Чему нас научил взлом нашей СЭД

Documentolog рассказывает о мерах по обеспечению безопасности, которые важны для любого облачного сервиса.

В закладки

В последние несколько лет рынок изменился и от систем электронного документооборота клиенты ждут все больших возможностей.

Сейчас на платформе Documentolog автоматизируются кадровые, финансовые процессы, процессы коллегиальных органов, службы технической поддержки и др. Встал вопрос о дополнительных мерах по обеспечению безопасности, ведь чем больше процессов компании автоматизировано, тем больше будет потенциальный ущерб в случае взлома. Клиенты и участники рынка все чаще спрашивают, что мы делаем в этом направлении. В статье мы постарались подробно ответить на все вопросы.

Подход к обеспечению информационной безопасности у Documentolog

Предоставлять СЭД Documentolog по модели SааS мы начали с 2015 года, до этого занимаясь только продажей лицензий. Раньше как разработчику программного обеспечения нам не нужны были сильные компетенции в администрировании, это была забота наших клиентов. Изменение бизнес-модели и рост количества клиентов в облаке потребовали развития соответствующих знаний в сфере информационной безопасности. Вместе с каждым нашим новым клиентом в облаке мы активно учились правильному администрированию распределенной инфраструктуры, мониторингу и анализу всех логов событий, осознанию повышенной ответственности у каждого сотрудника компании, да и просто правильному ведению раздельного учета и выстраиванию ценовой политики в компании.

В 2018 году мы подверглись атаке со стороны одной компании, имеющей лицензию на пентест, проверку у которой заказал один из наших клиентов. Атака хоть и была проведена с грубейшим нарушением договорных обязательств и уголовного законодательства страны, позволила выявить несколько слабых моментов в процессах нашей компании, связанных с человеческим фактором. После нее кардинально пересмотрели подход к обеспечению информационной безопасности в нашей инфраструктуре.

В первую очередь мы определили три основных уровня защиты: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения безопасности в компании.

Информационная безопасность на инфраструктурном уровне подразумевает:

Обеспечение защиты от потери информации. Ввели дополнительные бэкапы системы и обеспечили её работоспособность в случае физической поломки серверного оборудования. Поместили файловые данные клиентов в распределенное файловое хранилище (физически в нескольких экземплярах). Если файловые сервера выйдут из строя, данные не будут потеряны.

Разграничение периметра инстанции системы клиента. Данные каждого клиента разделены и не доступны друг для друга ни при каких обстоятельствах.

Контейнеризация облака. Перевели все наши облачные системы на Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Благодаря этому теперь все клиентские инстанции Documentolog развертываются автоматически с преднастроенной политикой безопасности, включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров. Системные администраторы полностью сконцентрированы на повышении уровня безопасности контейнеров. Это существенно минимизирует человеческий фактор при разворачивании новой инстанции.

Централизованная система анализа и мониторинга событий (SIEM). Развернули систему, в которую собираются и анализируются логи со всех инстанций. Настроены правила, на которые в обязательном порядке реагируют администраторы.

Меры безопасности на уровне программного обеспечения:

Распределение полномочий на просмотр документов согласно ролям. Каждый сотрудник клиента имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли.

Разделение панели администрирования СЭД на простого и суперадминистратора. Данное разделение позволило предоставить администраторам СЭД клиента все необходимые для сопровождения системы функции без расширенных возможностей с доступом к базе данных и операционной системе. Функции суперадминистраторов для каждого клиента закреплены за выделенным сотрудником Documentolog отдельным приказом. В случае необходимости выполнения каких-либо действий, они осуществляются только через заявку в личном кабинете с фиксацией времени и требуемых действий.

Ограничение на чтение документов администраторами СЭД. Теперь администратор СЭД имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов.

Авторизация суперадминистратора через токен. Реализовали дополнительную авторизацию в панель администрирования системы для наших сотрудников. Помимо логина и пароля, теперь требуется авторизация через ЭЦП на физическом носителе – токене.

Двухфакторная аутентификация. Система начала запоминать каждую сессию и ее метаданные. При входе с нового устройства или браузера она запросит код доступа, который высылается на привязанный к аккаунту пользователя e-mail. Все данные о входе в систему собираются и отображаются в профиле пользователя. Таким образом, даже если ваш пароль к системе "подсмотрели", то в случае использования его третьим лицом, вы увидите уведомление об этом в почте. Остается только иметь разные пароли к системе и почте:)

Контроль одновременных сессий пользователя. Дополнительная защита для случаев, когда пользователь залогинился с одного авторизованного места, затем, забыв выйти из системы, зашел с другого. Система автоматически закончит первую сессию.

Защита от перебора паролей пользователя. В случае трехкратного ввода неправильного пароля учетная запись пользователя автоматически блокируется.

Логирование всех действий пользователя. Все действия пользователей сохраняются в специальный защищенный файл и никогда не удаляются.

Сохранение всех созданных документов. В системе реализован механизм, при котором вся созданная информация сохраняется и не может быть удалена. При этом реализована политика, при которой ни один администратор не должен иметь неограниченных прав и абсолютного доступа к информации.

Антивирусная защита всех загружаемых файлов. Система автоматически сканирует любой загружаемый файл на наличие вирусов. Механизм пока доступен в бета-версии. В ближайшее время будет доступен для клиентов официально.

Человеческий уровень - самый сложный для контроля и автоматизации.

Недостаточно просто разово выстроить работу системы, нужно постоянно контролировать риски, следить за тем, как требования безопасности исполняются сотрудниками, как их понимают новички. В тоже время, именно человеческий фактор часто становится определяющим в обеспечении безопасности, поэтому нельзя недооценивать риски. На этом уровне мы:

Пересмотрели процесс внесения каких-либо изменений или действий с инстанцией клиента. Любые действия с инстанцией клиента теперь возможны только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора.

Пересмотрели и актуализировали роли и уровни доступа по каждому сотруднику в нашей системе. Прошлый взлом стал возможен из-за того, что у сотрудника службы поддержки оказался доступ к документу, к которым у него не должно было быть доступа. После кражи сессии злоумышленники получили доступ к этому документу.

Закрепили персональную ответственность по каждому клиенту за сотрудниками компании. Ответственность за все действия по клиенту закреплена приказом, что позволяет формализовать юридическую ответственность сотрудников компании.

Утвердили и переподписали новый трудовой договор. Конкретизировали ответственность каждого сотрудника за выполнение обязанностей и сохранность данных клиентов. Значительно повысили ответственность сотрудников компании за халатность и возможный ущерб. Тем самым мы выстроили в компании выстроили вертикальное распределение ответственности – в любой момент времени известно какой сотрудник за какого клиента отвечает.

Разграничили права и обязанности между администратором системы и администратором серверов и инфраструктуры. Теперь глобальные действия с инстанцией клиента возможны только при согласовании действий нескольких сотрудников компании из разных подразделений.

Разработали и утвердили карту рисков и инструкции. Каждый сотрудник в компании теперь четко знает свою зону ответственности и зону ответственности другого сотрудника. Что можно делать, а что делать нельзя. Что делать в случае возникновения нештатной ситуации.

Ввели постоянное обучение сотрудников основам кибербезопасности: как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.

Выводы:

Проделанная работа уже дает результаты. Недавно один из сотрудников нашего клиента, специализирующийся на администрировании и безопасности, пытался осуществить взлом системы. Благодаря системе мониторинга (SIEМ) попытка была сразу же замечена нашими сотрудниками, IP адрес пользователя заблокирован. Мы уведомили об этом клиента, а тот, в свою очередь, смог быстро вычислить сотрудника. Позже он признался, что хотел осуществить взлом «из любопытства и интереса».

Уведомление от Documentolog в адрес руководства компании-клиента

Официальный ответ компании-клиента

Нужно быть готовыми к тому, что подобные меры заметно повысят внутреннюю бюрократию в компании и значительно снизят гибкость по отношению к клиентам. Раньше у нас многие вопросы могли решаться “по звонку” от клиента или на честном слове. На сегодняшний день такое невозможно. Любые операции с системой клиента осуществляются только через заявку в личном кабинете с обязательной фиксацией времени и ответственных сотрудников. Такие изменения не всегда легко и с восторгом принимаются в коллективе, но, в конечном счете, все понимают, что это необходимые меры, а последствия несоблюдения могут быть очень печальными.

#documentolog #сэд #безопасность #электронныйдокументооборот

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Компания Documentolog", "author_type": "self", "tags": ["\u044d\u043b\u0435\u043a\u0442\u0440\u043e\u043d\u043d\u044b\u0439\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u043e\u0431\u043e\u0440\u043e\u0442","\u0441\u044d\u0434","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c","documentolog"], "comments": 0, "likes": 2, "favorites": 5, "is_advertisement": false, "subsite_label": "services", "id": 76827, "is_wide": false, "is_ugc": true, "date": "Thu, 25 Jul 2019 14:46:25 +0300" }
{"average":25536,"one":95,"ten":74}
Сколько денег вы откладываете в месяц?
Ответьте и узнаете, сколько копят другие.
0 ₽
70 000+ ₽
0 ₽
{ "id": 76827, "author_id": 287021, "diff_limit": 1000, "urls": {"diff":"\/comments\/76827\/get","add":"\/comments\/76827\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/76827"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 200396, "last_count_and_date": null }
Комментариев нет

Популярные

По порядку

0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Нейронная сеть научилась читать стихи
голосом Пастернака и смотреть в окно на осень
Подписаться на push-уведомления
{ "page_type": "default" }