Как купить доступ к корпоративной CRM за 5000 рублей: уязвимость в головах

от

Уязвимость не всегда в софте. Иногда она сидит в кресле сотрудника, который считает, что старый доступ, это его личная собственность. Я обошёл без технических средств одну из самых дорогих для бизнеса угроз — внутреннюю.”

Что на самом деле стоит за угрозой увольнения

Увольнение сотрудника с привилегированным доступом — стандартная процедура кадровой и ИБ-службы. Список действий известен: отключить учётные записи, изменить пароли, забрать ключи. Но этот протокол работает с тем, что можно увидеть и проконтролировать — корпоративными аккаунтами, пропусками, токенами.

Нет протокола для того, что остаётся в голове человека. Или для того, что он считает своим личным багажом — например, доступ к облачной CRM, который он создавал сам, на свой email, и к которому у него остался пароль. Формально это нарушение политик, но на практике встречается постоянно.

Когда сотрудник уходит не по своей воле, особенно после конфликта, этот личный доступ превращается в скрытый актив. Он не числится в инвентаризации ИБ, поэтому его не отключают. Им можно распорядиться.

Эксперимент: как выглядит предложение изнутри

Я нашёл бывшего IT-директора одной региональной компании среднего бизнеса, уволенного полгода назад. Через общих знакомых вышел на контакт. Не стал представляться журналистом или специалистом по ИБ. Сказал, что интересуюсь рынком их ниши, ищу точки для анализа.

В ходе разговора намеренно сместил фокус: «Понимаю, что ты там всё настраивал. Наверное, до сих пор можно глянуть, как у них там процессы устроены? Для меня это просто исследование».

Ответ был не эмоциональным, а деловым: «Технически — да, доступ есть. Но это риск. Зачем тебе?»

В этот момент важно было не предлагать деньги сразу, а обозначить ценность: «Чтобы не делать годовые исследования с нуля. Увидеть реальную структуру клиентов и воронку продаж. Это экономия нескольких месяцев работы».

Через пару дней он сам вышел с цифрой: «Если серьёзно, я могу дать тебе read-only доступ на неделю. Но это стоит денег. 5000 рублей».

5000 рублей за доступ к коммерческой тайне, к списку клиентов, к истории сделок и внутренней коммуникации. Без взломов, без фишинга, без сложных атак. Просто потому, что у человека остались учётные данные, которые компания не учла.

Почему это не единичный случай, а системная дыра

Ситуация кажется маргинальной, но она описывает фундаментальный пробел.

  1. Размытые границы собственности. В облачную эпоху сотрудник часто создаёт служебные ресурсы (почтовые рассылки, аналитические дашборды, админ-панели) на условно личных или общих аккаунтах (Google, Yandex, на хостингах). При увольнении доступ к этим ресурсам не отзывается централизованно, так как они вне поля зрения корпоративного IT.
  2. Отсутствие полной инвентаризации. Даже в компаниях с ФСТЭК-сертифицированными СЗИ редко ведётся реестр всех точек доступа к критичным данным. Учитывают корпоративные VPN, 1C, бухгалтерские системы. Но забывают про «теневые» инструменты вроде Trello-досок с планами проектов, Google Docs с отчётами или, как в нашем случае, облачной CRM.
  3. Запоздалая реакция регулятора. 152-ФЗ и приказы ФСТЭК фокусируются на защите информационных систем (ИС). Они требуют разграничения прав, учёта и контроля. Но если «система», это условный Bitrix24, арендованный на email уволенного сотрудника, она юридически не попадает под действие многих требований, так как формально не является корпоративной ИС. Это серая зона.
  4. Психология «заслуженного» актива. Уволенный сотрудник, особенно в конфликтной ситуации, может рационализировать свой поступок: «Я это создал, я вложил время, компания меня не оценила — почему я не могу это монетизировать?» Доступ воспринимается не как кража, а как компенсация.

    Последствия, которые бизнес не сразу осознаёт

Утечка базы клиентов через бывшего сотрудника — не просто неприятность. Это удар по нескольким фронтам.

  • Конкурентная разведка. Новый игрок на рынке получает готовую карту клиентов с контактами, историей заказов и ценовой чувствительностью. Стоимость подобного исследования на стороне — сотни тысяч рублей.
  • Целевые атаки на ключевых клиентов. Зная внутреннюю переписку и боли клиентов, можно подготовить фишинговую атаку или коммерческое предложение, которое будет выглядеть как продолжение общения с компанией.
  • Репутационный и регуляторный риск. Если станет известно, что компания не контролирует доступ к персональным данным клиентов, это прямой повод для проверки Роскомнадзора по 152-ФЗ и исков от самих клиентов.
  • Подрыв внутреннего доверия. Факт утечки деморализует действующих сотрудников и отдел продаж, которые видят, что их клиентская база стала товаром на теневом рынке.

Что делать: практические шаги вместо формальных проверок

Добавить ещё один пункт в checklist при увольнении недостаточно. Нужен сдвиг в подходе.

  1. Аудит не систем, а данных. Регулярно задавайте вопрос: «Где физически находятся наши критичные данные (клиенты, финансы, R&D)?» Проверяйте не только санкционированные системы, но и облачные сервисы, папки на Яндекс.Диске, общие заметки в Notion. Инструменты для мониторинга утечек данных (DLP) могут помочь, но сначала нужен инвентарь.
  2. Принцип «нулевого доверия» к личным аккаунтам. Чёткая политика: любой ресурс, используемый для работы, должен быть создан под корпоративным управляемым аккаунтом. Доступ к нему предоставляется через единый каталог (например, Active Directory). При увольнении доступ отзывается во всей экосистеме одной кнопкой.
  3. Техническая привязка к корпоративной идентификации. Используйте решения единого входа (SSO) для всех бизнес-сервисов, включая облачные CRM и трекеры. Если сервис не поддерживает корпоративную аутентификацию, это красный флаг и повод поискать альтернативу.
  4. Процедура «цифрового увольнения». Помимо HR и IT, должен быть третий участник — ответственный за безопасность данных. Его задача — провести собеседование с увольняющимся, задав конкретные вопросы: «Какие внешние сервисы ты использовал для работы? Где размещал отчёты? Кому передавал доступ?» Часто сотрудник сам укажет на забытые точки.
  5. Мониторинг на основе поведения, а не правил. Настройте алерты на необычные действия: вход в CRM с незнакомого IP, особенно из другой страны или города; массовый экспорт данных; доступ к системам в нерабочее время. Эти сигналы могут указать на компрометацию, в том числе через старые учётные данные.

Заключение: цена небрежности

История за 5000 рублей, это не анекдот про жадного бывшего сотрудника. Это точный ценник, который рынок ставит на халатность компании в управлении цифровыми активами.

Пока регулятор в лице ФСТЭК совершенствует требования к защите периметра и шифрованию, основная угроза уже внутри — в накопленных за годы «теневых» доступах, которые компания не видит и не контролирует. Покупка такого доступа для злоумышленника проще, дешевле и безопаснее, чем любая техническая атака.

Защита начинается не с покупки нового сертифицированного ФСТЭК средства, а с честного ответа на вопрос: «А знаем ли мы вообще все двери, в которые может постучаться риск?» Часто самой дорогой оказывается та дверь, которую когда-то сделали для удобства, а потом про неё забыли.

Оставьте комментарий