Пароли под контролем: как избежать хаоса и защитить цифровые секреты компании

29.05.2025 |

Изображение: «АйТи Бастион»

Почему сегодня многие компании по-прежнему хранят пароли в текстовых файлах и пересылают их в мессенджерах? И чем может обернуться такая практика? Мы поговорили с заместителем директора по развитию бизнеса компании «АйТи Бастион» Константином Родиным, чтобы разобраться, как навести порядок в управлении корпоративными паролями и сделать это без затрат на «тяжелые» решения enterprise-уровня.

Безопасность начинается с порядка

«Когда мы говорим о защите данных, первое, о чем думают компании, — это антивирусы, фаерволы и шифрование, — говорит заместитель директора по развитию бизнеса компании «АйТи Бастион» Константин Родин. — Но если доступ к важным ресурсам может получить любой сотрудник, потому что пароль лежит в общем файле на рабочем столе или рассылается в мессенджерах, то все эти технологии теряют смысл. Безопасность начинается не со средств защиты, а с порядка внутри компании».

Заместитель директора по развитию бизнеса компании «АйТи Бастион» Константин Родин
Фото: «АйТи Бастион»

На практике, по его словам, в большинстве компаний по-прежнему нет системы управления секретами, понятных правил и знаний, почему это важно. Особенно это касается небольших компаний и ИТ-отделов до 10 человек, где «все на доверии» и «все и так работает». Однако с ростом атак на бизнес, ужесточением регуляторных требований и увеличением количества ИТ-сервисов такой подход становится все более рискованным.

Откуда берется хаос

По данным экспертов Лаборатории Касперского, только за первый квартал 2024 года в даркнете было обнаружено более 19 млн паролей российских пользователей — это в шесть раз больше, чем за тот же период 2023 года. А сколько учетных данных оказалось в открытом доступе за весь год… Эти цифры исчисляются десятками миллионов.

На практике компании малого и среднего бизнеса чаще всего хранят пароли с помощью подручных и небезопасных средств: это могут быть таблицы Word или Excel, корпоративные системы документации, текстовые документы с говорящими названиями вроде пароли.txt, сообщения в мессенджерах — Telegram, WhatsApp, стикеры, приклеенные к мониторам, или личные менеджеры паролей, встроенные в браузеры и смартфоны, бумажки под клавиатурами…

«На первый взгляд, это удобно. Но на деле — это реальный хаос, где невозможно понять, кто и когда получил доступ, что изменил, а что уволившийся сотрудник унес с собой. Бывает и такое: например, у подрядчика, с которым компания давно не работает, до сих пор есть доступ к ее CRM. Пароль не менялся годами, а что его передавали подрядчику, помнит только человек, отправивший ему сообщение с ним в мессенджере. То есть владельцы мессенджера тоже его хранят у себя на серверах. И это печально», — делится Константин Родин.

Почему текстовые редакторы не справляются с безопасностью

Константин Родин выделяет три основные причины, почему традиционные способы хранения паролей не работают:

Нет контроля доступа. Файл с паролями может открыть любой, у кого есть к нему доступ: без ограничений по ролям или полномочиям.
Отсутствует история и аудит. Нельзя узнать, кто, когда и зачем получил доступ к тому или иному паролю.
Нельзя оперативно отреагировать. При утечке сложно быстро изменить доступы или понять, какие именно секреты скомпрометированы.

«Люди часто думают, что, если ничего не произошло, значит, все в порядке, — говорит Константин Родин. — Но это самоуспокоение. В кибербезопасности чем меньше инцидентов вы видите, тем выше шанс, что их просто пока не заметили».

Безопасность по-взрослому

Управление корпоративными секретами — это не только про большие компании с целыми отделами ИБ и огромными бюджетами. Даже в небольшом бизнесе есть как минимум десятки критичных доступов: к серверам, VPN, сервисам бухгалтерии, корпоративной почте, маркетинговым инструментам, CRM и т.д. При этом каждый современный пользователь имеет десятки подобных доступов. Но не все понимают, как безопасно хранить эти данные.

Решить эту проблему без сложных внедрений и затрат помогают специализированные инструменты, называемые «парольными кошельками», например, Персональные сейфы, программное обеспечение разработки «АйТи Бастион».

«Мы создали это решение именно для таких компаний и их сотрудников. Это компактная система, которую можно быстро внедрить и сразу начать использовать. Она устанавливается на сервере внутри организации, не требует подключения к облаку и предоставляет централизованное хранилище для всех видов секретов», — отмечает Константин Родин.

Система поддерживает роли, делегирование, аудит, настройку сроков действия доступа, защиту через дополнительный «личный» пароль. Интерфейс — интуитивно понятный, без перегрузки.

Пароли — это не просто строка символов

Эксперт акцентирует внимание на том, что пароли — это «цифровые ключи от бизнеса». В них заключен не только доступ, но и ответственность. Так, в 2024 году более трети (37 %) успешных кибератак на российские компании начинались с взлома плохо защищенных паролей сотрудников. Это почти в два раза больше, чем годом ранее: тогда такие случаи составляли лишь 19 % всех инцидентов.

«Если, к примеру, бухгалтер хранит пароли к налоговым, корпоративным и банковским системам в блокноте без защиты — это уже риск. Кто за них отвечает? Как безопасно передать его другому сотруднику, как быть уверенным, что пароль не подсмотрит кто-то неизвестный?» — рассуждает Константин Родин.

Поэтому важно не просто создавать сложные пароли, но и выстраивать прозрачную систему хранения и управления доступами: чтобы каждый знал, где хранятся ключевые данные и кто за них отвечает.

Персональный сейф на практике

Система Персональные сейфы — это не просто хранилище, а полноценная система для безопасного управления корпоративными секретами: логинами, паролями, ключами, токенами и конфиденциальными файлами. Она поддерживает разграничение доступа по ролям и отделам, делегирование с ограничениями, а для особо чувствительных данных предусмотрена дополнительная защита — внешний пароль («пломба»). При этом все действия пользователей фиксируются: кто, когда и с каким секретом работал, но сами секреты остаются известны только его владельцу.

Система работает внутри локальной сети, не требует подключения к облаку, поддерживает ограничение по IP, МФА и интеграцию с корпоративной доменной инфраструктурой. Интерфейс — простой и быстрый, даже при большом количестве записей.

Скоро появятся новые функции: REST API для DevOps-специалистов, проверка паролей на утечки, интеграция с SIEM и PAM, а также облегченный интерфейс для сотрудников без технической подготовки. Главное — упростить контроль над важными доступами без лишней нагрузки и затрат.

Как перейти от хаоса к порядку

Если вы до сих пор храните пароли в текстовых редакторах или заметках, начните с простых, но важных шагов.

«Проведите инвентаризацию: сколько у вас секретов, где они находятся и кто к ним имеет доступ? Затем разграничьте права — далеко не каждому сотруднику нужен полный доступ ко всем данным. После этого выберите подходящий инструмент: это может быть как коробочное решение, так и Open Source — главное, чтобы оно соответствовало вашему масштабу и уровню зрелости. Установите базовые правила: запретите пересылку паролей в мессенджерах и передавайте доступы только через систему, — рекомендует Константин Родин. — И самое главное — начните с малого. Даже если вы занесете в систему только ключевые пароли, это уже будет шаг к повышению вашей цифровой устойчивости».

Вопрос хранения паролей — это не только вопрос удобства, но и вопрос безопасности и управления рисками. Как показывает практика, у большинства компаний он решен неформально и стихийно. Но именно здесь кроются самые частые уязвимости. Решение — навести порядок и использовать специализированные инструменты. И чем раньше начать, тем больше рисков можно предотвратить.

Пока секреты компании разбросаны по файлам, блокнотам и мессенджерам — говорить о безопасности рано. Порядок начинается с учета, ответственности и прозрачности.