ: «Я доверяю своим людям».
Как говорят супруги, хороши те отношения, при которых не надо ставить пароль на телефон. Но можно ли применить это правило к корпоративной среде? Довериться людям и быть в спокойном неведении — проще всего. Но давайте представим, что с коллегами, имевшими полный доступ к управлению вашего бизнеса, пришло время расставаться. Сразу встает вопрос: «Как же забрать доступы, и где гарантия, что он не сможет впоследствии ими воспользоваться?».
Уверен, вы слышали про случаи рейдерского захвата реального бизнеса, когда целые предприятия «захватывали» против воли владельцев. В Интернете украсть бизнес в тысячи раз проще: нет необходимости возиться с акциями и уставными документами.
Как же защитить цифровые активы вашего бизнеса от кражи и уничтожения? Не все так страшно. Чтобы спать по ночам спокойно и не бояться внезапной мести бывших сотрудников, нужно взять за правило следующие моменты:
1. Поставьте почту на страже вашего спокойствия
Не заводите почту просто так, превратите ее в полезный инструмент:
- Чистите от спама и мусора: в их потоке можно пропустить важную информацию.
- Регулярно проверяйте ее, чтобы быть в курсе всех событий и моментально реагировать в случае возникновения нештатной ситуации.
- Привяжите личный телефонный номер и добавьте резервный адрес почты для возможности восстановления доступа.
- Если сервис просит использовать паспортные данные, используйте только свой паспорт. Это касается любой личной информации.
- Главную корпоративную почту тоже заводите только на себя, на основном домене вашего сайта (например, post@webtu.ru).
В таком случае, даже при утере контроля над основным почтовым ящиком, вы сможете обратиться в службу поддержки почтового сервиса и восстановить его. Злоумышленник может раздобыть данные о вашем пароле, но не о паспорте — его украсть сложнее.
2. Храните корпоративные доступы как зеницу ока
Регистрацию во всех ключевых для вашего бизнеса сервисах нужно осуществлять только на свое имя и паспорт (чтобы в случае чего восстановить доступ через техподдердку сервиса).
Для регистрации домена и панели управления хостингом выбирайте хорошо известные доменные регистраторы типа reg.ru. Никому ни при каких обстоятельствах не давайте доступ к домену.
Доступ к хостингу (личный кабинет, FTP/SSH) предоставляйте только доверенным сотрудникам, а по окончании работ меняйте пароли.
Регулярно делайте выгрузку данных CRM-системы (системы управления взаимоотношениями с клиентами), чтобы не потерять важнейшую информацию о ваших клиентах и партнерах.
Корпоративные доступы по важности сравнимы с доступом к вашему банковскому аккаунту. Только в одном случае можно потерять все деньги со счетов, а во втором — весь наработанный в Интернете авторитет, данные клиентов и партнеров, а также их доверие.
3. Подойдите к созданию и хранению пароля креативно
Не нужно часами придумывать пароль, а в итоге, отчаявшись, останавливаться на варианте «boris1986» — обратитесь к генераторам надежных паролей! Многие сервисы предоставляют такую возможность, или можно использовать специально предназначенные сети безопасности. Если вы хотите сами придумать пароль, то нужно учесть эти моменты:
- Сколько аккаунтов — столько и паролей;
- Создавайте пароль более 8 символов — чем длиннее, тем лучше;
- Чередуйте в нем цифры, буквы, специальные символы или знаки препинания;
- Используйте символы в верхнем и нижнем регистре;
- Храните пароли в специальных программах (KeePass, TeamPass, Passwork) или используйте WinRAR, чтобы зашифровать пароли.
Как зашифровать пароли в архиве WinRAR:
- Записываете доступы в любом файле (Блокнот, Word, Excel).
- Сохраняете файл.
- Добавляете его в архив WinRAR.
- Во вкладке «Общие» выбираете «Имена и параметры архива», устанавливаете пароль.
- Проверяете, что все заархивировалось хорошо и удаляете исходный незашифрованный файл.
Один наш клиент использует такую методику, но еще он копирует зашифрованный файл на флешку и хранит ее в сейфе — береженого Бог бережет.
4. Грамотно обращайтесь с паролями
Информация должна быть под надежной защитой, поэтому необходимо знать следующее:
- Не передавайте пароли по открытым каналам связи (мессенджеры, электронная почта). Если все же решили отправить таким способом, зашифруйте пароль с помощью программы WinRAR и отправьте пароль к нему другим каналом связи.
- Не поленитесь менять все пароли один раз в квартал. Смена пароля займет гораздо меньше времени и сил, чем исправление последствий утечки важной информации в посторонние руки.
- Если увольняется сотрудник, у которого были доступы, то лучше еще до того момента, когда вы его увольняете, поменяйте все пароли.
- Используйте на своих компьютерах антивирусные программы, так как есть риск подцепить программы-вирусы, ворующие пароли.
Контроль ваших программистов (айтишников, сисадминов)
- Используйте вход на ваши сайты по SSH-ключу, а не по FTP и открытому паролю (этот старый протокол слишком ненадежен).
- Используйте для входа по SSH нестандартные порты (например, 345 вместо стандартного 22). Стандартные порты постоянно проверяются различными сканерами из Интернета в поисках уязвимости вашей системы. Не давайте им шансов!
- По умолчанию в сайтах на Битрикс учетная запись admin имеет id=1. Желательно переименовать эту запись. Опять же, атаки из Интернета пытаются подобрать пароль, перебирая стандартные логины. Будьте креативны!
- Настройте регулярное резервное копирование сайта средствами хостинга или административной панели. Если есть возможность, установите пароль на резервные копии. Например, в Битриксе такая возможность есть, если делать резервное копирование в облако.
- В административной панели сайта сделайте разграничение прав доступа: главный администратор, менеджер, контент-менеджер и т. д. Нет нужды давать сотруднику больше прав, чем необходимо для выполнения его непосредственных обязанностей. Так вы сократите число лиц с доступами к важной информации.
Итак, резюмируем шаги для информационной безопасности вашего бизнеса.
Раз в неделю делаем резервное копирование на внешний носитель:
- сайта;
- CRM-системы;
- файла с архивом всех паролей (зашифрованный WinRar архив).
Раз в квартал меняем пароль:
- главной личной почты;
- доступа к домену;
- панели управления хостинга;
- FTP-доступа к сайту (если все-таки настроено FTP; рекомендую использовать вместо него SSH-доступ по ключу);
- административной панели сайта — все уровни (админ, менеджеры, контент-менеджеры).
Используя эти рекомендации, вы будете защищены на все 100 %!