31 березня - міжнародний день бекапу, і тиждень напередодні завжди повний історій, пов'язаних з безпекою. У понеділок ми вже дізналися про скомпрометований Asus та «трьох неназваних виробників». Особливо забобонні компанії весь тиждень сидять на голках, роблять бекапи. А все від того, що всі ми трохи безладні в плані безпеки: хтось забуває пристебнути ремінь на задньому сидінні, хтось ігнорує термін придатності продуктів, хтось зберігає логін і пароль під клавіатурою, а ще краще записує всі паролі в блокнотиці. Окремі особи примудряються відключати антивіруси, «щоб не гальмував комп'ютер» і не використовувати розділення прав доступу в корпоративних системах (які секрети в компанії з 50 осіб!). Напевно, людство просто ще не виробило інстинкту кібер-самозбереження, який, в принципі, може стати новим основним інстинктом.
Не виробив такі інстинкти та бізнес. Просте питання: CRM-система це загроза інформаційній безпеці чи інструменту безпеки? Навряд чи хтось ось так відразу точно відповість. Тут потрібно починати, як нас вчили на уроках англійської: it depends… Це залежить від налаштувань, форми постачання CRM, звичок і переконань вендора, ступеня байдужого ставлення співробітників, викрадення зловмисників. Зрештою, зламати можна все. То як же жити?
Така буває інформаційна безпека у малому та середньому бізнесі
CRM-система як захист
Захищати дані про комерційну та операційну діяльність та надійно зберігати клієнтську базу — одне з основних завдань CRM-системи, і в цьому вона на голову важливіша за решту прикладного ПЗ у компанії.
Напевно, ви почали читати цю статтю і в глибині душі посміхнулися, мовляв, кому ваша інформація потрібна. Якщо так, то ви, ймовірно, не мали справу з продажем і не знаєте, наскільки затребувані «живі» та якісні клієнтські бази та інформація про методи роботи з цією базою. Вміст CRM-системи цікавий не тільки керівництву компанії, а й:
- Зловмисникам (рідше) - вони мають мету, пов'язану саме з вашою компанією, і застосують всі ресурси, щоб отримати дані: підкуп співробітників, злом, купівля ваших даних у менеджерів, співбесіда з менеджерами та ін.
- Співробітники (частіше), які можуть виступити в ролі інсайдерів для ваших конкурентів. Вони просто готові забрати або продати клієнтську базу з метою власної наживи.
- Хакерам-аматорам (зовсім рідко) — ви можете потрапити під злом хмари, де знаходяться ваші дані або злам мережі, а може, хтось заради приколу захоче «витягнути» ваші дані (наприклад, дані з оптовиків фармації чи алкоголю — просто цікаво подивитися ).
Якщо хтось влізе у вашу CRM, він отримає доступ до вашої операційної діяльності, тобто до того масиву даних, за допомогою якого ви робите більшу частину прибутку. І з моменту отримання зловмисного доступу до CRM-системи прибуток починає посміхатися тому, в руках яких виявляється клієнтська база. Ну чи його партнерам та замовникам (читай — новим роботодавцям).
Гарна, надійна здатна закрити ці ризики та дати ще купу приємних бонусів у сфері безпеки.
Отже, що вміє CRM-система щодо безпеки?
(розповідаємо на прикладі, т.к. не можемо відповідати за інших)
- Двофакторна авторизація з використанням USB-ключа та пароля. підтримує режим двофакторної авторизації користувачів під час входу в систему. У цьому випадку при вході в систему, крім введення пароля, необхідно вставити в порт USB комп'ютера USB-ключ, який був заздалегідь ініціалізований. Двофакторний режим авторизації допомагає підстрахуватися від крадіжки чи розголошення пароля.
Клікований
- Запуск з довірених IP-адрес та MAC-адрес. Для забезпечення підвищеної безпеки можна обмежити вхід користувачів виключно з зареєстрованих IP-адрес та MAC-адрес. Як IP-адреси можуть бути використані як внутрішні IP-адреси в локальній мережі, так і зовнішні адреси, якщо користувач підключається віддалено (через інтернет).
- Доменна авторизація (авторизація Windows). Запуск системи можна налаштувати так, щоб під час входу не потрібно вводити пароль користувача. У такому випадку відбувається авторизація Windows, яка визначає користувача засобами WinAPI. Система буде запущена під тим користувачем, під профілем якого під час запуску системи працює комп'ютер.
- Ще один механізм - це приватні клієнти. Приватні клієнти – це клієнти, яких може бачити лише їхній куратор. У списках інших користувачів ці клієнти не відображатимуться, навіть якщо інші користувачі мають повний набір дозволів, у тому числі й прав адміністратора. Таким чином, можна захистити, наприклад, пул особливо важливих клієнтів або групу за іншою ознакою, яка буде доручена надійному менеджеру.
- Механізм поділу прав доступу — стандартний та першочерговий захід захисту у CRM. Для спрощення процесу адміністрування прав користувачів, права призначаються не конкретним користувачам, а шаблонів. А вже самому користувачеві призначається той чи інший шаблон, який має певний набір прав. Це дозволяє кожному співробітнику – від новачка та стажера до директора – призначити повноваження та права доступу, які дозволять/не дозволять їм отримати доступ до конфіденційних даних та важливої комерційної інформації.
- Система автоматичного резервного копіювання даних (бекапів), що настроюється за допомогою сервера сценаріїв .
Це реалізація безпеки на прикладі єдиної системи, у кожного вендора свої політики. Однак CRM-система дійсно захищає вашу інформацію: ви можете бачити, хто і в скільки зняв той чи інший звіт, хто переглядав якісь дані, хто робив вивантаження і багато іншого. Навіть якщо ви дізнаєтеся про вразливість вже постфактум, ви не залишите вчинок безкарним та легко обчислите співробітника, який зловжив довірою та лояльністю компанії.
Розслабились? Рано! Цей захист при недбалому відношенні та ігноруванні проблем захисту даних може зіграти проти вас.
CRM-система як загроза
Якщо у вашій компанії є хоча б один ПК, це вже джерело кіберзагрози. Відповідно, ступінь загрози множиться разом із зростанням кількості робочих станцій (і співробітників) та з різноманітністю встановленого та використовуваного програмного забезпечення. І з CRM-системами справа непроста — адже це програма, покликана зберігати та обробляти найважливіший і найдорожчий актив: клієнтську базу та комерційну інформацію, а ми тут страшилки про її безпеку розповідаємо. Насправді, не все так похмуро поблизу, і при правильному користуванні ви не отримаєте від CRM-системи нічого, крім користі та безпеки.
Які ознаки небезпечної системи CRM?
Почнемо з невеликої екскурсії до основ. CRM бувають хмарні та десктопні. Хмарні - це ті, СУБД (база даних) яких розташовується не у вас в компанії, а в приватній або публічній хмарі в якомусь дата-центрі (наприклад, ви сидите в Челябінську, а ваша база крутиться в супер крутому ЦОД у Москві, тому що так вирішив вендор CRM і у нього договір саме із цим провайдером). Десктопні (вони ж on-premise, серверні - що вже не так правильно) базують свою СУБД на ваших власних серверах (ні-ні, не малюйте собі величезну серверну з дорогими стійками, найчастіше в малому та середньому бізнесі це самотній сервер або навіть звичайний) ПК (сучасної конфігурації), тобто фізично у вас в офісі.
Отримати несанкціонований доступ можна до CRM обох типів, але швидкість та простота доступу різні, особливо якщо ми говоримо про СМБ, який не дуже дбає про інформаційну безпеку.
Ознака небезпеки №1
Причина більш високої ймовірності проблем з даними в хмарній системі це відносини, пов'язані кількома ланками: ви (орендар CRM) - вендор - провайдер (буває більш подовжена версія: ви - вендор - IT-аутсорсер вендора - провайдер). 3-4 ланки відносин мають більше ризиків, ніж 1-2: проблема може статися на стороні вендора (зміна договору, несплата послуг провайдера), на стороні провайдера (форс-мажор, злом, технічні проблеми), на стороні аутсорсера (зміна менеджера або інженера) і т.д. Звичайно, великі вендори намагаються мати резервні ЦОД, управляти ризиками та тримати свій відділ DevOps, але і це не виключає проблем.
Десктопна CRM в основному не орендується, а набувається компанією, відповідно відносини виглядають простішими і прозорішими: вендор під час впровадження CRM налаштовує необхідні рівні безпеки (від розмежування прав доступу та фізичного USB-ключа до закладу сервера в бетонну стіну і т.д.) і передає управління компанії-власнику CRM, яка може нарощувати захист, найняти системного адміністратора або звертатися при необхідності до свого постачальника ПЗ. Проблеми зводяться до роботи зі співробітниками, захисту мережі та фізичного захисту інформації. У разі використання десктопної CRM навіть повне відключення інтернету не зупинить роботу, оскільки база розташовується у «рідному» офісі.
Про хмарні технології розповідає один із наших співробітників, який працював у компанії-розробнику хмарних комплексних офісних систем, у тому числі CRM. «На одному з моїх місць роботи компанія створювала щось дуже схоже на базову CRM і все це було пов'язано з онлайн-документами тощо. Якось у GA ми побачили аномальну активність від одного з клієнтів-передплатників. Яким же було здивування нас, аналітиків, коли ми, не будучи розробниками, але маючи високий рівень доступу, просто змогли за посиланням відкрити той інтерфейс, який використовував клієнт, подивитися, що за така табличка в нього популярна. До речі, здається, клієнт не хотів би, щоби хтось бачив ці комерційні дані. Так, це був баг, і його не усували кілька років — на мою думку, віз і нині там. З того часу я адепт десктопу і не дуже довіряю хмарам, хоча, звичайно, і ми використовуємо їх у роботі та в особистому житті, де теж траплялися веселі факапи».
З нашого опитування на Хабрі, і це співробітники розвинених компаній
Втрата даних з хмарної CRM-системи може бути обумовлена втратою даних через збій сервера, недоступність серверів, форс-мажору, припинення діяльності вендора та ін. Хмара — це постійний, безперервний доступ до Інтернету, і захист має бути безпрецедентним: на рівні коду, прав доступу, додаткових заходів кібербезпеки (наприклад, двофакторної авторизації).
Ознака небезпеки №2
Йдеться навіть не про одну ознаку, а про групу ознак, пов'язаних з вендором та його політикою. Перелічимо деякі важливі приклади, з якими доводилося зустрічатись нам і нашим співробітникам.
- Вендор може вибрати недостатньо надійний ЦОД, де «крутитимуться» СУБД клієнтів. Він заощадить, не проконтролює SLA, не розрахує навантаження, і результат буде фатальним саме для вас.
- Вендор може відмовити в праві перевести сервіс у вибраний дата-центр. Це досить поширене обмеження для SaaS.
- Вендор може мати правовий чи економічний конфлікт із хмарним провайдером, і тоді під час «розбірок» дії з резервного копіювання або, наприклад, швидкість можуть бути обмежені.
- Послуга створення бекапів може надаватись за окрему ціну. Поширена практика, про яку клієнт CRM-системи може дізнатися тільки в той момент, коли бекап знадобиться, тобто в найкритичніший і найвразливіший момент.
- Співробітники вендора можуть мати безперешкодний доступ до даних клієнтів.
- Можуть статися витоку даних будь-якої природи (людський фактор, шахрайство, хакери тощо).
Зазвичай ці проблеми пов'язані з невеликими чи молодими вендорами, проте й великі неодноразово потрапляли у неприємні історії (google it). Тому ви завжди повинні мати засоби захисту інформації на своїй стороні + заздалегідь обговорювати з обраним постачальником CRM-систем питання безпеки. Навіть сам факт вашого інтересу до проблеми вже змусить постачальника поставитися до впровадження максимально відповідально (особливо важливо робити так, якщо ви маєте справу не з офісом вендора, а з його партнером, якому важливо укласти договір та отримати комісію, а не ці ваші двофакторні… ну ви зрозуміли).
Ознака небезпеки №3
Організація роботи з безпекою у вашій компанії. Рік тому ми традиційно писали про безпеку на Хабрі та проводили опитування. Вибірка вийшла не надто велика, а ось відповіді показові:
Наприкінці статті ми дамо посилання на свої публікації, де ми докладно розбирали стосунки в системі «компанія – співробітника – безпека», а тут наведемо список питань, відповіді на які варто знайти всередині вашої компанії (навіть якщо вам не потрібна CRM).
- Де працівники зберігають паролі?
- Як організовано доступ до сховищ на серверах компанії?
- Як захищене ПЗ, в якому є комерційна та оперативна інформація?
- Чи у всіх працівників активні антивіруси?
- Скільки співробітників мають доступ до клієнтських даних, якого рівня цей доступ?
- Скільки у вас новачків і скільки співробітників у процесі звільнення?
- Чи давно ви спілкувалися з ключовими співробітниками та вислуховували їхні прохання та претензії?
- Чи контролюються принтери?
- Як організовано політику підключення власних гаджетів до ПК, а також користування робітником Wi-Fi?
Насправді це базові питання — у коментарях напевно додадуть хардкора, але це база, основи якої має знати навіть індивідуальний підприємець із двома співробітниками.
Тож як захиститися?
- Бекапи - найважливіша річ, про яку нерідко або забувають, або не дбають. Якщо у вас десктопна система, настройте систему резервного копіювання даних із заданою частотою (наприклад, для RegionSoft CRM це можна реалізувати за допомогою ) та організуйте грамотне зберігання копій. Якщо у вас хмарна CRM, обов'язково до укладення договору дізнайтесь, як організована робота з бекапами: вам потрібні відомості про глибину і частоту, про місце зберігання, про вартість бекапірування (нерідко безкоштовні тільки бекапи «останніх даних на період», а повноцінне, сек'юрне резервне копіювання здійснюється як платна послуга). Загалом, тут точно не місце для економії чи недбалого ставлення. І так, не забувайте перевіряти те, що відновлюється з бекапів.
- Поділ прав доступу на рівні функцій та даних.
- Безпека на рівні мережі - потрібно дозволити використання CRM тільки всередині офісної підмережі, обмежити доступ для мобільних пристроїв, заборонити роботу з CRM-системою з дому або, що ще гірше, з публічних мереж (коворкінгів, кафе, клієнтських офісів та ін.). Особливо будьте обережні з мобільною версією – нехай вона буде лише сильно усіченим варіантом для роботи.
- Антивірус зі скануванням в режимі реального часу потрібен у будь-якому випадку, але в разі безпеки корпоративних даних особливо. Забороніть на рівні політик відключати його самостійно.
- Навчання співробітників гігієни кіберпростору — не марнування часу, а гостра необхідність. Потрібно донести до всіх колег, що їм важливо не тільки попередити, а й правильно зреагувати на загрозу, що надійшла. Забороняти користуватися інтернетом або своєю поштою в офісі - це минуле століття і причина гострого негативу, тому доведеться попрацювати саме з профілактикою.
Звичайно, використовуючи хмарну систему, можна досягти достатнього рівня безпеки: використовувати виділені сервери, налаштовувати маршрутизатори та обробити трафік на рівні програми та рівні баз даних, використовувати приватні підмережі, ввести суворі правила безпеки для адміністраторів, забезпечити безперебійність за рахунок резервного копіювання з максимально необхідною частотою і повнотою, здійснювати цілодобовий моніторинг мережі… Якщо вдуматися, це не так і складно, швидше дорого. Але, як показує практика, такі заходи вживають лише деякі компанії, переважно великі. Тому не посоромимося сказати ще раз: і хмара, і робочий стіл не повинні жити самі по собі, захищайте свої дані.
Декілька дрібних, але важливих порад для всіх випадків впровадження CRM-системи
- Перевірте вендора на вразливості — пошукайте інформацію про поєднання слів «уразливість Vendor Name», «зламали Vendor Name», «відплив Vendor Name». Це не повинно стати єдиним параметром пошуку нової CRM-системи, але галочку на підкорці поставити просто обов'язково, і особливо важливо зрозуміти причини інцидентів.
- Розпитайте вендора про центр обробки даних: доступність, скільки їх, як організовано аварійне перемикання.
- Налаштуйте маркери безпеки в CRM, відстежуйте активність усередині системи та незвичайні сплески.
- Відключіть експорт звітів, доступ через API для непрофільних співробітників, тобто тих, кому ці функції не потрібні для постійної діяльності.
- Простежте, щоб у вашій CRM-системі було налаштовано журналування процесів та логування дій користувачів.
Це дрібниці, але вони чудово доповнюють загальну картину. Та й насправді дрібниць у безпеці немає.
Впроваджуючи CRM-систему, ви гарантуєте безпеку ваших даних — але тільки в тому випадку, якщо використання відбувається грамотно, і питання інформаційної безпеки не відсуваються на другий план. Погодьтеся, безглуздо купити автомобіль і не перевірити гальма, ABS, наявність подушок, ремені безпеки, EDS. Адже головне не просто їхати, а їхати безпечно та доїхати цілим та неушкодженим. З бізнесом те саме.
І пам'ятайте: якщо правила безпеки праці написані кров'ю, правила кібербезпеки бізнесу написані грошима.
За темою кібербезпеки та місцем CRM-системи в ній можна почитати наші докладні статті:
- — огляд можливих загроз безпеці у корпоративній сфері та приблизна схема виявлення.
- - Докладний розбір того, як співробітники можуть нашкодити вашому бізнесу і яким чином вони це роблять у комерційній сфері.
Якщо шукаєте CRM-систему, то на . Якщо вам потрібна CRM або ERP - уважно вивчіть наші продукти та зіставте їх можливості зі своїми цілями та завданнями. Будуть питання і труднощі — пишіть, телефонуйте, ми організуємо для вас індивідуальну онлайн презентацію — без рейтингів і пузомірок.
, В якому без реклами пишемо не зовсім формальні речі про CRM та бізнес.
Джерело: habr.com