“Общий доступ к файлам, оставленный на доверии и авось,, это мина замедленного действия под каждым бизнес-процессом. Всё работает до первой кадровой перестановки или конфликта. Тогда за пять минут вчерашний коллега превращается в главного нарушителя, а винить будет некого.”
Как устроена атака «отставного» инсайдера
Типичный сценарий не требует взломов или вредоносного ПО. Нужны только стандартные корпоративные инструменты: облачный диск, сетевой файловый сервер, система контроля версий или даже общая почтовая папка. Уволенный сотрудник или тот, кто уже решил уйти, действует в «окне возможностей» — период между уведомлением и реальным отключением доступов, который часто растягивается на две недели или больше.
В корпоративной среде распространены несколько шаблонов организации доступа, которые облегчают утечку.
Паттерн «Общая свалка»
В проекте или отделе создаётся папка с названием вроде «Общие_документы», «For_Team» или просто «_Shared». Права доступа на неё выдаются всем сотрудникам отдела разом, через группу в Active Directory или корпоративном портале. Внутри — хаотичная структура: черновики договоров, сканы паспортов клиентов, финансовые отчёты, списки контактов и учётные данные для тестовых стендов. Поиск критичных данных сводится к банальному просмотру папок и использованию поиска по файлам (например, по расширению .xlsx или ключевым словам «пароль», «клиенты»). Поскольку метки конфиденциальности отсутствуют, система защиты информации не отслеживает операции с этими файлами как подозрительные.
Паттерн «Наследственные права»
Сотрудник, получивший доступ к папке или базе данных пять лет назад для разовой задачи, сохраняет его навсегда. При увольнении отдел кадров или ИТ-служба отключают доступ к основным системам (почта, CRM), но про файловые хранилища забывают. Права наследуются через группы, членом которых остаётся учётная запись, или просто не удаляются вручную. В результате уволенный специалист продолжает видеть общие ресурсы, подключившись через VPN или веб-интерфейс корпоративного облака.
Паттерн «Ссылка для всех»
Чтобы быстро поделиться файлом с коллегой с другого отдела, сотрудник создаёт в Яндекс.Диске, Google Диске или на корпоративном Nextcloud/ownCloud публичную ссылку с правом просмотра или редактирования. Часто эта ссылка имеет неограниченный срок действия и не защищена паролем. Она попадает в чаты, письма и со временем забывается. Любой, у кого есть ссылка (включая поисковые системы, если её проиндексировали), получает доступ. Инсайдеру даже не нужны учётные данные — достаточно найти такую ссылку в истории переписки.
Почему технические меры защиты молчат
Классические средства защиты периметра и антивирусы бессильны против легитимных действий авторизованного пользователя. Загрузка файлов с общего ресурса на локальный диск или личный облачный аккаунт выглядит как обычная рабочая активность. DLP-системы могли бы помочь, но они часто настроены только на контроль почты и внешних портов, пропуская трафик через доверенные корпоративные облачные сервисы или не анализируя действия внутри файловых хранилищ.
Есть и более глубокая проблема. Системы мониторинга привилегированных пользователей (UEBA) и анализа поведения обычно фокусируются на администраторах и специалистах ИБ, но редко отслеживают рядовых сотрудников с доступом к массивам данных. Скачивание 500 МБ Excel-файлов с клиентской базой в последний рабочий день может быть интерпретировано как «подготовка отчёта перед увольнением», а не как инцидент.
Что говорит регуляторика: 152-ФЗ и требования ФСТЭК
С точки зрения законодательства, такая утечка — прямое нарушение требований к защите персональных данных. Статья 19 152-ФЗ обязывает оператора принимать меры, включая «определение перечня лиц, осуществляющих обработку персональных данных». Бесконтрольный общий доступ противоречит этому требованию. Фактически, если любой сотрудник отдела может скопировать базу, значит, перечень лиц не определён, а учёт и контроль доступа не осуществляются.
Методические документы ФСТЭК России дают более конкретные указания. Например, требование о разграничении прав доступа и регистрации событий безопасности. Инцидент с уволенным сотрудником нарушает оба пункта:
- Отсутствует разграничение на уровне отдельных файлов или записей (принцип минимальных привилегий).
- Нет детального журналирования операций «кто, когда, какой файл открыл или скопировал» на файловом сервере или в облачном хранилище, либо эти логи никто не анализирует в реальном времени.
В случае проверки Роскомнадзора после утечки, компания не сможет доказать, что она предприняла все необходимые организационные и технические меры. Это грозит не только крупными штрафами, но и предписанием о приостановке обработки ПДн, что для многих бизнесов означает остановку деятельности.
Практические шаги для закрытия бреши
Решение проблемы — не в единовременной чистке, а в построении системы управления доступом к данным. Вот с чего можно начать.
1. Аудит и инвентаризация точек общего доступа
Не пытайтесь искать вручную. Используйте встроенные средства или специализированные утилиты для сканирования. В корпоративной среде можно применить скрипты для анализа прав доступа.
[КОД: Получить список всех общих папок на файловом сервере и права доступа к ним]
Для облачных хранилищ (Яндекс.Диск для бизнеса, VK WorkDisk и аналоги) используйте отчёты администратора или API для выявления папок, доступных всей организации или внешним пользователям. Особое внимание — файлам и папкам с прямыми публичными ссылками.
2. Внедрение модели «чистого листа» для увольнений
Процедура увольнения должна быть автоматизирована и включать не только отключение учётной записи, но и полный аудит и отзыв всех доступов, которые были у сотрудника. Это включает членство в группах AD/Azure AD, права на общие папки, доступы в CRM, ERP, файловые хранилища и репозитории кода. Лучше всего интегрировать этот процесс между службой HR и ИТ, чтобы дата увольнения из кадровой системы автоматически запускала скрипт отзыва прав.
3. Сегментация данных и принцип минимальных привилегий
Прекратите практику «одна большая папка на всех». Структурируйте хранение:
- Конфиденциальные данные (ПДн, финансовые отчёты, коммерческая тайна): отдельные папки с доступом по именам. Каждый доступ согласовывается и логируется. Идеально — защищённые хранилища с шифрованием на уровне файлов.
- Рабочие документы: доступ по ролям. Например, только менеджеры по продажам конкретного региона имеют доступ к клиентам своего региона.
- Общие ресурсы: только та информация, утечка которой не нанесёт критического ущерба. Все остальные данные оттуда удаляются.
Внедрите регулярный (раз в квартал) пересмотр прав доступа. Запрос на доступ должен иметь ограниченный срок действия с необходимостью продления.
4. Активное журналирование и алертирование
Настройте сбор логов со всех файловых серверов и облачных сервисов в централизованную SIEM-систему. Создайте детекторы аномальной активности, специфичные для вашего контекста:
- Массовое скачивание файлов (например, >100 файлов за 10 минут) сотрудником, не имеющим такого паттерна в истории.
- Доступ к папкам с конфиденциальными данными в нерабочее время или с недоверенного устройства.
- Попытка доступа к ресурсам сотрудником, чья учётная запись должна быть уже заблокирована (по данным из HR-системы).
Неочевидные ловушки и граничные случаи
Даже после настройки строгой политики остаются слепые зоны.
Кешированные данные на рабочих станциях. Сотрудник мог годами работать с клиентской базой в локальном кеше программы (например, «1С» или почтового клиента). При увольнии он забирает ноутбук на проверку, а там остаётся полная локальная копия. Требуйте обязательной очистки рабочих станций с помощью специальных утилитов.
Мессенджеры и личная почта. Многие сотрудники годами пересылают себе «на всякий случай» рабочие файлы через Telegram или личную почту «чтобы поработать дома». Эта практика создаёт неконтролируемые копии за пределами корпоративного периметра. Бороться с этим можно только сочетанием технических ограничений (запрет на загрузку файлов в личные облака) и чётких внутренних регламентов с разъяснением ответственности.
Старые резервные копии. В резервных копиях файлового сервера за прошлый год могут остаться общие папки со старыми, неограниченными правами доступа. При восстановлении данных из такой копии (например, для поиска утерянного документа) вы невольно воссоздаёте старую, уязвимую структуру прав. Инвентаризация должна включать и политики резервного копирования.
Итог: доступ, это не про удобство, а про риск
Общий доступ, оставленный без управления, превращает каждый файл в потенциальную точку утечки. История с уволенным сотрудником, скачавшим базу клиентов, — не исключение, а закономерный результат отношения к данным как к чему-то второстепенному. Решение лежит не в поиске виноватых, а в построении прозрачных, подотчётных и технически обеспеченных процессов управления доступом, где право на копирование каждого файла — осознанное решение системы, а не случайное наследие прошлых настроек.