Чек-лист безопасности доступа: пароли, роли, права для онлайн-школы

Почему безопасность доступа - это не про «запаролить всё»

Вы когда-нибудь замечали, как один из преподавателей вашей онлайн-школы внезапно теряет доступ к расписанию, а другой - получает доступ к базе данных студентов, которому вообще не должен быть доступ? Это не ошибка. Это риск. И он есть у каждой школы, которая использует Google Workspace, Microsoft 365, Notion, Trello или любую другую систему, где кто-то просто «включил доступ» и забыл.

В 2022 году 68% российских компаний столкнулись с ростом попыток несанкционированного доступа. Онлайн-школы - не исключение. У вас есть персональные данные учеников, платежи, видеоуроки, чаты с родителями. Если кто-то получит доступ к этим данным - это не просто «неприятность». Это нарушение ФЗ-152, штрафы, потеря доверия, уход учеников. И всё это может случиться из-за одного пароля, который кто-то написал на стикере.

Чек-лист безопасности доступа - это не бюрократия. Это простой набор шагов, которые останавливают кибератаки до того, как они начались. И да, он работает. Компания «РТ-Солар» сократила попытки взлома на 89% после внедрения чек-листа. Вы можете сделать то же самое.

Что в чек-листе: три кита безопасности

Всё сводится к трём вещам: паролям, ролям и правам. Не к десятку инструментов. Не к сложным системам. Просто к этим трём. Если вы их правильно настроите - вы закроете 90% угроз.

Пароли: не «123456», а 12+ символов с симметрией

Microsoft рекомендует пароли длиной не менее 12 символов. Не «qwerty», не «пароль», не «school2024». А что-то вроде: BlueSky!2026$Teach. Почему? Потому что пароль из 8 символов взламывают за 2 часа. Пароль из 12 - за 34 года. Это не миф. Это данные NIST.

Менять пароли каждые 90 дней - обязательное правило. Но не потому, что «так надо». А потому что 73% инцидентов происходят из-за повторного использования паролей. Если сотрудник использует один и тот же пароль для школы и для почты - и его почта взломали - школа тоже под угрозой.

Для администраторов, бухгалтеров, техподдержки - включите двухфакторную аутентификацию (2FA). Это не «дополнительно». Это обязательное условие. 2FA снижает вероятность взлома на 99,9%. Да, это немного неудобно. Но лучше, чем когда кто-то извне заходит в вашу систему и удаляет все курсы.

Роли: не «все админы», а «кто что делает»

У вас есть преподаватели, администраторы, маркетологи, бухгалтеры, техническая поддержка. У каждого своя задача. А значит - у каждого должны быть свои права.

Вот как это выглядит на практике:

• Преподаватель - доступ к своим курсам, расписанию, списку учеников, комментариям. Никакого доступа к финансам, базе данных, настройкам сервера.
• Маркетолог - доступ к аналитике, CRM, рекламным аккаунтам. Никакого доступа к личным данным учеников или платежным системам.
• Бухгалтер - доступ к платежам, отчётам, налоговым системам. Никакого доступа к учебным материалам или чатам.
• Администратор - доступ ко всему. Только один-два человека. Ни больше, ни меньше.

Это называется RBAC - Role-Based Access Control. Просто, понятно, работает. 78% российских компаний используют именно эту модель. И вы тоже должны.

Не давайте «всё» просто потому, что человек «важный». Не давайте «на время» без записи. Каждое право должно быть обосновано.

Права: принцип наименьших привилегий

Это звучит сложно, но на деле - очень просто: давайте человеку только то, без чего он не может работать.

Например, если бухгалтеру нужно смотреть платежи - почему он должен иметь доступ к базе данных учеников? Он не работает с ними. Значит, не должен видеть их. Это не «излишняя осторожность». Это правило из ISO 27001:2022. И оно снижает поверхность атаки на 65%.

Для баз данных - никогда не используйте корневой аккаунт. Создайте отдельную учётную запись с минимальными правами. Даже если вы используете Notion или Google Sheets - не давайте доступ к всей таблице, если человеку нужно только одно поле.

Секретные данные - пароли от API, ключи доступа, токены - храните в специальных системах: HashiCorp Vault, AWS Secrets Manager, или даже в защищённых заметках в 1Password. Не в Google Docs. Не в Excel. Не в Telegram.

Что не работает: ошибки, которые делают все

Мы видели, как школы пытаются «сделать всё правильно», но всё ломается. Вот самые частые ошибки:

• «Мы меняем пароли каждые 60 дней» - и сотрудники пишут их на стикерах. Результат? Утечка через 3 месяца. Лучше 90 дней с 2FA, чем 60 без неё.
• «У нас 15 админов» - потому что «все доверенные». Это как оставить дверь в сейф открытой. Достаточно одного человека, который потерял телефон с 2FA, чтобы всё рухнуло.
• «Доступ к CRM по логину и паролю» - без истории входов, без логов. Вы не знаете, кто заходил, когда и с какого устройства. Это как водить машину с завязанными глазами.
• «Мы не ведём учёт прав» - никто не знает, кто что может делать. А потом оказывается, что бывший сотрудник, уволенный полгода назад, всё ещё имеет доступ к платёжной системе.

Эти ошибки - не из-за злого умысла. Они возникают, потому что нет чек-листа. Простой, написанный, размещённый, проверяемый.

Как начать: 5 шагов за 2 недели

Вам не нужно ждать «идеального момента». Начните прямо сейчас. Вот план на 2 недели:

1. Составьте список всех пользователей и их ролей - кто что делает? Запишите это в таблицу. Не в голове. Не в мессенджере. В таблице.
2. Определите минимальные права для каждой роли - что им реально нужно? Удалите всё лишнее. Даже если «раньше так было».
3. Настройте 2FA для всех администраторов и бухгалтеров - используйте Google Authenticator или Microsoft Authenticator. Никаких SMS.
4. Смените все пароли - и сделайте их длинными, сложными, уникальными. Используйте менеджер паролей. Не Excel. Не Google Docs.
5. Запустите обучение - покажите команде, почему это важно. Приведите пример: «Если кто-то взломает учётку маркетолога, он может изменить цены на курсы. Или украсть данные учеников».

После этого - раз в квартал проверяйте: кто получил доступ? Кто ушёл? Кто изменил роль? Это не раз в год. Это раз в три месяца.

Что дальше: от чек-листа к системе

Если у вас больше 50 человек - вы уже не сможете управлять этим вручную. Тогда пора думать о системах IAM: Microsoft Azure AD, Okta, или российские аналоги - ЛАНИТ IDM или Код безопасности IDM.

Они автоматически отключают доступ уволенных сотрудников, блокируют подозрительные входы, логируют всё. Стоят они от 50 тыс. до 2 млн рублей в год. Но если вы потеряете данные 100 учеников - это будет стоить дороже.

А пока - просто начните с чек-листа. Он не требует денег. Только внимания.

Что говорят эксперты

Александр Малькевич из KPMG говорит: «Организации, внедрившие структурированный чек-лист доступа, сократили инциденты с утечкой данных на 62% за 6 месяцев».

А Дмитрий Казанцев из InfoWatch предупреждает: «Автоматическое применение чек-листов без адаптации под ваш бизнес снижает производительность на 15-20%». То есть - не копируйте чужие чек-листы. Адаптируйте их. Уберите лишнее. Оставьте только то, что реально защищает.

И да - 85% инцидентов происходят из-за людей. Не из-за хакеров. Из-за того, что кто-то не знает, что делает. Обучение - не «дополнительно». Это часть безопасности.

Пример чек-листа для онлайн-школы (на 10 пунктов)

Вот простой шаблон, который можно распечатать и повесить в командный чат:

• Все пароли - 12+ символов, с цифрами, буквами и символами.
• 2FA включена для админов, бухгалтеров, техподдержки.
• Никто не использует один пароль для разных систем.
• Пароли меняются каждые 90 дней.
• Доступ к данным учеников - только преподавателям, которые работают с этими учениками.
• Доступ к платежам - только бухгалтеру и директору.
• Доступ к CRM - только маркетологу и менеджеру по продажам.
• Нет учётных записей «по умолчанию» - все созданы вручную.
• Уволенные сотрудники теряют доступ в течение 24 часов.
• Раз в квартал - ревизия прав доступа.

Что делать, если вы уже взломаны?

Если вы подозреваете, что кто-то уже получил доступ - не паникуйте. Действуйте:

• Отключите все подозрительные сессии в системах доступа.
• Смените пароли для всех админов и бухгалтеров.
• Проверьте логи входов - кто заходил, с какого IP, когда?
• Уведомите учеников и родителей, если были утечки данных - это требование ФЗ-152.
• Проведите внеплановую ревизию прав доступа.

Это не конец. Это начало улучшений.