{"id":10861,"title":"\u0417\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u0435 \u043f\u0438\u043b\u043e\u0442 \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0435 PwC Venture Hub","url":"\/redirect?component=advertising&id=10861&url=https:\/\/vc.ru\/promo\/349044-korotko-zapustit-pilot-i-poluchit-novyh-klientov-s-pwc&placeBit=1&hash=4330fcc6373e035951e6ff64a3ae572ba5f30463fe8776204270bbc0bd091c81","isPaidAndBannersEnabled":false}

Чему нас научил взлом нашей СЭД

Documentolog рассказывает о мерах по обеспечению безопасности, которые важны для любого облачного сервиса.

В последние несколько лет рынок изменился и от систем электронного документооборота клиенты ждут все больших возможностей.

Сейчас на платформе Documentolog автоматизируются кадровые, финансовые процессы, процессы коллегиальных органов, службы технической поддержки и др. Встал вопрос о дополнительных мерах по обеспечению безопасности, ведь чем больше процессов компании автоматизировано, тем больше будет потенциальный ущерб в случае взлома. Клиенты и участники рынка все чаще спрашивают, что мы делаем в этом направлении. В статье мы постарались подробно ответить на все вопросы.

Подход к обеспечению информационной безопасности у Documentolog

Предоставлять СЭД Documentolog по модели SааS мы начали с 2015 года, до этого занимаясь только продажей лицензий. Раньше как разработчику программного обеспечения нам не нужны были сильные компетенции в администрировании, это была забота наших клиентов. Изменение бизнес-модели и рост количества клиентов в облаке потребовали развития соответствующих знаний в сфере информационной безопасности. Вместе с каждым нашим новым клиентом в облаке мы активно учились правильному администрированию распределенной инфраструктуры, мониторингу и анализу всех логов событий, осознанию повышенной ответственности у каждого сотрудника компании, да и просто правильному ведению раздельного учета и выстраиванию ценовой политики в компании.

В 2018 году мы подверглись атаке со стороны одной компании, имеющей лицензию на пентест, проверку у которой заказал один из наших клиентов. Атака хоть и была проведена с грубейшим нарушением договорных обязательств и уголовного законодательства страны, позволила выявить несколько слабых моментов в процессах нашей компании, связанных с человеческим фактором. После нее кардинально пересмотрели подход к обеспечению информационной безопасности в нашей инфраструктуре.

В первую очередь мы определили три основных уровня защиты: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения безопасности в компании.

Информационная безопасность на инфраструктурном уровне подразумевает:

Обеспечение защиты от потери информации. Ввели дополнительные бэкапы системы и обеспечили её работоспособность в случае физической поломки серверного оборудования. Поместили файловые данные клиентов в распределенное файловое хранилище (физически в нескольких экземплярах). Если файловые сервера выйдут из строя, данные не будут потеряны.

Разграничение периметра инстанции системы клиента. Данные каждого клиента разделены и не доступны друг для друга ни при каких обстоятельствах.

Контейнеризация облака. Перевели все наши облачные системы на Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Благодаря этому теперь все клиентские инстанции Documentolog развертываются автоматически с преднастроенной политикой безопасности, включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров. Системные администраторы полностью сконцентрированы на повышении уровня безопасности контейнеров. Это существенно минимизирует человеческий фактор при разворачивании новой инстанции.

Централизованная система анализа и мониторинга событий (SIEM). Развернули систему, в которую собираются и анализируются логи со всех инстанций. Настроены правила, на которые в обязательном порядке реагируют администраторы.

Меры безопасности на уровне программного обеспечения:

Распределение полномочий на просмотр документов согласно ролям. Каждый сотрудник клиента имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли.

Разделение панели администрирования СЭД на простого и суперадминистратора. Данное разделение позволило предоставить администраторам СЭД клиента все необходимые для сопровождения системы функции без расширенных возможностей с доступом к базе данных и операционной системе. Функции суперадминистраторов для каждого клиента закреплены за выделенным сотрудником Documentolog отдельным приказом. В случае необходимости выполнения каких-либо действий, они осуществляются только через заявку в личном кабинете с фиксацией времени и требуемых действий.

Ограничение на чтение документов администраторами СЭД. Теперь администратор СЭД имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов.

Авторизация суперадминистратора через токен. Реализовали дополнительную авторизацию в панель администрирования системы для наших сотрудников. Помимо логина и пароля, теперь требуется авторизация через ЭЦП на физическом носителе – токене.

Двухфакторная аутентификация. Система начала запоминать каждую сессию и ее метаданные. При входе с нового устройства или браузера она запросит код доступа, который высылается на привязанный к аккаунту пользователя e-mail. Все данные о входе в систему собираются и отображаются в профиле пользователя. Таким образом, даже если ваш пароль к системе "подсмотрели", то в случае использования его третьим лицом, вы увидите уведомление об этом в почте. Остается только иметь разные пароли к системе и почте:)

Контроль одновременных сессий пользователя. Дополнительная защита для случаев, когда пользователь залогинился с одного авторизованного места, затем, забыв выйти из системы, зашел с другого. Система автоматически закончит первую сессию.

Защита от перебора паролей пользователя. В случае трехкратного ввода неправильного пароля учетная запись пользователя автоматически блокируется.

Логирование всех действий пользователя. Все действия пользователей сохраняются в специальный защищенный файл и никогда не удаляются.

Сохранение всех созданных документов. В системе реализован механизм, при котором вся созданная информация сохраняется и не может быть удалена. При этом реализована политика, при которой ни один администратор не должен иметь неограниченных прав и абсолютного доступа к информации.

Антивирусная защита всех загружаемых файлов. Система автоматически сканирует любой загружаемый файл на наличие вирусов. Механизм пока доступен в бета-версии. В ближайшее время будет доступен для клиентов официально.

Человеческий уровень - самый сложный для контроля и автоматизации.

Недостаточно просто разово выстроить работу системы, нужно постоянно контролировать риски, следить за тем, как требования безопасности исполняются сотрудниками, как их понимают новички. В тоже время, именно человеческий фактор часто становится определяющим в обеспечении безопасности, поэтому нельзя недооценивать риски. На этом уровне мы:

Пересмотрели процесс внесения каких-либо изменений или действий с инстанцией клиента. Любые действия с инстанцией клиента теперь возможны только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора.

Пересмотрели и актуализировали роли и уровни доступа по каждому сотруднику в нашей системе. Прошлый взлом стал возможен из-за того, что у сотрудника службы поддержки оказался доступ к документу, к которым у него не должно было быть доступа. После кражи сессии злоумышленники получили доступ к этому документу.

Закрепили персональную ответственность по каждому клиенту за сотрудниками компании. Ответственность за все действия по клиенту закреплена приказом, что позволяет формализовать юридическую ответственность сотрудников компании.

Утвердили и переподписали новый трудовой договор. Конкретизировали ответственность каждого сотрудника за выполнение обязанностей и сохранность данных клиентов. Значительно повысили ответственность сотрудников компании за халатность и возможный ущерб. Тем самым мы выстроили в компании выстроили вертикальное распределение ответственности – в любой момент времени известно какой сотрудник за какого клиента отвечает.

Разграничили права и обязанности между администратором системы и администратором серверов и инфраструктуры. Теперь глобальные действия с инстанцией клиента возможны только при согласовании действий нескольких сотрудников компании из разных подразделений.

Разработали и утвердили карту рисков и инструкции. Каждый сотрудник в компании теперь четко знает свою зону ответственности и зону ответственности другого сотрудника. Что можно делать, а что делать нельзя. Что делать в случае возникновения нештатной ситуации.

Ввели постоянное обучение сотрудников основам кибербезопасности: как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.

Выводы:

Проделанная работа уже дает результаты. Недавно один из сотрудников нашего клиента, специализирующийся на администрировании и безопасности, пытался осуществить взлом системы. Благодаря системе мониторинга (SIEМ) попытка была сразу же замечена нашими сотрудниками, IP адрес пользователя заблокирован. Мы уведомили об этом клиента, а тот, в свою очередь, смог быстро вычислить сотрудника. Позже он признался, что хотел осуществить взлом «из любопытства и интереса».

Уведомление от Documentolog в адрес руководства компании-клиента

Официальный ответ компании-клиента

Нужно быть готовыми к тому, что подобные меры заметно повысят внутреннюю бюрократию в компании и значительно снизят гибкость по отношению к клиентам. Раньше у нас многие вопросы могли решаться “по звонку” от клиента или на честном слове. На сегодняшний день такое невозможно. Любые операции с системой клиента осуществляются только через заявку в личном кабинете с обязательной фиксацией времени и ответственных сотрудников. Такие изменения не всегда легко и с восторгом принимаются в коллективе, но, в конечном счете, все понимают, что это необходимые меры, а последствия несоблюдения могут быть очень печальными.

0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Отвечаем Центральному банку на его вопросы про криптовалюты

На прошлой неделе все обсуждали предложение ЦБ запретить криптовалюту. Однако ЦБ не просто хочет все запретить, а интересуется мнением общественности и ставит в своем докладе несколько вопросов. Давайте на них попробуем ответить.

Банки не любят криптовалюты, такси не любят Uber, отели не любят AirBnB, книжные магазины не любят Amazon, кинотеатры не любят Netflix, офисный планктон не любит удаленку. Инновации нравятся далеко не всем.

Налог на вклады больше 1 млн рублей распространится и на тех, у кого меньшая сумма на счетах Статьи редакции

ФНС начислит налог, если прибыль по вкладу за год превысила 42,5 тысячи рублей.

BigARTM . Что в мире творится?

Задача – проанализировать, о чем пишут люди, иначе говоря, какие темы их интересуют.

Оплатить любую посылку с наложенным платежом теперь можно картой на дому
Использование Google Analytics может быть признано незаконным в ЕС

На прошлой неделе австрийское Агентство по защите данных признало незаконным использование Google Аналитики в Австрии (входит в ЕС). Значение этого события в том, что решение австрийского регулятора — это только лишь прецедент, который может привести к полному запрету использования GA в Европейском Союзе.

Макс Шремс, борец за защиту цифровых прав граждан ЕС. Фото edwardsnowden.com
NFT и фан-токены захватили спорт. Откуда сотни миллионов долларов? И как скажется запрет криптовалют в России?

Гид по новому дивному миру от автора Sports.ru Ярослава Сусова.

Как мы сделали корпоративную культуру инструментом роста. Опыт региональной IT-компании
Самые заметные экопроекты 2022-го года

Какие проекты в области охраны окружающей среды будут реализовываться в этом году – читайте в материале.

фото: Департамент природопользования и охраны окружающей среды города Москвы
«Делимобиль» заставил ждать выездную службу в –20°

В Свердловской области сломалась машина «Делимобиля». Поддержка заставила пользователей ждать пять часов на морозе.

Гибридный мир — гибридные меры. Тренды-2022 в ментальном здоровье на работе

Мир изменился. Мы учимся работать удаленно, а дети на дистанционном обучении прыгают у нас на голове. Работодателям надо заботиться, чтобы сотрудники не выгорели из-за стресса, и как-то гарантировать им стабильное будущее в условиях кризиса. Наконец, приходится решать, оставаться ли на удаленке, возвращаться в офис или пробовать гибридный формат.…

HR своими руками: нашёл редактора рассылки за неделю без нервов (и вы тоже можете)

Исправляем типичный черезжопный HR-процесс на рынке диджитала.

null