Тренды в информационной безопасности

К концу 2024 г. в связи с указом президента о мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры страны, все российские госкомпании должны перейти на российский софт. Меры приняты в рамках защиты суверенитета и обеспечения ИБ. Ранее 31 марта 2022 г. была запрещена закупка иностранного ПО без согласования с уполномоченными федеральными органами власти. Новый закон усиливает перечень защитных мер.

Основные тренды информационной безопасности в РФ:

• Импортозамещение ИТ-решений во всех сферах.
• Увеличение уровня цифровой безопасности государства и бизнеса.
• Укрепление сектора ИТ техническими и программными решениями.
• Усиление сегмента специалистов в области ИТ с акцентом на безопасность и оптимизацию работы организаций, в том числе в военной сфере.

Необходимость усиления безопасности в бизнесе и госсекторе

Сложное положение в мире увеличило число хакерских атак на российские интернет-ресурсы. Компании вынуждены одновременно заниматься заменой ПО и обеспечивать безопасность соединений в сети. Многие перестали доверять облачным сервисам и предпочитают хранить всю важную информацию на своих серверах. В государственных органах происходит цифровизация всех служб и подразделений. Правительство активно поддерживает рост числа ИТ специалистов в стране, оценивает уровень их развития, а также внедряет новые технологии в госсекторе. Информационная безопасность и обеспечение суверенитета страны — наиболее приоритетные задачи в этой области.

Для бизнеса ключевое значение имеют риски потери важных данных компаний и их клиентов, так как негативное развитие ситуации может привести к репутационному и финансовому ущербу. В новой обстановке никто не застрахован от возможной кибератаки, поэтому организациям нужно стремиться к обеспечению цифровой безопасности. А значит, защиту стоит оптимизировать не только крупному или среднему бизнесу, но и малому.

Одним из распространенных способов атак на компании является выявление паролей от аккаунтов или доступов к программам, которыми пользуется бизнес. Порой беспорядок в работе с корпоративными паролями, беспечное отношение к их хранению и пересылке между сотрудниками, может парализовать работу организации или дискредитировать крупные госпроекты.

Менеджер паролей как ответ на одну из проблем безопасности

Управление во многих системах происходят по входу через пароль. И если он попадает в руки злоумышленников, безопасность доступа становится скомпрометированной. Чтобы этого не произошло, необходимо грамотно распределить ответственность в сфере ИБ между сотрудниками и дать им современные инструменты для управления. Это позволит взять под контроль действия всех специалистов и обеспечит защиту данных.

Корпоративный менеджер паролей «Пассворк» решает такую задачу. Программа существует уже более десяти лет. Вендор постоянно собирает обратную связь от клиентов и занимается оптимизацией: работает над улучшением функционала бэкенда и фронтенда, а также пополняет базу данных.

Основная идея сервиса в удобстве использования. Невозможно запомнить десятки или сотни логинов и паролей или просто записать их куда-то, решение проблемы должно соответствовать современным требованиям безопасности:

• Предназначен для совместной работы пользователей, правами которых управляет администратор.
• Программа отслеживает все действия сотрудников и проводит аудит безопасности.
• Пароли хранятся в совместных сейфах на серверах компании и не передаются в облака.
• При смене проекта, уходе сотрудника в отпуск, на больничный или увольнении, между менеджерами происходит перераспределение доступов.

В некоторых компаниях работают команды системных администраторов, которые взаимодействуют с множеством людей. Чтобы упростить все процессы коммуникации можно внедрить специальную систему выдачи паролей и далее только поддерживать ее функционирование. «Пассворк» решает первичные задачи по ИБ. Через интерфейс системы, можно пригласить коллег и дать им доступы к корпоративным возможностям, это не только удобно, но еще и безопасно. В случае увольнения специалиста администратор снимает все права доступа с ушедшего сотрудника, а также с легкостью находит список ресурсов, на которых необходимо оперативно сменить пароль. К тому же у «Пассворка» есть расширение для браузера и мобильное приложение, что значительно упрощает взаимодействие с системой.

Основные преимущества использования менеджера паролей «Пассворк»

У «Пассворка» открытый исходный код, который можно проверить на уязвимости или бэкдоры перед установкой. Программа постоянно обновляется, сейчас работает уже шестая версия, которая находится под постоянной технической поддержкой. Все данные хранятся на сервере компании-пользователя и шифруются по выбору алгоритмом ГОСТ или AES-256. «Пассворк» работает на PHP и MongoDB, поддерживает установку на Windows Server и Linux с Docker или без него. В LDAP авторизация происходит через SSO.

• Менеджер паролей позволяет исключить утечки и уменьшить вероятность взлома.
• У «Пассворка» простой и понятный интерфейс, в котором разберется даже рядовой сотрудник, а все данные хранятся в заданной структуре, что создает порядок в системе.
• Отпадает необходимость поиска сведений, о которых знает только один человек — все находится в программе, в том числе история действий.
• Администратор может использовать мастер-пароль, чтобы контролировать все действия сотрудников, оценивая гибкие права доступа. Он видит, какие пароли открываются, копируются или передаются.
• Данные можно вводить вручную или импортировать из файла, а все сведения находить по тегам или цветовым меткам. Доступами удобно делиться с сотрудниками или отделами.
• Все пароли хранятся в зашифрованном виде на сервере компании-пользователя.

Все это важно при использовании корпоративных аккаунтов по различным направлениям работы и разграничении доступов при помощи ролей. Как пример, финансистам открыты аккаунты фин.сервисов, маркетологам — рекламные кабинеты и авторизация на нужных для работы сайтах, соцсетях и прочих ресурсах, техническому персоналу — доступы к серверам и другой важной ИТ-инфраструктуре. При запросе авторизации руководителя или нового сотрудника он сразу получает необходимые права и никто не тратит время на поиски данных для доступов.

Для освоения программы не требуется специальное обучение. При этом у компании существует центр клиентской поддержки, который помогает пользователям по всем возможным запросам. Для самостоятельного решения вопросов разработана подробная техническая документация.

«Пассворк» может подойти для использования в совершенно разных отраслях: будь то ИТ, финансовый сектор или сфера недвижимости. Самый важный критерий выбора — необходимость хранения массива данных для доступов к сервисам, которые содержат ссылки и логины с паролями. Второй фактор — большое количество сотрудников, которым необходимо часто авторизовываться в этих сервисах. Чем выше эти показатели, тем значимее будет польза от внедрения решения.

Министерство цифрового развития, связи и массовых коммуникаций РФ включило компанию-разработчика в реестр аккредитованных организаций, осуществляющих деятельность в области информационных технологий, а сам менеджер паролей Пассворк уже давно находится в реестре ПО. Это имеет важное значение в связи с политикой импортозамещения, особенно для больших государственных корпораций, где вопросы организации ИБ играют первоочередную роль в связи с конфиденциальностью работы на ключевых проектах страны.

Многие компании реагируют на киберугрозы слишком поздно. Сначала они интенсивно развиваются и только потом закладывают стандарты информационной безопасности. Правильнее будет не дожидаться проблем, передавая пароли в мессенджерах или на бумаге, а сразу использовать специализированный софт, который поможет усилить систему ИБ и навести порядок с корпоративными доступами. Чем дольше бизнес оттягивает решение таких вопросов, тем выше вероятность возникновения кризисной ситуации из-за утечки. Все эти меры важны для малого бизнеса и тем более актуальны для крупных компаний или госкорпораций.