“Информация утекает там, где её не ждут. Любой звонок в офис может стать источником данных для постороннего, а единственный человек, способный это предотвратить — секретарь на линии. Я задаю три вопроса, чтобы понять, насколько компания открыта для утечек даже не из-за хакерских атак, а из-за банального человеческого фактора.”
Не хакеры, а обычные звонки
Когда говорят об утечке данных, представляют себе сложные кибератаки, взломы баз и действия злоумышленников. Однако значительная часть конфиденциальной информации покидает периметр компании через обычные телефонные звонки. Сотрудники, которые ежедневно общаются с внешним миром, не всегда осознают, что простой разговор может раскрыть структуру компании, имена ответственных лиц, внутренние процессы или даже коммерческие тайны.
Секретарь или оператор на линии — первый и главный фильтр. От его действий зависит, получит ли звонящий лишнюю информацию. Многие компании внедряют сложные системы защиты данных, но при этом их сотрудники на телефоне готовы рассказать о том, кто и чем занимается, лишь бы вежливо ответить на вопрос. Эта утечка не фиксируется в логах, не оставляет следов в системе, но её последствия могут быть не менее серьёзными.
Первый вопрос: «Можно поговорить с тем, кто отвечает за безопасность?»
Этот вопрос проверяет, насколько легко можно выяснить структуру и роли внутри организации. Идеальный ответ — «Уточните, по какому вопросу?» или «Оставьте ваши контакты, и ответственный сотрудник перезвонит вам». Плохой ответ — сразу назвать имя, должность и отдел: «Это Иван Иванович, начальник отдела информационной безопасности, я сейчас соединю».
Почему это важно? Называя конкретное имя и должность, секретарь не просто соединяет звонок. Он подтверждает постороннему человеку:
- существование в компании конкретной должности, отвечающей за безопасность;
- имя и фамилию ответственного лица;
- факт, что этот сотрудник вообще существует и доступен по телефону.
Для злоумышленника это — первичная разведка. Теперь он знает, к кому можно адресовать дальнейшие, более детальные вопросы, возможно, представившись коллегой из другого отдела или партнёром. Имя и должность, это элементы для социальной инженерии.
Что должно происходить? Секретарь не должен раскрывать внутреннюю структуру. Его задача — принять входящий запрос, зафиксировать его (например, в системе учёта обращений) и передать ответственному лицу, которое уже само решит, как реагировать. Звонящий не должен получать имён и должностей без необходимости.
Второй вопрос: «А к кому можно обратиться по поводу [конкретный внутренний процесс, например, подключения к Wi-Fi для гостей]?»
Этот вопрос направлен на выявление утечки информации о внутренних процедурах. Цель — понять, насколько свободно сотрудники делятся сведениями о том, как в компании организованы рабочие процессы, которые не предназначены для широкой огласки.
Пример плохого ответа: «О, по Wi-Fi обращайтесь прямо к Петру Петровичу из IT-отдела, его внутренний номер 127, он обычно после трёх свободен».
Такой ответ выдаёт:
- конкретное имя ответственного сотрудника;
- его внутренний телефонный номер (элемент внутренней нумерации);
- распорядок его дня (когда он «свободен»);
- сам факт, что подключением Wi-Fi занимается конкретный человек, а не автоматизированная служба.
Для атакующего это — золотая жила. Он узнаёт не только имя, но и режим работы, что позволяет спланировать звонок в наиболее подходящее время. Знание внутреннего номера упрощает дальнейшие манёвры, например, звонок с внутреннего номера другого отдела, чтобы представиться коллегой.
Правильная реакция секретаря: «У нас есть регламент по подключению гостевого Wi-Fi. Оставьте, пожалуйста, ваши данные и цель подключения, с вами свяжется ответственный специалист». Никаких имён, никаких номеров, никаких деталей процедуры.
Третий вопрос: «Подскажите, а [имя генерального директора] сегодня на месте?»
Вопрос, который кажется безобидным и вежливым, но проверяет защищённость информации о передвижениях ключевых фигур в компании. Ответ на него может раскрывать не только расписание, но и косвенно подтверждать или опровергать слухи, указывать на наличие совещаний или важных событий.
Некорректный ответ: «Да, Иван Сергеевич сегодня на месте, но у него до обеда планерка, позвоните после двух».
Что становится известно звонящему:
- факт присутствия руководителя в офисе в данный день;
- его расписание (планерка до обеда);
- время, когда он предположительно будет доступен.
Эта информация ценна для конкурентной разведки, для планирования визитов или, в худшем случае, для злоумышленников, выясняющих график работы топ-менеджмента для целенаправленных атак (например, фишинговых писем, якобы отправленных «от руководителя» в момент его занятости).
Как должен отвечать секретарь: «Я не располагаю информацией о графике руководителя. Если вам необходимо с ним связаться, оставьте ваши контакты и суть обращения, я передам запрос». Даже если секретарь прекрасно знает расписание, его задача — не делиться им.
Что стоит за этими вопросами: принцип минимального раскрытия
Три описанных вопроса — не просто тест для секретаря. Это проверка на соблюдение базового принципа информационной безопасности: принципа минимального раскрытия (need-to-know). Сотрудник, общающийся с внешним миром, должен предоставлять ровно столько информации, сколько необходимо для выполнения легитимного запроса, и не больше.
Проблема в том, что в корпоративной культуре часто поощряется «отзывчивость» и «готовность помочь». Секретарь, который вежливо и подробно отвечает на все вопросы, выглядит как хороший сотрудник. Но с точки зрения безопасности он создаёт риски. Нужно чётко разделить: помочь клиенту или партнёру, это одно, а раскрывать внутреннюю кухню компании — совершенно другое.
Внедрение этого принципа требует не только инструкций, но и регулярного обучения. Секретарь должен понимать почему нельзя называть имена и номера, а не просто механически следовать правилу. Он должен уметь мягко, но уверенно отклонять попытки выведать информацию, не создавая при этом ощущения подозрительности или недружелюбия.
Как внедрить защиту на уровне секретариата
Обеспечить безопасность на этом рубеже — задача не только для самого секретаря, но и для службы безопасности и руководства.
1. Разработка скриптов и регламентов
Для типовых ситуаций (запрос о конкретном сотруднике, о внутренних процессах, о руководстве) должны быть подготовлены шаблоны ответов. Эти скрипты не делают общение бездушным — они дают сотруднику уверенность и готовую формулировку.
Пример скрипта для запроса о сотруднике:
«По какому вопросу вы хотели бы с ним связаться?»
«Оставьте, пожалуйста, ваши контакты и суть обращения, я передам ему вашу информацию.»
«Специалист сам решит, как с вами связаться.»
2. Обучение и тренировки
Инструктаж по безопасности должен включать не только общие положения, но и ролевые игры. Можно проводить учебные звонки, в ходе которых проверяется, как секретарь реагирует на попытки выведать информацию. Важно разбирать не только ошибки, но и удачные примеры, когда сотрудник смог вежливо отказать в предоставлении лишних данных.
3. Техническая поддержка
Часть информации секретарь может раскрывать непреднамеренно просто потому, что она у него перед глазами. Если на мониторе постоянно висит список внутренних телефонов с именами и отделами, высока вероятность, что в разговоре он будет непроизвольно на него ссылаться. Доступ к таким внутренним справочникам во время приёма внешних звонков стоит ограничить или выводить на отдельный экран, не видимый со стороны.
Ошибки, которые ведут к утечкам
Даже при наличии инструкций сотрудники часто совершают типичные ошибки, основываясь на привычках или желании быть полезными.
| Ситуация | Ошибочное действие | Правильное действие |
|---|---|---|
| Звонок с просьбой соединить с «отделом IT». | Соединение с первым попавшимся внутренним номером IT-отдела без уточнений. | Уточнить суть вопроса. Если запрос общий — перевести на общую линию поддержки или принять контакты для обратной связи. |
| Запрос: «А ваш бухгалтер сейчас на месте?» | «Да, Мария Ивановна на месте, только она обедает». | «Я не могу подтвердить присутствие сотрудника. По какому вопросу? Я передам ей информацию». |
| Просьба уточнить email для отправки коммерческого предложения. | Назвать прямой email конкретного менеджера. | Предоставить общий email отдела (например, sales@company.ru) или предложить отправить предложение секретарю для передачи. |
Главная ошибка — предположение, что звонящий имеет легитимное право на информацию. Проверка этого права — не обязанность секретаря, но он должен действовать так, чтобы не раскрывать данные, пока их право не подтверждено другими способами (например, через официальный запрос или верификацию личности).
Не только секретарь: культура безопасности на всех уровнях
Описанные риски касаются не только сотрудников на телефоне. Аналогичные ситуации возникают при общении в мессенджерах, по электронной почте, в ответ на запросы в социальных сетях. Принцип минимального раскрытия должен распространяться на всех, кто представляет компанию вовне.
Регулярные учения, когда сотрудники разных отделов получают смоделированные провокационные запросы, помогают выработать осторожность. Важно, чтобы в компании не было стигмы вокруг «излишней подозрительности». Безопасность, это не про недоверие к каждому, а про осознанное управление информационными потоками.
Проверьте свою организацию. Позвоните в офис с обычного номера и задайте эти три вопроса. Ответ, который вы получите, покажет, насколько ваша компания открыта для утечек, о которых даже не подозревает.