Чему нас научил взлом нашей СЭД

Documentolog рассказывает о мерах по обеспечению безопасности, которые важны для любого облачного сервиса.

В последние несколько лет рынок изменился и от систем электронного документооборота клиенты ждут все больших возможностей.

Сейчас на платформе Documentolog автоматизируются кадровые, финансовые процессы, процессы коллегиальных органов, службы технической поддержки и др. Встал вопрос о дополнительных мерах по обеспечению безопасности, ведь чем больше процессов компании автоматизировано, тем больше будет потенциальный ущерб в случае взлома. Клиенты и участники рынка все чаще спрашивают, что мы делаем в этом направлении. В статье мы постарались подробно ответить на все вопросы.

Предоставлять СЭД Documentolog по модели SааS мы начали с 2015 года, до этого занимаясь только продажей лицензий. Раньше как разработчику программного обеспечения нам не нужны были сильные компетенции в администрировании, это была забота наших клиентов. Изменение бизнес-модели и рост количества клиентов в облаке потребовали развития соответствующих знаний в сфере информационной безопасности. Вместе с каждым нашим новым клиентом в облаке мы активно учились правильному администрированию распределенной инфраструктуры, мониторингу и анализу всех логов событий, осознанию повышенной ответственности у каждого сотрудника компании, да и просто правильному ведению раздельного учета и выстраиванию ценовой политики в компании.

В 2018 году мы подверглись атаке со стороны одной компании, имеющей лицензию на пентест, проверку у которой заказал один из наших клиентов. Атака хоть и была проведена с грубейшим нарушением договорных обязательств и уголовного законодательства страны, позволила выявить несколько слабых моментов в процессах нашей компании, связанных с человеческим фактором. После нее кардинально пересмотрели подход к обеспечению информационной безопасности в нашей инфраструктуре.

В первую очередь мы определили три основных уровня защиты: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения безопасности в компании.

• Обеспечение защиты от потери информации. Ввели дополнительные бэкапы системы и обеспечили её работоспособность в случае физической поломки серверного оборудования. Поместили файловые данные клиентов в распределенное файловое хранилище (физически в нескольких экземплярах). Если файловые сервера выйдут из строя, данные не будут потеряны.

• Разграничение периметра инстанции системы клиента. Данные каждого клиента разделены и не доступны друг для друга ни при каких обстоятельствах.

• Контейнеризация облака. Перевели все наши облачные системы на Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Благодаря этому теперь все клиентские инстанции Documentolog развертываются автоматически с преднастроенной политикой безопасности, включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров. Системные администраторы полностью сконцентрированы на повышении уровня безопасности контейнеров. Это существенно минимизирует человеческий фактор при разворачивании новой инстанции.

• Централизованная система анализа и мониторинга событий (SIEM). Развернули систему, в которую собираются и анализируются логи со всех инстанций. Настроены правила, на которые в обязательном порядке реагируют администраторы.

• Распределение полномочий на просмотр документов согласно ролям. Каждый сотрудник клиента имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли.

• Разделение панели администрирования СЭД на простого и суперадминистратора. Данное разделение позволило предоставить администраторам СЭД клиента все необходимые для сопровождения системы функции без расширенных возможностей с доступом к базе данных и операционной системе. Функции суперадминистраторов для каждого клиента закреплены за выделенным сотрудником Documentolog отдельным приказом. В случае необходимости выполнения каких-либо действий, они осуществляются только через заявку в личном кабинете с фиксацией времени и требуемых действий.

• Ограничение на чтение документов администраторами СЭД. Теперь администратор СЭД имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов.

• Авторизация суперадминистратора через токен. Реализовали дополнительную авторизацию в панель администрирования системы для наших сотрудников. Помимо логина и пароля, теперь требуется авторизация через ЭЦП на физическом носителе – токене.

• Двухфакторная аутентификация. Система начала запоминать каждую сессию и ее метаданные. При входе с нового устройства или браузера она запросит код доступа, который высылается на привязанный к аккаунту пользователя e-mail. Все данные о входе в систему собираются и отображаются в профиле пользователя. Таким образом, даже если ваш пароль к системе "подсмотрели", то в случае использования его третьим лицом, вы увидите уведомление об этом в почте. Остается только иметь разные пароли к системе и почте:)

• Контроль одновременных сессий пользователя. Дополнительная защита для случаев, когда пользователь залогинился с одного авторизованного места, затем, забыв выйти из системы, зашел с другого. Система автоматически закончит первую сессию.

• Защита от перебора паролей пользователя. В случае трехкратного ввода неправильного пароля учетная запись пользователя автоматически блокируется.

• Логирование всех действий пользователя. Все действия пользователей сохраняются в специальный защищенный файл и никогда не удаляются.

• Сохранение всех созданных документов. В системе реализован механизм, при котором вся созданная информация сохраняется и не может быть удалена. При этом реализована политика, при которой ни один администратор не должен иметь неограниченных прав и абсолютного доступа к информации.

• Антивирусная защита всех загружаемых файлов. Система автоматически сканирует любой загружаемый файл на наличие вирусов. Механизм пока доступен в бета-версии. В ближайшее время будет доступен для клиентов официально.

Недостаточно просто разово выстроить работу системы, нужно постоянно контролировать риски, следить за тем, как требования безопасности исполняются сотрудниками, как их понимают новички. В тоже время, именно человеческий фактор часто становится определяющим в обеспечении безопасности, поэтому нельзя недооценивать риски. На этом уровне мы:

• Пересмотрели процесс внесения каких-либо изменений или действий с инстанцией клиента. Любые действия с инстанцией клиента теперь возможны только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора.

• Пересмотрели и актуализировали роли и уровни доступа по каждому сотруднику в нашей системе. Прошлый взлом стал возможен из-за того, что у сотрудника службы поддержки оказался доступ к документу, к которым у него не должно было быть доступа. После кражи сессии злоумышленники получили доступ к этому документу.

• Закрепили персональную ответственность по каждому клиенту за сотрудниками компании. Ответственность за все действия по клиенту закреплена приказом, что позволяет формализовать юридическую ответственность сотрудников компании.

• Утвердили и переподписали новый трудовой договор. Конкретизировали ответственность каждого сотрудника за выполнение обязанностей и сохранность данных клиентов. Значительно повысили ответственность сотрудников компании за халатность и возможный ущерб. Тем самым мы выстроили в компании выстроили вертикальное распределение ответственности – в любой момент времени известно какой сотрудник за какого клиента отвечает.

• Разграничили права и обязанности между администратором системы и администратором серверов и инфраструктуры. Теперь глобальные действия с инстанцией клиента возможны только при согласовании действий нескольких сотрудников компании из разных подразделений.

• Разработали и утвердили карту рисков и инструкции. Каждый сотрудник в компании теперь четко знает свою зону ответственности и зону ответственности другого сотрудника. Что можно делать, а что делать нельзя. Что делать в случае возникновения нештатной ситуации.

• Ввели постоянное обучение сотрудников основам кибербезопасности: как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.

Проделанная работа уже дает результаты. Недавно один из сотрудников нашего клиента, специализирующийся на администрировании и безопасности, пытался осуществить взлом системы. Благодаря системе мониторинга (SIEМ) попытка была сразу же замечена нашими сотрудниками, IP адрес пользователя заблокирован. Мы уведомили об этом клиента, а тот, в свою очередь, смог быстро вычислить сотрудника. Позже он признался, что хотел осуществить взлом «из любопытства и интереса».

Нужно быть готовыми к тому, что подобные меры заметно повысят внутреннюю бюрократию в компании и значительно снизят гибкость по отношению к клиентам. Раньше у нас многие вопросы могли решаться “по звонку” от клиента или на честном слове. На сегодняшний день такое невозможно. Любые операции с системой клиента осуществляются только через заявку в личном кабинете с обязательной фиксацией времени и ответственных сотрудников. Такие изменения не всегда легко и с восторгом принимаются в коллективе, но, в конечном счете, все понимают, что это необходимые меры, а последствия несоблюдения могут быть очень печальными.

#documentolog #сэд #безопасность #электронныйдокументооборот