«Слабые места информационной безопасности, это не баги в коде или открытые порты. Это привычные шаблоны поведения сотрудников, которые работают в штатном режиме и не нарушают никаких правил. Атака происходит не из-за того, что защита не работает, а потому что сотрудник сам выполняет часть атаки в рамках своего обычного рабочего процесса.»
Где реально находится «цифровая защита» человека
Информационная безопасность в России часто сводится к соблюдению требований регуляторов — ФСТЭК, 152‑ФЗ. Это создаёт фокус на технических мерах защиты: криптография, антивирусы, DLP. Однако реальная защита начинается с человека и его ежедневных рутинных действий, которые не регулируются никакими приказами и ГОСТами. Психология принятия решений в рабочем режиме, это зона вне контроля стандартных ИБ‑политик.
Пересечение человеческой психологии и требований безопасности происходит в момент принятия мелкого, почти автоматического решения: открыть файл от «коллеги», ответить на сообщение в чате, перейти по ссылке из письма. Этот момент не защищается сканированием трафика или блокировкой портов. Система видит легитимного пользователя, выполняющего обычные действия.
Зачем атакующим CRM: не данные, а легитимный процесс
Получение доступа к CRM часто рассматривается как цель для кражи базы клиентов или финансовой информации. В реальных атаках CRM используется не как хранилище, а как точка входа в легитимный рабочий процесс компании.
С доступом к системе атакующий получает возможность действовать в рамках привычных бизнес‑процедур: создавать встречи, отправлять сообщения клиентам, изменять статусы сделок. Эти действия не нарушают работу системы сразу и не вызывают подозрений в мониторинге. Клиент получает письмо от «менеджера» с изменёнными реквизитами для оплаты. Внутренняя система планирования создаёт встречу с фейковым контактом, чтобы менеджер выехал из офиса. История изменений в CRM выглядит как нормальная работа сотрудника.
Технические средства защиты CRM — двухфакторная авторизация, контроль сессий, аудит действий по требованиям ФСТЭК — не работают против этого сценария, потому что вход выполняется с разрешённого аккаунта в разрешённое время. Система видит легитимного пользователя, выполняющего легитимные операции.
Почему за семь минут можно получить всё
Сценарий, где атакующий за семь минут получает доступ к CRM, выглядит как череда случайностей. На деле, это результат многодневной или даже многомесячной подготовки, которая в момент звонка выглядит как часть нормального рабочего процесса.
Первая часть подготовки — создание доверия. Атакующий изучает публичные профили сотрудников компании, в первую очередь менеджеров, в российских соцсетях и профессиональных платформах. Анализируется профессиональный контекст: проекты, клиенты, типичные рабочие проблемы, терминология. Затем создаётся профиль, имитирующий представителя потенциального клиента или партнера из схожей отрасли. Профиль заполняется информацией, которая вызывает у менеджера автоматическое признание «Это мой круг».
Вторая часть — установление первичного контакта. Это не прямое сообщение с просьбой, а комментарий под профессиональным постом сотрудника, вопрос в LinkedIn или Telegram о детализации публичной презентации, подписка на корпоративный канал с уточняющим сообщением. Цель — попасть в список контактов, который сотрудник воспринимает как «рабочий», не «персональный».
Третья часть — ожидание момента сниженной концентрации. Обеденный перерыв, время после длинной совещания, пятница вечером. В эти моменты скорость принятия решений повышается, а критичность восприятия снижается. Это не связано с усталостью, а с переключением режима работы мозга из «фокусированного» в «процессный», где действия выполняются по шаблону.
Разбор звонка: почему менеджер не спрашивает «А кто вы?»
Техническая сторона может быть простой: звонок на корпоративный номер, опубликованный на сайте компании. Сценарий разговора строится не на убеждении, а на использовании шаблонов корпоративного общения.
Атакующий не представляется новым человеком. Он ссылается на предыдущий контакт: «Мы обсуждали ваш пост про интеграции, я тогда задавал вопрос по API». Менеджер не помнит детально каждого контакта, но признаёт факт общения, это часть его рабочей рутины. Затем атакующий переходит к текущей «проблеме»: «Готовим документы для сделки, но не можем зайти в CRM, чтобы проверить историю контактов. Система требует подтверждения от владельца записи». Проблема формулируется как техническое препятствие для рабочего процесса, а не как запрос на доступ.
Ключевой элемент — предложение решения от менеджера. Атакующий не просит пароль или логин. Он описывает ситуацию, в которой менеджер, как владелец процесса, должен помочь устранить препятствие. В корпоративной культуре помощь коллегам или партнерам в решении технических проблем считается нормальным действием. Менеджер предлагает: «Дайте мне ваш логин, я зайду и подтвержу». Атакующий отвечает: «Логин у нас общий, пароль вот…».
За семь минут проходит не «выманивание», а нормальный рабочий диалог о решении проблемы. Сотрудник не нарушает правила — он выполняет свою функцию.
Первые 24 часа после получения доступа
Атакующий не начинает массовое скачивание данных или немедленное изменение записей. Первые действия направлены на укрепление позиции внутри системы и её легитимизацию.
- Создание нескольких внутренних задач или комментариев к существующим задачам, связанных с текущими проектами менеджера. Цель — увеличить «вес» своего присутствия в истории активности. Если позже возникнет вопрос о необычных действиях, в логах будет видно, что пользователь работал в контексте текущих процессов.
- Настройка автоматических уведомлений или фильтров, которые будут отправлять информацию на внешние адреса через легитимные каналы. Например, уведомление об изменении статуса сделки копируется на «почту партнера». В CRM это выглядит как настройка для удобства совместной работы.
- Подготовка точки для следующего этапа: добавление нового пользователя с правами «помощника менеджера» или «аналитика». Этот пользователь создаётся с корпоративным email, который контролируется атакующим. Даже если основной доступ будет отозван, дополнительный аккаунт остаётся в системе.
Почему стандартные инструкции по ИБ не работают
Корпоративные правила безопасности, составленные для соответствия регуляторным требованиям, часто написаны для предотвращения очевидных угроз: «Не передавайте пароли», «Не открывайте подозрительные файлы». В сценарии с CRM сотрудник не передаёт пароль — он использует его для решения рабочей проблемы. Он не открывает подозрительный файл — он общается с контактом, который уже имеет историю коммуникаций и выглядит легитимным.
Инструкции, пытающиеся регулировать поведение в таких ситуациях, обычно используют формулировки «Проверяйте запросы на доступ», «Уточняйте цели обращения». Но в режиме рабочей нагрузки сотрудник воспринимает эти инструкции как дополнительный бюрократический шаг, который замедляет процесс. Если «коллега» или «партнер» просит помочь с технической проблемой, сотрудник не начинает процедуру уточнения — он решает проблему. Более того, в российской практике часто принято решать вопросы быстро и неформально, минуя бюрократические процедуры.
Технические меры, меняющие контекст принятия решения
Эффективная защита от таких атак не добавляет новых правил для сотрудников, а меняет технический контекст, в котором принимаются решения, интегрируя безопасность в сам рабочий процесс.
| Мера | Принцип работы | Влияние на поведение сотрудника |
|---|---|---|
| Система временных доступов для внешних участников | Если партнеру нужен вход в CRM для проверки данных, менеджер не передаёт основной пароль — он создаёт через интерфейс CRM одноразовый доступ (например, временную ссылку) с ограниченными правами и сроком жизни 15‑30 минут. | Сотрудник привыкает использовать этот инструмент для решения таких проблем, потому что это удобнее и быстрее, чем искать пароль или создавать аккаунт. |
| Автоматическое создание задачи при подозрительном входе | Если система фиксирует вход с IP из нового региона или в нестандартное время, она не блокирует доступ, но создаёт внутреннюю задачу для менеджера: «Подтвердите, что этот вход был легитимным». Это не профилактика, а пост‑фактумный контроль. | Задача становится частью обычной работы. Менеджер выполняет её в потоке других задач, не воспринимая как проверку безопасности. |
| Интеграция CRM с системой контроля коммуникаций | Если менеджер получает звонок или сообщение от контакта, который затем запрашивает доступ, система автоматически показывает историю предыдущих взаимодействий с этим контактом, выделяя моменты, которые могут быть признаками подготовки атаки. | Информация подается в момент принятия решения, как часть рабочего интерфейса, не как отдельное предупреждение ИБ. |
Смещение фокуса: угроза vs использование рабочих процессов
Типичная модель угрозы в ИБ — нарушитель, который пытается преодолеть защитные барьеры. В сценарии с CRM нарушитель не преодолевает барьеры — он использует рабочие процессы как механизм достижения цели. Это меняет подход к защите.
Не нужно укреплять барьеры вокруг системы — нужно анализировать процессы, которые предоставляют доступ к системе в штатном режиме работы. Какие ситуации приводят к передаче данных или доступов? Не «нарушение правила», а легитимные рабочие ситуации, где это происходит для решения проблемы. Тогда защита строится на пересмотре этих самых процессов.
Не менять поведение людей, а изменить систему их взаимодействия
Попытка изменить поведение сотрудников через инструкции или тренинги имеет низкую эффективность, потому что поведение формируется рабочим контекстом, а не правилами. Правила в российском корпоративном контексте часто воспринимаются как формальность для аудиторов.
Эффективный подход — изменение технического и процессного контекста, в котором сотрудник принимает решения. Если для помощи партнеру с доступом в CRM существует удобный инструмент временных доступов, сотрудник будет использовать его не из‑за правила безопасности, а из‑за удобства и скорости. Если система автоматически предлагает проверить историю контакта при запросе доступа, это становится частью рабочего процесса, не дополнительным шагом.
Защита от атак, основанных на использовании рабочих процессов, достигается не через запреты, а через интеграцию безопасных механизмов в сами процессы. Тогда семи минут в обеденное время становится недостаточно, потому что привычное действие сотрудника автоматически выполняется через защищённый канал, а атакующий не может имитировать этот новый, безопасный процесс.