7,7K подписчиков

Кто в компании должен следить за доменами

Блог RU-CENTER

Доменный портфель крупной компании может состоять из сотен доменов. При этом работают с ними сотрудники самых разных отделов, и не всегда понятно, кто за что отвечает. Когда нет четких регламентов, работники часто неправильно регистрируют домены, забывают их продлевать и совершают другие ошибки, из-за чего рискуют потерять домен или столкнуться с мошенниками.

Эту статью мы подготовили вместе с руководителем отдела по работе с ключевыми клиентами RU-CENTER Кириллом Зверевым. Рассказываем, как выстроить в компании работу с доменами, чтобы они не попали в чужие руки и остались в безопасности.

Доменный портфель крупной компании может состоять из сотен доменов. При этом работают с ними сотрудники самых разных отделов, и не всегда понятно, кто за что отвечает.

Почему крупным компаниям важно управлять доменным портфелем

Предприятию, которое использует сразу несколько десятков или даже сотен доменов, нужны четкие правила: какие домены и когда покупать и продлевать, что настраивать, как оформлять документы. Также нужны ответственные, которые будут следить за соблюдением этих правил.

Если не выстроить культуру работы с доменами, высоки риски столкнуться с проблемами. Разберем самые частые из них.

Киберсквоттинг

Мошенники могут купить домен, похожий на товарный знак компании, и разместить на нем фишинговый сайт или материалы, порочащие репутацию компании. Иногда киберсквоттеры не используют домен сами, а требуют у компании большую сумму за его выкуп.

Как этого избежать:

  • Выкупить похожие домены и настроить редирект с них на основной домен компании. Особое внимание стоит уделить доменам с тем же названием, но в других популярных зонах, и на домены с частыми ошибками пользователей — их можно найти с помощью «Яндекс Метрики».
  • Мониторить, не купил ли кто-то похожие по написанию домены. Если купил, стоит наблюдать за активностью на этих доменах. Так можно быстрее узнать, что мошенники используют домен для фишинга или обмана покупателей, и принять меры.

Обратный захват домена

Конкуренты или мошенники могут зарегистрировать товарный знак, похожий на домен компании, а затем отсудить домен.

Как этого избежать:

  • Одновременно регистрировать товарные знаки и сходные по написанию домены.
  • Не рассказывать в публичном поле о том, какие товарные знаки и домены планируете регистрировать.

Взлом аккаунта

Если аккаунт на сайте доменного регистратора недостаточно защищен, злоумышленники могут получить к нему доступ, а администратор не сможет вовремя принять меры.

Как этого избежать: использовать все методы защиты аккаунта, которые предлагает доменный регистратор:

  • двухфакторную аутентификацию;
  • ограничение входа в аккаунт по IP;
  • запрет на изменение пароля по email;
  • авторизацию с помощью «Госуслуг» или ЭЦП.

Потеря прав на домен из-за плохо выстроенных процессов

Если компания забудет вовремя продлить домен, его выставят на аукцион освобождающихся доменов. Там его может купить инвестор.

Чаще всего в таких случаях инвестор сразу предлагает компании выкупить домен обратно — но уже по рыночной стоимости, которая может быть намного больше стоимости продления.

Как этого избежать:

  • Следить за сроками действия доменов, вовремя пополнять счет и оплачивать продление.
  • Подключить автопродление доменов, если не хочется отслеживать вручную.

Если компания зарегистрирует домен на сотрудника, а тот уволится и перестанет выходить на связь, то доступ к аккаунту будет потерян, и продлить домен будет невозможно.

Как этого избежать:

  • Регистрировать домены только на юридическое лицо, принадлежащее компании.
  • Указывать в договоре контактные данные компании, а не личные телефоны или электронные почты сотрудников.

Какие проблемы с доменным портфелем могут быть у крупных компаний: реальные кейсы

Всё, что мы перечислили выше, — не теоретические риски. Вот несколько примеров, когда компании были на волоске от потери важных для них доменов, но всё закончилось хорошо.

Бывший сотрудник выкупил домен компании

В сентябре 2015 года бывший сотрудник Google Санмей Вед увидел, что домен google.com выставлен на продажу, и купил его за 12 долларов. Вед на некоторое время стал владельцем google.com и даже получил доступ к панели управления сайтом.

По одной из версий, это была техническая ошибка, и Веду просто повезло. По другой — срок действия домена забыли продлить, а бывший сотрудник знал об этом.

К техническому сбою сложно подготовиться заранее. А вот чтобы не забыть продлить домен, стоит создать инструкцию о поддержке доменов компании и назначить ответственного за ее исполнение.

Вот еще несколько историй из практики RU-CENTER.

Домен оплатили в последний момент после множества напоминаний

У домена крупного городского СМИ заканчивался срок действия. Мы отправляли клиенту письма, что скоро домен будет заблокирован, и звонили по указанному в договоре номеру телефона, но нам никто не отвечал. Как выяснилось позже, в документах были указаны устаревшие контактные данные.

В последний день срока действия домена мы стали звонить уже по другим номерам — тем, что были указаны на сайте клиента, а не в договоре. После нескольких попыток дозвонились до сотрудника, который не был в курсе ситуации, но начал искать ответственного.

В итоге домен успешно продлили. Но, если бы клиент вовремя обновил контактные данные в договоре, то сразу увидел бы наше уведомление и продлил домен без спешки.

Домен выставили на аукцион, и он уже начал собирать ставки

Клиент заказал у нас аудит доменного портфеля, и во время проверки мы обнаружили, что один из доменов зарегистрирован не на компанию, а на сотрудника, который к тому моменту уже уволился.

Срок аренды домена подходил к концу, а компания от этом даже не знала — все уведомления приходили на личную почту бывшего сотрудника. Домен уже появился на аукционе освобождающихся доменов, и на него делали ставки в несколько сотен тысяч рублей.

Мы пошли навстречу клиенту и зачислили на его счет средства в кредит, пока он искал способ связаться с бывшим сотрудником. Если бы мы этого не сделали, домен купили бы на аукционе. Вероятно, новый владелец сразу предложил бы компании вернуть его за крупную сумму.

Мошенники подделали документы и почти смогли украсть домены

Наш клиент выставил в настройках аккаунта разрешение восстанавливать доступ по электронной почте, и мошенники этим воспользовались. Они написали нам письмо о сбросе пароля. Письмо тщательно подделали — приложили к нему уставные документы компании, приказ о назначении директора, поставили печать и т. д.

Как только мы запрашивали дополнительный документ, чтобы убедиться, что перед нами владелец домена, мошенники тут же его присылали. Это показалось нам подозрительным: обычно клиентам требуется больше времени на поиск нужных бумаг. Однако сами документы были безупречными — к качеству не придраться.

В итоге мы перенесли домены компании на другой аккаунт. Владелец получил уведомление об этом и сразу же связался с нами. Домены ему вернули, а дальше этим вопросом занялась служба безопасности.

Если бы мошенники получили доступ к доменам, они могли бы разместить на них нежелательные сайты, рассылать фишинговые письма или подделать документацию о передаче доменов и продать их третьим лицам.

Вывод из этой истории такой: лучше сразу настроить запрет на изменение пароля по email — так у мошенников не останется шансов.

Кого назначить ответственным за домены

Ответственным за доменный портфель может быть маркетолог, юрист или менеджер, к основным обязанностям которого добавится работа с доменами. Этот человек будет «точкой контакта»: все сотрудники компании и представители доменного регистратора будут знать, что по вопросам доменов нужно обращаться к нему.

Лучше, если у ответственного за домены будет заместитель — сотрудник, который будет в курсе всех процессов. Если ответственный работник уволится, заболеет или уйдет в отпуск, другой человек сможет сразу подхватить задачи.

Что стоит поручить ответственному за домены

Настраивать правила безопасности

  • Для аккаунта у доменного регистратора: подключать двухфакторную аутентификацию, ограничение входа по IP и запрет на восстановление пароля по email; следить за актуальностью контактных данных для авторизации и восстановления доступа.
  • Для сайтов, размещенных на доменах: настраивать SSL-сертификаты, защиту от DDoS-атак; устанавливать антивирусные программы и плагины безопасности, если это не входит в обязанности разработчиков сайтов.

Следить за новостями мира доменов

  • Узнавать, какие новые зоны скоро запустятся, и сразу выкупать в них домены.
  • Отслеживать, к каким доменным зонам могут ограничить доступ из-за санкций, и заранее выкупать альтернативные домены на случай блокировки.

Покупать домены по просьбе маркетологов, юристов или службы безопасности

  • Регистрировать свободные домены.
  • Отслеживать, какие нужные домены освобождаются на аукционах, и покупать их первым.
  • Выкупать домены у частных владельцев или просить доменного регистратора провести переговоры, согласовать адекватную стоимость и организовать безопасную сделку.

Своевременно продлевать домены

  • Отслеживать, когда заканчивается срок действия домена, вовремя пополнять счет и продлевать домен. Или подключать автопродление.
  • Актуализировать статусы — какие домены еще нужны компании, а какие можно больше не продлевать.

Помогать юристам оформлять договоры с регистраторами

  • Следить, чтобы все домены были зарегистрированы на юридические лица. Если оформить домен на сотрудника, и он потом уволится, то компании придется восстанавливать доступ к аккаунту.
  • Оперативно обновлять в договорах контактные данные, если они меняются.

Распределять домены по разным личным кабинетам

Если у компании много доменов и их оплачивают разные департаменты, удобно создать несколько личных кабинетов на сайте доменного регистратора. Например, отдельно — для доменов отдела маркетинга, отдельно — для доменов тестировщиков.

Решать проблемы, связанные с выкупом проблемных доменов

  • Выкупать у других владельцев домены, на которых потенциально могут создать мошеннические сайты.
  • Передавать юристам информацию для обращения в суд, если компания столкнулась с мошенниками и не удалось договориться с ними миром.

Помогать службам безопасности в расследовании инцидентов

Сотрудники служб безопасности могут запросить у доменного регистратора данные о произошедших кибератаках или логи действий в аккаунтах.

Контролировать доступ других сотрудников в аккаунты

Например, сотрудники службы безопасности могут самостоятельно отслеживать активность в аккаунтах, а разработчики — подключать SSL-сертификаты.

Вносить товарные знаки компании в депозитарий TMCH

Когда новая доменная зона только запускается, для нее действует период приоритетной регистрации. Некоторое время купить домены в этой зоне могут только владельцы сходных по написанию товарных знаков.

Например, компания Milk and meat могла бы в приоритетном порядке зарегистрировать в новой доменной зоне .food домен milkandmeat.food. Если период приоритетной регистрации закончится, а компания так и не подаст заявку, купить этот домен сможет любой желающий — в том числе конкуренты или мошенники.

Чтобы получить приоритетное право регистрации, владелец товарного знака должен внести его в депозитарий ТМСН — централизованной базы данных подтвержденных товарных знаков.

Какие сотрудники в компании работают с доменами

Вот небольшая шпаргалка, чтобы ничего не упустить и не забыть о важных задачах при работе с доменами.

Доменный портфель крупной компании может состоять из сотен доменов. При этом работают с ними сотрудники самых разных отделов, и не всегда понятно, кто за что отвечает.-2

Чек-лист: как организовать работу с доменами в компании

Требований к работе с доменами много, и все сразу учесть сложно. Вот самые важные моменты: это нужно сделать в первую очередь, чтобы избежать большинства проблем

  1. Назначить ответственного сотрудника, для которого работа с доменами будет одной из основных обязанностей.
  2. Следить за актуальностью контактных данных, чтобы при возникновении проблем регистратор смог оперативно сообщить о них.
  3. Изучать новостную повестку и держать в портфеле запасные домены на случай блокировки основных из-за санкций. Стараться прогнозировать такие ситуации заранее, чтобы потом не пришлось спешно перенаправлять трафик на другие домены.
  4. Ответственно относиться к безопасности своего аккаунта. Использовать все возможные функции для его защиты, которые предоставляет регистратор, не дожидаясь столкновений с мошенниками.