Утечка данных через личный мессенджер: как скриншот лишил компанию контракта

от

"Государственная тайна начинается не с грифа «Секретно», а с экрана твоего рабочего монитора. Там, где смешиваются служебный ноутбук, личный мессенджер и бытовое желание «прокинуть скрин коллеге», разворачивается фронт незаметной утечки. Реальная цена такой халатности измеряется не штрафом от ФСТЭК, а потерей доверия, репутации и многомиллионных договоров."

С чего всё началось: рабочий день как обычно

Рабочий чат. Обсуждение деталей предстоящего тендера с бюджетом в несколько миллионов. На экране — открытая таблица в редакторе, в ней итоговый расчёт проекта, его экономическое обоснование и закрытые коммерческие условия для партнёра. Нужно быстро уточнить цифру у коллеги, который сейчас на встрече. Проще всего — сделать скриншот области с конкретными данными и отправить в личный чат. Делаете это ежедневно, не задумываясь. Telegram установлен на телефоне, а телефон и рабочий ноутбук — в одной сети. Кнопка «Поделиться», выбор приложения, отправка.

Именно в этот момент происходит инцидент защищаемой информации. Скриншот, содержащий коммерческую тайну — ту самую цену, ради которой ваш потенциальный клиент и ведёт переговоры, — покидает периметр защищённой корпоративной инфраструктуры. Он попадает на серверы стороннего мессенджера, не имеющего сертификации ФСТЭК России. Теперь это не ваши данные. Это данные компании-владельца мессенджера, которые, согласно его пользовательскому соглашению, могут храниться, обрабатываться и теоретически быть доступны третьим лицам в определённых юрисдикциях. Вы только что нарушили базовый принцип 152-ФЗ — не передали персональные данные оператору, который не обеспечивает адекватную защиту. Только в роли «персональных данных» выступила коммерческая тайна вашего заказчика.

Почему это не просто «отправил скрин коллеге»

В глазах технического специалиста это бытовое действие. В глазах службы безопасности заказчика, особенно если он работает с гостайной или выполняет госзаказ, это — инцидент информационной безопасности с признаками утечки. Рассмотрим, что видит на своей стороне потенциальный клиент, чьи данные вы таким образом «прокинули».

  1. Нарушение конфиденциальности. Информация, которую вы должны были хранить в рамках NDA (соглашения о неразглашении) и регламентов проекта, оказалась за пределами согласованного контура. Доказать, что она никуда больше не утекла, невозможно.
  2. Использование непредназначенных каналов. Деловая переписка по проекту должна вестись через утверждённые, часто корпоративные, средства связи (корпоративная почта, сертифицированные мессенджеры вроде «СБИС» или «VK Мессенджер» для бизнеса). Использование Telegram, особенно на личном устройстве, выводит коммуникацию из-под контроля и аудита компании-заказчика.
  3. Передача данных третьей стороне (оператору Telegram). Это ключевой пункт с точки зрения 152-ФЗ. Даже если в скриншоте нет ФИО и паспортных данных, он содержит «иную информацию», относящуюся к субъекту — юридическому лицу (коммерческие условия). Их передача оператору, не обеспечивающему должной защиты, является нарушением.

Когда служба безопасности заказчика проводит внутреннюю проверку (а для госкомпаний это стандартная процедура после любого инцидента) и обнаруживает факт подобной передачи, она обязана зафиксировать нарушение. Дальше — отчёт руководству. Руководство, в свою очередь, оценивает риски: если подрядчик так халатно обращается с конфиденциальными данными на этапе обсуждения, что будет на этапе реализации, когда у него будет доступ к реальным системам?

Тот самый звонок, после которого всё закончилось

Звонок поступает не от вашего контактного лица в компании-заказчике, а от начальника его отдела или службы экономической безопасности. Тон — официальный, без эмоций. Вам сообщают, что в ходе внутреннего мониторинга зафиксирован факт передачи защищаемой информации через непредназначенные, незащищённые каналы связи. Упоминают возможные нарушения требований 152-ФЗ и внутренних регламентов.

Вам предлагают предоставить объяснительную. Но суть разговора уже ясна: доверие подорвано. Даже если формально контракт ещё не подписан, дальнейшее сотрудничество становится невозможным. Проект, над которым работали месяцы, уходит к конкурентам. Официальная причина отказа в тендере будет звучать как «предложенные условия не соответствуют требованиям заказчика», но истинная причина — одна необдуманная пересылка.

Какие уязвимости использовал этот простой скриншот

Казалось бы, одна операция вскрыла несколько слоёв проблем, типичных для многих российских IT-компаний:

Уязвимость Последствие в данном случае
Смешение личного и рабочего. Использование личного смартфона и мессенджера для рабочих задач. Данные ушли в незащищённое личное пространство, неконтролируемое корпоративной политикой.
Отсутствие чёткого регламента. Нет утверждённого списка разрешённых средств коммуникации для проектов с повышенными требованиями к безопасности. Сотрудник действовал по привычке, а не по инструкции.
Недооценка ценности информации. Восприятие скриншота с цифрами как «просто цифр», а не как объекта коммерческой тайны. Не сработал внутренний фильтр «можно ли это пересылать».
Технические ограничения. Возможно, корпоративные инструменты для обмена файлами были неудобны или медленны, что подтолкнуло к использованию «быстрого» варианта. Удобство победило безопасность.

Главная проблема в том, что такой инцидент почти никогда не является злым умыслом. Это системная ошибка, возникающая на стыке человеческого фактора, несовершенных процессов и неосознания реальных правовых последствий.

Что говорит законодательство (152-ФЗ, ФСТЭК, ГИС)

С точки зрения регуляторики, ситуация выглядит так:

  • Федеральный закон № 152-ФЗ «О персональных данных». Закон регулирует обработку персональных данных. К коммерческой тайне он применяется не прямо, но по аналогии. Ключевое — оператор (ваша компания) обязан обеспечить конфиденциальность данных. Передача их для обработки другому оператору (Telegram) возможна только с согласия субъекта и если тот оператор обеспечивает надлежащую защиту. В случае с иностранным мессенджером это условие невыполнимо. Таким образом, даже без прямого указания на «коммерческую тайну» в законе, ваши действия подпадают под нарушение обязанности оператора по обеспечению конфиденциальности.
  • Требования ФСТЭК России. Для компаний, работающих с гостайной или в критически важных отраслях, существуют приказы ФСТЭК, которые прямо запрещают использование непредназначенных технических средств (каким является личный смартфон с неуправляемым ПО) для работы с защищаемой информацией. Утечка через такой канал — прямое нарушение.
  • Государственная информационная система (ГИС). Если заказчик — государственная структура или работает с ГИ, то к нему применяются жёсткие стандарты. Ваши действия как подрядчика автоматически ставят под угрозу соответствие всей системы требованиям, что для заказчика неприемлемо.

Заказчик, особенно государственный, не может позволить себе риски, связанные с недисциплинированным подрядчиком. Отказ от сотрудничества, это его способ минимизировать угрозы.

Как предотвратить повторение: технические и организационные меры

Чтобы подобный сценарий не разрушил следующий контракт, необходимо действовать на нескольких уровнях.

Организационный уровень (политики и регламенты):

  • Чётко определить и довести до всех сотрудников перечень информации, составляющей коммерческую тайну и конфиденциальные данные.
  • Утвердить и внедрить список разрешённых средств коммуникации для работы с разными типами контрагентов (особенно для госсектора). Это могут быть «VK Мессенджер для бизнеса», «СБИС», «Р7-Офис» для документов или корпоративный Mattermost/Rocket.Chat на своём сервере.
  • Внедрить процедуру краткого инструктажа по ИБ перед началом работы над каждым новым проектом с жёсткими требованиями.

Технический уровень (контроль и ограничения):

  • Внедрение DLP-систем (Data Loss Prevention) на рабочих станциях. Такая система может заблокировать попытку сделать скриншот защищённого окна или отправить файл с ключевыми словами через непредназначенный канал.
  • Использование решений класса Enterprise Mobility Management (EMM) или Mobile Device Management (MDM) для корпоративных мобильных устройств. Они позволяют изолировать рабочие данные и приложения от личных.
  • Для особо защищённых рабочих мест — запрет на подключение личных устройств к корпоративной сети и использование физических или программных средств защиты от создания скриншотов.

Уровень культуры безопасности:

  • Регулярное обучение сотрудников не на абстрактных примерах, а на разборе реальных, в том числе «бытовых», инцидентов.
  • Создание атмосферы, где сотрудник, сомневаясь в способе передачи информации, знает, к кому обратиться за оперативным ответом от службы ИБ.

    Что делать, если инцидент уже произошёл

Если вы осознали, что конфиденциальная информация уже утекла, последовательность действий должна быть жёсткой:

  1. Немедленно информировать. Сообщить своему непосредственному руководителю и в службу информационной безопасности вашей компании. Утаивание усугубит последствия.
  2. Зафиксировать. Сохранить все доказательства: время отправки, адресата, точное содержание отправленного сообщения (если возможно). Удаление сообщения у себя ничего не даст — оно останется на серверах мессенджера и у получателя.
  3. Уведомить заказчика. Это самый сложный, но необходимый шаг. Лучше, если это сделает ваше руководство или юрист. Честное уведомление об инциденте с предложением плана по исправлению ситуации иногда может спасти репутацию и показать, что вы контролируете процессы. Молчание гарантированно ведёт к потере доверия при обнаружении.
  4. Провести внутреннее расследование. Установить причины и принять меры к сотруднику (не обязательно увольнение, часто эффективнее переобучение) и к исправлению процессов.
  5. Обновить меры защиты. На основании произошедшего пересмотреть и усилить технические и организационные меры, чтобы исключить повторение.

Потеря контракта, это финансовый удар. Но более серьёзный удар — по репутации. В узком профессиональном сообществе, особенно в сфере, связанной с госзаказом, информация о ненадёжном подрядчике распространяется быстро. Восстановить имя будет в разы сложнее и дороже, чем внедрить систему, которая не позволит сделать роковой скриншот. Осознание того, что безопасность, это не абстрактные требования регулятора, а конкретные действия, защищающие бизнес здесь и сейчас, становится критическим навыком для любой компании, претендующей на серьёзные проекты.

Оставьте комментарий