Я создаю индивидуальные CRM системы для различных видов бизнеса уже более 10 лет.

Ко мне обращаются собственники бизнеса напрямую, и за время работы с ними я выработал набор рекомендаций, которые я даю людям далеким от сферы ИТ, для того чтобы они могли обезопасить себя, свой бизнес и свои данные.

Все эти рекомендации собственник бизнеса может реализовать самостоятельно без знания ИТ технологий или с минимальным погружением в матчасть.

Некоторые из этих советов мне самому, как ИТ-шнику, неудобны или даже неприятны, потому что создают дополнительные сложности или задевают мое личное чувство персональной уникальности.

Все советы разделены на категории.

Good luck and be careful!

Нанятые ИТ сотрудники

  1. Обязательным является подписание NDA соглашения (соглашение о неразглашении данных), в котором среди прочего отражено следующее:

    • закрепление прав на все произведения (программный код, интерфейсы и прочее) за работодателем (заказчиком), т.е. вами;

    • запрет на копирование, распространение и передачу как программного кода или его частей, так и ваших данных в любом виде (что составляет коммерческую тайну);

    • ответственность за намеренное распространение таких данных и данных составляющих коммерческую тайну в виде штрафа;

    • запрет на публикацию кейсов с указанием названия компании и внутренних подробностей работы компании в Интернете;

    • соглашение должно действовать как минимум еще в течение 3-х лет после окончания работы сотрудника.

  2. При наличии одного постоянного ИТ-специалиста имеющего доступ ко всем вашим данным, не лишним будет отдавать часть задач по программированию, например, по проектам, которые не относятся напрямую к данному сотруднику, на аутсорс (фрилансерам).

    Важным фактором остается понимание, что именно вы как руководитель, управляете процессом.

  3. Не использовать личные аккаунты вотсап и телеграм сотрудников, а только корпоративные, с тем чтобы с увольнением сотрудника, ваши данные оставались с вами.

Хостинг и резервные копии

  1. Организуйте автоматическое резервное копирование данных с вашего сервера (хостинга) на сервер на другом хостинге и, возможно, даже в другой стране (может быть достаточно 1 раза в день).

  2. Включите бекапы (резервное копирование) на самом хостинге (обычно за доп. плату). В этом случае резервную копию ваших данных будет хранить сам хостинг провайдер и тех. поддержка сможет их восстановить по вашему запросу.

Сервера с данными в интернете (технические советы)

  1. Попросите вашего программиста или системного администратора закрыть все порты на вашем сервере кроме портов 80 и 443. Закрыть FTP порт 21. SSH порт (22) заменить на случайный из 4-5 цифр.

    Я называю эту меру «защитой от дурака». Не секрет что в интернете бродит большое количество роботов, которые перебирают все ip адреса по порядку и стучаться на стандартные открытые порты, с целью взломать сервера, используя известные уязвимости на них. Такая мера позволит в том числе защититься от банальных ситуаций взлома.

  2. Попросите вашего программиста перейти от SSH паролей на ключи на вашем сервере. Такая мера также защищает от сервисов автоматического перебора всех комбинаций паролей от вашего сервера.

  3. Используйте сервис CloudFlare и подобные сервисы для защиты от атак, а также для сокрытия реального ip адреса вашего сервера.

  4. Давайте пароли от вашего хостинга ограниченному числу лиц. Для тестирования работы от сторонних разработчиков используйте второй (тестовый) сервер, где нет чувствительных данных.

Офис и рабочие станции

Установите платный антивирус на компьютеры ваших сотрудников, чтобы защитится от кражи паролей, которые используют сотрудники, а также перехода на откровенно мошеннические и поддельные сайты. Если вы используете крипто-кошельки, существуют вирусы, которые подменяют скопированный в буфер обмена адрес крипто-кошелька, на адрес кошелька злоумышленника.

CRM система и данные

  1. Смена паролей. Здесь есть несколько требований. Во-первых, это сложность самого пароля от вашей CRM системы для сотрудников – не менее 8 символов и содержание букв и цифр и специальных символов. Во-вторых, может быть активирована система принудительной смены пароли всеми сотрудниками, скажем раз в полгода. Часто уволенные сотрудники продолжают заходить в вашу CRM уже из дома (у них могут остаться доступы коллег в том числе).

  2. Разумное ограничение доступа. У сотрудников есть только тот минимальный функционал, который обеспечивает их работу. Скажем в моих CRM системах в разделе со списком клиентов нельзя просто взять и скопировать всю базу клиентов с экрана или выгрузить в эксель. Есть кнопки перехода на вотсап или емейл клиента, но сами номера и емейлы не отображаются на экране в таблице для «удобного» копирования с экрана. Чтобы увести вашу базу клиентов придется копировать телефоны по одному.

  3. В качестве основы для CRM систем использовать популярные фреймворки, а не полностью самописные решения. Таким фреймворки имеют встроенную отлаженную систему внутренней безопасности от всех известных уязвимостей.

В этой статье я постарался простым языком описать некоторые основные правила гигиены при работе и хранении данных в Интернете. Этот список составлен на основе моего многолетнего опыта работы с людьми и компаниями, для которых я делаю свои CRM системы. Поделитесь своим опытом в комментариях.

Желаю удачи вам и вашему бизнесу!

Комментарии (7)


  1. nbkgroup
    16.11.2023 09:20

    Попросите вашего программиста или системного администратора закрыть все
    порты на вашем сервере кроме портов 80 и 443. Закрыть FTP порт 21. SSH
    порт (22) заменить на случайный из 4-5 цифр.

    FTP пользоваться вообще не нужно — это небезопасный протокол by design , а замена порта ни от чего не защищает. Как мининум fail2ban, а лучше IDPS.


  1. GeorgeTudosi
    16.11.2023 09:20

    «Офис и рабочие станции» из одного пункта, и тот — платный антивирус. Серьезно?

    В других разделах тоже много интересного. Вы правда считаете, что это туториал по безопасности, а не вредные советы?


  1. Frantsevich
    16.11.2023 09:20

    А нужно ли делать бекапы данных ПК сотрудников?

    Например я завтра увольняюсь и просто форматирую свой диск со всеми данными?


    1. GeorgeTudosi
      16.11.2023 09:20

      Я, например, на всех рабочих компах сотрудников поставил синхронизацию в реальном времени с файл-сервером компании, а на нем еженощный бекап в отдельное место. Доступ к своим данным на сервере имеет каждый сотрудник, к бекапам — только админ. Таким образом, если какие-то данные пережили ночь, они гарантированно осядут в бекапах, которые ротируются не раньше чем через 30 дней.

      Если негодяй уволился, а перед тем потер всё своё и всё другое, до чего смог дотянуться (общие файлы), то у админа будет минимум месяц на то, чтобы это заметить и исправить, а потери в самом худшем случае ограничатся одним рабочим днем.


  1. mamontovss
    16.11.2023 09:20

    Попросите вашего программиста или системного администратора закрыть все порты на вашем сервере кроме портов 80 и 443. Если нет в сети известных уязвимостей, что плохого можно сделать зная порт?


    1. jeltiyy Автор
      16.11.2023 09:20

      Да, это так называемая "защита от дурака". Что может случиться:

      1) утечка пароля / перебор ssh паролей

      2) уязвимость ос или ssh может быть обнаружена в будущем и за этим будет сложно уследить


  1. Shaman_RSHU
    16.11.2023 09:20

    Затыкание дыр, не покрывающих все вектора атак. Нужно исходить из актуальных ургоз, свойственных для определенной инфраструктуре.

    99% поверхность атаки в малом бизнесе является социальная инженерия (обман, подкуп и т.п.). А технические меры реализовать дороже и сложнее.