Безопасность в Битрикс24

Из статьи вы узнаете о мерах безопасности в Битрикс24, которые помогут предотвратить утечку данных.

В прошлом году “Лаборатория Касперского” выявила не менее 133 утечек данных в российских компаниях, и это только серьезные случаи. Реальное число может быть больше. Чтобы защитить информацию в Битрикс24, рекомендуем ознакомиться со специальным руководством по созданию надежной системы безопасности

Кто отвечает за безопасность

Проблема кибербезопасности касается абсолютно всех компаний, независимо от их размера. Статистика Innostage CyberART за прошлый год показывает, что основной удар хакеры наносили по малому и среднему бизнесу, хотя крупные компании тоже не остались в стороне (около 19% всех инцидентов). Угрозы исходят как извне – взломы, кражи данных с целью наживы, так и изнутри – по вине сотрудников, которые могут по незнанию или намеренно передать конфиденциальную информацию, перейти по вредоносной ссылке или продать данные.

safety_in_bitrix24_1.png.png
Данные «СерчИнформ»

Для эффективной защиты необходим комплексный подход. За сохранность информации несут ответственность все участники: разработчики программ, партнеры по внедрению и, конечно, сами пользователи.

Битрикс24. Обеспечивает защиту облачной инфраструктуры и постоянно работает над улучшением программного кода и механизмов безопасности.
Интеграторы Битрикс24. Занимаются настройкой корпоративных порталов, обучением персонала и предлагают новые решения для защиты данных.
Компании-пользователи. Обеспечивают безопасность внутри системы, разрабатывают правила защиты данных и проводят обучение сотрудников. Новичкам проводят вводные тренинги, а затем регулярно организуют лекции и тренировки, чтобы держать команду в курсе последних мошеннических схем и помогать избегать угроз.

За безопасность данных в корпоративной системе отвечает каждый, будь то администратор, партнер по внедрению или обычный сотрудник. Важно соблюдать правила безопасности, иначе ценную информацию могут украсть.

Как защитить учетную запись Битрикс24

Новый сотрудник получает доступ к корпоративному порталу по приглашению. По умолчанию каждый сотрудник может отправлять приглашения в Битрикс24. Чтобы усилить защиту, администратор должен в настройках (“Настройки” → “Сотрудники” → “Приглашения”) запретить всем приглашать пользователей.

safety_in_bitrix24_2.jpg.png

В Битрикс24 можно настроить разные уровни доступа, чтобы ограничить доступ к конфиденциальной информации:

Администраторы. Имеют полный доступ ко всем функциям и настройкам. Прежде чем предоставить такие права, убедитесь, что сотрудник прошел обучение по безопасности. Доступ администратора должен быть только у тех, кому он действительно нужен для работы.
Сотрудники. Получают доступ к определенным папкам и задачам, в зависимости от их должности. Права сотрудников определяет администратор.
Интеграторы. Специалисты со стороны, которые помогают настроить систему.

Партнеров по бизнесу и заказчиков лучше приглашать как гостей в “Коллабу”. Гости могут обмениваться документами, участвовать в обсуждениях и планировать задачи, но у них нет доступа к внутренней информации компании.

Чтобы защитить Битрикс24 от взлома, необходимо использовать надежный пароль.

Плохой пароль	Хороший пароль
Sasha9876. Слишком просто, содержит имя и легко угадываемую последовательность цифр. ASD707. Короткий пароль. P@$$w0rD. Замена букв символами, которые легко заменить.	PjQ$l4rtg95vc@. Случайный набор букв и цифр. RaLiK71Мур807!. Чередование прописных и строчных букв, использование латиницы и кириллицы.

Правила для создания надежного пароля (рекомендуется включить в регламент компании):

Длина не менее 12 символов.
Использование прописных и строчных букв, цифр и специальных символов.
Пароль не должен содержать легко узнаваемую информацию: клички домашних животных, фамилии, даты рождения.
Избегайте использования целых слов и популярных аббревиатур (например, “qwerty” или “qazplm”).
Не используйте очевидные замены букв символами (например, “а” на “@” или “о” на “0”).

Простой способ составить пароль

Придумайте несколько слов на русском языке (например, “Заря”, “Радуга”, “Чай”).
Переключите клавиатуру на английскую раскладку.
Напишите эти слова на английском (получится что-то вроде “Pfhz”, “Hfleuf”, “Xfq”).
Добавьте цифры и другие символы.

Пример надежного пароля: “Pfhz$65Hfleuf2?9Xfq!3”.

Обязательно включите двухфакторную аутентификацию для всех сотрудников. Помимо пароля, для входа потребуется подтверждение с мобильного устройства. Рекомендуется использовать этот метод защиты для всех аккаунтов: в Битрикс24, почте, социальных сетях и мессенджерах.

Ролевая модель доступа в Битрикс24: зачем она нужна?

Доступ к информации должен быть у каждого сотрудника в объеме, необходимом для работы, и не больше. Это снижает риск утечки данных, случайной или намеренной. Например, менеджеру по продажам нужен доступ к базе клиентов, а бухгалтеру – нет. Конечно, можно настраивать права доступа к каждой папке отдельно, но это отнимает много времени. Поэтому в Битрикс24 существует ролевая модель.

Роль в Битрикс24 — это как профиль пользователя с определенным набором прав и возможностей, зависящим от его должности и задач.

Это удобный способ быстро настроить доступ сотрудникам к нужным функциям и данным. Можно использовать готовые роли или создать свои собственные с нуля.

Как настроить роли доступа в Битрикс24:

Определите функции каждого сотрудника. Выясните, какие задачи выполняют разные специалисты (например, менеджеры по продажам, бухгалтеры, руководители). Составьте список ролей и прав доступа для каждой из них.
Настройте роли в разделе “Права доступа”. Создайте новые шаблоны ролей и настройте права доступа для каждой роли на основе того, что вы определили на предыдущем этапе.
Назначьте роли сотрудникам. Убедитесь, что вы правильно распределили сотрудников по отделам и назначили им соответствующие роли.
Проверьте настройки. Убедитесь, что сотрудники с разными ролями имеют доступ только к тем функциям и данным, которые им необходимы для работы.
Регулярно проверяйте и обновляйте доступы. Следите за тем, как команды и сотрудники используют роли. Изменяйте права доступа, если в компании происходят изменения в бизнес-процессах или сотрудники переходят в другие отделы.

Если вашу систему Битрикс24 настраивает сторонний специалист, для него предусмотрена роль “интегратора”.

Интегратор имеет права администратора, но с некоторыми ограничениями. Он не может назначать или увольнять других администраторов, а также отключать двухфакторную аутентификацию сотрудникам.
Двухфакторная аутентификация обязательна для интегратора. Это необходимо для защиты данных компании.
На портале может работать до 10 интеграторов от одной компании-партнера

Как безопасно использовать приложения из Битрикс24.Маркетплейс?

Чтобы расширить функциональность Битрикс24, можно использовать приложения из Маркетплейса. Например, для создания календарей, настройки рекламы или улучшения рассылки. Все приложения проходят проверку перед добавлением в каталог.

Некоторым приложениям нужен доступ к данным компании для работы (например, “Яндекс.Метрика” запрашивает доступ к информации из CRM). Прежде чем установить приложение, оцените, насколько оно соответствует вашим требованиям к безопасности. Для этого откройте карточку приложения и посмотрите блок “Безопасность”. Решите, готовы ли вы предоставить приложению доступ к своим данным.

safety_in_bitrix24_3.png.png

В карточке приложения вы увидите список разделов и функций Битрикс24, к которым ему потребуется доступ. Если все условия вас устраивают – смело устанавливайте.

safety_in_bitrix24_4.png.png

Что делать, если возникла угроза безопасности данных?

Главное – сохранять спокойствие и действовать оперативно. Рассмотрим несколько частых ситуаций и разберем алгоритм действий.

Взломали почту или социальные сети, привязанные к Битрикс24

Многие сервисы уведомляют о смене пароля или входе с нового устройства. Если это произошло не по вашей инициативе, стоит насторожиться

Признаки взлома:

Ваши контакты получают сообщения, которые вы не отправляли.
В вашем профиле появились чужие записи или фотографии.
Личная информация и настройки аккаунта изменились без вашего ведома.
В истории активности есть входы с незнакомых устройств.

Что делать в случае взлома:

Отвяжите аккаунт от учетной записи Битрикс24. Перейдите в раздел «Безопасность» → «Авторизация» → «Выйти со всех устройств».
Измените пароль для аккаунта в соцсети или почте. Подключите двухфакторную аутентификацию.
Проверьте настройки. Злоумышленники могли их изменить.
Смените пароль в Битрикс24. Новый должен быть не менее 12 символов.

Украли доступ администратора

Администратор портала – это ключевая фигура, и передавать его права кому-либо без веских причин не стоит. К примеру, документальное подтверждение оплаты лицензии может быть основанием для такой передачи.

Что делать, если доступ администратора скомпрометирован:

Немедленно свяжитесь со службой поддержки Битрикс24. Опишите проблему подробно.
Подготовьте необходимые документы: информацию о компании и ее владельце, квитанции, документы, подтверждающие оплату. Это поможет быстрее восстановить контроль.

Как избежать подобных ситуаций:

Наделяйте правами администратора только тех сотрудников, кому это действительно необходимо для выполнения служебных обязанностей.
Не используйте чужие банковские карты для оплаты тарифа. Храните все платежные документы.
Работайте только с сертифицированными партнерами Битрикс24 и всегда заключайте договоры.

Удалили или испортили информацию

Важная информация может быть утеряна или повреждена по вине сотрудника, которому предоставлены слишком широкие права, или в результате действий злоумышленника.

Что делать в этом случае:

Загляните в корзину. Удаленные файлы хранятся там 30 дней. Если это не помогло, переходите к следующему пункту.

Обратитесь в службу поддержки Битрикс24. Подробно опишите произошедшее и отправьте запрос на восстановление данных. Специалисты вернут портал к состоянию на указанную вами дату.

Важно! Если информацию удалил мошенник, не выбирайте дату восстановления, когда он еще был на портале. Злоумышленник может снова повредить данные.

Проверьте настройки прав доступа. Убедитесь, что после восстановления все права назначены корректно.

Потеряли мобильное устройство с доступом к Битрикс24

В этом случае важно как можно быстрее заблокировать доступ к порталу со смартфона.

Что делать:

Заблокируйте телефон. Если гаджет на iOS: iCloud.com → «Настройки» → «Локатор» → «Все устройства» → «Отметить как пропавшее». Инструкция для устройств на Android: Myaccount.google.com → «Безопасность» → «Управление всеми устройствами» → «Выйти».
Выйдите со всех устройств. Зайдите в веб-версию Битрикс24. Перейдите в «Профиль» → «Пароли» → «Авторизация» → «Выйти со всех устройств». Если не можете зайти из-за двухфакторной аутентификации, напишите в поддержку.
Завершите сеансы в других сервисах, если они подключены к Битрикс24. Закройте доступ со смартфона к аккаунтам в соцсетях, мессенджерах и почте.

Компания Битрикс24 подготовила специальный чек-лист, который можно скачать и разослать своим сотрудникам. В нем описано, как справиться с самыми частыми проблемами безопасности данных. Это поможет команде быть в курсе основных правил.

safety_in_bitrix24_5.png.png

Как заказать настройку Битрикс24 в компании «Айтекс»

Компания «Айтекс» является Золотым сертифицированным партнёром Битрикс24 с многолетним опытом продаж, настройки и сопровождения программ Битрикс24. Заказать внедрение (настройку) Битрикс24 вы можете следующими способами:

Оставить заявку на сайте, нажав на кнопку «Заказать услугу».
Заказать обратный звонок на сайте. Наш менеджер свяжется с вами в ближайшее время и ответит на интересующие вас вопросы
Позвонить самостоятельно по номеру +7 (343) 222-17-20 (Екатеринбург) или 8 (800) 201-89-00
Написать нам на почту bitrix24@itex.ru

Обращаем внимание, что заявки направленные в выходные и праздничные дни будут обработаны в первый рабочий день.

Обращайтесь в компанию «Айтекс». Мы с радостью поможем вашему бизнесу стать эффективнее.

Назад к списку