Технологии
IT/Игры
30.01.2024, 10:00

Цифровая безопасность: как навести порядок с паролями в компании и оптимизировать командную работу

Очевидное преимущество современного цифрового мира — возможность получения доступа к онлайн-ресурсам практически из любого уголка планеты, где есть интернет. Но есть и минус — тот же доступ могут получить и злоумышленники, если раздобудут ваши идентификационные данные. Для обычных пользователей это чревато максимум потерей денежных средств, а вот не слишком ответственные сотрудники компаний могут принести своей фирме не только многомиллионные убытки, но и репутационные потери. Как можно защитить свои логины и пароли? Мы попросили поделиться своим опытом Романа Морозова, руководителя управления информационной безопасности Capital Group.
Цифровая безопасность: как навести порядок с паролями в компании и оптимизировать командную работу
Изображение сгенерировано с помощью нейросети

Роман пришел в IT-безопасность еще в те времена, когда эта сфера только начала развиваться. С тех пор значительно усовершенствовались алгоритмы шифрования, методики распознавания вирусов, появились новые программные продукты. Но самым слабым звеном по-прежнему остается человек, психология которого меняется крайне медленно. Мы сами ищем способы облегчить себе жизнь: не используем сложные пароли, ленимся менять их время от времени, записываем их на клочках бумаги и вешаем на всеобщее обозрение, а порой безответственно пересылаем их коллегам в мессенджерах.

РоманМорозов
Руководитель управления информационной безопасности
Capital Group

«В нашей компании — более 1000 человек. Множество подразделений, которые работают с контрагентами, внутренними программами, базами данных. Чтобы повысить уровень IT-безопасности, мы решили внедрить платформу централизованного хранения паролей. Изучили opensource-решения, но они сомнительны с точки зрения надежности. Тогда решили попробовать сервис "Пассворк", который предлагали сразу в "коробочном" варианте».

Как работает «Пассворк»?

Архивы пресс-службы

«Пассворк» — это централизованное хранилище паролей, которым удобно управлять. Вместо того чтобы раздавать пользователям общие пароли от сервисов или тем более генерировать для каждого отдельный, «Пассворк» позволяет группировать сотрудников по категориям и автоматически подключать их к нужным ресурсам. Например, группа бухгалтеров может иметь доступ ко всем профильным сервисам, добавление в группу нового пользователя автоматически «расшаривает» ему права. Но настройки могут быть и индивидуальными: к примеру, при необходимости можно предоставить данные для доступа к системе «клиент-банк» только главбуху.

При этом даже новому сотруднику не придется вводить пароли вручную. Фактически он получает доступ к защищенному контейнеру (сейфу) с помощью 256-битного мастер-пароля, который невозможно подобрать. Именно он и понадобится для доступа ко всей группе сервисов, права к которым есть у пользователя. В личный сейф можно добавлять собственные пароли — например, к личному кабинету транспортной компании.

Все данные хранятся на сервере компании — это может быть важно для крупных корпораций и госкомпаний, которые не привыкли доверять облачным хранилищам или другим ресурсам за периметром. При этом можно выбрать алгоритм шифрования данных: популярный AES-256 или российский по ГОСТу. Оба имеют свои преимущества.

Роман Морозов:

«Трудно сказать, какой из алгоритмов более надежен. Ведь нужно исходить не только из технических особенностей, но и из популярности. Скажем, международный AES-256 гораздо более распространен, и я полагаю, что инструментов для его взлома тоже больше. А вот российский протокол для европейских компаний неактуален, поэтому и средств для взлома пока немного».

Минимум действий — максимум безопасности

Специалисты по безопасности считают, что пароли к наиболее важным сервисам должны содержать как минимум 16 символов. Но каждый раз вводить такой в поле интерфейса сложно, а запомнить его практически невозможно. Поэтому пользователи где только можно идут по упрощенному пути: либо используют один и тот же пароль на большинстве ресурсов, либо включают в него популярные слова. Так или иначе, это влияет на безопасность.

Изображение сгенерировано с помощью нейросети
Роман Морозов:

«Если кому-то очень понадобится ваш пароль, а он состоит из 6-8 символов и содержит популярные фрагменты вроде имен, дат рождения, на взлом уйдут даже не года и не месяцы, а дни. В отдельных случаях — часы. Так что советы использовать комбинации цифр, букв и спецсимволов — это не просто "заморочки" сервисов, а реальный способ принципиально осложнить задачу взломщикам».

«Пассворк» хорош тем, что ничего запоминать не надо. Например, к большинству сервисов доступ организован онлайн через личные кабинеты. В этом случае достаточно просто установить плагин «Пассворк» для браузера или использовать удобное мобильное приложение и авторизоваться можно будет буквально нажатием одной кнопки. При этом пароль будет находиться в централизованном хранилище и в любое время может быть изменен. Но на пользователях это не отразится.

Есть и локальные системы сохранения паролей — например, от Google. Очень удобно пользоваться автоматической подстановкой данных в Chrome, но тут есть два нюанса. Во-первых, какими бы надежными ни были алгоритмы сохранения паролей в браузере, фактически сам браузер может работать в небезопасной среде (операционной системе). А это прямой и явный риск. Во-вторых, если для физлица такой вариант вполне практичный, то в командах это использовать попросту неудобно. Тем более в компаниях обязательно должна быть определенная политика в плане паролей и обеспечить ее могут только централизованные решения.

Угрозы могут быть и внутри

Говоря о безопасности, мы обычно имеем в виду защиту от внешних угроз. Но угрозы могут быть и внутренними. К сожалению, конфликты внутри предприятия — обычное дело. Это и банальные разногласия в работе коллег, или к примеру, обида за невыплаченную премию. Чтобы ограничить в правах одного пользователя, в классической системе использования паролей нужно будет срочно менять все данные во всех сервисах и заново раздавать их «благонадежному» персоналу.

Роман Морозов:

«В корпоративной среде есть одна проблема. Если сотрудник увольняется, при классической системе использования локальных паролей де-факто он сохраняет доступ ко всем основным сервисам. А если это не просто менеджер, а специалист IT-отдела с правами администратора, у него может остаться доступ и к внутренней инфраструктуре. Система централизованного управления паролями "Пассворк" как раз позволяет снизить практически до нуля риск несанкционированного доступа сотрудниками, которые уже не работают в компании».

Опять-таки обиженный сотрудник может еще и сам поменять пароли, если такие полномочия есть у него в правах. А это как минимум на время лишит всех остальных доступа к важным сервисам. В «Пассворке» все действия сохраняются в логах и их всегда можно просмотреть. Даже действия самих сотрудников отделов IT-безопасности, которые имеют более высокий уровень доступа к «Пассворку».

5 основных правил кибергигиены

Современный человек должен быть знаком с этими правилами, которые заметно снижают риск потери информации и получения доступа к ней сторонних лиц. Причем как в корпоративном сегменте, так и в личной жизни. Роман выделил 5 основных.

Изображение сгенерировано с помощью нейросети
  1. Использование профильного ПО. Для личного компьютера может хватить хорошего антивируса и файервола, для корпоративных сред список куда более широк — локальные межсетевые экраны и другой софт. Важно поддерживать их в актуальном состоянии: всегда обновлять как само ПО, так и базы, с которыми оно работает.
  2. Контроль распространения данных. Здесь речь как раз о том, что пароль от ПК или системы «клиент-банк» не должен быть написан на листке бумаге или пересылаться в мессенджерах. Различные «цифровые» методы хранения вне защищенных сред (например, Google-таблицы с общим доступом по ссылке) — тоже не лучшее решение.
  3. Управление паролями. Даже сложный пароль можно подобрать — это вопрос времени. Если менять их хотя бы раз в год, риск подбора резко снижается. Для корпоративной среды отлично подходит менеджер паролей «Пассворк», он позволяет менять пароли централизованно, минимально задействуя пользователей. А кроме того, упрощает их совместное использование сотрудниками, при этом обеспечивая безопасность.
  4. Двухфакторная аутентификация. Конечно, не все сервисы предлагают такую возможность, но там, где этот вариант есть, нужно его использовать. Даже если пароль попадет в чужие руки, для входа нужно будет ввести еще и код из СМС, а его злоумышленнику не получить. В продвинутых продуктах вроде «Пассворка» всегда есть 2ФА и свой аутентификатор.
  5. Внимание к вопросам безопасности. Советы из серии «не переходите по незнакомым ссылкам» и «не открывайте вложения в письмах от неизвестных адресатов» могут показаться банальными, но по-прежнему огромное количество заражений компьютеров происходит из-за безответственного отношения к безопасности самих пользователей.

С каждым годом уровень цифровых угроз и численность кибератак только увеличиваются. Но пока далеко не все руководители бизнеса осознали масштаб возможных материальных потерь и репутационных рисков от несанкционированного доступа ко внутренним ресурсам посторонних лиц. Государство осознанно подталкивает нас к правильным решениям: например, согласно Указу Президента, с 1 января 2025 года на значимых объектах критической инфраструктуры будет запрещено использование иностранного софта. Госкомпании и корпорации смогут закупать только те программные продукты, которые включены в единый реестр российского ПО.

Для менее значимых объектов использование российского ПО необязательно, но компании уже на собственной практике почувствовали, насколько рискованно пользоваться софтом от иностранных разработчиков. Его поддержка, продление использования и продажа новых копий может прекратиться в любой момент.