“Безопасность, это часто не про хакеров со взломом, а про беспечность тех, кто не замечает, как сами становятся точкой входа. С бывшими сотрудниками говорят по-разному: кто-то — юрист с увольнением, кто-то — в чате со смешными картинками. И именно там начинаются реальные инциденты, а не в сканировании портов”
.
Всё началось с того, что мне на глаза попались десятки объявлений о продаже «конфиденциальных баз данных клиентов» и «админ-доступов к системам» на различных полузакрытых площадках. Цены варьировались от стоимости ужина в ресторане до нескольких месячных зарплат. Возник вопрос: кто эти продавцы? Откуда у них информация? И, главное, так ли просто на самом деле купить реальный доступ к инфраструктуре компании?
Я решил проверить это на практике, но не через поиск в даркнете, а смоделировав ситуацию, которая в России встречается сплошь и рядом: увольнение IT-специалиста с высоким уровнем доступа. В роли «покупателя» выступил я сам, а в роли потенциального «продавца» — условный бывший IT-директор или системный администратор. Цель была не в совершении преступления, а в исследовании уязвимости, которая лежит не в технологиях, а в человеческих отношениях и корпоративных процессах.
Моделирование сделки: от первого сообщения до договорённости
Я создал легенду: представился руководителем отдела продаж небольшой, но агрессивно растущей компании-конкурента. Наш «бизнес» столкнулся с трудностями в привлечении клиентов, и нам «срочно нужна база для холодных обзвонов». Упор делался не на техническую сторону, а на бизнес-выгоду и взаимовыгодное сотрудничество.
Поиск «кандидата» занял меньше дня. Я ориентировался на профили в профессиональных сетях и тематических чатах, где люди открыто обсуждают поиск работы после сокращения или увольнения, иногда с негативными комментариями в адрес прошлого работодателя. Ключевой критерий — человек должен был иметь в опыте работы позицию, связанную с администрированием CRM-систем (например, 1С-Bitrix, amoCRM, Мегаплан) или всей IT-инфраструктурой. Я не искал активных хакеров — мне был интересен обычный, возможно, обиженный ситуацией специалист.
Первое сообщение было максимально осторожным и построенным вокруг гипотетической сделки:
«Добрый день. Вижу ваш профиль, вы ранее занимались администрированием [Название CRM] в [Сфера деятельности компании]. Мы могли бы быть заинтересованы в консультации по подобным системам. Если бы у вас была возможность предоставить доступ для аналитики структуры данных или экспорта определённой информации (например, по сегментам клиентов), мы были бы готовы обсучить вознаграждение. Всё строго конфиденциально».
Из десяти отправленных сообщений ответили трое. Двое вежливо отказались или заподозрили неладное. А третий — назовём его Алексей — ответил вопросом: «А что конкретно вас интересует и какое вознаграждение?». Диалог начался.
Переговоры: как цена упала до 5000 рублей
В ходе переписки выяснилось, что Алексей действительно недавно покинул должность IT-директора в компании из сферы B2B-услуг. По его словам, увольнение было «не по-хорошему», доступы отозвали не сразу, а некоторые «технические» учётные записи могли остаться активными. Он не предлагал данные сам — но на прямой вопрос, можно ли получить доступ к CRM или экспорт клиентской базы, не стал категорично отказывать.
Я намеренно начал с нереалистично высокой суммы в 150 000 рублей, чтобы оценить его реакцию. Его ответ был показательным: «Это слишком опасно и много. За такие деньги и проверять начнут». Вместо этого он сам предложил «символическую сумму за риск» — 20 000 рублей за предоставление дампа базы данных клиентов (контакты, история сделок) из старой резервной копии, к которой, по его утверждению, у него остался доступ.
Я начал торговаться, ссылаясь на риски и необходимость проверки данных перед полной оплатой. В итоге, после нескольких дней переписки, мы сошлись на 5000 рублей за «пробную» выборку данных (500 контактов) и инструкции по получению доступа к одной из «забытых» технических учётных записей в CRM. Для него это выглядело как быстрая и почти безнаказанная подработка. Для компании, которую он покинул, — потенциальная утечка тысяч записей и угроза компрометации всей системы.
Сделка не была завершена — после получения конкретных деталей о возможном методе доступа я прекратил общение. Но сам факт достижения договорённости и падения цены с условных 150 000 до 5 000 рублей красноречив. Риск внутренней угрозы был оценен самим инсайдером как минимальный, а стоимость компрометации — как цена нескольких чашек кофе.
Что на самом деле продавали: технические детали угрозы
В ходе общения «Алексей» описал несколько сценариев, которые он считал реализуемыми. Ни один из них не требовал хакерских навыков — только знание внутренней кухни.
- «Забытые» сервисные учётные записи. Во многих CRM (особенно локальных развёртываниях) создаются технические аккаунты для интеграций, ботов или резервного копирования. Их пароли часто не меняются годами и могут быть записаны в wiki или общих файлах, к которым у бывшего сотрудника остаётся доступ (например, через свой личный облачный диск, куда он копировал рабочие заметки).
- Бэкапы в открытом доступе. Резервные копии баз данных иногда выгружаются на FTP-сервера или в сетевые папки с минимальной защитой. Зная старый IP-адрес или путь, можно попробовать получить к ним доступ, если политика безопасности не пересматривалась после увольнения.
- Сессии и кеши на личных устройствах. Сотрудник мог работать с CRM с личного ноутбука или телефона. В браузере могли остаться активные сессии или сохранённые пароли. Корпоративные политики очистки устройств при увольнении в России часто носят формальный характер.
- Социальная инженерия с действующими коллегами. Бывший сотрудник может обратиться к бывшим коллегам из IT-отдела с просьбой «срочно помочь, нужен доступ для завершения старого проекта». На фоне личных отношений такая просьба может сработать.
Ни один из этих векторов не является «взломом» в классическом понимании. Это эксплуатация доверия, небрежности или несовершенства административных процедур. Именно на такие сценарии часто не рассчитаны стандартные меры защиты из checklist’ов по 152-ФЗ.
Почему это проблема 152-ФЗ и ФСТЭК, а не только HR
Федеральный закон № 152-ФЗ «О персональных данных» обязывает оператора обеспечивать безопасность ПДн, в том числе от несанкционированного доступа. Утечка через бывшего сотрудника — классический пример такого доступа. Однако многие компании фокусируются на выполнении формальных требований ФСТЭК (защищённые каналы, шифрование, СЗПДн), упуская из виду человеческий фактор и жизненный цикл учётных записей.
Требования регуляторов подразумевают не только наличие документов, но и реальную эффективность мер. Инцидент с инсайдером может стать основанием для проверки, которая выявит, что:
- В компании отсутствует формализованный и контролируемый процесс offboarding (вывода сотрудника из информационных систем).
- Не ведётся актуальный реестр учётных записей с привязкой к сотрудникам, не проводится регулярный аудит активных сессий и привилегий.
- Не реализован принцип минимальных привилегий (Privileged Access Management — PAM) для администраторов CRM-систем.
- Не проводится инструктаж сотрудников о правилах работы с данными и рисках социальной инженерии.
формально выполняя требования по защите периметра, компания может грубо нарушать закон из-за неотлаженных внутренних процессов. Ответственность за это ложится как на службу информационной безопасности, так и на руководителя, который утверждает эти процессы.
Что делать, чтобы это не произошло в вашей компании
Меры противодействия должны быть системными и охватывать три слоя: технологический, процессный и человеческий.
Технологический слой: жёсткий контроль доступа
- Единый центр аутентификации (например, на базе Active Directory или корпоративного SSO). Все доступы к CRM, базам данных и файловым хранилищам должны быть привязаны к корпоративной учётной записи. Увольнение = одна операция по отключению учётной записи.
- Внедрение PAM-решений для привилегированных учётных записей. Доступ админов к CRM должен осуществляться через выделенный портал с обязательной многофакторной аутентификацией, сессионной записью (session recording) и одобрением операций. Пароли от технических аккаунтов не должны быть статическими.
- Регулярный автоматизированный аудит. Скрипты или SIEM-системы должны проверять наличие активных сессий от уволенных сотрудников, а также анализировать логи на предмет аномальных действий (массовая выгрузка данных, вход в нерабочее время с необычных IP).
Процессный слой: регламенты вместо памяти
- Чек-лист вывода сотрудника (Offboarding Checklist). Документ, который запускается HR в день увольнения и включает пункты: уведомление ИБ, отзыв всех цифровых доступов (CRM, почта, облачные сервисы, wiki, VPN), сбор корпоративных устройств с принудительной очисткой, проверка активности в логах за последние две недели.
- Политика работы с данными. Чёткие правила, запрещающие хранение рабочих паролей и бэкапов в личных облаках, копирование клиентских баз на личные носители. Правила должны быть частью трудового договора и подписываться сотрудником.
- Регулярный пересмотр прав доступа. Каждые квартал руководители подразделений должны подтверждать необходимость текущих прав доступа для своих сотрудников к таким системам, как CRM.
Человеческий слой: культура и осведомлённость
- Обязательный вводный инструктаж по ИБ для всех новых сотрудников с разбором реальных кейсов утечек через инсайдеров. Акцент на личной ответственности и последствиях.
- Периодическое тестирование на устойчивость к социальной инженерии. Например, моделирование фишинговых писем от имени «бывшего коллеги» с просьбой поделиться доступом.
- Каналы для анонимного сообщения о подозрительных действиях. Сотрудник, заметивший, что его бывший коллега интересуется паролями или пытается получить доступ, должен знать, куда и как можно об этом сообщить без страха последствий.
Заключение
Эксперимент показал, что риск инсайдерской угрозы со стороны бывших сотрудников — не выдумка параноидальных специалистов по безопасности, а реальная и относительно дешёвая для злоумышленника возможность. За 5000 рублей можно найти человека, готового пойти на сделку, считая риск мизерным.
Для компании ущерб от такой утечки измеряется не только штрафами от Роскомнадзора по 152-ФЗ, но и потерей репутации, уходом клиентов и судебными исками. При этом стандартные затраты на защиту периметра часто бессильны против этой угрозы.
Ключ к защите — в признании, что безопасность данных заканчивается не на межсетевом экране, а в головах и рабочих процессах каждого сотрудника. Пересмотр процедур offboarding, внедрение строгого контроля привилегий и формирование культуры осознанного отношения к данным, это не просто «хорошо бы иметь», а необходимое условие для реального соответствия требованиям регуляторов и сохранения бизнеса.