Документ предоставлен КонсультантПлюс
«Представьте, что вы потратили миллионы на строительство неприступной цифровой крепости. У вас высокие стены — файрволы последнего поколения. У вас бдительная стража — собственный штат специалистов по безопасности. У вас сложные замки — многофакторная аутентификация. А потом вы нанимаете садовника для ухода за газоном, отдаете ему ключ от боковой калитки и не спрашиваете, куда он его кладет на ночь. Абсурд? Именно так сегодня выглядит информационная безопасность 9 из 10 крупных компаний, активно привлекающих внешних исполнителей.
Меня зовут Петр Сухоруких, и моя работа – спасать репутацию компаний после катастроф. Я могу сказать вам с полной уверенностью: самые разрушительные утечки данных, которые мне приходилось разгребать, происходили не из-за гениальных атак на ядро корпоративной сети. Они просачивались через ту самую калитку — через ноутбук дизайнера-фрилансера, через плохо настроенный сервер маркетингового агентства, через сотрудника внешнего кол-центра.
В современном бизнесе больше не существует четкого периметра защиты. Он простирается до каждого партнера, которому вы доверяете свои данные. И главный парадокс заключается в том, что, передавая задачи внешним исполнителям ради эффективности, вы импортируете риски, которыми зачастую совершенно не управляете. Вы можете делегировать разработку, маркетинг или бухгалтерию, но вы никогда, ни при каких обстоятельствах не сможете делегировать и ответственность».
Точки входа: где именно протекает ваш корабль?
Давайте прекратим говорить абстрактно и посмотрим на конкретные, до боли знакомые примеры уязвимостей, которые создает привлечение сторонних команд.
«Креативное» маркетинговое агентство
Вы передаете им свою базу клиентов для e-mail-рассылки — святая святых вашего бизнеса. А у них в штате три веселых дизайнера и один аккаунт-менеджер. Никакого выделенного специалиста по ИБ, пароли от CRM хранятся в общем файле в облаке, а сотрудники регулярно работают из кафе с публичным Wi-Fi. Они — идеальная точка входа для злоумышленника.
Надежная юридическая фирма на подряде
Маленькая уважаемая компания, которая ведет ваши самые сложные дела. Вы отправляете им по почте сканы договоров, коммерческие тайны, M&A-документацию. А у них вся инфраструктура — это три ноутбука и обычный роутер из магазина электроники, который не обновлялся с момента покупки.
Команда разработчиков на аутстаффе
Вы наняли талантливых программистов, которые пишут вам код нового продукта. Но они работают из разных стран, с личных компьютеров, на которых кроме вашей интеллектуальной собственности установлены торрент-клиенты, компьютерные игры и десятки других приложений сомнительного происхождения.
Системный администратор-фрилансер
Вы наняли его для настройки облачного хранилища. Он сделал свою работу и ушел. Но он допустил одну маленькую ошибку в конфигурации, из-за которой ваша база данных оказалась в публичном доступе. А вы узнали об этом из новостей, когда информация уже утекла.
Цепь доверия: как взять подрядчиков под контроль
Перестать работать со сторонними командами — не вариант. Научиться управлять их рисками — единственный путь. Это не требует огромных вложений, это требует системного управленческого подхода.
Шаг 1. Due diligence «под микроскопом»
Прежде чем подписать договор, вы должны провести аудит безопасности партнера так же тщательно, как финансовый аудит. Запросите их внутренние регламенты. Узнайте, как они обучают персонал, как управляют доступами, как реагируют на инциденты. Если в ответ вы слышите молчание или невнятное мычание — это красный флаг. Отсутствие формализованных политик в этой сфере — гарантия будущих проблем.
Шаг 2. Контракт как ваше главное оружие
Ваш стандартный договор на оказание услуг здесь не подойдет. В соглашении с любым подрядчиком, имеющим доступ к вашим данным, должен быть отдельный, детально проработанный раздел, посвященный защите информации:
— что считается конфиденциальными сведениями,
— как они должны храниться и передаваться (шифрование обязательно),
— кто несет финансовую ответственность в случае утечки по их вине,
— каков порядок действий при инциденте (они обязаны уведомить вас в течение нескольких часов, а не недель),
— ваше право на проведение инспекции их инфраструктуры.
Шаг 3. Принцип минимальных привилегий
Никогда не давайте партнерам доступ «с запасом» или «для удобства». Маркетологам нужна только выгрузка e-mail-адресов? Дайте им только эти сведения, без телефонов и истории покупок. Разработчику нужен доступ к тестовой среде? Он не должен иметь допуска к продуктивной базе данных. Каждый избыточный доступ — лишняя потенциальная дыра в вашей обороне.
Шаг 4. Постоянный мониторинг и «учебные тревоги»
Не заблуждайтесь: подписанный договор не снижает риски, он лишь дает вам право ими управлять. И с этого момента это ваша прямая обязанность. Включайте подрядчиков в периметр ваших внешних тестов на проникновение (пентестов). Устраивайте внезапные проверки. Требуйте ежеквартальные отчеты о принимаемых мерах безопасности. Спросите их прямо: «Что вы будете делать, если ваш сотрудник потеряет ноутбук с данными наших клиентов? Покажите мне ваш план реагирования».
Не ваша вина, но ваша репутация
Позвольте мне объяснить, что произойдет, когда утечка случится по вине вашего партнера. Заголовки в СМИ будут кричать название вашей компании, а не их. Иск от клиентов будет подан против вас. Штраф от регулятора придет на ваш юридический адрес.
В глазах всего мира нет никакой разницы, на чьем именно сервере произошел инцидент. Есть только один факт: вы как оператор данных не смогли обеспечить их сохранность. Вы несете полную репутационную, финансовую и юридическую ответственность.
Поэтому главный вопрос, который должен задать себе сегодня каждый руководитель — это не «Насколько хорошо защищена наша компания?». Правильный вопрос звучит так: «Насколько надежно самое слабое звено в нашей цепи поставок данных?». И ответ на него определяет реальный уровень вашей безопасности.
П. Сухоруких
Предприниматель,
эксперт
по антикризисному PR,
основатель
международного агентства
цифровой репутации «Невидимка»
Подписано в печатьпол
20.08.2025
Документ в СПС КонсультантПлюс: Сухоруких П.: В современном бизнесе больше не существует четкого периметра защиты
Читайте также: Как назначить ответственного за информационную безопасность в организации?
