Безопасность Битрикс24.CRM и установленных приложений. Что за кулисами?

Битрикс24 - многоуровневая платформа. Для ее обслуживания используются множество ресурсов. Каждый из ресурсов может влияет на безопасность портала.

Поговорим о ключевых самых важных элементах.

База данных.

Вся информация, собираемая в сущностях CRM, хранится в базе данных. Базы данных обслуживаются и поддерживаются сторонним программным обеспечением, которое представляет собой отдельный сервис, предоставляемый сторонними компаниями. Это программное обеспечение может содержать какие-то ошибки, зоны риска и уязвимости. Повлиять на гарантию этих сторонних продуктов разработчик Битрикс24 никак не может.

Файловая система.

Пользователи облачных тарифов хранят рабочие и текущие файлы документов на общих дисках, расположенных на жестких дисках на серверах. Да, компании, предоставляющие эти услуги, несут ответственность за хранение данных, но не могут дать и гарантировать 100% защиту от взлома данных. Битрикс24, конечно, принимает собственные дополнительные меры защиты, децентрализация файлов и баз данных пользователей Битрикс24. Даже если злоумышленник каким-то образом сможет получить доступ к какому-то файлу или базе данных на внешнем хранилище, то он все равно не сможет привязать эту информацию к конкретному порталу пользователя.

Сервера.

Сервера Битрикс24 gредставляют собой большой сложный многофункциональных кластер, который запускается и работает на виртуальных серверах. Но даже виртуальные сервера по факту работают на физических машинах и Битрикс24.CRM не может 100% гарантировать от физического взлома или захвата части серверной инфраструктуре в дата-центре.

Важно понимать и помнить то, что во всем есть некая составляющая:

  1. Программное обеспечение серверов.
  2. Физические и виртуальные сервера.
  3. Телекоммуникационные связи.
  4. Код самого программного обеспечения и многое другое.

Все эти все сервисы развивают, обслуживают сторонние компании и никто из них не дает 100% гарантию, что их программа не содержит какую-нибудь ошибку или полностью неуязвима. Что их программы никому не позволят получить несанкционированный доступ к хранящейся у них чужой информации.

Сетевое окружение и устройства личные и служебные пользователей.

Мы все подключены к интернету, активно используем wifi, мобильные устройства, компьютер и опять нет никакой гарантии, что используемое устройство, например, Ваш роутер защищен на 100%. Нет гарантии, что полностью исключена возможность перехвата трафика или пароля. Вы сами не гарантируете то, что Ваши пароли уникальны, хорошо защищены антивирусными программами и надежно спрятаны, что никто их у вас не может похитить и потом от вашего имени подключится к корпоративному порталу.

Часто встречается ситуация, когда пользователь использует бесплатный wifi, а его трафик проходит через «чужие руки» и расшифровывается, и используется для корыстных целей.

Окружении пользователей.

Если Вы активный пользователь телефона android, то Битрикс24 никак не может повлиять на то какой браузер и антивирус будет установлен на этом телефоне. Тоже самое происходит и с компьютером. Если на устройстве уже есть вирус, то платформа Битрикс24 не как не сможет повлиять на это и тем более нести ответственность за халатность пользователя.

Приложение в Битрикс24.Маркет.

С его помощью пользователи устанавливают приложения и расширяют возможности функционала своих порталов. Приложения — это программное обеспечение внешний разработчиков и еще один источник возможной опасности.

Ошибки разработчиков.

Недавно была обнаружена ошибка в микрокоде процессора Intel, которая позволяла получать доступ к операционным системам.

Что делать в сложившейся ситуации?

Можно предпринять ряд мер, которые помогут снизить риск возникновения неприятных ситуаций.

Первое необходимо убедиться в том, что программный код Битрикс24 прошел все необходимые сертификаты безопасности.

На официальной странице сайта Битрикс24 представлена вся необходима информация и актуальные сертификаты ФСТЭК России. Битикс24 постоянно уделяет безопасности много сил и внимания, совершенствует, тестирует программные коды, проверяет и защищает его от риска уязвимости.

В деле защиты помогает специально разработанный и внедренный модуль двухфакторная авторизация значительно повышающий степень защиты любого портала.

Часто понадеявшись на авось многие, пользователи забывают или незаслуженно игнорируют этот современный инструмент защиты портала.

Включение этого модулю доступно в меню «Настройка». Физически процедура авторизации построена на применении дополнительного защитного приложения на личное мобильное устройство и происходит в два этапа.

При входе в портал пользователь вводит логин и пароль и затем вводит специальный код, который генерится на отдельном устройстве.

Код авторизации обновляется каждые несколько секунд и не позволяет осуществить не санкционированный доступ к порталу. Даже в случае похищения информации о входных данных в портал без физического наличия личного мобильного устройства на котором генериться код доступа злоумышленники не смогут под именем пользователя попасть в защищенный портал Битрикс24.CRM.

Важно не забывать про средства индивидуальной защиты каждого рабочего места про антивирусные программы и firewall.

Разумно и необходимо при установке внешних приложений Битрикс24 из Маркетплейс всегда ограничивать доступ приложения к тем сущностям с которыми он не работает, о том какие именно доступы нужно отключить всегда можно узнать у разработчика приложения.

Среди пользователей Битрикс24 ходят страшилки о том, что бесплатные приложения обязательно воруют данные и информацию о клиентах.

Почему мы уверены, что это не так? Дело в том, что разработка одной версии качественного приложения это трудозатратно дело, измеряемое сотнями тысяч рублей и сотнями человеко-часов.

После запуска в пользование в приложение вкладываются еще дополнительные средства на обслуживание, развитие, устранение ошибок и поддержку работоспособности.

Рисковать вложенными средствами и репутацией в глазах тысячи клиентов ни один разработчик приложений никогда не будет. Кроме этого выдернутые атомарные данные или даже отдельные файлы в фрагментированном виде просто невозможно объединить и сложить в единое целое, что делает эту затею экономически не выгодной и не обоснованной.

Часто приложения ничего не скачивают и никуда не передают, приложения обрабатывают запросы и возвращают итоговую информацию. Сервера работающие с приложениями имеют ограниченные ресурсы и чисто физически не в состоянии хранить и накапливать потоки тысяч ежеминутных запросов в своей памяти.

А как дела обстоят в коробочных версиях Битрикс24.CRM?

За сохранение информации, инфраструктуру и безопасность в облаке несет ответственность Битрикс24 и его подрядчики. В коробке за все, включая резервное копирование - отвечает собственник портала. Если в облаке копирование происходит раз в сутки, то в коробке Вы сами решаете, как, когда, сколько раз и какими средствами делать резервные копии.

У коробочной версии есть уникальная возможность не использовать маркетплейс и предлагаемые там готовые внешние приложения, а разрабатывать свои собственные без использования REST-API методов, которые будут хранится и работать только на вашей коробке. Все полученные вами данные будут обрабатываться внутри коробки и никуда не будут выгружаться. Вопрос о гипотетической утечке каких-либо данных в таком случае просто не возникает по причине отсутствия физической возможности.

Конечно использование коробки - это не 100% защита от несанкционированного доступа, так как существуют еще другие влияющие факторы, примеры которых мы уже обсуждали выше. И если злой и высококвалифицированный злоумышленник поставит своей целью взломать ваш портал и сервер с целью похитить ваши данные, то он найдет метод и средства как это сделать и абсолютно не важно, где у вас расположен портал в облаке или коробке. Только реально - это будет затея соизмеримая по затратам с покупкой квартиры в Москве :).

А можно ли контролировать что делают приложения на вашем портале?

Да можно. Достаточно на портале открыть приложения, разработчики и раздел статистика. В этом разделе в течении 14 дней хранится детальная история о том какие приложения и что они делали на вашем портале.

Больше деталей и подробностей проекте можно узнать на наших каналах:

С уважением, Лаборатория автоматизации «‎LOG [IN] OFF»

0
Комментарии
-3 комментариев
Раскрывать всегда