CRM-системы: защита или угроза?
31 марта — международный день бэкапа, и неделя накануне всегда полна историй, связанных с безопасностью. В понедельник мы уже узнали про скомпрометированный Asus и «трёх неназванных производителей». Особо суеверные компании всю неделю сидят на иголках, делают бэкапы. А всё от того что все мы немножко безалаберны в плане безопасности: кто-то забывает пристегнуть ремень на заднем сидении, кто-то игнорирует срок годности продуктов, кто-то хранит логин и пароль под клавиатурой, а ещё лучше записывает все пароли в блокнотике. Отдельные личности умудряются отключать антивирусы, «чтобы не тормозил комп» и не использовать разделение прав доступа в корпоративных системах (какие секреты в компании из 50 человек!). Наверное, человечество просто ещё не выработало инстинкт кибер-самосохранения, который, в принципе, может стать новым основным инстинктом.
Не выработал такие инстинкты и бизнес. Простой вопрос: CRM-система это угроза информационной безопасности или инструмент обеспечения безопасности? Вряд ли кто-то вот так сходу точно ответит. Тут нужно начинать, как нас учили на уроках английского: it depends… Это зависит от настроек, формы поставки CRM, привычек и убеждений вендора, степени наплевательского отношения сотрудников, исхищрённости злоумышленников. В конце концов, взломать можно всё. Так как же жить?
CRM-система как защита
Защищать данные о коммерческой и операционной деятельности и надёжно хранить клиентскую базу — одна из основных задач CRM-системы, и в этом она на голову важнее всего остального прикладного ПО в компании.
Наверняка вы начали читать эту статью и в глубине души ухмыльнулись, мол, кому ваша информация нужна. Если так, то вы, вероятно, не имели дело с продажами и не знаете, насколько востребованы «живые» и качественные клиентские базы и информация о методах работы с этой базой. Содержимое CRM-системы интересно не только руководству компании, но и:
- Злоумышленникам (реже) — они имеют цель, связанную именно с вашей компанией, и применят все ресурсы, чтобы заполучить данные: подкуп сотрудников, взлом, покупка ваших данных у менеджеров, собеседование с менеджерами и проч.
- Сотрудникам (чаще), которые могут выступить в роли инсайдеров для ваших конкурентов. Они просто готовы увести с собой или продать клиентскую базу с целью собственной наживы.
- Хакерам-любителям (совсем редко) — вы можете попасть под взлом облака, где находятся ваши данные или взлом сети, а может, кто-то ради прикола захочет «вытащить» ваши данные (например, данные по оптовикам фармации или алкоголя — просто интересно посмотреть).
Такая бывает информационная безопасность в малом и среднем бизнесе Из ЖЖ
Если кто-то влезет в вашу CRM, он получит доступ к вашей операционной деятельности, то есть к тому массиву данных, с помощью которого вы делаете большую часть прибыли. И с момента получения злонамеренного доступа к CRM-системе прибыль начинает улыбаться тому, в чьих руках оказывается клиентская база. Ну или его партнёрам и заказчикам (читай — новым работодателям).
Хорошая, надёжная CRM-система способна закрыть эти риски и дать ещё кучу приятных бонусов в сфере безопасности.
Итак, что умеет CRM-система в плане безопасности?
(рассказываем на примере RegionSoft CRM, т.к. не можем отвечать за других)
-
Двухфакторная авторизация с использованием USB-ключа и пароля. RegionSoft CRM поддерживает режим двухфакторной авторизации пользователей при входе в систему. В этом случае при входе в систему, помимо ввода пароля, необходимо вставить в USB-порт компьютера USB-ключ, который был заранее инициализирован. Двухфакторный режим авторизации помогает подстраховаться от кражи или разглашения пароля.
-
Запуск с доверенных IP-адресов и MAC-адресов. Для обеспечения повышенной безопасности можно ограничить вход пользователей исключительно с зарегистрированных IP-адресов и MAC-адресов. В качестве IP-адресов могут быть использованы как внутренние IP-адреса в локальной сети, так и внешние адреса, если пользователь подключается удаленно (через интернет).
-
Доменная авторизация (авторизация Windows). Запуск системы можно настроить так, чтобы при входе не требовалось вводить пароль пользователя. В таком случае происходит авторизация Windows, которая определяет пользователя средствами WinAPI. Система будет запущена под тем пользователем, под профилем которого в момент запуска системы работает компьютер.
- Ещё один механизм — это приватные клиенты. Приватные клиенты – это клиенты, которых может видеть только их куратор. В списках других пользователей эти клиенты отображаться не будут, даже если другие пользователи обладают полным набором разрешений, в том числе и правами администратора. Таким образом можно защитить, например, пул особо важных клиентов или группу по другому признаку, которая будет поручена надёжному менеджеру.
-
Механизм разделения прав доступа — стандартная и первоочередная мера защиты в CRM. Для упрощения процесса администрирования прав пользователей, в RegionSoft CRM права назначаются не конкретным пользователям, а шаблонам. А уже самому пользователю назначается тот или иной шаблон, обладающий определенным набором прав. Это позволяет каждому сотруднику — от новичка и стажёра до директора — назначить полномочия и права доступа, которые позволят/не позволят им получить доступ к конфиденциальным данным и важной коммерческой информации.
-
Система автоматического резервного копирования данных (бэкапов), настраиваемая с помощью сервера сценариев RegionSoft Application Server.
Это реализация безопасности на примере единственной системы, у каждого вендора свои политики. Однако CRM-система действительно защищает вашу информацию: вы можете видеть, кто и во сколько снял тот или иной отчёт, кто просматривал какие данные, кто делал выгрузку и многое другое. Даже если вы узнаете об уязвимости уже постфактум, вы не оставите поступок безнаказанным и легко вычислите сотрудника, который злоупотребил доверием и лояльностью компании.
Расслабились? Рано! Эта самая защита при небрежном отношении и игнорировании проблем защиты данных может сыграть против вас.
CRM-система как угроза
Если в вашей компании есть хотя бы один ПК, это уже источник киберугрозы. Соответственно, степень угрозы множится вместе с ростом количества рабочих станций (и сотрудников) и с разнообразием установленного и используемого программного обеспечения. И с CRM-системами дело обстоит непросто — ведь это программа, призванная хранить и обрабатывать важнейший и дорогой актив: клиентскую базу и коммерческую информацию, а мы тут страшилки про её безопасность рассказываем. На самом деле, не всё так сумрачно вблизи, и при правильном обращении вы не получите от CRM-системы ничего, кроме пользы и безопасности.
Каковы признаки опасной CRM-системы?
Начнём с небольшой экскурсии в основы. CRM бывают облачные и десктопные. Облачные — это те, СУБД (база данных) которых располагается не у вас в компании, а в частном или публичном облаке в каком-нибудь дата-центре (например, вы сидите в Челябинске, а ваша база крутится в супер крутом ЦОД в Москве, потому что так решил вендор CRM и у него договор именно с этим провайдером). Десктопные (они же on-premise, серверные — что уже не так верно) базируют свою СУБД на ваших собственных серверах (нет-нет, не рисуйте себе огромную серверную с дорогими стойками, чаще всего в малом и среднем бизнесе это одинокий сервер или даже обычный ПК современной конфигурации), то есть физически у вас в офисе.
Получить несанкционированный доступ можно к CRM обоих типов, но скорость и простота доступа разные, особенно если мы говорим об СМБ, который не сильно заботится об информационной безопасности.
Признак опасности №1
Причина более высокой вероятности проблем с данным в облачной системе это отношения, связанные несколькими звеньями: вы (арендатор CRM) — вендор — провайдер (бывает более удлинённая версия: вы — вендор — IT-аутсорсер вендора — провайдер). 3-4 звена отношений имеют больше рисков, чем 1-2: проблема может произойти на стороне вендора (изменение договора, неоплата услуг провайдера), на стороне провайдера (форс-мажор, взлом, технические проблемы), на стороне аутсорсера (смена менеджера или инженера) и т.д. Конечно, крупные вендоры стараются иметь резервные ЦОД, управлять рисками и держать свой отдел DevOps, но и это не исключает проблем.
Десктопная CRM в основном не арендуется, а приобретается компанией, соответственно отношения выглядят более просто и прозрачно: вендор во время внедрения CRM настраивает необходимые уровни безопасности (от разграничения прав доступа и физического USB-ключа до заведения сервера в бетонную стену и т.д.) и передаёт управление компании-владельцу CRM, которая может наращивать защиту, нанять системного администратора либо обращаться по мере необходимости к своему поставщику ПО. Проблемы сводятся к работе с сотрудниками, защите сети и физической защите информации. В случае использования десктопной CRM даже полное отключение интернета не остановит работу, поскольку база располагается в «родном» офисе.
Про облачные технологии рассказывает один из наших сотрудников, который работал в компании-разработчике облачных комплексных офисных систем, в том числе CRM. «На одном из моих мест работы компания создавала что-то очень похожее на базовую CRM, и всё это было связано с онлайн-документами и т.д. Однажды в GA мы увидели аномальную активность от одного из клиентов-подписчиков. Каково же было удивление нас, аналитиков, когда мы, не будучи разработчиками, но имея высокий уровень доступа, просто смогли по ссылке открыть тот интерфейс, который использовал клиент, посмотреть, что это за такая табличка у него популярная. К слову, кажется, клиент не хотел бы, чтобы кто-то видел эти коммерческие данные. Да, это был баг, и его не устраняли несколько лет — по-моему, воз и ныне там. С тех пор я адепт десктопа и не очень-то доверяю облакам, хотя, конечно, и мы используем их в работе и в личной жизни, где тоже случались весёлые факапы».
Из нашего опроса на Хабре, и это сотрудники продвинутых компаний
Потеря данных из облачной CRM-системы может быть обусловлена потерей данных из-за сбоя сервера, недоступности серверов, форс-мажора, прекращения деятельности вендора и проч. Облако — это постоянный, непрерывный доступ в интернет, и защита должна быть беспрецедентной: на уровне кода, прав доступа, дополнительных мер кибербезопасности (например, двухфакторной авторизации).
Признак опасности №2
Речь идёт даже не об одном признаке, а о группе признаков, связанных с вендором и его политикой. Перечислим некоторые важные примеры, с которыми приходилось встречаться нам и нашим сотрудникам.
- Вендор может выбрать недостаточно надёжный ЦОД, где будут «вертеться» СУБД клиентов. Он сэкономит, не проконтролирует SLA, не рассчитает нагрузку, и итог будет фатальным именно для вас.
- Вендор может отказать в праве перевести сервис в выбранный вами дата-центр. Это довольно распространённое ограничение для SaaS.
- Вендор может иметь правовой или экономический конфликт с облачным провайдером, и тогда во время «разборок» действия по резервному копированию или, например, скорость, могут быть ограничены.
- Услуга создания бэкапов может предоставляться за отдельную цену. Распространённая практика, о которой клиент CRM-системы может узнать только в тот момент, когда бэкап понадобится, то есть в самый критичный и уязвимый момент.
- Сотрудники вендора могут иметь беспрепятственный доступ к данным клиентов.
- Могут произойти утечки данных любой природы (человеческий фактор, мошенничество, хакеры и т.д.).
Обычно эти проблемы связаны с небольшими или молодыми вендорами, однако и крупные неоднократно попадали в неприятные истории (google it). Поэтому вы всегда должны иметь способы защиты информации на свой стороне + заранее обговаривать с выбранным поставщиком CRM-систем вопросы безопасности. Даже сам факт вашего интереса к проблеме уже заставит поставщика отнестись к внедрению максимально ответственно (особенно важно поступать так, если вы имеете дело не с офисом вендора, а с его партнёром, которому важно заключить договор и получить комиссию, а не эти ваши двухфакторные… ну вы поняли).
Признак опасности №3
Организация работы с безопасностью в вашей компании. Год назад мы традиционно писали про безопасность на Хабре и проводили опрос. Выборка получилась не особо большая, а вот ответы показательные:
В конце статьи мы дадим ссылки на свои публикации, где мы подробно разбирали отношения в системе «компания — сотрудника — безопасность», а здесь приведём список вопросов, ответы на которые стоит найти внутри вашей компании (даже, если вам не нужна CRM).
- Где сотрудники хранят пароли?
- Как организован доступ к хранилищам на серверах компании?
- Как защищено ПО, в котором есть коммерческая и оперативная информация?
- У всех ли сотрудников активны антивирусы?
- Сколько сотрудников имеют доступ к клиентским данным, какого уровня этот доступ?
- Сколько у вас новичков и сколько сотрудников находится в процессе увольнения?
- Давно ли вы общались с ключевыми сотрудниками и выслушивали их просьбы и претензии?
- Контролируются ли принтеры?
- Как организована политика подключения собственных гаджетов к ПК, а также пользования рабочим Wi-Fi?
На самом деле, это базовые вопросы — в комментариях наверняка добавят хардкора, но это база, основы которой должен знать даже индивидуальный предприниматель с двумя сотрудниками.
Так как защититься?
- Бэкапы — важнейшая вещь, о которой нередко или забывают, или не заботятся. Если у вас десктопная система, настройте систему резервного копирования данных с заданной частотой (например, для RegionSoft CRM это можно реализовать с помощью RegionSoft Application Server) и организуйте грамотное хранение копий. Если у вас облачная CRM, обязательно до заключения договора узнайте, как организована работа с бэкапами: вам нужны сведения о глубине и частоте, о месте хранения, о стоимости бэкапирования (нередко бесплатны только бэкапы «последних данных на период», а полноценное, секьюрное резервное копирование осуществляется как платная услуга). В общем, здесь точно не место для экономии или халатного отношения. И да, не забывайте проверять то, что восстанавливается из бэкапов.
- Разделение прав доступа на уровне функций и данных.
- Безопасность на уровне сети — нужно разрешить использование CRM только внутри офисной подсети, ограничить доступ для мобильных устройств, запретить работу с CRM-системой из дома или, что ещё хуже, из публичных сетей (коворкингов, кафе, клиентских офисов и проч.). Особенно будьте осторожны с мобильной версией — пусть она будет лишь сильно усечённым вариантом для работы.
- Антивирус со сканированием в режиме реального времени нужен в любом случае, но в случае безопасности корпоративных данных — особенно. Запретите на уровне политик отключать его самостоятельно.
- Обучение сотрудников гигиене киберпространства — не пустая трата времени, а острая необходимость. Нужно донести до всех коллег, что им важно не только предупредить, но и правильно среагировать на поступившую угрозу. Запрещать пользоваться интернетом или своей почтой в офисе — это прошлый век и причина острого негатива, поэтому придётся поработать именно с профилактикой.
Конечно, используя облачную систему, можно добиться достаточного уровня безопасности: использовать выделенные сервера, настраивать маршрутизаторы и разделать трафик на уровне приложения и уровне баз данных, использовать частные подсети, ввести строгие правила безопасности для администраторов, обеспечить бесперебойность за счёт резервного копирования с максимально необходимой частотой и полнотой, осуществлять круглосуточный мониторинг сети… Если вдуматься, это не так и сложно, — скорее дорого. Но, как показывает практика, такие меры предпринимают только некоторые компании, в основном крупные. Поэтому не постесняемся сказать ещё раз: и облако, и десктоп не должны жить сами по себе, защищайте свои данные.
Несколько мелких, но важных советов для всех случаев внедрения CRM-системы
- Проверьте вендора на уязвимости — поищите информацию по сочетаниям слов «уязвимость Vendor Name», «взломали Vendor Name», «утечка данных Vendor Name». Это не должно стать единственным параметром поиска новой CRM-системы, но галочку на подкорке поставить просто обязательно, и особенно важно понять причины произошедших инцидентов.
- Расспросите вендора о центре обработки данных: доступность, сколько их, как организовано аварийное переключение.
- Настройте маркеры безопасности в CRM, отслеживайте активность внутри системы и необычные всплески.
- Отключите экспорт отчётов, доступ через API для непрофильных сотрудников — то есть тех, кому эти функции не нужны для постоянной деятельности.
- Проследите, чтобы в вашей CRM-системе было настроено журналирование процессов и логирование действий пользователей.
Это мелочи, но они отлично дополняют общую картину. Да и, на самом деле, мелочей в безопасности нет.
Внедряя CRM-систему, вы обеспечиваете безопасность ваших данных — но только в том случае, если внедрение происходит грамотно, и вопросы информационной безопасности не отодвигаются на второй план. Согласитесь, глупо купить автомобиль и не проверить тормоза, ABS, наличие подушек, ремни безопасности, EDS. Ведь главное не просто ехать, а ехать безопасно и доехать целым и невредимым. С бизнесом то же самое.
И помните: если правила безопасности труда писаны кровью, правила кибербезопасности бизнеса писаны деньгами.
По теме кибербезопасности и месте CRM-системы в ней можно почитать наши подробные статьи:
-
Основной инстинкт бизнеса: грани корпоративной безопасности — обзор возможных угроз безопасности в корпоративной сфере и примерная схема обнаружения.
-
Нужно ли беречь данные от сотрудников — подробный разбор того, как сотрудники могут навредить вашему бизнесу и каким образом они это делают в коммерческой сфере.