В детстве я всегда смотрел ужастики и думал: ну почему люди постоянно лезут туда, где очевидно опасно? Почему идут в тёмный подвал, открывают странную дверь, спускаются в одиночку в место, где только что кого-то сожрали. Казалось, что в реальной жизни люди так себя не ведут.
А потом я почти 25 лет работаю с бизнесом, сайтами, CRM, серверами и IT-инфраструктурой — и понял, что очень даже ведут. Причём пугающе регулярно.
Люди годами живут с ощущением: “Да нормально всё работает”. Хотя инфраструктура компании собрана буквально на честном слове, памяти одного сотрудника и пароле, который “где-то записан”.
- Сотрудник уехал в отпуск — никто не знает доступ к хостингу.
- Подрядчик пропал — потеряли рекламный кабинет.
- Бывший программист остался с полными правами.
- Домен оформлен на человека, который давно уволился.
- CRM привязана к личной почте менеджера.
- Двухфакторная авторизация висит на телефоне, который потеряли ещё зимой.
Узнали себя?
И пока ничего не случилось — всем кажется, что это мелочи.
Недавно был крайне показательный кейс с 1С. Бывший подрядчик получил доступ к системе, поменял права, закрыл доступ к базе, заархивировал резервные копии под паролем и начал требовать деньги.
Причём ситуация оказалась ещё интереснее. Как выяснилось позже, у него был оставлен бэкдор для доступа к серверу. То есть человек заранее оставил себе возможность зайти в инфраструктуру компании уже после завершения работ.
И вот это уже совсем другой уровень проблемы.
Потому что одно дело — конфликт между заказчиком и подрядчиком. Такое бывает. А другое — когда человек осознанно использует скрытый доступ для проникновения в систему, блокировки инфраструктуры и попытки вымогательства.
Самое ироничное в этой истории — с подрядчиком нормально рассчитались. Никто его не “кинул”. Но, судя по всему, человек увидел, что компания постепенно отказывается от его услуг, и решил таким образом “напомнить о себе”.
И вот тут возникает удивительная вещь.
Человек оказался достаточно сообразительным, чтобы:
— организовать скрытый доступ;
Но при этом не додумался, что подобные действия могут очень быстро превратиться из “хитрой схемы заработка” в вполне реальную уголовную историю, потому что этот идиот заходил в 1с под своей учетной записью. Привет статья.
Но, опять же, главный вопрос тут даже не в конкретном человеке.
Главный вопрос — почему у подрядчика вообще оставалась возможность настолько глубоко вмешиваться в систему после завершения сотрудничества. И это не единичная история.
Я регулярно сталкиваюсь с тем, что компании приходят на аудит, продвижение или развитие проекта — и начинается цифровой квест.
- Нужен доступ к Метрике — “сейчас попробуем найти”.
- Нужен доступ к сайту — “это делал прошлый подрядчик”.
- Нужен FTP — “надо спросить у программиста”.
- Нужен доступ к домену — “кажется, он на бывшего сотрудника”.
- Нужен хостинг — “а мы не помним, где он вообще находится”.
Недавно вообще был кейс, когда у компании отключился сайт просто потому, что его вовремя не оплатили. Просто доступ к хостингу был у сотрудника, который находился вне связи. И несколько дней бизнес пытался вспомнить, где лежит сайт и как туда попасть.
И вот тут становится понятно, насколько многие компании недооценивают цифровую инфраструктуру.
Сегодня бизнес — это не только офис, бухгалтерия и сотрудники. Это:
— сайты,
— CRM,
— 1С,
— Bitrix24,
— серверы,
— телефония,
— аналитика,
— лень перечислять - сами по себе знаете.
И если всё это держится на одном человеке — у бизнеса уже проблема.
Причём проблема не техническая. Управленческая.
Очень многие собственники до сих пор относятся к IT как к чему-то второстепенному:
“Ну у нас есть айтишник”.
“Подрядчик всё знает”.
“Мы друг другу доверяем”. ( и это еще хорошо если есть нормальный договор)
А потом этот айтишник увольняется, подрядчик исчезает, сотрудник конфликтует с компанией — и внезапно оказывается, что бизнес не контролирует собственную инфраструктуру.
Сейчас существуют нормальные решения:
— корпоративные password manager-системы;
— российский Пассворк;
— коробочный или облачный Битрикс24 с внутренними регламентами и базами знаний;
— self-hosted решения;
— системы разграничения прав;
— PAM-системы контроля привилегированных доступов.
Но многие до сих пор считают это “лишними расходами”. Хотя вопрос всегда один и тот же.
Что дешевле:
потратить деньги на нормальную систему хранения доступов и регламентов — или потом восстанавливать сайт, CRM, рекламу, почту и бухгалтерию после очередного “ой”?
Потому что цифровой бардак редко заметен, пока всё хорошо.
Он проявляется ровно в тот момент, когда начинается проблема. И вот тогда выясняется, что бизнес стоимостью в миллионы рублей управляется примерно как старый роутер на даче — “главное ничего не трогать, а то перестанет работать”.
В следующей статье разберу уже практическую сторону вопроса — как бизнесу без огромных бюджетов навести порядок в доступах, серверах, CRM и подрядчиках. Что реально нужно внедрять, а что является дорогим “корпоративным карго-культом”. Как хранить доступы, как контролировать подрядчиков, как не потерять сайт, CRM и 1С из-за одного человека и как всё это организовать без армии безопасников и многомиллионных затрат.