Как защитить компанию и работать спокойно: гайд по безопасности в Битрикс24

Кто отвечает за безопасность

Проблема кибербезопасности касается компаний любого масштаба. По данным центра Innostage CyberART, в 2023 году хакеры чаще атаковали малый и средний бизнес. На крупные организации приходится 19% инцидентов.

Угрозы бизнесу бывают внешние и внутренние. К внешним относят действия мошенников или конкурентов. Они могут взламывать корпоративные аккаунты и красть данные. Цель: остановить деятельность бизнеса и заработать — продать информацию, получить выкуп или снять деньги со счетов.

Внутренние угрозы исходят от сотрудников. Сюда относят случаи, когда работники по ошибке или специально передают корпоративные данные третьим лицам. Специалисты могут случайно перейти по фишинговой ссылке или намеренно продать личную информацию клиентов.

Действия линейных сотрудников чаще всего приводят к утечкам, сообщают эксперты «СерчИнформ».

Чтобы обеспечить надежную защиту, нужен комплексный подход. За безопасность данных отвечают все — разработчики корпоративных программ, партнеры по внедрению и сотрудники компаний-пользователей.

• Битрикс24. Создает защиту для облачной инфраструктуры. Постоянно улучшает программные коды и механизмы безопасности.
• Интеграторы Битрикс24. Настраивают корпоративный портал, обучают сотрудников, предлагают новые меры для защиты данных.
• Компании-пользователи. Поддерживают безопасность внутри портала, создают правила защиты данных, обучают сотрудников. Вводный тренинг проводят на стадии онбординга специалистов. Затем регулярно устраивают дополнительные лекции и тренировки, чтобы команда узнавала о новых мошеннических схемах и училась избегать угрозы.

Каждый пользователь корпоративной системы — администратор, партнер по внедрению или линейный сотрудник — отвечает за сохранность данных. Важно, чтобы все соблюдали правила безопасности. Иначе ценную информацию могут «угнать».

Как защитить учетную запись Битрикс24

Контролировать, кто входит в систему. Новый пользователь заходит на корпоративный портал по приглашению. По умолчанию все сотрудники компании могут отправлять приглашения в Битрикс24. Чтобы это изменить и усилить защиту, администратору нужно отключить опцию в разделе «Настройки» → «Сотрудники» → «Приглашения» → «Разрешить всем приглашать пользователей».

В Битрикс24 можно отслеживать историю входов сотрудников. В ней отображаются дата и время доступа, геопозиция, устройство, операционная система, браузер и IP-адрес.

Администратор Битрикс24 может просмотреть историю входов любого пользователя и при необходимости завершить его сеансы на всех устройствах.

Следить за уровнями доступов. В системе Битрикс24 их три вида: администраторы, сотрудники, интеграторы.

1. Администраторы. Имеют доступ ко всем функциям и настройкам портала. Перед тем как дать сотруднику расширенные возможности, убедитесь, что он прошел обучение по информационной безопасности.
   Выдавайте доступ администратора только тем сотрудникам, кому он нужен для работы. Большой набор возможностей нельзя выдавать просто так. Это угроза безопасности.
2. Сотрудники. Набор их прав определяют администраторы. Обычно руководители предоставляют доступ к папкам и доскам в зависимости от должности специалистов.
3. Интеграторы. Это уровень доступа для сторонних специалистов, которые помогают бизнесу настроить систему.

Партнеров по бизнесу и заказчиков лучше приглашать как гостей в Коллабу. Коллаба — это пространство для совместной работы с внешними командами и клиентами в вашем Битрикс24.

Гости могут работать с общими документами, планировать задачи, видеть, как двигается проект, и обсуждать вопросы в корпоративном мессенджере. Но у них нет доступа ко внутренней информации о компании, например к аналитике и клиентской базе.

Объяснять сотрудникам, как составлять надежные пароли. Многие работники считают, что их учетные записи никому не нужны, поэтому придумывают слабые шифры. В результате компании становятся уязвимыми.

Правила, по которым сотрудники составляют пароли, лучше прописать в регламентах безопасности компании. Шифр надежный, если в нем:

• Не менее 12 символов.
• Есть прописные и строчные буквы, цифры и символы.
• Нет информации, которую легко узнать, — кличек питомцев, фамилий, года рождения.
• Нет целых слов и популярных аббревиатур — qwerty или qazplm.
• Нет очевидных замен — «a» на @ или «o» на 0.

Сделать двухфакторную аутентификацию обязательной для сотрудников. Эта система дополняет пароль: чтобы получить доступ, надо знать не только шифр, но и подтвердить вход с мобильного устройства. Полезно включить двухфакторную аутентификацию для всех аккаунтов: в Битрикс24, почте, соцсетях, мессенджерах.

Зачем в Битрикс24 ролевая модель доступа

У каждого сотрудника должен быть такой доступ к информации, чтобы он мог решать задачи и не больше. Это снижает вероятность, что кто-то случайно или специально «сольет» ценные данные. Например, менеджеру по продажам нужно видеть базу клиентов, а бухгалтеру это не обязательно.

Компания может раздавать права на каждую папку или доску отдельно, но это долго. Поэтому в Битрикс24 есть ролевая модель доступа.

Роль в Битрикс24 — это набор возможностей, который нужен пользователю или группе сотрудников для работы. Он зависит от должности или отдела.

Модель помогает быстро распределять доступы по сотрудникам. Можно взять готовые роли или настроить их с нуля. Рассказываем, как подготовить шаблоны для компании.

1. Изучите функции сотрудников. Определите задачи, которые выполняют специалисты. Затем составьте список ролей, которые нужны в Битрикс24.
   Например, вы можете выделить менеджеров по продажам, бухгалтеров и руководителей. Создайте таблицу, в которой будут указаны роли и права доступа.
2. Настройте роли. В разделе «Права доступа» создайте новые шаблоны. Настройте права, которые вы определили на предыдущем этапе.
3. Назначьте роли. Убедитесь, что вы правильно распределили сотрудников по отделам. Раздайте доступы командам или каждому специалисту по отдельности.
4. Проверьте, все ли сделали верно. Пользователи с разными ролями должны иметь доступ только к тем функциям и данным, которые вы им раздали.
5. Проверяйте и обновляйте доступы. Регулярно просматривайте, как команды и сотрудники используют роли. Не забывайте менять права доступа, если в компании обновляются бизнес-процессы или специалисты переходят в другие отделы.

В Битрикс24 есть отдельная роль для интегратора. Она нужна, если сторонний партнер настраивает IT-систему в компании.

• Интегратор имеет права администратора. Однако не может назначать или увольнять других администраторов, а также отключать двухфакторную аутентификацию сотрудников.
• Двухфакторная аутентификация обязательна для интегратора. Это нужно для защиты данных компании.
• На портале может работать до 10 интеграторов из одной компании-партнера.

Как безопасно работать с приложениями из Битрикс24 Маркетплейса

Чтобы решить нестандартную задачу, бизнес может использовать в системе Битрикс24 дополнительные приложения из Маркетплейса. Например, чтобы создать календари, настроить рекламу или улучшить рассылку. Все сервисы проходят проверку перед тем, как попасть в каталог.

Некоторым приложениям нужен доступ к данным компании, иначе они не смогут работать. Например, «Яндекс Метрика» запрашивает право на то, чтобы читать информацию из CRM.

У каждой компании свои требования к безопасности: кто-то готов открыть доступ к данным, кто-то — нет. Перед установкой приложения оцените, насколько оно соответствует вашим регламентам. Для этого откройте карточку сервиса и нажмите на блок «Безопасность».

С правой стороны экрана появится список разделов и систем, к которым у приложения будет доступ. Если вам все подходит — устанавливайте сервис.

Что делать, если есть угроза безопасности данных

Если информация оказалась под угрозой, сохраняйте спокойствие. Не паникуйте и действуйте четко. Рассказываем про четыре самых частых инцидента, с которыми сталкиваются компании.

Взломали почту или социальные сети, которые связаны с Битрикс24

Многие сервисы предупреждают, что кто-то меняет пароль или заходит с нового устройства. Если это делаете не вы, есть повод для беспокойства.

Как еще понять, что вас взломали:

• Контакты получают сообщения, которые вы не отправляли.
• В профиле появляются чужие записи и фото.
• Личную информацию и настройки аккаунта поменяли без вашего ведома.
• В истории активности есть входы с неизвестных устройств.

Что делать:

1. Отвяжите аккаунт от учетной записи Битрикс24. Зайдите в раздел «Безопасность» → «Авторизация» → «Выйти со всех устройств».
2. Измените пароль для аккаунта в соцсети или почте. Подключите двухфакторную аутентификацию.
3. Проверьте настройки. Злоумышленники могли изменить параметры.
4. Смените пароль в Битрикс24. Новый должен быть не менее 12 символов.

Украли доступ администратора

Администратор портала — это основной пользователь. Чтобы передать права другому человеку без его участия, нужны веские основания. Например, документы об оплате лицензии.

Что делать:

1. Обратитесь в поддержку Битрикс24. Подробно опишите ситуацию.
2. Подготовьте документы. Данные о компании и ее владельце, квитанции, документы об оплате — все это поможет быстрее решить проблему.

Чтобы избежать подобных ситуаций:

• Наделяйте правами администратора только тех пользователей, кому они действительно нужны.
• Не используйте для оплаты тарифа чужие карты, сохраняйте все документы.
• Работайте с сертифицированными партнерами Битрикс24 и всегда заключайте договор.

Удалили или испортили информацию

Рядовой сотрудник со слишком широкими правами или злоумышленник может стереть важную для компании информацию.

Что делать:

1. Проверьте корзину. После удаления файлы хранятся 30 дней. Если этот способ не помог, переходите ко второму шагу.

2. Обратитесь в поддержку Битрикс24. Подробно опишите ситуацию. Оставьте заявку на восстановление данных. Специалисты вернут портал к версии того дня, который вы укажете.

   Важно. Если информацию удалил мошенник, не выбирайте дату восстановления, когда он еще был на портале. Злоумышленник может снова повредить данные.
3. Проверьте настройки прав. После восстановления убедитесь, что все права заданы верно.

Потеряли мобильное устройство с доступом к Битрикс24

В этом случае важно как можно быстрее заблокировать доступ к порталу со смартфона.

Что делать:

1. Заблокируйте телефон. Если гаджет на iOS: iCloud.com → «Настройки» → «Локатор» → «Все устройства» → «Отметить как пропавшее». Инструкция для устройств на Android: Myaccount.google.com → «Безопасность» → «Управление всеми устройствами» → «Выйти».
2. Выйдите со всех устройств. Зайдите в веб-версию Битрикс24. Перейдите в «Профиль» → «Пароли» → «Авторизация» → «Выйти со всех устройств».
   Если не можете зайти из-за двухфакторной аутентификации, напишите в поддержку.
3. Завершите сеансы в других сервисах, если они подключены к Битрикс24. Закройте доступ со смартфона к аккаунтам в соцсетях, мессенджерах и почте.