Журнал "Information Security/ Информационная безопасность" #4, 2025

Шаг 1. Уберите передачу паролей из общения Переписка в мессенджерах вроде "вот пароль от сервера" до сих пор остается нормой во многих компаниях. Особенно часто она случается при работе с под- рядчиками, когда доступ передается вслепую без последующего контроля. Эта же история и с уволенными сотруд- никами: в их мессенджерах могут годами храниться доступы ко внутренним систе- мам. Такой способ передачи информации удобен и прост. И точно так же быстро и просто он помогает потерять данные. Решение этой проблемы заключается в отказе от самой идеи передачи паролей. Пользователь не должен видеть или запо- минать пароль, его подключение должно происходить автоматически – через защи- щенный инструмент, который сам вводит нужные учетные данные. Это полностью исключит возможность переслать, слу- чайно раскрыть или потерять пароли. Чтобы система безопасности была комплексной и охватывала всех (от обычных пользователей до админи- страторов), важно подключать специа- лизированные решения. Для админов – это PAM-система 1 , для обычных пользо- вателей – парольные кошельки 2 с под- держкой командной работы. Шаг 2. Сделайте шлюз – единую точку доступа Все подключения ко внутренним системам нужно организовать через защищенную точку – шлюз доступа. Даже если в компа- нии работает всего один системный адми- нистратор, это поможет навести порядок и упростить контроль, ведь кроме него с большой долей вероятности есть и подряд- чики, которые подключаются к сети вашей компании (специалисты, обслуживающие 1С, КонсультантПлюс, Гарант и др.). Через такой шлюз можно отслеживать: кто, куда и когда заходил, записывать действия пользователей в виде текста или видео, а в случае увольнения сотруд- ника – быстро отключить доступ. Это поможет снизить зависимость от кон- кретных людей и позволит сохранить контроль над инфраструктурой внутри компании, независимо от текучести кад- ров или смены подрядчиков. Шаг 3. Фиксируйте вход и действия – не только для порядка, но и на случай инцидента Фиксация действий – важный элемент не только внутреннего порядка, но и реаль- ный способ быстро отреагировать на инцидент. Без аудита невозможно понять, кто и когда удалил данные или изменил настройки. А если и получится выяснить, то часто бывает уже слишком поздно. Случаи повторного взлома без понимания его причин – это капкан, в который попадет множество компаний. Поэтому стоит использовать персонализированные учет- ные записи вместо универсальных, вроде admin1, включить запись всех сессий, настроить уведомления о нетипичной активности, например если кто-то входит в систему глубокой ночью или из другого региона, другой страны. Важно точно понять и закрепить, кто за что отвечает и к каким системам имеет доступ. Лучше сразу ограничить права – так сотрудникам станет проще работать и меньше риск, что в случае проблем виноватыми окажутся они. Чтобы еще больше снизить риски и защитить доступы, добавьте двухфак- торную авторизацию – это базовый эле- мент цифровой гигиены. Она требует не только пароль, но и дополнительное подтверждение, например код из СМС или push-уведомление в приложении. Даже если злоумышленник узнает пароль, без второго фактора он не полу- чит доступ к системе. Шаг 4. Админ – тоже пользова- тель. Не давайте всем root-доступ Администратор – тоже пользователь, и его действия должны подчиняться тем же правилам безопасности, что дей- ствуют для остальных. Даже самым опытным и проверенным сотрудникам не стоит постоянно работать от имени суперпользователя. Такой доступ дает слишком много возможностей, и в слу- чае ошибки, и при потенциальном зло- употреблении. Гораздо безопаснее, если админ входит в систему под своей лич- ной учетной записью, а затем получает временные повышенные права только на период выполнения конкретной зада- чи. Это позволяет контролировать, кто и зачем получил доступ, фиксировать все действия и снижать риск случайных или злонамеренных изменений. Шаг 5. Не ленитесь управлять доступом подрядчиков Подрядчики и внешние специалисты – один из самых уязвимых каналов для компрометации. Во многих российских компаниях до сих пор распространена практика: доступ для интеграторов, внешних администраторов 1С или кон- сультантов оформляется через общую учетку, которая передается от одного исполнителя к другому. В результате никто не может точно сказать, кто имен- но работал под выданным логином и какие действия совершал. Чтобы минимизировать риски, доступ подрядчиков должен оформляться по тем же правилам, что и для внутренних сотрудников. Каждому исполнителю выдается отдельная учетная запись, по которой можно однозначно зафиксиро- вать его действия. При этом права назна- чаются только на время выполнения конкретных задач: настройка, обновле- ние, техподдержка. Как только работы завершены, доступ должен автоматиче- ски отключаться без возможности оста- вить его на всякий случай. Такой подход позволяет избежать ситуации, когда бывший подрядчик спустя месяцы или даже годы сохраняет доступ к критичным системам. 46 • СПЕЦПРОЕКТ Контроль привилегированных доступов без нервов: пошаговая инструкция крупном бизнесе риски утечек привилегированных доступов к ключевым ИТ-ресурсам закрываются с помощью PAM (Privileged Access Management). А вот в малом и среднем – до сих пор многие считают, что это дорого, сложно и нужно исключительно миллиард- ным корпорациям. Эксперты компании “АйТи Бастион” предлагают базовую, но рабочую схему, которую можно внедрить без ИБ-отдела. В 1 https://it-bastion.com/products/skdpu-nt-start/ 2 https://it-bastion.com/products/personalnye-seyfy/