Парольные менеджеры для сотрудников на удаленке: какие риски снимают и почему нужны в компании

До 2020 года и ковидной удаленки жизнь ИБ-специалистов была проще. Люди работали в офисах, а компании понимали, как управлять своими секретами в таких условиях. Редкие удаленные специалисты существенно не влияли на общую структуру безопасности.

Системный администратор мог контролировать все компьютеры в офисе. Например, смотреть, какие программы на них установлены, блокировать посещение некоторых сайтов или создавать так называемые белые списки.

Но в 2020 году случилась пандемия коронавируса. Сначала все думали, что это ненадолго: а поэтому сотрудников отпустили «временно» поработать домой с личных ноутбуков. Но самоизоляция затянулась, а люди не захотели возвращаться в офисы, даже когда вирус отступил. Так компании получили множество удаленщиков, которые часто работают на своей технике.

В итоге вместе с ковидом пришло и снижение безопасности. Сотрудники по ИБ больше не могут контролировать, что члены команд устанавливают на ПК и какие сайты они посещают. При этом риски все еще серьезны.

Первый шаг на пути к информационной безопасности — использование парольного менеджера. Рассказываем, с чем поможет и какие риски снимает.

Когда вы не пользуетесь парольным менеджером, то не можете до конца понимать, какие секреты у вас в принципе есть. Например, сотрудники маркетингового отдела создают аккаунты, хранят пароли от них (так, как умеют). При этом руководитель даже не понимает, какие доступы придется запросить у контент-менеджера при увольнении. Лид просто не видит всей этой кухни.

Может оказаться: руководитель думал, что у сотрудников есть только пароли от специализированных программ аналитики, а по факту — еще и доступы в админки клиентских сайтов, которые просто хранятся в заметках.

Начало использования парольного менеджера стимулирует как минимум загрузить туда все секреты и понять, что из этого нужно особенно защищать. Учет — первый шаг к контролю и безопасности.

Если первый шаг — это понять, какие пароли в принципе есть, то второй — определиться, кто должен иметь к ним доступ.

В BearPass вы можете постоянно мониторить, не меет ли кто-то из сотрудников излишних полномочий. Зачем это нужно? Так вы можете обнаружить, что копирайтер зачем-то видит пароли от сервера, а программист — от соцсетей компании. Излишние права не нужны — это влечет ненужные риски.

При использовании парольного менеджера можно разграничить доступы для сотрудников. В BearPass эта функция реализована через структуру папок. Создавая каталог, вы можете делиться отдельными списками паролей.

Такая опция есть не во всех парольных менеджерах и, тем более, ее сложно реализовать в гугл-таблице или блокноте.

Также есть система ролей. Например, можно создать роли «бухгалтер» и «финансовый директор». И при этом создать папку «Финансы и бухгалтерия», а в ней — еще две вложенные папки: «Банки» и «Бухгалтерские программы». Если правильно все настроить, то у финансового директора будет доступ к обеим папкам. А у восьми бухгалтеров — только к папке с бухгалтерскими программами.

Представьте: один из ключевых сотрудников уехал в отпуск на Алтай. Назовем его Виктор. Виктор предупредил всех, что неделю будет без связи — уйдет в горы с палатками. Он ответственный человек и все подготовил: оставил инструкции, доступы и предупредил, что уезжает. Но забыл передать пару важных паролей.

В итоге проект, которым занимался Виктор, не двигался неделю, потому что у разработчика не было доступа. Если все пароли в менеджере, такого не произойдет. Да и отдельная подготовка к отпуску не потребуется.

Кстати, это актуально и при увольнении: даже если вы плохо расстанетесь с сотрудником, то не столкнетесь с вредительством в области ИБ. Ведь сможете быстро ограничить ему доступ к паролям. Это убережет от сотрудников, которые не захотят грамотно передавать дела и данные аккаунтов.

Но тут есть и минус: чтобы все действительно было гладко, придется наладить работу с парольным менеджером во всем коллективе и следить, чтобы сотрудники действительно заносили туда доступы. А еще — делились ими только с нужными коллегами, а не со всеми подряд.

Менеджер паролей позволяет не только понимать, какие доступы у вас есть, но и отслеживать действия сотрудников. Вы сможете видеть, какие пароли они просматривают и чем делятся.

Это важно при повседневной работе: так получится понять, не использует ли кто-то доступы, которые не самом деле ему не нужны.

Также функция полезна в контексте увольнения. Вы сможете оперативно провести аудит и определить, к каким паролям имел доступ сотрудник. Тогда эти секреты можно будет считать скомпрометированными и поменять доступы. Да, по нашему опыту, бывшие работники редко пытаются навредить, использовав имеющиеся у них логины и пароли. Обычно все расстаются мирно. Но одного серьезного инцидента будет достаточно, чтобы понять: лучше не дожидаться увольнения вредного коллеги.

Кстати, благодаря тому, что все доступы есть в менеджере паролей, не придется заново пересылать измененные логины и пароли коллективу: сотрудники по умолчанию будут иметь доступ к обновленным данным.

При использовании парольного менеджера все равно придется делиться секретами. Зато вы сможете делать это безопасно: как внутри коллектива, там и со сторонними специалистами.

Например, если маркетологу постоянно нужен доступ к определенным системам аналитики, вы сможете собрать их в папку и предоставить ее сотруднику. Это безопаснее, чем пересылать пароль по почте или даже носить листочки с шифром по офису.

Но как быть, если нужно передать секрет подрядчику? Обычно паролями делятся прямо в мессенджере. Возможно, еще и с личного аккаунта. Самые тревожные, возможно, отправляют логин в мессенджере, а пароль — по электронной почте. Но и это редкость.

В BearPass есть возможность поделиться ссылкой на отдельный секрет прямо внутри менеджера. Чтобы это было безопасно, мы сделали все внешние ссылки временными: они «сгорают» по таймеру. Вам останется только определить, на какой срок вы хотите предоставить доступ к секрету.

Так, даже если когда-то почту подрядчика взломают, злоумышленники не получат ключей от ваших сервисов, ведь ссылка станет неактивной.

При использовании парольного менеджера вы можете поставить над сотрудниками дополнительный контроль. Например, чтобы они не сделали ненадежный пароль для определенной категории сервисов. Так, в BearPass получится ограничить количество символов или ввести правило по использованию спецсимволов.

Также доступна генерация паролей. Сервис сам придумает последовательность символов за сотрудника. Получается, он даже не будет знать, какой ключ использует для важного аккаунта.

Кроме того, скоро вы также сможете запретить сотрудникам использовать идентичные пароли более, чем на одном ресурсе. По состоянию на сентябрь 2024 года, эта функция в разработке, но вы планируем добавить ее в одном из релизов этого года.

Часто люди не хотят навредить специально, но могут потерять секреты не нарочно. Мы предусмотрели защиту как минимум от трех таких ситуаций.

Защита от демонстраций экрана. У сотрудника не получится случайно показать пароль на созвоне, открыв ненужную вкладку или документ, где он собирает доступы. Пароль будет закрыт от просмотра, только если человек сам не захочет раскрыть его.

Защита от программ-шпионов. Если сотрудник зайдет например, на сайт с порно или пиратским контентом, он может получить программу-шпиона (так называемый кейлоггер). Этот вирус крадет пароли, которые пользователь вводит на клавиатуре. А вот если секрет копируется из сервиса и никогда не вводится руками, то украсть его значительно сложнее. Ведь программа видит только три клика мышкой вместо самого пароля, набранного на клавиатуре.

Защита от поломок компьютера. Менеджер — это не только безопасность, но и защита от потери паролей в принципе. Например, представьте, что у сотрудника Вани был локальный Word-файлик с доступами. Он хранил его запароленным. Вроде, все более менее хорошо. Но потом Ваня пил сладкий раф и пролил его на свой ноутбук. Теперь техника не подлежит восстановлению. Впрочем, как и файл со всеми доступами, которые были у Вани.

Парольный менеджер снижает этот риск, так как все секреты хранятся на сервере компании или облаке вендора. Это надежнее, чем просто держать их на одном устройстве.

Распределенные офисы и удаленка — это данность, они с нами надолго. Чтобы защититься хотя бы от базовых проблем с безопасностью, стоит начать с использования парольного менеджера. Он позволит вам не терять важные данные, отслеживать, кто и к каким паролям имеет доступ и понимать, что из паролей лучше поменять при увольнениях любых сотрудников.