CRM-системи: захист чи загроза?

0 Коментарі
CRM-системи: захист чи загроза?
Позиция на странице статьи, сразу после главного изображения статьи
Тип статті:
Переклад
Джерело:

31 березня — міжнародний день бекапа, і тиждень напередодні завжди сповнений історій, пов'язаних з безпекою. В понеділок ми вже дізналися про скомпрометований Asus і «трьох неназваних виробників». Особливо забобонні компанії весь тиждень сидять на голках, роблять бекапи. А все від того що всі ми трошки безладні в плані безпеки: хтось забуває пристебнути пасок на задньому сидінні, хтось ігнорує термін придатності продуктів, хтось зберігає логін і пароль під клавіатурою, а ще краще записує всі паролі в блокнотику. Окремі особистості примудряються відключати антивіруси, «щоб не гальмував комп» і не використовувати поділ прав доступу в корпоративних системах (які секрети в компанії з 50 осіб!). Напевно, людство просто ще не виробило інстинкт кібер-самозбереження, який, в принципі, може стати новим основним інстинктом.

Не виробив такі інстинкти і бізнес. Просте запитання: CRM-система це загроза інформаційній безпеці або інструмент забезпечення безпеки? Навряд чи хтось ось так відразу точно відповість. Тут потрібно починати, як нас вчили на уроках англійської: it depends… Це залежить від налаштувань, форми поставки CRM, звичок і переконань вендора, ступеня байдужого ставлення співробітників, хитрощів зловмисників. Зрештою, зламати можна все. Так як же жити?
CRM-система як захист
Захищати дані комерційної та операційної діяльності та надійно зберігати клієнтську базу — одна з основних задач CRM-системи, і в цьому вона на голову важливіше всього іншого прикладного ПЗ в компанії.
Напевно ви почали читати цю статтю і в глибині душі посміхнулися, мовляв, кому ваша інформація потрібна. Якщо так, то ви, ймовірно, не мали справу з продажами і не знаєте, наскільки затребувані «живі» і якісні клієнтські бази і інформація про методи роботи з цією базою. Вміст CRM-системи цікаво не тільки керівництву компанії, але і:
Зловмисникам (рідше) — вони мають на меті, пов'язану саме з вашою компанією, і застосують всі ресурси, щоб роздобути дані: підкуп співробітників, злом, покупка ваших даних у менеджерів, співбесіду з менеджерами та ін.
Співробітникам (частіше), які можуть виступити в ролі інсайдерів для ваших конкурентів. Вони просто готові вивести з собою або продати клієнтську базу з метою власної наживи.
Хакерам-любителям (зовсім рідко) — ви можете потрапити під злом хмари, де знаходяться ваші дані або злом мережі, а може, хтось заради приколу захоче «витягнути» ваші дані (наприклад, дані по оптовикам фармації або алкоголю — просто цікаво подивитися ).

Якщо хтось влізе в вашу CRM, він отримає доступ до вашої операційної діяльності, тобто до того масиву даних, за допомогою якого ви робите велику частину прибутку. І з моменту отримання зловмисного доступу до CRM-системи прибуток починає усміхатися тому, в чиїх руках опиняється клієнтська база. Ну або його партнерам і замовникам (читай — новим роботодавцям).
Гарна, надійна CRM-система здатна закрити ці ризики і дати ще купу приємних бонусів в сфері безпеки.
Отже, що вміє CRM-система в плані безпеки?
Двухфакторна авторизація з використанням USB-ключа і пароля. RegionSoft CRM підтримує режим двухфакторної авторизації користувачів при вході в систему. В цьому випадку при вході в систему, крім введення пароля, необхідно вставити в USB-порт комп'ютера USB-ключ, який був заздалегідь іниційован. Двохфакторний режим авторизації допомагає підстрахуватися від крадіжки або розголошення пароля.

  • Запуск з довірених IP-адрес і MAC-адрес. Для забезпечення підвищеної безпеки можна обмежити вхід користувачів виключно з зареєстрованих IP-адрес і MAC-адрес. В якості IP-адрес можуть бути використані як внутрішні IP-адреси в локальній мережі, так і зовнішні адреси, якщо користувач підключається віддалено (через інтернет).
  • Доменна авторизація (авторизація Windows). Запуск системи можна налаштувати так, щоб при вході не було потрібно вводити пароль користувача. В такому випадку відбувається авторизація Windows, яка визначає користувача засобами WinAPI. Система буде запущена під тим користувачем, під профілем якого в момент запуску системи працює комп'ютер.
  • Ще один механізм — це приватні клієнти. Приватний клієнти — це клієнти, яких може бачити тільки їх куратор. У списках інших користувачів ці клієнти відображатися не будуть, навіть якщо інші користувачі мають повний набір дозволів, в тому числі і правами адміністратора. Таким чином можна захистити, наприклад, пул особливо важливих клієнтів або групу за іншою ознакою, яка буде доручена надійному менеджеру.
  • Механізм розподілу прав доступу — стандартний і першочерговий захід захисту в CRM. Для спрощення процесу адміністрування прав користувачів, в RegionSoft CRM права призначаються не конкретним користувачам, а шаблонам. А вже самому користувачеві призначається той чи інший шаблон, що володіє певним набором прав. Це дозволяє кожному співробітникові — від новачка і стажиста до директора — призначити повноваження і права доступу, які дозволять / не дозволять їм отримати доступ до конфіденційних даних і важливої комерційної інформації.
  • Система автоматичного резервного копіювання даних (бекапів), що настроюється за допомогою сервера сценаріїв RegionSoft Application Server.

Це реалізація безпеки на прикладі єдиної системи, у кожного вендора свої політики. Однак CRM-система дійсно захищає вашу інформацію: ви можете бачити, хто і коли зняв той чи інший звіт, хто переглядав якісь дані, хто робив вивантаження і багато іншого. Навіть якщо ви дізнаєтеся про уразливість вже постфактум, ви не залишите вчинок безкарним і легко знайдете співробітника, який зловжив довірою і лояльністю компанії.

Розслабилися? Рано! Саме цей захист при недбалому відношенні і ігноруванні проблем захисту даних може зіграти проти вас.

CRM-система как загроза

Якщо у вашій компанії є хоча б один ПК, це вже джерело кіберзагрози. Відповідно, ступінь загрози множиться разом з ростом кількості робочих станцій (і співробітників) і з різноманітністю встановленого і використовуваного програмного забезпечення. І з CRM-системами справа йде непросто — адже це програма, покликана зберігати і обробляти найважливіший і дорогий актив: клієнтську базу і комерційну інформацію, а ми тут страшилки про її безпеку розповідаємо. Насправді, не все так похмуро поблизу, і при правильному зверненні ви не отримаєте від CRM-системи нічого, крім користі і безпеки.

Які ознаки небезпечної CRM-системи?

Почнемо з невеликої екскурсії в основи. CRM бувають хмарні і десктопні. Хмарні — це ті, СУБД (база даних) яких розташовується не у вас в компанії, а в приватній або публічній хмарі в якомусь дата-центрі (наприклад, ви сидите в Чернігові, а ваша база крутиться в супер крутому центрі в Одесі, тому що так вирішив вендор CRM і у нього договір саме з цим провайдером). Десктопні (вони ж on-premise, серверні — що вже не так вірно) базують свою СУБД на ваших власних серверах (ні-ні, не малюйте собі величезну серверну з дорогими стійками, найчастіше в малому і середньому бізнесі це одинокий сервер або навіть звичайний ПК сучасної конфігурації), тобто фізично у вас в офісі.
Дістати несанкціонований доступ можна до CRM обох типів, але швидкість і простота доступу різні, особливо якщо ми говоримо про СМБ, який не сильно дбає про інформаційну безпеку.
Ознака небезбеки №1
Причина більш високої ймовірності проблем з даними в хмарній системі це відносини, пов'язані декількома ланками: ви (орендар CRM) — вендор — провайдер (буває більш подовжена версія: ви — вендор — IT-аутсорсер вендора — провайдер). 3-4 ланки відносин мають більше ризиків, ніж 1-2: проблема може статися на стороні вендора (зміна договору, несплата послуг провайдера), на стороні провайдера (форс-мажор, злом, технічні проблеми), на стороні аутсорсера (зміна менеджера або інженера) і т.д. Звичайно, великі вендори намагаються мати резервні ЦОД, управляти ризиками і тримати свій відділ DevOps, але і це не виключає проблем.
Десктопна CRM в основному не орендується, а купується компанією, відповідно відносини виглядають більш просто і прозоро: вендор під час впровадження CRM налаштовує необхідні рівні безпеки (від розмежування прав доступу і фізичного USB-ключа до закладу сервера в бетонну стіну і т.д.) і передає управління компанії-власнику CRM, яка може нарощувати захист, найняти системного адміністратора або звертатися в міру необхідності до постачальника ПЗ. Проблеми зводяться до роботи з співробітниками, захист мережі та фізичний захист інформації. У разі використання деськтопної CRM навіть повне відключення інтернету не зупинить роботу, оскільки база розташовується в «рідному» офісі.
Про хмарні технології розповідає один з наших співробітників, який працював в компанії-розробника хмарних комплексних офісних систем, в тому числі CRM. «На одному з моїх місць роботи компанія створювала щось дуже схоже на базову CRM, і все це було пов'язано з онлайн-документами і т.д. Одного разу в GA ми побачили аномальну активність від одного з клієнтів-передплатників. Яке ж було здивування нас, аналітиків, коли ми, не будучи розробниками, але маючи високий рівень доступу, просто змогли по посиланню відкрити той інтерфейс, який використовував клієнт, подивитися, що це за така табличка у нього популярна. До слова, здається, клієнт не хотів би, щоб хтось бачив ці комерційні дані. Так, це був баг, і його не усували кілька років — по-моєму, віз і нині там. З тих пір я адепт десктопа і не дуже-то довіряю хмарам, хоча, звичайно, і ми використовуємо їх в роботі і в особистому житті, де теж траплялися веселі факапи ».

З опитування на Хабре, і це співробітники просунутих компаній

Втрата даних з хмарної CRM-системи може бути обумовлена втратою даних через збій сервера, недоступності серверів, форс-мажору, припинення діяльності вендора і ін. Хмара — це постійний, безперервний доступ в інтернет, і захист повинен бути безпрецедентним: на рівні коду, прав доступу, додаткових заходів кібербезпеки (наприклад, двухфакторной авторизації). Ознака небезбеки №2

Мова йде навіть не про одну ознаку, а про групу ознак, пов'язаних з вендором і його політикою. Перелічимо деякі важливі приклади, з якими доводилося зустрічатися нам і нашим співробітникам.

    Вендор може вибрати недостатньо надійний ЦОД, де будуть «крутитися» СУБД клієнтів. Він заощадить, що не проконтролює SLA, які не розрахує навантаження, і результат буде фатальним саме для вас. Вендор може відмовити в праві перевести сервіс в обраний вами дата-центр. Це досить поширене обмеження для SaaS. Вендор може мати правовий або економічний конфлікт з хмарним провайдером, і тоді під час «розбірок» дії щодо створення резервної копії або, наприклад, швидкість, можуть бути обмежені. Послуга створення резервних копій може надаватися за окрему ціну. Поширена практика, про яку клієнт CRM-системи може дізнатися тільки в той момент, коли бекап знадобиться, тобто в самий критичний і вразливий момент. Співробітники вендора можуть мати безперешкодний доступ до даних клієнтів. Може статися витік даних будь-якої природи (людський фактор, шахрайство, хакери і т.д.).

Зазвичай ці проблеми пов'язані з невеликими або молодими вендорами, однак і великі неодноразово потрапляли в неприємні історії (google it). Тому ви завжди повинні мати способи захисту інформації на своїй стороні + заздалегідь обговорювати з обраним постачальником CRM-систем питання безпеки. Навіть сам факт вашого інтересу до проблеми вже змусить постачальника поставитися до впровадження максимально відповідально (особливо важливо піходити так, якщо ви маєте справу не з офісом вендора, а з його партнером, якому важливо укласти договір і отримати комісію, а не цю вашу двохфакторну… ну ви зрозуміли).

Ознака небезбеки №3

Організація роботи з безпекою у вашій компанії. Рік тому ми традиційно писали про безпеку на Хабре і проводили опитування. Вибірка вийшла не особливо велика, а от відповіді показові:

    Де співробітники зберігають паролі? Як організований доступ до сховищ на серверах компанії? Як захищено ПЗ, в якому є комерційна і оперативна інформація? Чи у всіх співробітників активні антивіруси? Скільки співробітників мають доступ до клієнтських даних, якого рівня цей доступ? Скільки у вас новачків і скільки співробітників знаходиться в процесі звільнення? Чи давно ви спілкувалися з ключовими співробітниками і вислуховували їхні прохання і претензії? Чи контролюються принтери? Як організована політика підключення власних гаджетів до ПК, а також користування робочим Wi-Fi?

Насправді, це базові питання — в коментарях напевно додадуть хардкору, але це база, основи якої повинен знати навіть індивідуальний підприємець з двома співробітниками.

Так як захиститися?

    Бекапи — найважливіша річ, про яку нерідко або забувають, або не піклуються. Якщо у вас десктопна система, налаштуйте систему резервного копіювання даних із заданою частотою (наприклад, для RegionSoft CRM це можна реалізувати за допомогою RegionSoft Application Server) і організуйте грамотне зберігання копій. Якщо у вас хмарна CRM, обов'язково до укладення договору дізнайтеся, як організована робота з резервними копіями: вам потрібні відомості про глибину і частоту, про місце зберігання, про вартість бекапування (нерідко безкоштовні тільки бекапи «останніх даних на період», а повноцінне, секьюрне резервне копіювання здійснюється як платна послуга). Загалом, тут точно не місце для економії або недбалого ставлення. І так, не забувайте перевіряти те, що відновлюється з резервних копій. Поділ прав доступу на рівні функцій і даних. Безпека на рівні мережі — потрібно дозволити використання CRM тільки всередині офісної підмережі, обмежити доступ для мобільних пристроїв, заборонити роботу з CRM-системою з дому або, що ще гірше, з публічних мереж (коворкінг, кафе, клієнтських офісів та ін.). Особливо будьте обережні з мобільною версією — нехай вона буде лише сильно усіченим варіантом для роботи. Антивірус зі скануванням в режимі реального часу потрібен в будь-якому випадку, але в разі безпеки корпоративних даних — особливо. Забороніть на рівні політик відключати його самостійно. Навчання співробітників гігієни кіберпростору — не порожня трата часу, а гостра необхідність. Потрібно донести до всіх колег, що їм важливо не тільки попередити, але і правильно зреагувати на інформацію, загрозу що надійшла. Забороняти користуватися інтернетом або своєю поштою в офісі — це минуле століття і причина гострого негативу, тому доведеться попрацювати саме з профілактикою.

Звичайно, використовуючи хмарну систему, можна домогтися достатнього рівня безпеки: використовувати виділені сервера, налаштовувати маршрутизатори і обробити трафік на рівні додатку та рівні баз даних, використовувати приватні підмережі, ввести суворі правила безпеки для адміністраторів, забезпечити безперебійність за рахунок резервного копіювання з максимально необхідної частотою і повнотою, здійснювати цілодобовий моніторинг мережі… Якщо вдуматися, це не так і складно, — швидше за дорого. Але, як показує практика, такі заходи вживають тільки деякі компанії, в основному великі. Тому не посоромиться сказати ще раз: і хмара, і десктоп не повинні жити самі по собі, захищайте свої дані.

Несколько мелких, но важных советов для всех случаев внедрения CRM-системы

    Перевірте вендора на уразливості — пошукайте інформацію по сполученням слів «вразливість Vendor Name», «зламали Vendor Name», «витік даних Vendor Name». Це не повинно стати єдиним параметром пошуку нової CRM-системи, але галочку на підкірці поставити просто обов'язково, і особливо важливо зрозуміти причини інцидентів. Розпитайте вендора про центр обробки даних: доступність, скільки їх, як організовано аварійне перемикання. Налаштуйте маркери безпеки в CRM, відстежуйте активність всередині системи і незвичайні сплески. Вимкніть експорт звітів, доступ через API для непрофільних співробітників — тобто тих, кому ці функції не потрібні для постійної діяльності. Простежте, щоб у вашій CRM-системі було налаштовано журнал процесів і логірування дій користувачів.
Це дрібниці, але вони відмінно доповнюють загальну картину. Та й, насправді, дрібниць в безпеці немає.
Впроваджуючи CRM-систему, ви забезпечуєте безпеку ваших даних — але тільки в тому випадку, якщо впровадження відбувається грамотно, і питання інформаційної безпеки не відсуваються на другий план. Погодьтеся, нерозумно купити автомобіль і не перевірити гальма, ABS, наявність подушок, паски безпеки, EDS. Адже головне не просто їхати, а їхати безпечно і доїхати цілим і неушкодженим. З бізнесом те ж саме.
І пам'ятайте: якщо правила безпеки праці писані кров'ю, правила кібербезпеки бізнесу писані грошима.
Теги: гроші, субд, crm

Слайдер записів

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.