W branży software developmentu nie da się uniknąć sytuacji, w której jakaś część zadań zostaje zlecona na zewnątrz – zwłaszcza, kiedy firma rośnie. Czasem trzeba wymienić źle działającą wtyczkę albo konieczna jest pomoc w integracji oprogramowania na poziomie enterprise. Przyjdzie taki moment, że będziesz musiał skorzystać z usług zewnętrznego podwykonawcy. Jak to najbezpieczniej przeprowadzić?
Opowiem Ci krótką historię o agencji, z którą podpisałem umowę w sprawie pomocy we wdrożeniu aplikacji. Był to ważny projekt i od samego początku współpracowaliśmy z podwykonawcami. Pewnego ranka zalogowałem się do komputera i znalazłem email od jednego z nich. Do wiadomości dołączony był obrazek – zrzut ekranu, na którym widać było adres serwera oraz nazwę użytkownika i hasła administratora. Chyba wszyscy dziś wiedzą, że są trzy rzeczy, których nigdy nie należy wysyłać w niezaszyfrowanym emailu:
- Informacje na temat kart kredytowych.
- Numery ubezpieczenia.
- Hasła.
Natychmiast zadzwoniłem do nadawcy. Był przerażony tym, co się stało. Ale najbardziej zaniepokoiło mnie to, co od niego usłyszałem – “Po prostu przekazałem tę wiadomość dalej, tak jak ją dostałem od osoby z mojego zespołu”. To znaczyło, że email krążył po ich biurze, zanim dotarł do mnie.
Skutki incydentu z ujawnieniem hasła
Specjaliści od bezpieczeństwa informacji określili kryteria, które pomagają ocenić powagę danego problemu, takie jak:
- Czy doszło do naruszenia zasad bezpieczeństwa z powodu wycieku danych uwierzytelniających?
- Kto ma dostęp do danych?
Mając wiedzę na ten temat, możesz podjąć odpowiednie kroki, żeby problem rozwiązać. W naszym przypadku tylko dwie firmy – my i podwykonawcy – miały dostęp do danych. Mieliśmy szczęście. Potencjalne skutki biznesowe poważnego naruszenia zasad bezpieczeństwa mogą być przerażające. Gdyby doszło do faktycznego naruszenia, poufne dane klientów i pracowników zostałyby ujawnione. Wyciekłyby też informacje finansowe, lub mogłoby dojść do przejęcia numerów ubezpieczenia. W zależności od tego, jakiej branży dotyczyłby problem, sprawa mogłaby nawet zostać nagłośniona przez lokalne albo ogólnokrajowe media.
Jak rozwiązać problem naruszenia bezpieczeństwa danych
Pierwszy krok to zawsze zebranie zespołu IT. Im szybciej dasz znać o kłopotach, tym lepsze będą efekty twoich działań. Ludzie będą często, co zresztą zrozumiałe, negować istnienie problemu. Poświęć chwilę, aby przedstawić powagę sytuacji i upewnić się, że kluczowe osoby zostały poinformowane. Następnie opracuj skuteczny plan dalszych działań, czyli:
- Zablokuj dostęp do zaatakowanego systemu, zmień hasła i przejrzyj logi serwera.
- Powiadom podwykonawcę. Jeśli firma ta ma zespół ds. bezpieczeństwa, poproś go o współpracę z twoim działem IT w celu wprowadzenia niezbędnych zmian. Jeśli problem powstał z ich winy, prawdopodobnie nie obciążą Cię dodatkowymi kosztami.
- Wyczyść wszystkie miejsca, których dotyczy problem. Wiadomości nie trafiają tylko do Twojej skrzynki odbiorczej – są przechowywane na serwerach poczty u Ciebie i u podwykonawcy. Upewnij się, że email został usunięty ze wszystkich klientów poczty i serwerów po obu stronach.
- Razem z podwykonawcą opracuj zasady przekazywania haseł w przyszłości.
- Jeśli nie chcesz, żeby osoba, która wysłała email, nadal pracowała w projekcie, poproś o wyznaczenie kogoś innego na jej miejsce. Może to spowodować opóźnienia, ale warto podjąć taką decyzję – pracując z osobami, które mają dostęp do Twoich najbardziej poufnych danych biznesowych, musisz być ich całkowicie pewien.
Jak bezpiecznie przesyłać hasła
Incydentowi takiemu, jak opisany powyżej można zapobiec dzięki wcześniejszemu planowaniu. Ważne, żeby przed rozpoczęciem pracy ustalić podstawowe zasady przekazywania haseł. Jest na to kilka sposobów:
- Przekazuj hasła ustnie, osobiście albo przez telefon.
- Przekazuj hasła w zaszyfrowanych wiadomościach. Istnieją dobre bezpłatne narzędzia służące do szyfrowania emaili. Trzeba jedynie je zainstalować i skonfigurować – na dłuższą metę opłaca się to zrobić. Narzędziem tego typu jest np. Enigmail.
- Wysyłaj hasła za pośrednictwem menadżera haseł, np. KeePass. To aplikacja, która pozwala przechowywać nazwy użytkowników, hasła, adresy i notatki w jednym pliku. Jest on zarówno szyfrowany, jak i chroniony hasłem.
Wystarczy tylko przekazać to hasło jedną z wyżej opisanych metod.
Aby te działania były naprawdę skuteczne, warto zacząć od solidnych podstaw. Kiedy rozpoczynasz rozmowy z potencjalnymi podwykonawcami, zapytaj, jak podchodzą do kwestii przechowywania i przekazywania haseł. Zawrzyj zasady dotyczące tej sprawy w umowie. Od początku twórz silne hasła. Szesnastoznakowa kombinacja dużych i małych liter, cyfr i symboli będzie najbezpieczniejsza.
Podsumowanie
Czy masz pewność, że Twoja firma we właściwy sposób obchodzi się z hasłami? Jeśli zaplanujesz wszystko w odpowiedni sposób, unikniesz kłopotów i zadbasz o dobre relacje biznesowe. Jeśli masz zespół IT, zapytaj jego członków, w jaki sposób przechowują i przekazują hasła. Jeśli nie stosują żadnych zasad, nie ma problemu. Ale zadbaj, żeby opracowali je, zanim nawiążecie współpracę z zewnętrznymi podwykonawcami.
Masz pytania? Miałeś okazję korzystać z innych sposobów przekazywania haseł lub innych menadżerów haseł? Podziel się z nami uwagami w komentarzach!
Autor – Rob Wiltbank jest dyrektorem aplikacji i usług internetowych w Delaware Technical Community College, a od ponad 20 lat jest technologiem i pedagogiem. Możesz go znaleźć na Twitterze @Rob Wiltbank, gdzie pisze o rozwoju oprogramowania i technologii instruktażowej.