Отдел безопасности и CRM: ширма вместо защиты, окно для слив

Анна Калко

Исполнительный директор (CEO)

· 24.04 · ред.

Отдел безопасности и CRM: ширма вместо защиты, окно для слив

Реальный кейс производственной компании (работает и с физлицами, и с юрлицами). Клиент оставляет заявку — и сразу же начинаются звонки конкурентов, которые называют его точный адрес. Два обращения — два всплеска слива. Компания проводит «независимый аудит ИБ», ничего не находит и пишет отписку: «На рынке существуют технологические решения, позволяющие третьим лицам получать контактные данные… Ваш случай первый на практике», «Проведены аудиты, уязвимостей не обнаружено», «Пришлите нам записи разговоров». Никакой внешней технологии не нужно, чтобы узнать адрес из CRM. Нужен сотрудник с доступом и отсутствие контроля. Человек в два клика делает скриншот карточки, пересылает в Telegram «партнёру» и получает откат. CRM при этом не мешает — она помогает. А где же отдел безопасности? Он проверяет серверы, шифрование и межсетевые экраны, но не смотрит, кто и кому копирует адреса клиентов в личные мессенджеры. Отдел IT-безопасности докладывает: «взлома не было». Отдел экономической безопасности (если он вообще есть) разводит руками: «хищений в кассе нет». Только вот данные клиентов — такой же актив, как деньги. Их кража — это прямое экономическое преступление. Но пока IT-безопасники и экономисты живут в разных песочницах, между ними образуется мертвая зона, сквозь которую спокойно выводят конфиденциальную информацию. Нельзя охранять компьютеры отдельно, а деньги отдельно. Эта разорванность и есть главная системная ошибка. И обходится она слишком дорого: потеря клиентов, репутации, иски, штрафы Роскомнадзора до 15 млн рублей. Но компания предпочитает делать вид, что проблема — в «технологиях на уровне телекома». Как отличить реальную безопасность от ширмы? Реальная — там, где логи доступа смотрят ежедневно, личные мессенджеры на рабочих местах запрещены, а IT-безопасность работает в связке с экономической. Там, где при первых признаках слива увольняют, а не пишут отписки про сотрудничество с МВД. Ширма — это когда вам предлагают «прислать записи разговоров для проверки», ссылаются на аудиты, которые ничего не нашли, и разводят руками: «это человеческий фактор, мы не можем за каждым смотреть». CRM без контроля — это не защита, а окно для вывода данных. Отдел безопасности, который не стыкуется с экономическим блоком, — декорация. Вместе они создают идеальную среду, где сотрудники «в доле» спокойно продают клиентов конкурентам. И пока компании будут платить за «независимые аудиты» вместо реальной связки IT- и экономической безопасности, данные будут утекать. А отписки останутся отписками. P.S. Если узнали себя — возможно, пора спросить, почему скриншоты карточек клиентов до сих пор никто не контролирует. И сколько вы уже потеряли из-за этой «ширмы». #утечка_данных #CRM #ITбезопасность #экономбезопасность #коррупция #ширма #дорогостоящая_безопасность

8 комментов

Александр Шишонков

· 24.04

Ознакомился с ситуацией и могу сказать, что первый раз слышу о разрозненности различных подразделений безопасности. Абсолютно согласен с мнением, что такая ситуация возможна в случаях когда или владелец слабо представляет структуру бизнес-процессов в компании, или же руководитель подразделения безопасности не начальник, а руками водитель. В описанной ситуации переваливания с больной головы на здоровую (когда разные контроли уклоняются от кросс-функционального взаимодействия) самый простой для генерального или собственника способ проверить кто не чист на руку - один раз отправить всех руководителей таких структурных подразделений на полиграф с тремя вопросами: воровал/не воровал; сливал/не сливал; скрывал/ не скрывал. Это точно добавит энтузиазма при достойной оплате проснуться и начать делом заниматься как следует.

Анна Калко

· 25.04

Александр, спасибо за комментарий. Идея с полиграфом кажется простой и быстрой, но на практике это, к сожалению, ловушка. Опытные нарушители с холодной головой спокойно «обманывают» детектор с помощью несложных физических приёмов, а честные тревожные руководители часто «заваливают» тест просто от страха или волнения. Исследования (в том числе обзоры Американской психологической ассоциации) показывают, что вероятность ложного обвинения невиновного может доходить до 43–50%, а подготовленный человек успешно обойдёт проверку примерно в половине случаев. В итоге мы рискуем отсеять порядочных сотрудников, а виноватый останется на месте. Именно поэтому полиграф и не считается объективным инструментом: на него нельзя опереться, когда нужна настоящая защита данных, а не видимость.

Лилия Назгаидзе

· 24.04

Вы описали классическую «мертвую зону» — но есть нюанс, который делает картину ещё жёстче. Зачастую тот, кто должен охранять на производстве, сам возглавляет воровство.

Когда начальник службы безопасности (или IT-безопасности) — ключевой бенефициар слива, никакой «независимый аудит» не покажет утечку. Потому что он сам ставит задачу аудиторам: «проверить периметр, подтвердить отсутствие взлома и успокоить руководство». Он же потом красиво докладывает: уязвимостей нет, работаем по регламенту. А скриншоты карточек клиентов в Telegram уходят с его молчаливого согласия — или за его процент.

У этой схемы есть устойчивая анатомия:

· СБ имеет доступ ко всем логам, но «не замечает» аномалии по конкретным сотрудникам. · IT-безопасность не блокирует мессенджеры на рабочих станциях «чтобы не мешать бизнесу». · Экономическая безопасность изолирована и проверяет только кассу и тендеры, потому что «данные клиентов — это не её профиль».

Именно руководитель СБ способен возглавлять параллельный бизнес по продаже лидов, потому что у него есть три главных ресурса: доступ к информации, полномочия по блокировке любого расследования и бюджет на отписки. Более того, когда «крот» наверху, любое обращение клиента с жалобой на звонки конкурентов становится просто триггером для заметания следов.

Реальная безопасность появляется только тогда, когда:

· Контроль над логами выведен из-под единоличной власти СБ (например, дублируется напрямую собственнику или внешнему мониторингу). · За слив данных отвечают деньгами и свободой, а не только увольнением. · Тех, кто пишет отписки «пришлите нам записи разговоров», проверяют так же пристально, как и кассиров.

Иначе мы имеем не «человеческий фактор», а институционализированное воровство под прикрытием аудитов. Ширма становится не ошибкой, а бизнес-моделью самого охранителя.

Александр Цыбулько

· 24.04

Не совсем так это работает, технически-можно "увидеть" скриншоты сделаные на ПК, а вот сделаное фото с экрана ПК на смартфон- этого ПК "не увидит". Можно конечно в каждом кабинете поставить камеру, и ввести дисциплинарное наказание, если человек захочет навести камеру телефона на экран, но это не 100 процентная гарантия.

Анна Калко

· 25.04

Александр, точно. Фото экрана на телефон — та самая мёртвая зона, где IT бессилен. Именно поэтому проблема не решается одними технарями, даже очень опытными. Раньше в серьёзных институтах безопасность держалась не на волшебном железе, а на жёсткой связке: технические барьеры + реальная уголовная ответственность + прямой контроль собственника, который не давал самой СБ вариться в собственном соку. Сейчас сплошь «повзрослевшие сисадмины»: ищут вирусы, а на фото экрана честно разводят руками — мол, технически не вижу, значит всё чисто. Но это не безопасность, это ширма. Настоящая защита начинается, когда собственник понимает: начальник СБ, который с такой логикой отписывается, не защитник, а главная дыра.

Александр Цыбулько

· 25.04

Именно. Работа СБ заключается не только в технической части, а в большей степени это непосредственное общение с коллективом. Нужно объяснять уголовное последствия, в случае утечек информации. По опыту, не вовсех компаниях это делают в случае возбуждения уг. дела, потому что считают что это несет репутационные риски.

Анна Калко

· 25.04

Александр, вот это «объяснять последствия» — на самом деле самое главное. Потому что задача СБ — именно упреждать, а не разгребать. Когда с людьми говорят прямо, показывают, что служба видит всё, профилактика работает лучше любого расследования.

Если же инцидент уже случился, то настоящий профессионализм СБ — разрулить всё максимально тихо и жёстко внутри компании, без внешней огласки. Возбуждать уголовное дело в таких случаях — это на самом деле признак провала самой безопасности: во-первых, перспектив почти ноль, потому что скриншот не взлом двери, во-вторых, для любой серьёзной СБ это потеря лица и прямой имиджевый урон. Охранять данные так, чтобы приходилось вызывать полицию, — значит признать свою беспомощность.

Но мы с вами оба понимаем: если СБ знает о сливе и молча сидит, без адекватной внутренней реакции, — это уже не профилактика, не самостоятельное решение, а просто тихая ликвидация бизнеса изнутри.