Безопасность в Битрикс24: пошаговый гайд

Попадание внутренней корпоративной информации в чужие руки — страшный сон для любого бизнеса. Последствия таких инцидентов могут быть непредсказуемыми, от утечек данных клиентов и сопутствующих штрафов до потери доверия со стороны партнеров и полной остановки операционной деятельности компании.

Многие компании не уделяют должного внимания информационной безопасности, считая себя неинтересными для злоумышленников. Именно это и делает их особенно уязвимыми. По данным Центра противодействия киберугрозам Innostage CyberART, в 2023 году хакеры чаще всего нацеливались на малый и средний бизнес. 

Кто в ответе за безопасность

Угрозы кибербезопасности можно разделить на внешние и внутренние. Внешние — исходят от лиц, не имеющих прямого отношения к компании: интернет-мошенников или конкурентов. 

По данным исследования 2023 г. безопасности в российских компаниях от «СёрчИнформ»

По данным исследования 2023 г. безопасности в российских компаниях от «СёрчИнформ»

Внутренние инциденты возникают из-за действий сотрудников — как сознательных, так и ненамеренных. Сюда в том числе относятся случаи, когда работник компрометирует корпоративные данные или передает их третьим лицам по ошибке. По данным «СёрчИнформ», с подобными инцидентами сталкивались более половины компаний. В 71% случаев виновниками становились линейные сотрудники. В 66% это были именно утечки данных. 

Именно об человеческий фактор часто ломаются даже совершенные системы защиты. Мало установить на дверь замок — необходимо каждый раз его закрывать и не оставлять в нем ключ. В случае с корпоративным порталом каждый пользователь, будь то рядовой сотрудник, администратор или интегратор, играет важную роль в защите данных и поддержании стабильной работы компании. Необходимо, чтобы каждый понимал свою ответственность и следовал правилам.

В компании должны быть четкие регламенты по безопасности: сотрудникам стоит понимать, как правильно обращаться с конфиденциальной информацией и как поступать в случае подозрений. Регулярные тренинги и обучения помогут снизить риски и создать культуру безопасности в компании. Полезно проводить тестовые фишинговые атаки, поощрять сотрудников, которые не попались на уловку, и проводить дополнительное обучение для остальных.

В свою очередь, ответственность разработчика корпоративного портала — создать мощную защиту для облачной инфраструктуры, а также постоянно совершенствовать программные коды и систему безопасности.

Роли пользователей

В облачном сервисе Битрикс24 доступ к данным осуществляется в соответствии с системой прав пользователей. В данном разделе мы разберем, как ее настроить. 

Доступ на портал для нового пользователя начинается с приглашения на электронную почту. Прислать это приглашение по умолчанию может любой авторизованный сотрудник компании. Но это подходит далеко не всем. Чтобы минимизировать риски несанкционированного доступа и повысить безопасность системы администратор может отключить эту возможность. Сделать это можно в разделе Настройки > Сотрудники > Приглашения > Разрешить всем приглашать пользователей.

a4238247a2d75a8b889673aa50942576.jpeg

Способ приглашения на портал должен соответствовать целям пребывания пользователя. В Битрикс24 можно выбрать одну из следующих целей:

  • интранет-пользователи;

  • администраторы;

  • интеграторы;

  • экстранет-пользователи.

Администраторы имеют полный доступ ко всем функциям и настройкам портала. Назначая администратора, следует убедиться, что он технически грамотный, ответственный и надежный, чтобы обеспечить стабильную и безопасную работу системы.

Интранет-пользователи — рядовые сотрудники компании. Их права зависят от настроек, установленных администратором. Создавать учетные записи следует только на корпоративные электронные адреса — это позволит обеспечить дополнительную защиту, управляя доступами к почтовым ящикам. Важно также своевременно удалять учетные записи бывших сотрудников, чтобы предотвратить несанкционированный доступ к информации.

Интеграторы (только для облачного портала Битрикс24) — это сторонние специалисты, которые помогают в настройке системы. У них такие же права, как у администратора, но с некоторыми ограничениями. Он не может назначать или увольнять администраторов, а также отключать двухфакторную аутентификацию сотрудников.На портале может работать до 10 интеграторов из одной компании-партнера, что помогает фиксировать, кто и когда заходил на портал.

Мы настоятельно рекомендуем обращаться только к официальным партнерам Битрикс24. Это сертифицированные компании, которые знают систему и регулярно помогают в ее запуске и настройке в различных сферах бизнеса. Ознакомиться с их списком вы можете на нашем сайте. Если вы нашли компанию самостоятельно, обязательно запросите у нее сертификат, подтверждающий партнерство с 1С-Битрикс. 

Экстранет-пользователи — это уровень доступа для партнеров по бизнесу, поставщиков и подрядчиков. Они могут работать с сотрудниками компании над документами, планировать задачи в календаре и общаться в групповом чате, но не имеют доступа к внутренним данным компании и контактам вне команды, с которой они взаимодействуют. 

Распределение ролей

Теперь углубимся в настройки доступов к информации для сотрудников компании. Здесь мы тоже предусмотрели разные уровни в соответствии с ролями пользователей — наборами полномочий, необходимых для выполнения определённых задач. 

Такая модель позволяет не только скрывать или показывать информацию, но и определять, что с ней можно делать: просматривать, редактировать, экспортировать, импортировать и так далее. Роль пользователя может зависеть от должности, подразделения или быть персональной. 

Чтобы создать ролевую модель, достаточно выполнить следующие действия:  

  1. Определите задачи и функции, которые должны выполнять пользователи. На основе собранных требований составьте список ролей — например, руководитель, менеджер, бухгалтер. Определите права, соответствующие  этим ролям. Мы рекомендуем следовать принципу минимальных привилегий и предоставлять только те права, которые необходимы для выполнения задач. 

  2. В разделе «Права доступа» необходимого функционала создайте новые роли и настройте права, соответствующие вашему списку.

  3. Убедитесь, что в структуре компании сотрудники верно распределены по отделам. Назначьте необходимые роли отделам, или персонально сотрудникам.

  4. Проверьте, что пользователи с разными ролями имеют доступ только к тем функциям и данным, которые им разрешены. Проведите тестирование различных сценариев использования системы, чтобы убедиться, что права доступа настроены корректно.

Регулярно проверяйте, как используются роли и права доступа, и вносите необходимые изменения. При изменении бизнес-процессов или добавлении новых функций в систему обновляйте роли и права доступа. 

Обратите внимание: права доступа на различные инструменты Битрикс24 настраиваются отдельно

Безопасность начинается с ключа

Следующий шаг к безопасности, который часто недооценивают, — это защита учетных записей. И речь идет не только о паролях к порталу, но и о доступе к почтовым ящикам.

Часто в компаниях не контролируют надежность паролей. Пользователи, в свою очередь, считают, что их учетные записи никому не нужны, и используют простые комбинации символов. Например, самыми распространенными паролями в мире в 2023 году стали »123456», «admin»,»12345678»,»123456789» и «password». На взлом аккаунтов с такой защитой злоумышленникам потребуется менее одной секунды.

Пароль может считаться надежным, если в нем:

  • не менее 12 символов: длинные пароли сложнее взломать с помощью методов перебора;

  • содержатся прописные и строчные буквы, цифры и специальные символы (например, !, S, #, %): разные типы символов делают пароль сложнее и труднее для взлома.

Пароль не должен содержать:

  • легко узнаваемую информацию — имена, фамилии, номера телефонов, клички животных, названия организаций, даты рождения;

  • осмысленные слова, словосочетания, общепринятые аббревиатуры (даже набранным в другой раскладке клавиатуры);

  • очевидных замен — например, буквы «а» на @ или «о» на 0.

Более половины россиян используют один и тот же пароль для разных учетных записей, но делать так нельзя ни в коем случае. Это увеличивает риск взлома

всех учетных записей, если одна из них будет скомпрометирована.

Самый простой способ придумать надежную комбинацию — воспользоваться специальным сервисом генерации паролей. Также можно использовать сочетания символов и слов, не связанных друг с другом и расположенных в бессмысленном порядке. А чтобы не забыть это сочетание, можно использовать менеджер паролей. 

Временный пароль, выданный для первой авторизации в корпоративной почте или на портале, должен быть изменен незамедлительно, так как он может быть известен другим сотрудникам. Также следует периодически менять пароли, причем новое значение должно отличаться от предыдущего не менее чем в 4-х позициях. 

Однако, лучшей защитой от утечек паролей является двухфакторная аутентификация, при которой для доступа к аккаунту нужно не только знать пароль, но и подтвердить свою личность через мобильное устройство. В идеале следует сделать ее обязательной для всех пользователей корпоративных систем.

Для дополнительной гарантии безопасности в Битрикс24 можно настроить доступ по IP-адресам. В таком случае система будет блокировать любую попытку проникновения, кроме входа через офисный интернет, даже если логин и пароль верны.

В Битрикс24 также можно отслеживать историю входов сотрудников: дату и время, геопозицию, устройство, операционную систему, браузер и IP-адрес. Каждый пользователь может контролировать безопасность своего аккаунта: при обнаружении подозрительной активности можно в один клик выйти из Битрикс24 на всех устройствах, кроме текущего. Администратор также может просмотреть историю входов любого сотрудника и при необходимости принудительно завершить его сеансы на всех устройствах.

Безопасность данных компании при работе с приложениями

Пользователи Битрикс24 иногда сталкиваются с нестандартными бизнес-задачами, с которыми им могут помочь приложения из Битрикс24 Маркет. Это каталог готовых решений, которые дополняют инструменты Битрикс24. В нем представлено более 3000 приложений для различных сфер бизнеса.

Размещенные в каталоге решения могут использовать данные и инструменты Битрикс24 — например информацию о задачах и календарях пользователей. Все продукты проходят проверку, прежде чем попасть в каталог, однако мы рекомендуем перед установкой самостоятельно оценить, насколько приложение соответствует требованиям к безопасности вашей организации. Для этого откройте карточку приложения и нажмите на блок «Безопасность». 

f8582c1a89972ddabde24564d8ca72e7.png

Справа появится список инструментов, к которым у приложения будет доступ.

72335c32b58e3f8e66b0763d475051c3.png

Настроить доступ пользователей к приложениям Маркета может только администратор Битрикс24. Для этого необходимо перейти в раздел Маркет > Еще > Установленные приложения. Далее — выбрать приложение, нажать на Три точки (…) > Доступ. 

74c9d2cb24aeb3f8ba0d730c76bcf83a.png

Осталось указать во всплывающем окне пользователей или отделы, которые будут работать с приложением, и нажать Выбрать. Остальным сотрудникам доступ к этому приложению будет ограничен.

133e565201d00808b366d0cf625b47d2.png

Работа с вебхуками

Мы также предоставляем возможность самостоятельно дорабатывать возможности Битрикс24. Все инструменты собраны в разделе Разработчикам. 

При создании локальных вебхуков можно задать перечень прав доступа к различным инструментам Битрикс24. Нет необходимости предоставлять все права — можно ограничиться только необходимыми для выполнения конкретной задачи, ради которой создается вебхук. 

При создании вебхук, в нем автоматически генерируется секретный код или токен. Не следует передавать его третьим лицам или указывать в коде страницы или скрипта — код позволяет получить доступ к данным вашего Битрикс24.

c66ce8cd15637385770c98e3f65a0426.png

Если компания Битрикс24 обнаружит секретный код или токен в открытом доступе, соответствующий вебхук будет заблокирован. Чтобы возобновить его работу, необходимо будет сгенерировать новый секретный код. 

Для этого перейдите в раздел Разработчикам > Интеграции и найдите в списке заблокированный вебхук. Откройте Меню (≡) > Редактировать.

765cf4ab67f74a19aaf0965457a33b48.png

В разделе Вебхук для вызова REST API скопируйте новый секретный код и обновите его в локальном приложении или интеграции.

698a507ad3635e8a02afe9f6e09a94b8.png

Секретный код доступен только создателю вебхука. Если администратор Битрикс24 перегенерирует чужой вебхук, секретный код обновится, а владельцем этого вебхука станет администратор.

Особенности безопасности коробочного решения Битрикс24

Мы регулярно проверяем защитные механизмы продукта Битрикс24 в коробке, привлекая сторонних экспертов. Сертификаты подтверждают высокое качество защиты и соответствие современным требованиям информационной безопасности. Однако, выбирая коробочный продукт, компания берет на себя дополнительные задачи, связанные с администрированием системы.

Для полноценной защиты от угроз рядовые пользователи должны следовать правилам кибербезопасности, а администраторы — обеспечивать надежную защиту на своем уровне:

  • использование надежных паролей;

  • надежное хранение админских паролей, паролей доступа по FTP;

  • обеспечение доступа на сайт по SSL;

  • работа с модулем Проактивная защита;

  • использование штатных систем безопасности Bitrix Framework;

  • разделение прав доступа пользователей.

Важную роль играет своевременные обновления системы. При выявлении уязвимостей во внешних системах, наша команда разработчиков оперативно реагирует на них и усиливает защиту в новых версиях продукта. Использование устаревших версий может привести к взлому или утечке данных.

Обновления включают исправления ошибок, которые мошенники могут использовать для попыток получения несанкционированного доступа к старым системам. Актуальные версии продукта также могут включать новые функции, такие как улучшенное шифрование или двухфакторная аутентификация, что помогает реагировать на новые угрозы. И, в конце концов, обновления могут улучшить производительность, что само по себе делает ПО более эффективным и трудным для взлома.

Заключение

Обеспечить надежную защиту данных можно только совместными усилиями, используя комплексный подход. Потому мы рекомендуем своим клиентам не только инвестировать в ИТ-решения, но и вести активную работу с сотрудниками и партнерами, постоянно повышать уровень цифровой грамотности и вводить строгие регламенты по работе с информацией. 

А мы со своей стороны продолжим обеспечивать свои продукты самыми современными техническими средствами для защиты данных. 

© Habrahabr.ru