Доменный портфель крупной компании может состоять из сотен доменов. При этом работают с ними сотрудники самых разных отделов, и не всегда понятно, кто за что отвечает. Когда нет четких регламентов, работники часто неправильно регистрируют домены, забывают их продлевать и совершают другие ошибки, из-за чего рискуют потерять домен или столкнуться с мошенниками.
Эту статью мы подготовили вместе с руководителем отдела по работе с ключевыми клиентами RU-CENTER Кириллом Зверевым. Рассказываем, как выстроить в компании работу с доменами, чтобы они не попали в чужие руки и остались в безопасности.
Почему крупным компаниям важно управлять доменным портфелем
Предприятию, которое использует сразу несколько десятков или даже сотен доменов, нужны четкие правила: какие домены и когда покупать и продлевать, что настраивать, как оформлять документы. Также нужны ответственные, которые будут следить за соблюдением этих правил.
Если не выстроить культуру работы с доменами, высоки риски столкнуться с проблемами. Разберем самые частые из них.
Киберсквоттинг
Мошенники могут купить домен, похожий на товарный знак компании, и разместить на нем фишинговый сайт или материалы, порочащие репутацию компании. Иногда киберсквоттеры не используют домен сами, а требуют у компании большую сумму за его выкуп.
Как этого избежать:
- Выкупить похожие домены и настроить редирект с них на основной домен компании. Особое внимание стоит уделить доменам с тем же названием, но в других популярных зонах, и на домены с частыми ошибками пользователей — их можно найти с помощью «Яндекс Метрики».
- Мониторить, не купил ли кто-то похожие по написанию домены. Если купил, стоит наблюдать за активностью на этих доменах. Так можно быстрее узнать, что мошенники используют домен для фишинга или обмана покупателей, и принять меры.
Обратный захват домена
Конкуренты или мошенники могут зарегистрировать товарный знак, похожий на домен компании, а затем отсудить домен.
Как этого избежать:
- Одновременно регистрировать товарные знаки и сходные по написанию домены.
- Не рассказывать в публичном поле о том, какие товарные знаки и домены планируете регистрировать.
Взлом аккаунта
Если аккаунт на сайте доменного регистратора недостаточно защищен, злоумышленники могут получить к нему доступ, а администратор не сможет вовремя принять меры.
Как этого избежать:
Использовать все методы защиты аккаунта, которые предлагает доменный регистратор:
- двухфакторную аутентификацию;
- ограничение входа в аккаунт по IP;
- запрет на изменение пароля по email;
- авторизацию с помощью «Госуслуг» или ЭЦП.
Потеря прав на домен из-за плохо выстроенных процессов
Если компания забудет вовремя продлить домен, его выставят на аукцион освобождающихся доменов. Там его может купить инвестор.
Чаще всего в таких случаях инвестор сразу предлагает компании выкупить домен обратно — но уже по рыночной стоимости, которая может быть намного больше стоимости продления.
Как этого избежать:
- Следить за сроками действия доменов, вовремя пополнять счет и оплачивать продление.
- Подключить автопродление доменов, если не хочется отслеживать вручную.
Если компания зарегистрирует домен на сотрудника, а тот уволится и перестанет выходить на связь, то доступ к аккаунту будет потерян, и продлить домен будет невозможно.
Как этого избежать:
- Регистрировать домены только на юридическое лицо, принадлежащее компании.
- Указывать в договоре контактные данные компании, а не личные телефоны или электронные почты сотрудников.
Какие проблемы с доменным портфелем могут быть у крупных компаний: реальные кейсы
Всё, что мы перечислили выше, — не теоретические риски. Вот несколько примеров, когда компании были на волоске от потери важных для них доменов, но всё закончилось хорошо.
Бывший сотрудник выкупил домен компании
В сентябре 2015 года бывший сотрудник Google Санмей Вед увидел, что домен google.com выставлен на продажу, и купил его за 12 долларов. Вед на некоторое время стал владельцем google.com и даже получил доступ к панели управления сайтом.
По одной из версий, это была техническая ошибка, и Веду просто повезло. По другой — срок действия домена забыли продлить, а бывший сотрудник знал об этом.
К техническому сбою сложно подготовиться заранее. А вот чтобы не забыть продлить домен, стоит создать инструкцию о поддержке доменов компании и назначить ответственного за ее исполнение.
Вот еще несколько историй из практики RU-CENTER.
Домен оплатили в последний момент после множества напоминаний
У домена крупного городского СМИ заканчивался срок действия. Мы отправляли клиенту письма, что скоро домен будет заблокирован, и звонили по указанному в договоре номеру телефона, но нам никто не отвечал. Как выяснилось позже, в документах были указаны устаревшие контактные данные.
В последний день срока действия домена мы стали звонить уже по другим номерам — тем, что были указаны на сайте клиента, а не в договоре. После нескольких попыток дозвонились до сотрудника, который не был в курсе ситуации, но начал искать ответственного.
В итоге домен успешно продлили. Но, если бы клиент вовремя обновил контактные данные в договоре, то сразу увидел бы наше уведомление и продлил домен без спешки.
Домен выставили на аукцион, и он уже начал собирать ставки
Клиент заказал у нас аудит доменного портфеля, и во время проверки мы обнаружили, что один из доменов зарегистрирован не на компанию, а на сотрудника, который к тому моменту уже уволился.
Срок аренды домена подходил к концу, а компания от этом даже не знала — все уведомления приходили на личную почту бывшего сотрудника. Домен уже появился на аукционе освобождающихся доменов, и на него делали ставки в несколько сотен тысяч рублей.
Мы пошли навстречу клиенту и зачислили на его счет средства в кредит, пока он искал способ связаться с бывшим сотрудником. Если бы мы этого не сделали, домен купили бы на аукционе. Вероятно, новый владелец сразу предложил бы компании вернуть его за крупную сумму.
Мошенники подделали документы и почти смогли украсть домены
Наш клиент выставил в настройках аккаунта разрешение восстанавливать доступ по электронной почте, и мошенники этим воспользовались. Они написали нам письмо о сбросе пароля. Письмо тщательно подделали — приложили к нему уставные документы компании, приказ о назначении директора, поставили печать и т. д.
Как только мы запрашивали дополнительный документ, чтобы убедиться, что перед нами владелец домена, мошенники тут же его присылали. Это показалось нам подозрительным: обычно клиентам требуется больше времени на поиск нужных бумаг. Однако сами документы были безупречными — к качеству не придраться.
В итоге мы перенесли домены компании на другой аккаунт. Владелец получил уведомление об этом и сразу же связался с нами. Домены ему вернули, а дальше этим вопросом занялась служба безопасности.
Если бы мошенники получили доступ к доменам, они могли бы разместить на них нежелательные сайты, рассылать фишинговые письма или подделать документацию о передаче доменов и продать их третьим лицам.
Вывод из этой истории такой: лучше сразу настроить запрет на изменение пароля по email — так у мошенников не останется шансов.
Кого назначить ответственным за домены
Ответственным за доменный портфель может быть маркетолог, юрист или менеджер, к основным обязанностям которого добавится работа с доменами. Этот человек будет «точкой контакта»: все сотрудники компании и представители доменного регистратора будут знать, что по вопросам доменов нужно обращаться к нему.
Лучше, если у ответственного за домены будет заместитель — сотрудник, который будет в курсе всех процессов. Если ответственный работник уволится, заболеет или уйдет в отпуск, другой человек сможет сразу подхватить задачи.
Что стоит поручить ответственному за домены
Настраивать правила безопасности
- Для аккаунта у доменного регистратора: подключать двухфакторную аутентификацию, ограничение входа по IP и запрет на восстановление пароля по email; следить за актуальностью контактных данных для авторизации и восстановления доступа.
- Для сайтов, размещенных на доменах: настраивать SSL-сертификаты, защиту от DDoS-атак; устанавливать антивирусные программы и плагины безопасности, если это не входит в обязанности разработчиков сайтов.
Следить за новостями мира доменов
- Узнавать, какие новые зоны скоро запустятся, и сразу выкупать в них домены.
- Отслеживать, к каким доменным зонам могут ограничить доступ из-за санкций, и заранее выкупать альтернативные домены на случай блокировки.
Покупать домены по просьбе маркетологов, юристов или службы безопасности
- Регистрировать свободные домены.
- Отслеживать, какие нужные домены освобождаются на аукционах, и покупать их первым.
- Выкупать домены у частных владельцев или просить доменного регистратора провести переговоры, согласовать адекватную стоимость и организовать безопасную сделку.
Своевременно продлевать домены
- Отслеживать, когда заканчивается срок действия домена, вовремя пополнять счет и продлевать домен. Или подключать автопродление.
- Актуализировать статусы — какие домены еще нужны компании, а какие можно больше не продлевать.
Помогать юристам оформлять договоры с регистраторами
- Следить, чтобы все домены были зарегистрированы на юридические лица. Если оформить домен на сотрудника, и он потом уволится, то компании придется восстанавливать доступ к аккаунту.
- Оперативно обновлять в договорах контактные данные, если они меняются.
Распределять домены по разным личным кабинетам
Если у компании много доменов и их оплачивают разные департаменты, удобно создать несколько личных кабинетов на сайте доменного регистратора. Например, отдельно — для доменов отдела маркетинга, отдельно — для доменов тестировщиков.
Решать проблемы, связанные с выкупом проблемных доменов
- Выкупать у других владельцев домены, на которых потенциально могут создать мошеннические сайты.
- Передавать юристам информацию для обращения в суд, если компания столкнулась с мошенниками и не удалось договориться с ними миром.
Помогать службам безопасности в расследовании инцидентов
Сотрудники служб безопасности могут запросить у доменного регистратора данные о произошедших кибератаках или логи действий в аккаунтах.
Контролировать доступ других сотрудников в аккаунты
Например, сотрудники службы безопасности могут самостоятельно отслеживать активность в аккаунтах, а разработчики — подключать SSL-сертификаты.
Вносить товарные знаки компании в депозитарий TMCH
Когда новая доменная зона только запускается, для нее действует период приоритетной регистрации. Некоторое время купить домены в этой зоне могут только владельцы сходных по написанию товарных знаков.
Например, компания Milk and meat могла бы в приоритетном порядке зарегистрировать в новой доменной зоне .food домен milkandmeat.food. Если период приоритетной регистрации закончится, а компания так и не подаст заявку, купить этот домен сможет любой желающий — в том числе конкуренты или мошенники.
Чтобы получить приоритетное право регистрации, владелец товарного знака должен внести его в депозитарий ТМСН — централизованной базы данных подтвержденных товарных знаков.
Какие сотрудники в компании работают с доменами
Вот небольшая шпаргалка, чтобы ничего не упустить и не забыть о важных задачах при работе с доменами.
Чек-лист: как организовать работу с доменами в компании
Требований к работе с доменами много, и все сразу учесть сложно. Вот самые важные моменты: это нужно сделать в первую очередь, чтобы избежать большинства проблем.
- Назначить ответственного сотрудника, для которого работа с доменами будет одной из основных обязанностей.
- Следить за актуальностью контактных данных, чтобы при возникновении проблем регистратор смог оперативно сообщить о них.
- Изучать новостную повестку и держать в портфеле запасные домены на случай блокировки основных из-за санкций. Стараться прогнозировать такие ситуации заранее, чтобы потом не пришлось спешно перенаправлять трафик на другие домены.
- Ответственно относиться к безопасности своего аккаунта. Использовать все возможные функции для его защиты, которые предоставляет регистратор, не дожидаясь столкновений с мошенниками.
Более подробная информация — в журналах РБА