«Утечка данных, это не всегда взлом сервера. Иногда это просто скриншот из чата, который кто-то сделал, чтобы «быстрее договориться». И этот скриншот, пройдя через несколько рук, оказывается у тех, кому его видеть не стоило. История о том, как неформальная коммуникация убивает безопасность, а удобство становится главной уязвимостью.»
От чата к утечке: как это происходит на практике
Сценарий знаком многим. Обсуждение с коллегой условий сделки, скидок для ключевого клиента или внутренних планов по ценообразованию. Диалог идёт быстро, в неформальной обстановке мессенджера. Чтобы не пересказывать длинное сообщение другому отделу, участник переписки делает скриншот. Кажется, что это быстрее и нагляднее. Этот снимок отправляется в другой чат, возможно, уже с внешним подрядчиком или партнёром, которому «нужно просто уточнить детали». Цепочка передачи теряется, контроль над информацией исчезает. В итоге документ с конфиденциальными цифрами может оказаться где угодно.
Проблема не в самом мессенджере, а в модели его использования. Корпоративная информация, требующая учёта и защиты, начинает жить по законам личного общения: без журналирования, без контроля версий, без разграничения прав. Сообщение, отправленное как черновик или рабочая версия, в сознании получателя часто превращается в окончательный и утверждённый документ. А скриншот и вовсе вырывает данные из контекста, лишая их истории и авторства.
Почему мессенджеры стали слабым звеном
Основная причина — стирание границ. Личный смартфон становится рабочим инструментом, а привычные каналы для общения с друзьями — платформой для бизнес-решений. В такой среде не работают традиционные корпоративные политики безопасности. Файл, который в корпоративной сети был бы доступен только определённой группе лиц и все действия с ним логировались, в чате становится вольным гражданином.
Есть и технические аспекты. Большинство популярных мессенджеров используют сквозное шифрование. Это защищает контент от перехвата при передаче, но абсолютно бессильно после того, как сообщение расшифровано на устройстве получателя. Шифрование не мешает сделать скриншот, не предотвращает пересылку и не отслеживает дальнейший путь информации. Безопасность здесь заканчивается на экране смартфона.
Добавьте к этому функцию автоматической загрузки медиафайлов в галерею устройства. Полученная таблица или презентация сохраняется в общую память телефона, где её может обнаружить любое другое приложение, в том числе с сомнительными правами доступа.
Что говорит регуляторика: 152-ФЗ и ФСТЭК
С точки зрения закона «О персональных данных» (152-ФЗ) и требований регуляторов вроде ФСТЭК, использование неподконтрольных средств коммуникации для работы с конфиденциальной информацией создаёт серьёзные риски. Даже если прямо в законе не прописан запрет на WhatsApp, есть базовые принципы, которые нарушаются при таком подходе.
- Учёт и контроль. Оператор персональных данных обязан обеспечить учёт машинных носителей информации и контролировать, кто и когда получает к ним доступ. В мессенджере такой учёт в принципе невозможен.
- Разграничение прав доступа. Информация должна быть доступна только тем, кому это необходимо для выполнения задач. Чаты же часто создаются стихийно, и круг лиц, видящих сообщение, определяется не политикой безопасности, а волей отправителя.
- Неотвратимость ответственности. При инциденте необходимо установить виновного. Анонимность или псевдонимы в мессенджерах, отсутствие привязки к корпоративной учётной записи делают это крайне затруднительным.
ФСТЭК в своих рекомендациях и приказах (например, приказ №239) прямо указывает на необходимость использования защищённых каналов связи и средств, прошедших оценку соответствия, для передачи служебной информации. Большинство публичных мессенджеров под эти критерии не подпадают.
Чем заменить: альтернативы для безопасного общения
Решение не в тотальном запрете, а в предоставлении удобного и безопасного инструмента. Если сотрудники идут в мессенджер, это сигнал о том, что штатные корпоративные системы для коммуникации неудобны или медленны.
В российском ИТ-ландшафте есть несколько путей:
- Корпоративные мессенджеры с сертификацией ФСТЭК. Существуют решения, входящие в реестр отечественного ПО, которые обеспечивают шифрование, контроль пересылки, запрет на скриншоты и ведение полных логов. Их можно развернуть на собственной инфраструктуре.
- Защищённые чаты в корпоративных порталах и CRM. Многие бизнес-системы имеют модули для переписки. Обсуждение сделки ведётся прямо в карточке клиента, все вложения и история сохраняются в едином пространстве, доступ к которому регулируется ролями.
- Политика допустимого использования. Чёткие внутренние регламенты, которые определяют, какую информацию и в каком объёме можно обсуждать в публичных мессенджерах. Например, обсуждение времени встречи — допустимо, пересылка коммерческого предложения — нет. Важно, чтобы политика была реалистичной и сопровождалась простыми инструкциями.
Что делать, если утечка уже произошла
Когда клиент видит ваши цифры у конкурента, паника — плохой советчик. Порядок действий должен быть отработанным.
- Фиксация инцидента. Немедленно задокументировать факт: от кого, когда и какая именно информация могла стать известна. Сохранить все возможные следы в корпоративных системах (логи доступа к документам, записи переговоров).
- Внутреннее расследование. Попытаться восстановить цепочку утечки. Не с целью немедленного наказания, а для понимания слабого места в процессе. Часто оказывается, что проблема системная, а не в конкретном человеке.
- Юридическая оценка. Определить, подпадает ли утечка под действие 152-ФЗ (если затронуты персональные данные) или составляет коммерческую тайну. От этого зависит необходимость уведомления регулятора.
- Работа с последствиями. Честный разговор с клиентом иногда может спасти отношения. Объяснение мер, которые приняты для недопущения подобного в будущем, демонстрирует серьёзность подхода.
Главный вывод — лечить причину, а не симптом. Наказание сотрудника, сделавшего скриншот, не решит проблему, если не будет создана простая и безопасная альтернатива для оперативного обмена данными.