Наш основной вид деятельности до работы над платформой TeamDo —
разработка сайтов, мобильных приложений, чат-ботов и других
информационных систем, а также интернет-маркетинг.
В процессе выполнения контрактов мы всегда получаем от клиентов большой
массив исходных данных в разном виде. Отдел разработки получает логины
и пароли к доменным именам, базам, хостингу, доступы к внутренним системам. Отдел интернет-маркетинга — доступы к профилям к соцсетям,
в административные панели сайтов, к маркетинговым материалам.
Все эти данные передаются к нам от разных специалистов клиента:
программистов, сисадминов, маркетологов. При заключении договора мы
указываем, что все полученные данные конфиденциальны, и храним
их во внутренней системе по управлению проектами. Когда проект
заканчивается, мы формируем документ и передаем собранные учетные записи и доступы клиенту с рекомендацией сменить все пароли.
Наша двадцатилетняя практика показала, что 90% клиентов в течение двух
лет после завершения контракта обращаются к нам с просьбой найти доступы
к их же данным. Около 99% не меняют пароли к своим веб-системам годами.
В чем причина?
Мы фиксируем несколько причин:
- небрежное отношение к данным и непонимание рисков;
- отсутствие внутренних процедур по управлению конфиденциальными данными: нет правил для сотрудников;
- отсутствие инструментов для контроля учетных записей и доступов;
- передача подрядчикам логинов и паролей хаотично, а не по процедуре.
Для многих компаний (это справедливо для тех, у кого нет своей службы
ИТ-безопасности) безопасность еще не стала бизнес-процессом.
В диджитал агентствах сотрудники часто работают удаленно, и у многих
есть сотрудники вне штата. Но для выполнения работы им передаются
логины/пароли и другие доступы. Есть масса историй о том, как компании
лишаются доменов, аккаунтов в соцсетях и клиентских баз при работе
с фрилансерами.
Чем учетная запись отличается от доступа?
Коллеги рассказывали про доступы в одной из статей. Между учетной записью и доступом есть отличия.
Мы так описываем «доступ»:
- пара «логин и пароль» для доступа к облачному сервису;
- набор данных для входа по протоколу ssh на удаленный сервер (логин, пароль или ключ);
- API-ключи и «секреты» для интеграции с API внешних сервисов (1С, Яндекс, Google и т.д.).
Под учетную запись не подпадают ссылки на внешние документы, скриншоты,
ключи шифрования, лицензии на цифровые продукты, брендбуки, фотобанки
и видеобанки, электронные книги, инструкции, руководства.
Сколько паролей и доступов приходится на одну компанию?
Это зависит от типа проекта. Если у компании много информационных
ресурсов, то нам могут выдать более 100 уникальных доступов. В среднем
наши клиенты хранят 30–58 паролей и доступов.
Где компании обычно хранят пароли и доступы?
Хранить даже 5 уникальных пар логин пароль в памяти обычному человеку
невозможно, поэтому сотрудники фиксируют данные на бумаге или в файлах.
Обычная практика — свести все данные в таблицу Excel.
Хочу отметить, что все варианты рискованные, но самый большой риск —
выложить в облако и расшарить файл. Тут мы рассказываем о том,
как и какие данные теряет бизнес.
Как вы решаете проблему хранения паролей и доступов?
Раньше мы хранили все данные во внутренней системе. Она организована
так, что сотрудники нашей компании имеют доступы только к тем данным,
которые касаются проектов, над которыми они работают.
Сейчас мы используем менеджер паролей и доступов TeamDo. Это наша
разработка, которую мы сделали, чтобы закрыть постоянно повторяющуюся
утери доступов наших клиентов.
Выигрывают обе стороны: нам не нужно беспокоиться о чужих данных,
а компания клиента наводит порядок в ценных данных и уходит
от небезопасного хранения.
Какой функционал есть в менеджере паролей?
Базовый функционал менеджера паролей и доступов одинаков и для облачной и для коробочной версии продукта:
- Структурирование паролей и доступов по группам. Например, отдел
маркетинга может внести доступы к сайту, соцсетям, внешним маркетинговым сервисам, а бухгалтерия — 1С, клиент-банку, эквайринговой системе и пр. - Система Ролей и Прав позволяет гибко настроить менеджер паролей
под разные уровни. Например, маркетолог будет видеть данные, которые
относятся только к его области работы, а бухгалтерия — только свои. - Безопасность обеспечивается шифрование всех данных по алгоритму RSA с 1024-битным ключом, привязкой устройств пользователей.
- Временная выдача доступов для сотрудников вне команды.
- Удобный поиск.
- Импорт паролей и доступов.
- Браузерный плагин для Chrome.
Почему вы не используете уже готовые решения?
Мы сформулировали критерии: менеджер паролей и доступов должен быть
понятен неспециалисту в ИТ, прост и удобен, быть российской разработкой.
Еще одна причина — мы планируем расширить текущий функционал другими
возможностями.
Как компании обезопасить себя при работе с диджитал агентством?
- Определите правила для своих сотрудников: какие данные можно передать
подрядчику, кто передает данные и каким способом. Введите ограничения:
например, нельзя передавать логины и пароли через мессенджеры, на стикерах или по электронной почте. - У вас должна быть процедура и инструмент. Выберите подходящее решение и внедрите его.
- Определите сколько времени агентство будет хранить ваши данные. В договорах редко описываются ситуации, что будет делать диджитал
агентство с конфиденциальными данными после завершения контракта. Если вы не хотите, чтобы данные хранились вечно, определите срок хранения сами. - При завершении работ смените все пароли, закройте доступы ко всем документам.
