Константин Родин: Пароли — не мелочь, а системная уязвимость

Вопрос управления цифровыми секретами — от паролей до токенов и сертификатов — по-прежнему воспринимается как техническая деталь. Почему компании до сих пор хранят критические данные в Word, Excel и заметках в смартфоне? Какие риски в этом есть и как безболезненно перейти к централизованному управлению секретами? Об этом поговорим с Константином Родиным, заместителем директора по развитию бизнеса компании «АйТи Бастион».

Константин, начнем с главного. Зачем вообще централизованно управлять корпоративными паролями?

К. Р.: Сегодня корпоративные пароли, ключи, API-токены — это полноценные цифровые активы. Они дают прямой доступ к внутренним системам, инфраструктуре, данным клиентов. Именно их мы называем «секретами». Если такими активами никто централизовано не управляет, это все равно что оставить двери офиса открытыми или хранить ключ от квартиры «под ковриком» (аналог — пароль на стикере под клавиатурой). И если раньше подобных «цифровых активов» у одного человека было два-три, и он мог легко хранить их в своей голове, то теперь их — десятки.

Центральное хранение и управление секретами обеспечивает контроль над тем, кто имеет доступ и к чему, когда и на каких условиях. Это вопрос не только безопасности, но и устойчивости бизнеса: один потерянный или слабый пароль — это несанкционированное проникновение, которое может остановить сервис, нарушить обязательства перед клиентами или повлечь штрафы со стороны регулятора.

Какие ошибки чаще всего совершают компании в этом вопросе?

К. Р.: Основная ошибка начинается с отсутствия базовой политики хранения и управления паролями. Когда в компании нет даже минимального регламента по работе с учетными данными, начинается хаос: один сотрудник хранит пароли на локальном диске, другой — в облаке, третий — просто держит их в голове. И даже если регламент существует, важно не только его наличие, но и фактическое соблюдение.

Если говорить о самых частых практических ошибках, то их можно выделить три.

Первая — использование ненадежных средств хранения: текстовые файлы, таблицы Excel, Word-документы, бумажные блокноты, скриншоты, картинки. Все это легко теряется, копируется, открывается злоумышленниками.

Вторая — передача секретов небезопасными каналами: логины и пароли по-прежнему рассылаются в мессенджерах, СМС, по электронной почте. Особенно это характерно для взаимодействия с подрядчиками: «скинул в Telegram — и готово».

Третья — использование слабых или одинаковых паролей на разных сервисах. Казалось бы, об этом говорят постоянно, но это до сих пор реальность во многих организациях.

И еще важно развеять так называемую «иллюзию защищенности». Некоторые считают, что достаточно поставить пароль на архив или спрятать данные в таблицу — и все в порядке. Или думают: «Мои пароли никому не интересны». К сожалению, это заблуждение. Такая защита легко обходится, а ваши данные могут представлять интерес — как для злоумышленников, так и для конкурентов.

Есть ли различия между малым и крупным бизнесом в подходе к управлению секретами?

К. Р.: Да, есть, и они кардинальные. В энтерпрайз-сегменте тема управления секретами входит в структуру корпоративной безопасности, и там часто используются решения класса PAM (Privileged Access Management), IdM (Identity Management) и SSO (Single Sign-On), хотя даже среди крупных компаний есть «белые пятна». При этом непосредственно пользовательские секреты централизованно под контролем держит не так много компаний. Но как минимум вопрос со сложностью и частотой смены паролей решается на уровне централизованной политики безопасности.

Малый же бизнес, как правило, живет в парадигме «у нас нет секретов, мы никому не интересны». Но это заблуждение. Уязвимость — не в размере компании, а в отсутствии контроля. Более того, именно малый бизнес чаще становится жертвой инцидентов из-за нехватки ресурсов на реальную безопасность. К тому же, сегодня даже небольшие компании работают с CRM, облаками, микросервисами — а значит, у них десятки, если не сотни, технических секретов. При этом с ними работают как внутренние, так и внешние специалисты — и нередко передают секреты друг другу.

Сложно ли внедрить централизованное управление без нагромождений и перегрузки процессов?

К. Р.: Если решение спроектировано с учетом реальных процессов ИТ-команд — это вполне реализуемо. Мы исходим из принципа: безопасность не должна мешать работать. Поэтому наше решение «Персональные сейфы» позволяет быстро заменить незащищенные текстовые файлы, но не требует длительного внедрения, перепроектирования процессов или интеграции с облаками. Это локальное решение, работающее внутри периметра, с понятной логикой, ролями и API. То есть «взял, поставил, начал работать».

И это особенно ценно для компаний, у которых нет большого штата администраторов или выделенной команды ИБ. Сам по себе процесс начала работы выглядит как появление централизованного сервиса, в который пользователь вносит свои секреты (пароли, сертификаты, ключи для подключения) и далее уже работает с этим хранилищем, когда ему нужно авторизоваться в том или ином корпоративном сервисе или ИТ-системе.

Константин, на ваш взгляд, как меняется зрелость рынка? Видите ли вы прогресс в этом вопросе?

К. Р.: Конечно: сегодня рынок стал чувствительнее к этой теме. Во-первых, растет осознанность бизнеса после инцидентов нарушения безопасности и увеличения количества атак. Во-вторых, усиливаются требования со стороны регуляторов — ФСТЭК России, Банка России, Роскомнадзора. Но главная проблема — в отсутствии культуры управления секретами, как отдельного процесса. Большинство компаний считают, что, если у них есть, к примеру, Active Directory или двухфакторная аутентификация, они «все закрыли». Но на деле это далеко не так.

Скажите, как возникла идея создания «Персональных сейфов»?

К. Р.: Продукт вырос из реального запроса наших заказчиков. Мы поставляем систему контроля привилегированных действий СКДПУ НТ и в ходе проектов почти всегда возникал один и тот же вопрос: «А где нам хранить все то, что не попадает в область PAM?» Это ведь и VPN-доступы, и скрипты автоматизации, и разные пароли, и административные учетные записи, пароли от BIOS. То есть то, что критически значимо, но живет вне централизованного управления. 

И мы поняли: нужен простой, безопасный и автономный менеджер секретов для ИТ, ИБ-подразделений и обычных пользователей компаний. Так родились «Персональные сейфы». Первыми заказчиками стали наши собственные сотрудники: узнав о выходе первой версии и познакомившись с возможностями системы, они сразу же запросили установку решения в корпоративном контуре.

Чем ваш продукт отличается от обычных менеджеров паролей?

К. Р.: Различия действительно есть: архитектурные, функциональные и с точки зрения безопасности, конечно, на которую мы делаем особый акцент.

Самое главное — это не «персональный» инструмент вроде браузерного хранилища, а именно корпоративное решение. Во-первых, работа строго внутри контура — никаких облаков и небезопасной передачи данных вне защищенной системы. Во-вторых, можно назначать роли, управлять доступами, отслеживать активность пользователей, устанавливать срок жизни разрешений и общего доступа к паролям. В-третьих, реализована защита критических секретов через механизм «пломбы»: даже если система будет скомпрометирована, особо важные данные останутся недоступны без второго уровня подтверждения.

Расскажите подробнее про механизм «пломбы». Это альтернатива MFA?

К. Р.: Механизм «пломбы» — это не альтернатива многофакторной аутентификации, а скорее дополнительный уровень защиты поверх стандартного доступа к секрету. Представьте, что в компании хранятся сотни паролей, но есть несколько особенно критически значимых — например, ключи от финансовой системы вроде 1С или важные сертификаты, потеря которых может повлечь серьезные убытки. Именно такие секреты можно пометить как «опломбированные».

Чтобы получить к ним доступ, потребуется ввести дополнительный внешний пароль — он известен только владельцу секрета, например, директору по ИБ или владельцу бизнеса. Даже если администратор передаст такой секрет другому сотруднику, без знания «пломбы» его открыть не получится. Это особенно важно в случае компрометации рабочей станции: даже если ее взломают, содержимое опломбированного секрета останется недоступным.

На кого ориентирована ваша система в первую очередь?

К. Р.: У решения достаточно большой круг пользователей. Во-первых — это ИТ и ИБ-специалисты: системные администраторы, инженеры по информационной безопасности, DevOps. Во-вторых, это так называемые бизнес-пользователи, сотрудники бухгалтерии, юридического отдела, менеджеры и другие. Они используют решение для хранения доступов к внешним порталам: ФНС России, банки, тендерные площадки. Причем мы видим, что люди с радостью отказываются от Excel, когда получают инструмент, который прост как блокнот, но безопасен как сейф.

Насколько сложно внедрить такую систему в компании без ИБ-отдела?

К. Р.: Внедрение системы не представляет сложности, даже если в компании нет отдельного ИБ-отдела. Мы изначально разрабатывали решение так, чтобы его можно было установить и запустить самостоятельно, без привлечения внешних специалистов. Процесс занимает от 30 минут: установка, настройка ролей — и можно начинать работать.

Самый трудоемкий этап — это перенос уже существующих секретов в систему. Но он выполняется самими пользователями в удобном режиме через интуитивно понятный веб-интерфейс. Для этого мы предусмотрели готовые шаблоны, подсказки и подробные инструкции. Дополнительно всегда можно обратиться к нашим партнерам, которые помогут с внедрением.

Система работает на отечественной ОС Astra Linux и разработана нами с нуля, с учетом разных инфраструктур и сценариев. Например, для крупных компаний предусмотрен распределенный и катастрофоустойчивый режим работы. А еще одним преимуществом для наших заказчиков станет возможность интеграции с флагманским решением по контролю привилегированного доступа СКДПУ НТ.

Бывает ли, что компании приходят за подобными решениями уже после инцидента?

К. Р.: Да, это нередкая история. Особенно показательны случаи, когда уходит сотрудник и забирает с собой файл с паролями. Компания теряет доступ к ИТ-системам. Или когда из-за неправильного управления и передачи секретов происходит компрометация и дальше доступ может получить злоумышленник. Как итог — атака, сбой в работе, утечки и потеря денег для компании. Такие инциденты стоят дорого: и не только в деньгах, но и в репутации.

Есть ли планы по развитию продукта в ближайшее время?

К. Р.: Безусловно, у нас большие планы по развитию продукта. В ближайшее время мы сосредоточены на расширении интеграций — с SIEM-системами, решениями для управления инцидентами, PAM- и IdM-системами. Также планируем внедрить автоматическую проверку паролей на утечки и соответствие требованиям к сложности, а еще — добавить расширенную отчетность как по требованиям, так и по факту использования системы.

Для разработчиков мы готовим REST API — это позволит использовать «Персональные сейфы» в DevOps-процессах и интегрировать с различными сервисами. Отдельное внимание уделяем удобству: продолжаем улучшать интерфейс и добавлять новые функции, чтобы работа с секретами была максимально комфортной.

И напоследок, Константин, с чего нужно начать компании, которая пока все еще живет с Excel-файлом?

К. Р.: С осознания рисков. Проведите инвентаризацию и опрос среди сотрудников: какие у вас есть секреты и сколько их приходится «на душу населения», где они хранятся и кто имеет к ним доступ. Часто уже на этом этапе выявляются неожиданные уязвимости, и сотрудники сами просят о помощи.

Дальше — выбрать инструмент, который закрывает ваши реальные потребности без перегрузки бюджета и процессов. Важно не тянуть: сегодня инцидент с секретами — это не техническая ошибка, а репутационный и юридический риск. Безопасность начинается не с шифрования, а с зрелого организационного подхода и правильно подобранного решения.

Благодарю за интересную и познавательную беседу! Удачи вам и всего самого безопасного!