«Попытка заблокировать личную почту для защиты данных, это классическая ошибка. Обычный ответ ИБ-специалиста: поставить запрет. Но если копнуть глубже, окажется, что сама проблема — не утечка данных, а неэффективные бизнес-процессы. Сотрудники не сливают файлы, они просто работают. И задача ИБ — не ставить заслоны, а дать им нормальный инструмент.»
Почему все закручивают гайки
Сценарий знаком многим: аудит обнаруживает вложения с внутренними документами в почтовых ящиках Mail.ru или Яндекс, а специалист по информационной безопасности требует блокировать всё, что не связано с корпоративной системой. Формально он прав: 152-ФЗ и требования ФСТЭК требуют контроля над конфиденциальными данными. Однако такой подход приводит к бесконечной гонке: сотрудники находят новые обходные пути — мессенджеры, облачные хранилища, флешки, — а ИБ-служба лишь наращивает список запретов.
Это не решает проблему, а лишь смещает её. Вместо того чтобы найти причину, мы боремся со следствием.
Что на самом деле происходит, когда «сливают» файлы
Давайте посмотрим, как обычно выглядит «слив» на практике.
- Работа из дома. Сотруднику нужен доступ к рабочему файлу с личного ноутбука. Корпоративный VPN тормозит или не установлен. Проще всего — отправить файл себе на личную почту. Цель — не навредить, а выполнить задачу.
- Быстрый обмен с партнёром. Нужно срочно отправить черновик договора юристу из сторонней организации. Официальный канал требует заполнения заявки и согласования, на которое уйдёт полдня. Личная почта решает вопрос за минуту.
- Работа над совместным документом. Сотрудники из разных отделов используют Google Docs или аналоги, потому что корпоративный аналог неудобен или не позволяет работать одновременно. Файл, по сути, уже находится во внешнем сервисе.
В каждом случае движущей силой является не злой умысел, а барьеры в рабочих процессах. Сотрудник выбирает путь наименьшего сопротивления, который часто противоречит политикам безопасности.
Как посчитать реальные риски
Прежде чем что-то блокировать, нужно оценить масштаб. Ручной анализ логов почтового шлюза — задача для мазохистов. Намного эффективнее использовать средства анализа трафика, например, DLP-системы или SIEM. Но их настройка — отдельная история.
Главное — понять критерии поиска. Искать нужно не по доменам вроде @gmail.com, а по содержанию. Типичные индикаторы — шаблоны документов (номера договоров, реквизиты компании), ключевые слова из внутренних классификаторов («для служебного пользования», «коммерческая тайна»), а также факты передачи больших объёмов данных (архивов, баз SQL) на личные адреса.
.
Такой анализ покажет не «слив», а картину рабочего обмена. Вы удивитесь, но часто большая часть трафика приходится на 2–3 человека: например, бухгалтера, отправляющего отчёты внешнему аудитору, или разработчика, синхронизирующего код через личный Git.
Альтернатива блокировкам: создание удобных каналов
Если сотрудники используют личную почту, значит, у них нет нормальной альтернативы. Задача — её предоставить.
1. Корпоративный файлообменник с внешним доступом
Простой сервис вроде Nextcloud или собственное решение на базе веб-сервера. Суть: сотрудник загружает файл, система генерирует уникальную ссылку с паролем и сроком действия, которую можно отправить хоть в Telegram. Файл не уходит на внешние серверы, скачивания логируются.
[КОД: пример команды для создания одноразовой ссылки с помощью утилиты на Linux-сервере].
2. Санкционированные облачные хранилища
Полностью запретить «облака» в 2024 году невозможно. Но можно их легализовать. Заключить договор с российским провайдером облачных услуг, который обеспечивает шифрование данных и предоставляет логи доступа. Тогда работа с документами через веб-интерфейс станет не нарушением, а частью утверждённого процесса.
3. Упрощённые процедуры для работы с партнёрами
Если сотруднику регулярно нужно отправлять документы конкретному контрагенту, создайте для этого предсказуемый регламент. Например, выделенный безопасный канал (SFTP) или разрешённый к использованию мессенджер с обязательным шифрованием. Важно, чтобы согласование на отправку занимало не больше пяти минут через тикет-систему.
Как внедрить изменения, не вызвав бунта
Запретить — просто. Внедрить новое — сложно. Вот схема, которая работает:
- Покажите данные. Соберите ответственных руководителей и продемонстрируйте статистику: «Вот, смотрите, за месяц 500 файлов ушли на личные ящики. Это риск штрафов по 152-ФЗ. Давайте решим это вместе».
- Предложите решение, а не ультиматум. Вместо «запрещаем почту» скажите: «Мы внедряем корпоративный обменник. Он быстрее. Вам не нужно ждать согласований для отправки файла партнёру».
- Запустите пилот. Внедрите новый инструмент в одном отделе, который больше всего «грешит» пересылками. Исправьте ошибки, получите обратную связь.
- Объясните и обучите. Проведите короткие инструктажи не о безопасности, а об эффективности: «Вот как это поможет вам быстрее закрывать задачи».
- Только потом вводите ограничения. Когда альтернатива работает и ею пользуются, можно постепенно ужесточать политики на почтовом шлюзе, блокируя пересылку конфиденциальных вложений на запрещённые домены. При этом у сотрудников уже будет рабочий обходной путь.
Что это даёт с точки зрения регуляторики
Такой подход превращает вас из полицейского в архитектора безопасных процессов. Для ФСТЭК и проверок по 152-ФЗ важны не сами запреты, а доказательства управления рисками.
Когда у вас есть:
- Аналитика инцидентов (те самые логи пересылок);
- Внедрённые организационно-распорядительные меры (регламенты по использованию санкционированных каналов);
- Технические средства контроля (DLP, логирование доступа к файлообменнику);
- Документированные процедуры для исключений (форма согласования отправки),
— вы демонстрируете осмысленную систему защиты информации. Это гораздо весомее, чем скриншот из интерфейса почтового шлюза с кнопкой «Заблокировать всё».
Итог: от контроля к архитектуре
Проверка того, сколько файлов уходит на личную почту,, это не финальная цель, а отправная точка для диагностики бизнес-процессов. Остановить «слив» можно не блокировками, которые люди всё равно обойдут, а созданием легальных, удобных и безопасных способов работы. Это сложнее, но именно такая работа переводит информационную безопасность из затратного центра в инструмент, который реально помогает бизнесу работать, оставаясь в правовом поле.