Цифровая безопасность: как защитить бизнес и не потерять корпоративные пароли
Процессы цифровизации бизнеса и госсектора в России неразрывно связаны с двумя ключевыми трендами: достижением цифрового суверенитета и информационной безопасностью. Тема импортозамещения активно продвигается государством и особенно актуальна сегодня для госсектора. Так, госорганизациям законодательно запрещена закупка иностранного софта для объектов критической информационной инфраструктуры, а с начала 2025 года они совсем не смогут использовать имеющиеся импортные решения.
Что касается сферы кибербезопасности, то, по результатам опроса «Серчинформа», каждая третья российская компания в 2023 году планировала увеличение этой статьи расходов. А согласно исследованию «Лаборатории Касперского», к 2025 году компании намерены тратить на киберзащиту в среднем на 14% больше бюджетных средств, чем сейчас.
Такие инвестиции в безопасность IT-инфраструктуры оправданны: информационные активы компаний стали ценнейшим ресурсом, дающим конкурентное преимущество, но в то же время и требующим тщательной защиты. Практически каждую неделю в медиа появляются новости об очередных громких утечках данных, и это только верхушка айсберга. Многие инциденты не афишируются, но не секрет, что практически любой специалист информационной безопасности может вспомнить случаи, когда тот или иной сотрудник недобросовестно относился к корпоративным доступам, которые привели к проблемам.
Эксперты рекомендуют инвестировать во внедрение современных средств защиты информации (СЗИ), проводить пентесты, повышать цифровую грамотность персонала и культуру пользования корпоративными ресурсами.
На данный момент на российском рынке уже много зрелых продуктов практически в каждой категории ПО для безопасности. А во многих компаниях практикуют анализ уязвимостей и тесты на проникновение. Естественно, парольная политика является одним из важнейших критериев, который необходимо учитывать при разработке и внедрении стратегии киберзащиты. И чтобы организовать безопасное хранение данных от корпоративных аккаунтов и их удобное коллективное использование, необходим соответствующий запросам менеджер паролей.
Порядок вместо хаоса — возможно ли это?
У системных администраторов многих компаний существует длинный перечень паролей, которые необходимо где-то хранить: это, например, пароли доступа к серверам, хостингам, сервисам, SSH-ключи, различные сертификаты и многое другое.
Рядовым сотрудникам хранилище паролей может тоже пригодиться — если они пользуются внутрикорпоративными сервисами, с которыми невозможно провести интеграцию по SSO (Single Sign-On, технология единого входа) или если внешний сервис, к примеру, не поддерживает мультилогинный доступ.
При этом часто в компаниях не организовано грамотное управление паролями, каждый хранит их так, как считает нужным: на стикере, наклеенном на монитор, в таблицах или облачных документах, в блокноте на компьютере, в лучшем случае в собственном менеджере паролей, который все равно невозможно проконтролировать. Зачастую коллеги с легкостью обмениваются паролями по электронной почте или в мессенджерах. Все это, конечно, увеличивает риски для бизнеса в разы.
Или, к примеру, новый сотрудник, приходя в организацию, вынужден долго выяснять, как он может получить доступ к необходимым для работы ресурсам.
Если же специалист создал пароль от какого-то сервиса или сайта, никому его не передал и теперь не выходит на связь, то его коллеги могут потратить много времени на восстановление доступа к этому ресурсу. Еще более негативный сценарий — когда сотрудник увольняется с обидой на работодателя и назло бывшим руководителям забирает с собой все пароли, которые создал за время работы. При этом блокируется доступ к ряду сервисов, а компания может потерять значимые данные и понести убытки.
Если подобные случаи могут происходить или имеют место быть в вашей компании, однозначно стоит задуматься о внедрении менеджера паролей. Этот инструмент специально создан для организации совместного использования корпоративных паролей сотрудниками. А системным администраторам он помогает проводить аудит паролей, находить устаревшие, слабые или скомпрометированные, сохранять данные для доступов в одном надежном месте и управлять ими.
Одно из решений этого класса — Пассворк, «коробочный» программный продукт, который устанавливается на сервер компании и решает задачи безопасного хранения паролей, совместной работы с ними, грамотного администрирования базы паролей и управления пользователями.
Что предлагает менеджер паролей Пассворк?
Пассворк работает через веб-интерфейс, также у сервиса есть мобильное приложение для Android и iOS, плагины для браузеров Chrome, Mozilla, Safari и Microsoft Edge. В 2024 году будут выпущены десктопные клиенты для основных операционных систем.
Если заглянуть в интерфейс на главной панели сервиса, в центре сразу можно найти список доступных пользователю паролей, а слева находится навигация. Основными элементами являются папки и сейфы (корневые хранилища организации и личные).
Сейфы организации предназначены для решения большинства задач. Администратор может, например, создавать сейфы с учетом определенных существующих в компании отделов, клиентов, сотрудников или проектов. В каждом сейфе можно размещать папки, разветвляя структуру хранилища так, как требуется для удобства или разграничения доступа. Администратор может попасть в любой сейф организации, чтобы отслеживать, какие пароли сотрудники создавали и какими пользовались.
К личным сейфам, наоборот, изначально нет доступа даже у администратора: попасть в него можно только по прямому приглашению владельца. Зато администратор Пассворка может настроить политику организации, определив категории пользователей, которые имеют привилегии для создания личных сейфов: топ-менеджеры, руководители подразделений, владельцы продукта и т. д.
Задав необходимую структуру сейфов и папок, администратор приглашает пользователей в нужные папки. Если пользователей много, удобнее объединять их в роли — например, «Бухгалтерия» или «Клиенты» — и предоставлять разрешения ролям. У каждого пользователя может быть несколько ролей. При этом администратор всегда может посмотреть, какие роли назначены тому или иному сотруднику и к каким папкам он имеет доступ.
Карточка пароля имеет несколько полей. Основными являются название, логин и непосредственно поле для ввода пароля, который можно создать с помощью генератора пароля либо ввести вручную. Также в карточку можно добавить дополнительное поле для обеспечения двухфакторной аутентификации.
Для безопасности важно, что все редакции каждого пароля записываются в базу данных. Администратор Пассворка в один клик может посмотреть полную историю действий с этим паролем и его предыдущие состояния.
Отдельно стоит обратить внимание на вкладку «Панель безопасности», где анализируются хранящиеся в Пассворке пароли. Система автоматически находит слабые и старые пароли, а также записи, имеющие риски компрометации, например, когда сотруднику, ранее использовавшему данный пароль, по какой-то причине закрыли доступ к нему.
Возможности и преимущества для бизнеса и госсектора
Для продуктивной совместной работы пользователи могут удобно обмениваться доступами к корпоративным сервисам, приглашать коллег в общие папки и сейфы, находясь при этом в защищенной среде системы.
Администратор Пассворка может добавлять в хранилище пароли от любых ресурсов вручную или импортировать из других источников, маркировать актуальные записи с помощью тегов и цветных меток. Доступна интеграция сервиса с Active Directory / LDAP, групповое управление правами пользователей с помощью ролей с возможностью тонкой настройки прав доступа и просмотра истории всех действий и изменений.
Также программа дает возможность администраторам проводить автоматизированный аудит безопасности, оповещая о старых, слабых и скомпрометированных паролях.
Ключевые преимущества Пассворка:
- Полностью российский продукт, находящийся в реестре отечественного ПО от аккредитованной IT-компании. Идеально подходит для внедрения в госкомпаниях, соблюдающих политику импортозамещения, в том числе в рамках закупок по ФЗ-44 и ФЗ-223.
- Быстрая и отзывчивая русскоязычная техподдержка. С приобретением, обслуживанием и продлением подписки проблем точно не будет.
- Софт устанавливается на сервера компании, а данные шифруются алгоритмом ГОСТ или AES-256. Пароли не покидают периметра организации, а значит, лучше защищены.
- Настройка кластеризации и отказоустойчивого решения, возможно тиражирование на несколько филиалов компании.
- Удобное управление пользователями и правами: общие папки и сейфы, возможность обмена паролями, выбор ролей, настройка прав доступа. Импорт и экспорт данных в форматах JSON и CSV.
«Благодаря расположению на серверах организации менеджер паролей Пассворк работает даже без доступа к сети Интернет, полностью внутри вашей локальной сети, — поясняет сооснователь и технический директор компании Илья Гарах. — Кроме того, мы постарались разработать такой интерфейс продукта, который был бы не только удобным для администраторов, но и максимально понятным для обычных пользователей. Открытый исходный код мы предоставляем заказчикам по запросу, чтобы они могли убедиться в том, что с ним все в порядке».
Притом что управление паролями в каждой организации осуществляется по-своему, такие решения, как Пассворк, позволяют упорядочить и унифицировать этот процесс, сделав его максимально удобным для всех.
Таким образом, с этим инструментом сотрудники компании будут тратить минимум времени на поиск необходимой информации, а системные администраторы — эффективно управлять парольной политикой, используя аналитические возможности.
Все это поможет значительно повысить уровень безопасности вашего бизнеса и оптимизировать работу в компании. Также отдельного внимания заслуживает то, что менеджер паролей Пассворк можно протестировать бесплатно при помощи демоверсии, что, безусловно, облегчает принятие итогового решения.