30 мая 2025 года штрафы за утечку персональных данных выросли до 15 млн рублей. Но что, если угроза исходит не от хакеров, а от своих же сотрудников? Бывший менеджер уносит контакты клиентов к конкурентам, бухгалтер скачивает платёжные реквизиты перед увольнением, а топ-менеджер передаёт переписку третьим лицам. Разберём, как руководителю выстроить защиту в Битрикс24, чтобы минимизировать риски умышленной утечки.
1. Как сотрудники сливают данные из Битрикс24?
Схемы, которые используют недобросовестные работники:
- Массовый экспорт контактов (выгрузка Excel через встроенные отчёты)
- Скриншоты и пересылка (Telegram, личная почта, облачные диски)
- Доступ «на время» (сотрудник даёт логин/пароль «временно», но не отзывает)
- Физический доступ (например, к незаблокированному компьютеру с открытой CRM)
Пример:
Менеджер по продажам перед увольнением выгрузил базу клиентов и передал её конкуренту. В Битрикс24 не было ограничений на экспорт, а в правах доступа стояло «Полный доступ».
2. Как настроить Битрикс24 против утечек?
Технические меры:
- Жёсткое разграничение прав - запретите «Полный доступ» там, где он не нужен. Настройте роли: например, менеджер видит только своих клиентов, а не всю базу.
- Отключение массового экспорта - ограничьте выгрузку данных в Excel (настройки → Права доступа → Запрет экспорта). Если экспорт необходим — настройте утверждение запросов через руководство.
- Двухфакторная аутентификация (2FA) - даже если сотрудник передаст логин и пароль, без кода из приложения/SMS войти не получится.
- Защита от перехвата активной сессии - если злоумышленник получит доступ к компьютеру сотрудника или перехватит сессию (например, через куки), Битрикс24 автоматически разорвёт соединение через заданный интервал времени (от 1 минуты).
- Ограничение доступа по IP (только для корпоративной сети) - даже если злоумышленник получит логин и пароль сотрудника, он не сможет войти в Битрикс24 вне офиса.
Организационные меры:
- Подпишите NDA с сотрудниками - включите пункт о неразглашении клиентской базы с штрафными санкциями.
- Контроль устройств - запретите вход в CRM с личных устройств или неавторизованных IP.
- Проверка при увольнении - перед расчётом отключайте доступ и проверяйте журнал действий.
3. Что делать, если данные уже утекли?
- Зафиксируйте факт утечки (скриншоты, логи доступа)
- Заблокируйте аккаунт сотрудника (если он ещё работает)
- Обратитесь к юристам — возможно, стоит подать в суд за нарушение NDA
- Предупредите клиентов, если скомпрометированы их персональные данные (это требуется по 152-ФЗ)
Вывод
Битрикс24 — мощный инструмент, но без правильных настроек он может стать «чёрным ходом» для утечки данных. Защита от внутренних угроз требует не только технологических решений (разграничение прав, аудит), но и юридических (NDA, контроль доступа). Не ждите инцидента — настройте CRM сейчас, чтобы завтра не потерять клиентов и 15 млн рублей штрафа.
P.S. Нужна помощь в аудите безопасности Битрикс24? Проверим настройки, выявим уязвимости и поможем закрыть риски!