Менеджер паролей для цифровых активов

"Когда учетные записи моей жены были взломаны и мы потеряли 800 долларов в результате ограбления в интернете, стало очевидно, что нам нужно более серьезно относиться к нашей онлайн-безопасности" — таких историй от частных пользователей валом лежит на форумах и на сайтах-ревьюшниках.
А что с безопасностью данных у малого и среднего бизнеса?

Да, мы знаем, что есть уже "цифровые финансовые активы", но мы не про них.

Все эти «админки», «учетки», аккаунты в соцсетях и так далее — цифровые активы бизнеса. Некоторые из них являются частью вашей интеллектуальной собственности и имеют денежную стоимость — например, сайт или мобильное приложение.

Попробуйте провести ревизию:

Домены, логотип, лицензии на цифровые продукты, криптовалюты, подтвержденные ключом, учетные записи, ответы на контрольные вопросы, электронные книги, патенты, конфигурации программного обеспечения, сертификаты, видео с обучения, устройства, авторизованные к корпоративным аккаунтам и т.п.

Как насчет общих рабочих мест? Например, в медучреждениях врачи часто делят между собой один кабинет, общий компьютер, или планшет. Где хранятся данные об учетных записях?

Мы более 10 лет ведем все проекты во внутренней системе постановке задач и учета времени. И у нас была типовая процедура: наши клиенты передавали данные для хостинга, по доменам и прочие доступы, необходимые для работы. Для того, чтобы доступы по проекту были в одном месте мы написали небольшой модуль для учета доступов.

За 10 лет накопилась приличная статистика и мы видим, что на 1 компанию приходится, в среднем от 11 до 35 аккаунтов. Например, у нас сейчас 58.

Вот что говорят, пользователи 1password (данные trustpilot.com):

- у меня более 500 разных паролей;

- с логинами для бизнеса и клиентов я вижу около 1800 паролей и документов;

- я храню более 620 записей различных паролей, PIN-кодов, карт и номеров

Как правило, в небольших компаниях (а это любой малый и средний бизнес) нет IT-отдела или инженера по IT-безопасности. Если и есть приходящий системный администратор, то он может и не знать, чем сотрудники разных отделов пользуются.

Обычно доступы хранят на листочках, в файлах на сервере или рабочем компьютере. Бывает, что нам дают ссылки на гугл-доки с правами "на чтение" или присылают в телеграм.

Исследование Серчинформ от 2018 г. сообщает — в 74% инцидентов, связанных с потерей данных, виноваты рядовые сотрудники. Это — руководители, бухгалтера, секретари, IT-специалисты. Они когда случайно, а когда и намеренно сливают корпоративные данные. К корпоративным данным, помимо сотрудников есть еще и подрядчики, фрилансеры.

Часто наши клиенты теряют доступы к соцсетям, YouTube, доменам, хостингу. Последняя история — почти месяц нам пришлось переписываться с хостером от имени клиента для того, чтобы восстановить доступ к хостингу. Все это время сайт невозможно было обновить, а без этого обновления нельзя было запускать рекламные кампании.

Как бы пафосно это не звучало, но первая линия обороны для бизнеса от потери данных — системы управления доступами.

Есть проверенные западные решения, но с использованием и их оплатой на территории РФ есть проблемы. Есть несколько российских решений.

Для командной работы:

Яндекс.Локбокс — этим просто так не воспользуешься. Решение ориентировано на микросервисную масштабируемую инфраструктуру, где надо хранить десяток максимум (БД, файловые хранилища). Стоимость 1 доступа — 18 рублей.

Пассворк — ориентирован на корпоративный сектор. Стоимость облачного использования — 50 р. за 1 пользователя, "коробка" на 10 пользователей стоит от 24,000 р в год.

Kaspersky Password Manager — отдельно предлагается для личного использования за 900 р./год за 1 учетную запись. Входит в комплексные тарифы для малого (от 8,640 р/год на 5 пользователей), среднего, крупного бизнеса.

Менеджер паролей TeamDo — это наше решение под малый и средний бизнес. Есть вариант в облаке, облако с шифрованием, в коробке. Стоимость в облаке на 30 пользователей и 1000 доступов — 1450 р. в месяц.

В этой статье мы не будем проводить сравнительные характеристики продуктов, во-первых обзоров много, в во-вторых считаем, что выбор решения — дело индивидуальное и сильно зависит от общей технологической культуры компании, наличия/отсутствия специалистов, ресурсов и планов на будущее.

Для начала нужны общие правила внутри компании:

Соберите список всех ресурсов, которыми пользуются ваши сотрудники, пароли для входа в «учетки», «админки», аккаунты и т.д.

Выясните, каково назначение всех собранных ресурсов; что из них используется редко или не используется вообще. Определите, что наиболее важно для компании. Какие есть риски для тех или иных ресурсов — ограничения для пользователей, возможность блокировки и т.д.

Все ресурсы оцените по критериям: надежность, польза, безопасность и незаменимость. Так вы определите самые ценные. Возможно, вы поймете, что какие-то цифровые активы вам и не нужны.

Соберите все доступы в одном месте. Подумайте, как сделать так, чтоб этот реестр был защищен, чтоб никто не смог его отредактировать без вашего ведома, случайно удалить информацию.

Например, доступы могут быть у тех, кому это действительно необходимо: у маркетолога — к соцсетям, у бухгалтерии — к личным кабинетам банка и налоговой и т.д. У собственника должны быть доступы ко всем ресурсам.

Потом уже можно установить менеджер паролей. С ним все будет на виду: кто к чему имеет доступ, кто что отредактировал. А главное — ни один пароль или логин не потеряются.

Мы сделали структуру похожую на структуру организации: есть роли (должности/совмещение должностей), пользователи и группы (департаменты/отделы).

Добавлять в менеджер паролей можно как своих сотрудников, так и фрилансеров, работающих на аутсорсе, или заказчиков. После окончания проекта этих пользователей можно просто удалить из приложения, а пароли, которыми они пользовались, поменять.

Пропишите для сотрудников свод правил: какие активы ваша компания использует, кто имеет доступ к тем или иным активам, кто может ими управлять.

Резюме следующее: цифровые активы — вопрос не только безопасности, но и репутации. Поэтому мы очень советуем в ближайшее время провести их инвентаризацию, с менеджером паролей или без.