Как менеджер паролей может предотвратить утечку информации

Когда речь заходит о постороннем доступы в зарегистрированные аккаунты или утечке данных, большинство из нас представляет себе хитрых хакеров, сутками пытающимся подобрать ключ или взломать систему. И никто не задумывается, что порой мы сами преподносим им доступ на блюдечке с голубой каемочкой. Устанавливаем одинаковые пароли, записываем их в незащищенных ресурсах, даже вещаем стикеры на монитор. 

И ладно, если речь идет только о ваших данных. Гораздо хуже, если страдают интересы компании — конфиденциальная информация может вылиться в миллионные убытки. Вот, что интересует киберпреступников по итогам исследований компании «СёрчИнформ».

При этом, в большинстве российских предприятий кибербезопасность по-прежнему не является приоритетным направлением. Руководитель не может управлять информацией компании, потому что доступы ко всем рабочим аккаунтам хранятся на бумажных носителях, в текстовых или Excel-файлах, Google-таблицах или в памяти сотрудников. Иногда директор даже не догадывается о существовании сервисов, которыми пользуются его подчиненные.

По данным исследовательской компании Infowatch, специализирующейся на информационной безопасности в корпоративном секторе, большая часть прецедентов утечки информации происходит по вине сотрудников.

 
 “СёрчИнформ» в своем отчете детализирует информацию по виновникам.

Как же защитить информацию? Давайте рассмотрим инструмент, который подойдет как рядовым пользователям, так и компаниям любого размера.

Что такое менеджер паролей

В первую очередь, менеджер паролей - это сервис, позволяющий надежно хранить все пароли в одном месте, структурируя их и предоставляя возможность ими управлять, определяя сотрудникам разные роли.

В основе популярных менеджеров паролей лежит один принцип — шифрование данных производится с помощью алгоритма AES-256. Его суть заключается в передаче информации на сервер уже в зашифрованном виде, при этом, расшифровать данные может только человек, имеющий “ключ” — единственный пароль, который предстоит запомнить владельцу сервиса. Метод широко используется при передаче правительственных данных в разных странах. Похожим образом данные пользователей защищает и Telegram.

Как менеджер паролей поможет в управлении доступами

Менеджер паролей — надежный управляющий “ключами” от кабинетов рабочих аккаунтов. С его помощью новый сотрудник за считанные минуты получит доступ к необходимым программам и сервисам, в соответствии со своей должностью. Он не будет терять времени на заявки системным администраторам, ему не придется гадать о том, лицензии на какие нужные ему программы уже оплачены компанией, какие пароли и у кого ему предстоит раздобыть. 

Также молниеносно работник лишится прав на пользование информацией, едва руководство решит с ним распрощаться. Нерадивых сотрудников, пытающихся навредить работодателю и предприимчивых работников, желающих украсть информацию для собственной выгоды, менеджер паролей также быстро “положит на лопатки” — все действия с доступами фиксируются в специальном журнале. Зная виновного, не составит труда привлечь его к ответственности.

С помощью менеджера паролей можно легко изменить регистрационные данные в любой учетной записи, если сотрудник потерял доступ или у руководителя возникли опасения об утечке информации. Программа мгновенно оповестит администратора при любой попытке несанкционированного доступа, сообщит, если пароли пора изменить за сроком давности. И это далеко не все функции парольного менеджера.

С чего начать

Старт работы с сервисом можно разделить на несколько основных этапов. На первом предстоит найти доступы ко всем рабочим аккаунтам и электронным почтам компании и собрать их в одном месте — внести информацию в менеджер паролей. Это будет, пожалуй, самая сложная из задач. Затем доступы нужно систематизировать. Используйте в качестве критерия группировки функциональный признак учетной записи или отделы компании. Распределите аккаунты по соответствующим папкам, присвойте теги — теперь вы можете легко найти “ключ” от любого сервиса.

Осталось распределить роли. Задумайтесь, кому из сотрудников может пригодиться в работе тот или иной инструмент, а кого можно назначить ответственным за доступы. Теперь вы можете присвоить пользователям уровни доступа к аккаунтам. Чаще всего, парольные сервисы имеют гибкие настройки управления ролями. Пользователю может быть присвоен:

• минимальный уровень доступа — без пароля;
• стандартный — с правом копировать пароль;
• административный уровень — с возможностью изменения регистрационных данных в аккаунте.

Дальнейшая регистрация новой учетной записи в любом сервисе должна происходить с ведома и силами системного администратора и тогда вы действительно сможете управлять информацией в компании.

Как выбрать менеджер паролей

Менеджеры паролей подразделяются на сервисы для личного пользования и корпоративные решения. Использование персональных пакетов чаще всего бесплатно, стоимость многопользовательских версий варьируется от 2,5$ до 4$ в месяц за каждого пользователя.

Менеджеры паролей бывают “облачными” и “коробочными”. В первом случае информация хранится на виртуальном сервере, во втором — на локальном сервере предприятия. “Коробочная” версия предполагает наличие в компании команды, обеспечивающей безопасность сервера, в облаке ответственность за сервер полностью лежит на менеджере паролей. “Коробка” хороша для тех, кто в вопросах безопасности полагается только на себя, “облако” — тем, у кого нет возможности выделять бюджеты на дополнительный штат системных администраторов и платить сразу большую сумму денег за приобретение пожизненной лицензии на ПО. Таким образом, пользователями “коробочной версии” чаще всего являются крупные предприятия, “облачной” — представители малого и среднего бизнеса.

Европейский рынок распределен между лидерами услуги: lastpass.com, 1password.com, dashlane.com, roboform.com. Российские компании чаще прибегают к сервисам с русскоязычной поддержкой, один из которых — webpass.pro. 

Выводы

Вы можете заметно облегчить себе жизнь и снизить вероятность утечки информации, воспользовавшись менеджерами паролей. Для физлиц они чаще всего бесплатны. Корпоративный пользователь обойдется от 30$ до 48$ в год. При покупке “коробочной” версии компания с административным штатом в 20 человек уложится в единоразовый бюджет, не превышающий 1000$. Конечно, это не копейки, но по сравнению с убытками от утечки базы клиентов, кражи разработок, утери информации, вполне вменяемая сумма. 

Если вы — частный пользователь и не хотите пользоваться менеджерами, попробуйте составлять пароли по единому алгоритму — тогда вы их никогда не забудете. Недавно мы рассказывали, как это сделать.