Чек-лист безопасности доступа: пароли, роли, права для онлайн-школы

Почему безопасность доступа - это не про IT, а про выживание вашей онлайн-школы

Вы когда-нибудь задумывались, что один сотрудник, который использует одинаковый пароль от почты и от системы управления курсами, может разрушить вашу онлайн-школу за 10 минут? Это не сценарий из фильма. В 2023 году 73% инцидентов с утечкой данных в образовательных организациях начались с простого повторного использования пароля. У вас есть 30 учеников? 300? 3000? Без четкого чек-листа по управлению доступом - вы просто ждете, когда произойдет взлом.

Ваша платформа хранит: личные данные учеников, платежную информацию, видеоуроки, тесты, чаты с преподавателями. Это не просто файлы. Это цифровая собственность. И если кто-то получит доступ к админке - он может удалить все курсы, перенаправить платежи, выставить ученикам двойки, а потом исчезнуть. И вы даже не узнаете, что произошло, пока не начнут звонить родители.

Вот что работает на практике: чек-лист, основанный на трех китах - пароли, роли, права. Не на теории. Не на красивых презентациях. А на конкретных шагах, которые вы можете сделать уже сегодня.

Пароли: не таите их, не пишите на стикерах

Многие думают: «У нас же нет ничего ценного». А потом обнаруживают, что кто-то зашел в систему оплаты и перевел 120 тысяч рублей на свой счет. Потому что у администратора был пароль 123456.

Microsoft и NIST давно сказали: пароль должен быть не меньше 12 символов. И да - это не про сложность. Это про длину. Пароль Кофе-в-7-утра-с-бубликом! намного надежнее, чем P@ssw0rd2025. Почему? Потому что взломать первый - 34 года. Второй - 2 часа.

И самое главное - никогда не используйте один и тот же пароль для почты, CRM, платформы и соцсетей. Kaspersky подтверждает: если вы делаете это - риски утечки падают на 73%, когда вы начинаете использовать уникальные пароли для каждой системы.

Для преподавателей и администраторов - обязательна двухфакторная аутентификация (2FA). Это не «надо», это «обязательно». Без нее даже самый сложный пароль бесполезен. 2FA снижает вероятность взлома на 99,9%. Да, иногда это неудобно - но это дешевле, чем восстанавливать базу данных после утечки.

Помните: если вы заставляете менять пароли каждые 60 дней - вы создаете обратный эффект. Люди начинают писать их на бумажках, клеят на мониторы. Лучше - требуйте длинные, уникальные пароли и включайте 2FA. Меняйте пароли только при увольнении, подозрении или утечке.

Роли: не давайте всем права администратора

Вы даете доступ к системе всем: преподавателям, менеджерам, маркетологам, бухгалтеру, даже студентам. А потом удивляетесь, почему кто-то удалил курс по английскому, а кто-то посмотрел базу данных всех клиентов.

Вот как это должно работать на практике:

• Преподаватель - доступ только к своему курсу, расписанию, чату с учениками, загрузке материалов. Нет доступа к финансам, базе учеников, настройкам платформы.
• Менеджер по продажам - доступ к CRM, спискам лидов, истории звонков. Нет доступа к учебным материалам или настройкам платформы.
• Бухгалтер - доступ только к платежам, счетам, отчетам. Нет доступа к чатам, курсам, ученикам.
• Администратор - доступ ко всему. И таких людей должно быть не больше двух. И они должны проходить проверку на кибергигиену.
• Студент - только доступ к своим курсам, заданиям, расписанию. Никаких кнопок «удалить» или «изменить».

Это называется принцип наименьших привилегий - PoLP. Gartner говорит, что он снижает поверхность атаки на 65%. То есть, если взломают бухгалтера - злоумышленник не сможет тронуть курсы. Если взломают маркетолога - он не увидит данные платежей.

Ваша система (например, Moodle, Teachable, или российская платформа вроде Netology) позволяет создавать роли. Используйте их. Не ленитесь. Не делайте «всем админ» - это как оставить дверь в сейф открытой, потому что «все мы честные».

Права: что именно можно делать, а что нельзя

Роль - это «кто». Права - это «что он может делать».

Преподаватель - это роль. А права: загружать видео, создавать тесты, просматривать ответы учеников, писать комментарии. Но не удалять курсы, менять настройки оплаты, добавлять новых администраторов.

Здесь критично - не давать права на редактирование баз данных. Никто, кроме администратора, не должен иметь доступ к таблицам с личными данными учеников. Даже если это ваш близкий друг, который «всё понимает».

Для баз данных - используйте отдельные учетные записи. Не логиньтесь как «root» или «admin». Создайте пользователя course_reader с правами только на чтение. Это не сложно. Всё, что нужно - это 10 минут настройки в вашей системе.

Секретные ключи, API-ключи, пароли от платежных систем - храните в специальных хранилищах: HashiCorp Vault, AWS Secrets Manager или российских аналогах. Не в Google Docs. Не в Excel. Не в Telegram-чате «важные пароли».

Если вы не знаете, как это настроить - наймите специалиста на 2 дня. Это дешевле, чем восстанавливать репутацию после утечки данных. По ФЗ-152 и GDPR - вы несете ответственность за защиту персональных данных. Даже если вы не знали, что они у вас есть.

Как внедрить чек-лист без хаоса

Вы не можете просто сказать: «Сегодня мы внедряем безопасность». Сотрудники начнут жаловаться, забытые пароли - приведут к остановке работы. Всё должно быть поэтапно.

Этап 1: Аудит (1-2 недели)

Соберите список всех, кто имеет доступ к системам. Кто? Что может делать? Какой пароль? Использует ли 2FA? Сделайте таблицу. Даже если это просто Excel. Это ваша базовая карта уязвимостей.

Этап 2: Создайте роли (1 неделя)

Определите 4-5 ролей. Привяжите к ним права. Удалите все лишние доступы. Например: у маркетолога нет доступа к базе учеников? Удалите. У преподавателя есть кнопка «удалить курс»? Уберите. Это не жестоко - это безопасно.

Этап 3: Внедрите 2FA и длинные пароли (1 неделя)

Настройте двухфакторную аутентификацию для всех администраторов и тех, кто работает с деньгами. Дайте инструкцию: «Придумайте пароль из 4 слов с восклицательным знаком». Используйте менеджеры паролей: Bitwarden, 1Password, LastPass. Не пишите на бумаге.

Этап 4: Обучение (1-2 дня)

Соберите всех на 30 минут. Покажите: «Вот что может случиться, если вы используете один пароль». Покажите реальный пример из другого учебного центра. Не пугайте - объясните. Скажите: «Это не про контроль. Это про то, чтобы вы не потеряли работу».

Этап 5: Проверяйте раз в квартал

Каждые 3 месяца - пересматривайте доступ. Уволился сотрудник? Удалите доступ немедленно. Поменялась роль? Обновите права. Не ждите, пока кто-то пожалуется.

Что мешает внедрить чек-лист? И как это обойти

Самая большая проблема - сопротивление. Люди говорят: «Мне неудобно». «Я не успеваю». «Это лишнее».

Softline говорит: в 65% случаев внедрение безопасности проваливается из-за сопротивления персонала. Почему? Потому что его не объяснили.

Решение: сделайте это просто.

• Не требуйте сложных паролей. Требуйте длинных. Я-люблю-кофе-в-8-утра - легко запомнить, сложно взломать.
• Не требуйте смены паролей каждые 30 дней. Требуйте 2FA и один надежный пароль.
• Не делайте 100-страничные инструкции. Дайте 5 пунктов на листе А4.
• Не наказывайте за ошибки. Обучайте. Скажите: «Если забыл пароль - напиши в поддержку, мы поможем».

Помните: 85% инцидентов - это человеческий фактор. Значит, вы не должны бороться с людьми. Вы должны их защищать.

Что делать, если уже произошла утечка?

Если вы заметили, что кто-то зашел в систему без разрешения - не паникуйте. Делайте по шагам:

1. Отключите доступ подозреваемого аккаунта немедленно.
2. Смените все пароли администраторов.
3. Проверьте, какие данные были скопированы - личные данные, платежи, курсы?
4. Уведомите учеников, если их данные могли быть утечены - это требование ФЗ-152.
5. Запустите аудит доступа - кто еще мог иметь доступ?
6. Внедрите чек-лист, описанный выше - чтобы больше не повторилось.

Если вы не знаете, как это сделать - наймите специалиста по кибербезопасности. Не пытайтесь «самостоятельно разобраться». Это дороже, чем вы думаете.

Сколько это стоит?

Внедрение базового чек-листа для школы с 50-100 сотрудниками - занимает 2-4 недели. Стоимость - от 50 тысяч рублей (если делаете сами) до 300 тысяч (если нанимаете специалиста).

Сравните это с потерями: 1000 учеников, каждый платит 5000 рублей - это 5 млн рублей. Если вы потеряете 10% из них из-за утечки данных - это 500 тысяч. И это без учета штрафов от Роскомнадзора - до 1% от выручки или 6 млн рублей, в зависимости от масштаба.

Системы вроде Microsoft Azure AD, Okta или российские аналоги (ЛАНИТ IDM) - стоят от 2 млн рублей в год. Но для онлайн-школы с 50-200 сотрудниками - они не нужны. Достаточно настроить роли и 2FA в вашей текущей платформе.

Что будет через 2 года?

К 2025 году 60% организаций перейдут на динамические системы доступа - которые сами анализируют поведение пользователей. Например: если преподаватель, который всегда заходил с Москвы, вдруг заходит из Беларуси в 3 часа ночи - система запросит подтверждение.

Но пока вы не сделаете базовый чек-лист - вы даже не сможете понять, что это нужно. Поэтому начните с простого. Не с ИИ. Не с дорогих систем. С паролей, ролей и прав.

Сегодня вы сделаете 5 шагов - и ваша школа станет в 10 раз безопаснее. Завтра - вы спите спокойно. А не ждете, когда придет письмо от Роскомнадзора.