В последние несколько лет на платформе Documentolog компании стали активно автоматизировать не только документооборот, но и другие бизнес-процессы, такие как кадровые, финансовые, процессы коллегиальных органов и службы технической поддержки. С удобством и повышением производительности, закономерно встает вопрос об обеспечении информационной безопасности. Ведь, чем больше процессов компании автоматизировано, тем больше потенциальный ущерб в случае взлома или компрометации информационной системы. Поэтому обеспечение безопасности и сохранности данных в СЭД Documentolog – один из часто задаваемых к нам вопросов. В этой статье постараемся подробно осветить эту тему.  

SAAS vs Локально
У многих руководителей и ИТ специалистов сохраняется мнение, что информационная система, установленная в локальной инфраструктуре компании будет более защищена от взлома и утечек, а данные будут лучше сохраняться, нежели у систем, приобретаемых по модели SAAS, то есть в облаке. На практике это далеко не так. Для того, чтобы обеспечить необходимую безопасность и сохранность данных, в компании обязательно должны быть следующие составляющие:

• компетентные администраторы сетевой и серверной инфраструктуры;
• серверное оборудование для основной и резервной инстанции ИС;
• оборудование для ежедневного бэкапирования данных;
• информационная система мониторинга сетевой и пользовательской инфраструктуры;
• компетентные специалисты по информационной безопасности, производящие мониторинг действий как пользователей, так и администраторов;
• информационная система мониторинга и анализа событий (SIEM);
• утвержденные процедуры и должностные инструкции сотрудников, в которых прописаны действия, обязательные к исполнению и реакция на все возможные события.

Все эти пункты являются обязательными для обеспечения минимального уровня ИБ, но не всегда достаточными. Можно потратить большие деньги на ИБ, инфраструктуру, сложные системы, но стать жертвой халатности или невнимательности какого-нибудь, наделенного легитимными правами, сотрудника. Не зря статистика говорит, что 90% всех инцидентов в ИБ связана с человеческим фактором. Поэтому требуется постоянная образовательная и профилактическая работа с персоналом. 
Как видно из вышесказанного, обеспечить должный уровень ИБ для информационных систем, находящихся в периметре инфраструктуры компании – задача сложная и очень дорогостоящая. Позволить себе могут только очень крупные компании, в которых имеются несколько критически важных ИС. Тогда большие расходы на ИБ могут быть оправданы критичностью данных и суммой возможного ущерба.  
В случае с компанией, предоставляющей услуги информационной системы по модели SAAS, реализация всех вышеописанных мер по обеспечению ИБ является оправданной, а расходы экономически эффективными, поскольку равномерно распределены между всеми клиентами. Причем с ростом количества клиентов сервиса, растут возможности компании по обеспечению ИБ, ведь они делаются не для одного клиента, а для всех сразу. Безусловно, и среди поставщиком ИС по модели SAAS, не все уделяют должное внимание ИБ и сохранности данных, поэтому при выборе поставщика услуг SAAS, нужно обязательно убедиться в наличии всех указанных выше мер. 
Ну и хочется отметить самый, пожалуй важный фактор, почему использование системы по модели SAAS оправдано и гораздо предпочтительней для большинства компаний. Это - ответственность. В случае с локальной информационной системой, ответственность за обеспечение работоспособности ИС и ИБ распределена между многими сотрудниками компании и почти всегда не формализована. При наступлении такого случая, найти ответственного очень сложно, и даже когда вдруг он найден, самое большое наказание, которое может понести сотрудник – это увольнение. Для компании же это двойной ущерб – и система не работает, и ценного сотрудника потерять. Поэтому, почти всегда сотрудников, допустивших халатность, не увольняют, а наказывают лишением премии. Сопоставим ли размер премий с понесенным ущербом? Вряд ли. 
Если же компания приобретает услуги ИС по модели SAAS, то вопрос по ответственности за обеспечение работоспособности, ИБ и сохранности данных автоматически решен. Ответственность лежит на поставщике услуг ИС! Мера ответственности прописывается в договоре. И голова у руководства не болит, и дополнительных расходов компания не несет! 
Поэтому, на сегодняшний день, приобретение услуг ИС по модели SAAS у серьезного поставщика, позволит обеспечить гораздо более высокий уровень ИБ и сохранности данных, нежели это делать собственными силами на локальных системах. 

Подход к обеспечению информационной безопасности у Documentolog 
Зрелый подход к ИБ в нашей компании сформировался не сразу. Предоставлять эдо документооборот Documentolog по модели SAAS мы начали только с 2015 года, до этого занимаясь только продажей лицензий. Ранее, как разработчику программного обеспечения, нам не нужны были сильные компетенции в админстрировании, это была забота наших клиентов. Изменение бизнес-модели и рост количества клиентов в облаке, потребовало развитие соответствующих знаний в ИБ. Нам пришлось активно учиться вместе с каждым нашим новым клиентом в облаке. Учиться правильному администрированию распределенной инфраструктуры, мониторингу и анализу всех логов событий, учиться осознанию повышенной ответственности у каждого сотрудника компании, да и просто правильно вести раздельный учет и выстраивать ценовую политику в компании тоже пришлось учиться с нуля. 
Ожидаемо, что каждый клиент, перейдя в наше облако, требовал максимально высокий уровень сервиса. Некоторые наши клиенты, заказывали специальные услуги, проверяющие уровень обеспечения ИБ в нашем облаке. Так, в 2018 году, мы подверглись атаке со стороны одной компании, имеющей лицензию на пентест, по заказу одного из наших клиентов. Атака, хоть и была проведена с грубейшим нарушением договорных обязательств и уголовного законодательства страны, позволила выявить несколько слабых моментов в процессах нашей компании, связанных с человеческим фактором. Пронализировав данный кейс, мы кардинально пересмотрели подход к обеспечению ИБ в нашей инфраструктуре.
Первое, что мы сделали, определили три основных уровня защиты: инфраструктурный уровень, уровень программного обеспечения, и человеческий, которые в совокупности формируют целостную систему обеспечения информационной безопасности в компании. 

Обеспечение информационной безопасности на инфраструктурном уровне подразумевает: 

•    Обеспечение защиты от потери информации. Ввели дополнительные бэкапы системы и обеспечили её работоспособность в случае физической поломки серверного оборудования. Поместили файловые данные клиентов в распределенное файловое хранилище (физически в нескольких экземплярах). В случае выхода из строя файловых серверов данные не будут потеряны.
•    Разграничение периметра инстанции системы клиента. Данные каждого клиента разделены и не доступны для друг друга ни при каких кейсах.
•    Контейнеризация облака. Перевели все наши облачные системы на Docker - программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации. Благодаря этому теперь все клиентские инстанции Documentolog развертываются автоматически с преднастроенной политикой безопасности: включая защиту от кражи или перехвата http-сессии и защиту от доступа к файловой системе контейнеров. Системные администраторы полностью сконцентрированы на повышении уровня безопасности контейнеров. Это существенно минимизирует человеческий фактор, при разворачивании новой инстанции.
•    Централизованная система анализа и мониторинга событий (SIEM). Развернули систему, в которую собираются и анализируются логи со всех инстанций. Настроены правила, на которые в обязательном порядке, реагируют администраторы. 

На уровне программного обеспечения Documentolog: 
•    Распределение полномочий на просмотр документов согласно ролям. Каждый сотрудник клиента имеет доступ только к той информации и документам, которые ему разрешено видеть согласно структуре или предоставленной роли. 
•    Разделение панели администрирования СЭД на простого и суперадминистратора.  Данное разделение позволило предоставить администраторам СЭД клиента все необходимые для сопровождения системы функции без расширенных возможностей с доступом к базе данных и операционной системе. Функции супер-администраторов для каждого клиента закреплены за выделенным сотрудником Documentolog отдельным приказом. В случае необходимости выполнения каких-либо действий, они осуществляются только через заявку в личном кабинете с фиксацией времени и требуемых действий.  
•    Ограничение на чтение документов администраторами СЭД. Теперь администратор СЭД имеет доступ к журналам клиентской системы, но не имеет возможности прочитать содержимое документов. 
•    Авторизация суперадминистратора через токен. Реализовали дополнительную авторизацию в панель администрирования Системы для наших сотрудников. Помимо логина и пароля, теперь требуется авторизация через эцп на физическом носителе – токене. 
•    Двухфакторная аутентификация. Система начала запоминать каждую сессию и ее метаданные. При входе с нового устройства или браузера, система запросит код доступа, который высылается на привязанный к аккаунту пользователя, емайл. Все данные о входе в систему собираются и отображаются  в профиле пользователя. Таким образом, даже если ваш пароль к системе "подсмотрели", то в случае использования его третьим лицом, вы увидите уведомление об этом в почте. Остается только иметь разные пароли к системе и почте… )
•    Контроль одновременных сессий пользователя. Дополнительная защита для случаев, когда пользователь залогинился с одного авторизованного места, затем забыв выйти из системы, зашел с другого. Система, автоматически закончит первую сессию. 
•    Защита от перебора паролей пользователя. В случае 3х кратного ввода неправильного пароля, учетная запись пользователя автоматически блокируется.
•    Логирование всех действий пользователя. Все действия пользователей сохраняются в специальный защищенный файл и никогда не удаляются. 
•    Сохранение всех созданных документов. В системе реализован механизм, при котором вся созданная информация сохраняется и не может быть удалена. При этом, реализована политика, когда ни один администратор не должен иметь неограниченных прав и абсолютного доступа к информации.
•    Антивирусная защита всех загружаемых файлов. В системе реализован механизм, позволяющий автоматически сканировать любой загружаемый файл на наличие вирусов. Механизм пока доступен в бета версии. В ближайшее время будет доступен для клиентов официально. 

Человеческий уровень самый сложный для контроля и автоматизации, поскольку требует не только разовое выстраивание политик, контролей рисков, но и постоянный мониторинг и анализ. И в тоже время, он самый важный с точки зрения ИБ. Поэтому, относимся к нему очень ответственно. На этом уровне нами реализовано: 

•    Пересмотрели процесс внесения каких-либо изменений или действий с инстанцией клиента. Любые действия с инстанцией клиента теперь возможны только через заявку через личный кабинет клиента. Без данной заявки любые изменения будут считаться «исключительным» случаем и «нарушением» трудового договора. 
•    Пересмотрели и актуализировали роли и уровни доступа по каждому сотруднику в нашей системе. Прошлый взлом оказался возможен из-за того, что у сотрудника службы поддержки оказался доступ к документу, к которым у него не должно было быть доступа. После кражи сессии, злоумышленники получили доступ к этому документу. 
•    Закрепление персональной ответственности по каждому клиенту за сотрудниками компании. Ответственность за все действия по клиенту закреплена приказом, что позволяет формализовать юридическую ответственность сотрудников компании.
•    Утвердили и переподписали новый трудовой договор. Конкретизировали ответственность каждого сотрудника за выполнение обязанностей и сохранность данных клиентов. Значительно повысили ответственность сотрудников компании за халатность и возможный ущерб. Таким образом, в компании выстроили вертикальное распределение ответственности – в любой момент времени известно какой сотрудник за какого клиента отвечает.
•    Разграничили права и обязанности между администратором системы и администратором серверов и инфраструктуры. Теперь глобальные действия с инстанцией клиента возможны только при согласовании действий нескольких сотрудников компании из разных подразделений.
•    Разработали и утвердили карту рисков и инструкции. Каждый сотрудник в компании теперь четко знает свою зону ответственности, и зону ответственности другого сотрудника. Что можно делать, а что делать нельзя. Что делать в случае возникновения нештатной ситуации.  
•    Постоянное обучение и профилактика сотрудников основам кибербезопасности: как сохранить пароли, как защитить свой рабочий и личный компьютер и т.д.

Выводы

Проделанная огромная работа уже дает результаты. Буквально недавно один из квалифицированных в области администрирования и безопасности сотрудников нашего клиента пытался осуществить взлом системы. Благодаря системе мониторинга (SIEМ) данная попытка была сразу же замечена нашими сотрудниками, IP адрес пользователя заблокирован. В адрес руководства клиента было направлено официальное уведомление. Сотрудник был найден, признался в данных действия, которые, по его словам, были осуществлены «из любопытства и интереса».  (скрины писем приложены)

Уведомление от Documentolog  в адрес руководства компании-клиента:

Официальный  ответ компании:
 

Более высокий уровень обеспечения ИБ существенно повысил внутреннюю бюрократию в компании, и значительно снизил нашу гибкость по отношению к клиентам. Раньше, многие вопросы могли решаться “по звонку” от клиента или на честном слове. На сегодняшний день, такое невозможно. Любые операции с системой клиента возможны только через заявку в личном кабинете с обязательной фиксацией времени и ответственных. Такие изменения не всегда легко и с восторгом принимаются сотрудниками наших клиентов, но в итоге все соглашаются, ведь когда на чашу весов ставится сохранность данных компании, это необходимые меры, а последствия несоблюдения могут быть очень печальными. 

Также, все принятые меры потребовали значительных финансовых и временных инвестиций, которые, по-большому счету, незаметны для наших клиентов. Ведь на момент принятия решений по выбору СЭД, вопрос обеспечения ИБ редко принимается во внимание. Часто недорогая цена самой услуги СЭД становится решающим фактором, принося в жертву ИБ и качество. Но, по законам рынка, выбор всегда за клиентом (здесь также очень хорошо подходит пословица, что “скупой платит дважды” :-))

Достигнуть идеального обеспечения ИБ для компании и системы, находящейся в постоянном развитии, очень сложная и нетривиальная задача, с которой не всегда успешно справляются даже мировые гиганты программного обеспечения, такие как Microsoft, Facebook или Google. Тем не менее, наша компания продолжит работу над повышением уровня обеспечения информационной безопасности нашей инфраструктуры и Системы в интересах наших клиентов.