(Без)опасные связи: как защитить бизнес от утечек данных через мессенджеры

Мессенджеры уже давно стали одним из ключевых каналов деловой коммуникации. Через них согласовывают документы, обмениваются важной информацией, в том числе конфиденциальными данными. Однако использование этих каналов – серьёзные риски для бизнеса, которые могут привести к утечкам данных, взлому аккаунтов, финансовым потерям. О том, как минимизировать риск слива данных вне защитного контура, порталу Biz360.ru рассказал эксперт по информационной безопасности Алексей Дрозд.

Для начала давайте определимся с терминологией. Защитный контур компании – это комплекс мер и средств, направленных на обеспечение безопасности информации и пресечение несанкционированного доступа к ней. Он включает как организационные, так и технические и правовые аспекты защиты. Рассмотрим их:

Организационные меры. В них входит разработка и внедрение политик безопасности, регламентов работы с информацией. Недостаточно один раз написать, как правильно использовать пароли. Необходимо регулярно обучать сотрудников этим правилам и контролировать их соблюдение. Также к организационным мерам относятся оценка рисков и определение критических ресурсов, которые нужно защищать.

Технические меры. Эта категория мер реализуется путём использования технических решений:

• антивирусы для защиты отдельных компьютеров и целых сетей;

• межсетевые экраны для фильтрации трафика;

• системы предотвращения вторжений (IPS);

• системы обнаружения вторжений (IDS);

• системы предотвращения утечек (DLP);

• SIEM-системы для сбора и анализа событий ИБ;

• аппаратные и программные средства для аутентификации и авторизации пользователей и т.д.

Правовые меры. Под этими мерами стоит понимать законы, указы, нормативные акты. Они регламентируют обращение с конфиденциальной информацией. При выработке этих мер рекомендую опираться на следующие документы:

• 149-ФЗ «Об информации, информационных технологиях и защите информации». С его помощью вы сможете определить, какая информация считается конфиденциальной и требует соответствующего обращения. Это безопасный обмен данными, ограничение доступа к информации, меры ответственности за нарушение.
  
  

• 152-ФЗ «О персональных данных». Касается практически любой компании, которая обрабатывает и хранит персональные данные сотрудников, клиентов, партнеров.
  
  

• 98-ФЗ «О коммерческой тайне». Здесь описаны критерии, по которым информацию можно отнести к коммерческой тайне.
  
  

• 187-ФЗ «О безопасности критической информационной инфраструктуры РФ». В этом законе информация актуальна для компаний, которые работают в сфере здравоохранения, транспорта, услуг связи, банковской, финансовой деятельности.
  
  

• Приказы ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; №117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений» (вступает в силу 1 марта 2026 года). Отсюда могут почерпнуть полезные сведения госучреждения и коммерческие организации, использующие государственные информационные системы (ГИС).

Когда сотрудники используют популярные мессенджеры для решения рабочих вопросов, вся переписка и файлы автоматически выходят за пределы внутреннего защитного контура компании и доступны третьим лицам. Зачастую это становится слабым звеном в системе информационной безопасности, ведь эти переписки невозможно полноценно контролировать.

Популярные мессенджеры никак не интегрированы в систему безопасности компании, соответственно, здесь невозможно оперативно ограничить доступ и гарантировать защиту данных. В том числе и по перечисленным выше причинам. Например, для банков в РФ уже ввели прямой запрет на передачу ПДн через них.

Более того, отсутствие парольных политик и минимального уровня защиты на личных мобильных устройствах и ПК открывают возможности для злоумышленников:

С одной стороны, из-за того, что пользователь использует (пуб)личный мессенджер и не защищает его дополнительно, поэтому есть риск угона аккаунта. А так как там обсуждались корпоративные вопросы, то злоумышленники всё прочитают.

С другой стороны, привычка вести корпоративное общение в некорпоративном мессенджере даёт плодотворную почву для атак fakeboss. Сотрудник не удивляется, что ему в публичном мессенджере пишет «начальник» и требует чего-то.

Например, в этом году участились случаи, когда злоумышленники выдавали себя за сотрудников компании – бухгалтеров, сотрудников службы ИБ, руководителей. Атаки маскировались под деловую переписку: «срочная правка в договор», «реквизиты на оплату», «документ на подпись» и т.д.

• Кейс. В Татарстане главный бухгалтер перевела мошенникам 24 млн рублей со счёта предприятия. Злоумышленники связались с бухгалтером от имени генерального директора. Женщине поступило сообщение в мессенджере о том, что руководитель просит перевести партнёрам предприятия три платежа общей суммой 10 млн рублей. Бухгалтер не проверила подлинность сообщения у директора и перевела деньги. Через день ей поступило аналогичное сообщение. Аферисты просили перечислить ещё 14 млн рублей. Когда мошенники связались с женщиной снова, она заподозрила неладное и вступила в переписку. После чего номер из сети исчез.

Нередки случаи, когда при увольнении сотрудники могут использовать рабочую переписку в личных целях. Как правило, бывшим сотрудникам отключают доступ к сервисам и информационным системам компании. Но в этот список не входят личные аккаунты. И есть риски того, что экс-сотрудники могут продолжать обрабатывать корпоративную информацию, в том числе конфиденциальную.

• Кейс. Производственная компания столкнулась с тем, что конкуренты получили доступ к её ноу-хау. Предприятию было важно понять – кто стал источником утечки. Чтобы выяснить, откуда к конкурентам попала конфиденциальная информация, промониторили популярные каналы связи (почту, мессенджеры). ИБ-отдел сразу обнаружил подозрительные письма и переписку. Выяснилось, что сотрудник хотел уволиться, и обсуждал с конкурентом выгодные условия сотрудничества.

Чтобы минимизировать риски утечек данных через личные устройства и аккаунты сотрудников, необходимо формировать в компании культуру цифровой безопасности. В первую очередь, донести до персонала, что при работе с информацией важно соблюдать чёткие правила, и проинформировать об ответственности за утечку данных.

Помимо этого, для защиты компании может помочь:

• Минимизация рабочего общения в популярных мессенджерах. Это позволит лучше контролировать доступ к конфиденциальной информации и обеспечит её защиту от несанкционированного доступа.
  
  

• Использование корпоративных мессенджеров. Они основаны на современных технологиях шифрования и помогают предотвратить утечку информации. Корпоративный мессенджер обеспечивает централизованное администрирование. Это позволяет определять, кто может создавать группы, пересылать файлы, приглашать внешних участников.
  
  

• Использование DLP-систем. Такие решения контролируют популярные каналы связи – от почты до корпоративных мессенджеров. Системы фиксируют все сообщения, анализируют информацию в них, содержимое документов.
  
  Например, с помощью DLP можно гибко настраивать блокировки, не нарушая рабочие процессы. То есть ограничить отправку файлов, но оставить возможность звонить и писать. Также программа контролирует, кому и куда была отправлена информация. В случае инцидента это позволит быстро найти источник утечки.

Таким образом, подход к защите данных должен быть комплексным. Комбинация различных мер (организационных, технических, правовых) поможет компаниям обеспечить информационную безопасность, снизить риски и минимизировать ущерб от инцидентов.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
biz360