DLP-инвентаризация у клиента: 3 канала утечки, которые мы закрыли

Торговая компания "38 РМ" из Бутырского района, специализирующаяся на оптовой продаже промышленного оборудования, обратилась к нам в ITFresh с серьёзной проблемой. Представьте: средний чек 1.2 млн рублей за сделку, огромная база в 12 400 потенциальных клиентов в Bitrix24. И тут — три крупных тендера подряд уходят конкурентам. Генеральный директор был в ярости: новая региональная компания "слишком много знала" — и об их предложениях, и о клиентской истории, даже о слабых местах конкретных закупщиков. Неприятно, правда? Мы не стали долго ждать. За каких-то 12 рабочих дней мы развернули систему DLP, обнаружили три активных канала утечки информации и даже помогли подготовить почву для расставания с парой "эффективных" сотрудников. Сегодня расскажем, как всё это было устроено технически, без лишней рекламы.

Что такое DLP и зачем оно МСБ

Что такое DLP, или Data Loss Prevention? Нет, это не одна-единственная программа, как многие думают. Это целый комплекс систем. Их основная задача — внимательно следить за тем, как информация циркулирует внутри вашей компании, и тут же пресекать любые действия, которые идут вразрез с установленными нами правилами. Как это работает? Довольно просто: на каждой рабочей машине мы ставим особый "агент", а на сервере живёт его "мозг" — управляющая часть. И этот агент — настоящий глаз-алмаз. Он видит буквально всё! Какую информацию сотрудник скидывает на флешку? Что отправляет себе на личную почту? Какие файлы улетают в облако? Куда он пересылает документы через мессенджеры? Всё это агент фиксирует.

В больших корпорациях DLP уже давно воспринимают как нечто само собой разумеющееся. А вот в сегменте малого и среднего бизнеса? Там пока это, к сожалению, диковинка. "Да у меня все свои, кому тут что сливать?" — самый частый довод, который я слышу от собственников. И знаете что? Я им всегда показываю нашу реальную статистику за последние годы, с 2024 по 2026-й. А ведь цифры не врут! Из 22 проектов по внедрению DLP, которые мы в ITFresh завершили в МСБ, в половине случаев — это 11 компаний! — мы обнаруживали работающие каналы утечки уже в первый же месяц после запуска. Только вдумайтесь: в каждой второй компании сидит кто-то, кто потихоньку передаёт информацию конкурентам или уже собрал чемодан, прихватив клиентскую базу. Шокирует, правда?

Главная фраза, которую я говорю собственникам: DLP — это не наказание, это страховка. Не от добросовестных сотрудников, а от тех, кто завтра увольняется и хочет уйти с активом, который вы создавали 10 лет.

Этап 1. Инвентаризация ценных данных и согласование с заказчиком

Прежде чем вообще браться за установку каких-либо "агентов", мы всегда задаём клиенту главный вопрос: а что конкретно мы, собственно, защищаем? Понимаете, хорошая DLP-политика — это не про "давайте следить за всем и вся". Это про прицельную защиту вполне конкретных категорий данных. Вот, к примеру, когда мы работали с одной торговой компанией, я сел прямо с их коммерческим директором. Мы вместе составили подробный список того, что действительно ценно:

• Клиентская база (12 400 контактов). Из CRM Bitrix24, экспортируется в Excel-файлы. Содержит ИНН, контакты ЛПР, историю общения, средний чек.
• Прайсы (12 файлов на 2026 год). С персональными скидками для ключевых клиентов до 18%. Утечка — конкурент знает, какую цену предлагать.
• Договоры (340 активных). Условия поставки, штрафы, обязательства. Утечка — конкурент знает, как переманить клиента.
• Маркетинговая аналитика. Воронки, конверсии по сегментам, эффективность каналов. Утечка — конкурент знает, куда вкладывать рекламу.
• Контакты поставщиков. 47 поставщиков с условиями, скидками, личными отношениями. Утечка — конкурент перехватывает поставку.
• Финансовая отчётность. P&L, баланс, налоговая. Утечка — серая зона, мало интересно конкурентам, но критично для собственника.

Пока идёт инвентаризация данных, которые нужно защитить, я одновременно прорабатываю и всю юридическую сторону вопроса. Без неё DLP превращается не просто в бесполезный инструмент, а в потенциальную и, скажу вам, очень серьёзную проблему с законом. Ведь по 152-ФЗ и Трудовому кодексу работодатель просто ОБЯЗАН предупредить своих сотрудников: "Ребята, ваши рабочие компьютеры под мониторингом". И это не шутки! Чтобы помочь клиенту пройти этот путь без сучка без задоринки, я обычно готовлю три ключевых документа:

1. Мы также поможем разработать Положение о работе с конфиденциальной информацией — это ваша основа.
2. Или, например, подготовим готовое уведомление о мониторинге рабочих мест, которое подпишут все ваши сотрудники.
3. А ещё — специальное приложение к трудовому договору, где сотрудник подтверждает своё согласие на мониторинг.

Обычно на всю эту юридическую волокиту уходит дня два-три. Причём, замечу, часть работы приходится на юриста самого заказчика. И вот тут важный момент: я никогда, принципиально, не приступаю к установке DLP, пока все эти документы не будут подписаны. Спросите, почему? Да всё просто! Любое, даже самое убедительное разоблачение нечестного сотрудника рассыплется в суде, как карточный домик, если у вас на руках не будет всех этих бумаг. Смысл рисковать?

Этап 2. Выбор системы — почему StaffCop, а не InfoWatch

На российском рынке, если говорить про МСБ, существует несколько неплохих DLP-продуктов. Я все их досконально изучал, поверьте: это и StaffCop Enterprise, и "Стахановец", и "СёрчИнформ КИБ", и InfoWatch Traffic Monitor, и даже ИНФОВОТЧ Person Monitor. Но для торговой компании "38 РМ" мой выбор пал на StaffCop Enterprise. Почему именно он? У меня было сразу четыре веские причины.

• Лицензия на 38 рабочих мест обошлась в 285 000 рублей разово, что даёт примерно 7 500 рублей за каждое место. Для сравнения, СёрчИнформ КИБ на такое же количество РМ стоил бы около 750 000 рублей. Разница ощутима, не так ли?
• И что удобно: серверная часть системы устанавливается на одну простую виртуальную машину с Linux Ubuntu 22.04 и PostgreSQL. Никаких лишних лицензий MS SQL, никаких мудрёных зависимостей от Active Directory. Всё максимально просто и прозрачно.
• Мы очень детально подошли к политикам безопасности. У нас есть чёткие правила для всех ключевых протоколов: от SMTP, HTTP/HTTPS и FTP до контроля USB-устройств, печати и буфера обмена. Да, мы даже распознаём конкретные приложения, такие как Telegram Desktop и WhatsApp Desktop, чтобы данные не утекали через мессенджеры.
• OCR на лету — это не просто модное слово. Представьте: сотрудник делает скриншот вашей CRM и пытается отправить его на свою личную почту. Что произойдет? Наша система моментально распознаёт текст прямо на скриншоте. DLP не дремлет: она видит содержимое, сопоставляет со словарными правилами и тут же срабатывает.

Конечно, когда речь идёт о по-настоящему крупных заказчиках — там, где штат от 100-200 сотрудников и больше — я, как правило, смотрю либо в сторону "СёрчИнформ КИБ" (у них просто феноменальная аналитика и глубокий профайлинг пользователей), либо на InfoWatch Traffic Monitor, если, скажем, клиент требует чёткую интеграцию с их SIEM-системой. Но для МСБ? Тут StaffCop — это, без сомнений, самый что ни на есть оптимальный выбор.

Этап 3. Развёртывание серверной части

Серверную часть я установил непосредственно у клиента, на отдельной виртуальной машине под Proxmox. Параметры были стандартные, но с запасом: 4 виртуальных процессора (vCPU), 16 ГБ оперативной памяти (RAM) и 500 ГБ на SSD-диске. В качестве операционной системы выбрал проверенный Linux Ubuntu Server 22.04 LTS. Могу смело заявить, что на такой конфигурации StaffCop легко справляется с нагрузкой до ста рабочих станций, вообще без каких-либо задержек или "тормозов".

# Подготовка системы
apt update && apt upgrade -y
apt install -y postgresql-14 postgresql-contrib nginx certbot \
  python3-certbot-nginx ufw fail2ban

# Настройка PostgreSQL
sudo -u postgres psql << 'EOF'
CREATE USER staffcop WITH PASSWORD 'D1FF3R3nt-P@55w0rd-2026!';
CREATE DATABASE staffcop_db OWNER staffcop;
GRANT ALL PRIVILEGES ON DATABASE staffcop_db TO staffcop;
EOF

# Настройка firewall — открыты только 443 (web) и 22 (только из админ-VPN)
ufw default deny incoming
ufw allow from 10.99.10.0/24 to any port 22
ufw allow 443/tcp
ufw enable

# Установка StaffCop server (дистрибутив скачали с client area)
dpkg -i staffcop-server-8.0.46_amd64.deb
systemctl enable staffcop && systemctl start staffcop

# Сертификат от Let's Encrypt для веб-консоли
certbot --nginx -d dlp.lawfirm-example.ru \
  --email itfresh-admin@example.ru --agree-tos -n

После установки веб-консоль на https://dlp.example.ru. Первый вход — пароль администратора в /var/log/staffcop/install.log, обязательно меняем на длинный.

Интеграция с Active Directory

Что особенно удобно в StaffCop, так это его способность затягивать все данные о сотрудниках прямо из Active Directory, используя протокол LDAP. Это просто находка, серьёзно! За счёт этого политики применяются не к каждой машине по отдельности, что невероятно муторно, а сразу к целым группам безопасности AD. Гораздо быстрее и надёжнее, не нужно вручную ковыряться со списками компьютеров.

# В StaffCop Admin Console -> Settings -> LDAP
ldap_server: ldap://dc01.corp.company.ru:389
bind_dn: CN=svc-staffcop,OU=ServiceAccounts,DC=corp,DC=company,DC=ru
bind_password: ВыделенныйПароль_StaffCop_2026!
search_base: OU=Sotrudniki,DC=corp,DC=company,DC=ru
sync_interval: 3600

# Маппинг групп
ad_group "GG_Buhgalteria" -> staffcop_group "Buhgalteria"
ad_group "GG_Sales"       -> staffcop_group "Sales"
ad_group "GG_IT"          -> staffcop_group "IT-bypass"

Конечно, для наших коллег из IT-отдела мы предусмотрели отдельный профиль с расширенными правами. Почему? Ну, потому что айтишники по долгу службы постоянно перебрасывают файлы между серверами. И если система будет на каждое такое действие выдавать лишние оповещения, это только помешает им работать.

Этап 4. Развёртывание агентов на 38 РМ

На все доменные машины мы "раскатили" агентов буквально за один вечер — тут на помощь пришла групповая политика (GPO). А вот с парой-тройкой недоменных ноутбуков пришлось повозиться вручную, но это мелочи. Сам установочный файл, к слову, представляет собой MSI размером всего 28 МБ. Он надёжно защищён специальным инсталляционным паролем и, разумеется, абсолютно незаметен для обычного пользователя.

# Скрипт развёртывания через GPO Computer Startup
@echo off
REM Скрытая установка StaffCop Agent
\\dc01\staffcop$\staffcop-agent-8.0.46.msi /qn /norestart ^
  SERVER_URL=https://dlp.example.ru ^
  INSTALL_PASSWORD=DeepSecret-2026 ^
  AGENT_VISIBILITY=hidden ^
  TAMPER_PROTECTION=on

REM Проверка установки
sc query StaffCopAgent | findstr "RUNNING" >nul
if errorlevel 1 echo "Failed: %COMPUTERNAME%" >> \\dc01\logs$\staffcop-deploy.log

Agent работает в скрытом режиме, не виден в трее, не виден в списке программ Add/Remove. В диспетчере задач имя процесса замаскировано под системный WinSysSvc.exe. Это сделано не для того, чтобы обмануть сотрудников (они подписали уведомление), а чтобы они не пытались отключить агент в случае «технических проблем» с компьютером.

Защита агентов от удаления

А вот Tamper Protection — это просто бесценная функция, и очень важная, я бы сказал! Она надёжно защищает установленный агент от любого несанкционированного удаления. Представьте: даже если местный админ попытается его снести, ничего не выйдет! Удалить агент можно лишь одним способом: через серверную консоль, введя тот самый инсталляционный пароль. И, забегая вперёд, скажу, что именно эта функция выручила нас по-крупному в одном крайне любопытном случае. О нём я обязательно расскажу чуть позже, когда доберёмся до найденных утечек.

Этап 5. Настройка политик

Что такое политика DLP по своей сути? Это, если упростить, всего лишь набор чётких, понятных правил. Мы как будто разговариваем с системой: "Смотри, если происходит вот это действие, с вот такими-то данными, то ты должна отреагировать вот так". Для нашей торговой компании я, к примеру, настроил целых 14 таких политик. Сейчас поделюсь с вами самыми-самыми важными из них.

Политика 1: блокировка USB-устройств

# StaffCop Policy YAML (упрощённо)
name: USB Storage Block
target_groups: [Sales, Buhgalteria, Marketing]
action: block_with_alert
trigger:
  device_class: USB-storage
  exception_list:
    - VID_058F&PID_6387  # Корпоративные флешки Kingston DT100
    - VID_0951&PID_1666  # Kingston DataTraveler 3.0
    - VID_0930&PID_6544  # Toshiba корпоративный (admin)
notification:
  user: "Подключение USB-носителей запрещено политикой компании"
  ticket: it_support@company.ru
incident_severity: high

Корпоративные флешки мы заранее пометили через инвентаризацию. У генерального директора, главного бухгалтера, да и у IT-инженера — у каждого свой, брендированный USB-накопитель, с зарегистрированным VID/PID. А вот все остальные USB-носители, что не прошли нашу проверку, просто блокируются. Естественно, с обязательным уведомлением пользователю, чтобы не было сюрпризов.

Политика 2: контроль исходящей почты

name: Outbound Mail Monitoring
target_groups: [Sales, Marketing]
trigger:
  protocol: SMTP, HTTPS-webmail
  recipients_match:
    - "*@gmail.com"
    - "*@yandex.ru"
    - "*@mail.ru"
    - "*@yahoo.com"
    - "*@outlook.com"
  exclude_recipients:
    - "user@gmail.com"  # Личные адреса, согласованные с HR
  attachment_rules:
    - if_size_gt: 1MB
      action: alert_and_quarantine
    - if_extension_in: [xls, xlsx, csv, accdb, mdb, sql]
      action: block_and_alert
    - if_filename_match: "*клиент*|*база*|*price*|*прайс*"
      action: block_and_alert
content_rules:
  ocr_screenshots: true
  block_keywords: ["клиентская база", "прайс на 2026", "наша скидка"]
incident_severity: critical

Знаете, на чём мы сфокусировались в первую очередь? На том, чтобы полностью блокировать отправку файлов — будь то Excel, CSV или даже целые базы данных — на личные почтовые домены. Почему это так важно? Потому что именно через этот канал данные чаще всего утекают в малом и среднем бизнесе. Это проблема номер один.

Политика 3: контроль облачных синков

name: Personal Cloud Sync Block
target_groups: [Sales, Marketing, Buhgalteria]
trigger:
  process_match:
    - "Yandex.Disk.exe"
    - "Dropbox.exe"
    - "OneDrive.exe (личный аккаунт)"
    - "Google Drive.exe (личный аккаунт)"
    - "MEGAsync.exe"
  exception_corporate_oneDrive: true  # корпоративный OneDrive разрешён
action: block
notification:
  user: "Запрещена синхронизация личного облака на рабочем компьютере"

Конечно, мы не ограничились одной мерой. Дополнительно, используя GPO, мы настроили AppLocker для блокировки установки нежелательных программ прямо на рабочие станции. Но давайте будем реалистами: всегда есть шанс, что кто-то проскочит. Вот тут-то политика DLP и вступает в игру, становясь нашим вторым, надёжным слоем защиты. Это страховка на случай, если всё же что-то будет установлено.

Политика 4: контроль печати

name: Print Monitoring
target_groups: [all]
trigger:
  print_event: true
  rules:
    - if_pages_gt: 50
      action: alert
    - if_filename_match: "*клиент*|*договор*|*price*"
      action: alert_and_save_copy
    - if_pages_gt: 200
      action: block_and_require_approval
  printer_whitelist:
    - "HP LaserJet Office01"
    - "Kyocera ECOSYS Office02"
incident_severity: medium
retention_days: 365

Представьте: за год наша DLP-система кропотливо собирает PDF-копии абсолютно всех распечатанных документов. Если на них есть пометка «клиент» или «договор», они автоматически сохраняются. Зачем? Очень просто. Если вдруг возникнет спор, у нас на руках будут неопровержимые доказательства: что именно распечатали, в каком количестве и, самое главное, кто это сделал. Никаких догадок, только факты.

Этап 6. Что мы нашли в первый месяц — три канала утечки

Первые четыре недели после запуска DLP стали для нас настоящим откровением. Система отработала целых 47 алертов, разных по степени важности. После очень тщательного анализа мне удалось выявить три постоянно действующих канала утечки. Что насторожило больше всего? По этим каналам регулярно «светились» одни и те же сотрудники. Совпадение? Вряд ли.

Канал 1. Менеджер по работе с ключевыми клиентами и личная почта

Алёна (имя изменено), 31 год, в компании 4 года, обслуживает 12 ключевых клиентов с оборотом 60 млн рублей в год. За месяц на её рабочем компьютере DLP зафиксировал 47 попыток отправки писем на адрес alyona.s***@gmail.com с вложениями. Содержание:

• Это не просто файл Excel. Мы говорим о «Клиенты_декабрь.xlsx» — выгрузке из Bitrix24, где собрано целых 1240 контактов. И это не просто имена: здесь есть вся история взаимодействия и, что особенно важно, данные ЛПР — лиц, принимающих решения.
• В этом списке — PDF-копии договоров с восемью нашими крупными клиентами. Понимаете, это не просто документы, это очень ценная информация.
• Есть у нас и прайс «Прайс с скидками 2026.xlsx». В нём прописаны наши уникальные, индивидуальные условия, которые мы предлагаем партнёрам. Это не просто цифры, это наша гибкость и подход к каждому клиенту.
• И, конечно, презентация «План захвата региона Северо-Запад» — это наш козырь. В ней детально расписана вся маркетинговая стратегия. Это не шутки, это наши амбиции и план роста.

Помните Алёну? Её попытка отправить данные была мгновенно заблокирована, прямо в режиме реального времени. Система каждый раз выдавала ей чёткое уведомление: «Вложение содержит конфиденциальные данные». Но вы думаете, это её остановило? Ничуть! Она просто взяла свой Excel, упаковала его в архив, поставила пароль и снова попыталась отправить. Но наша DLP, как и ожидалось, сработала, увидев содержимое даже внутри запароленного ZIP-архива.

Алёна, кажется, решила идти до конца. На пятой попытке она предприняла нечто совершенно возмутительное: попыталась удалить агент DLP прямо через службы Windows! Но тут наш Tamper Protection сработал как часы, мгновенно заблокировав эту операцию. В ту же секунду в консоль DLP прилетел алерт: «Попытка отключения агента». Это уже не просто «может быть подозрительно» — это кричащая, неприкрытая угроза изнутри, самый настоящий inside threat. Тут уж сомнений не оставалось.

Я немедленно передал весь отчёт коммерческому директору. Спустя две недели, после детального внутреннего расследования, с Алёной расстались по соглашению сторон. Ирония судьбы? Или закономерность? Оказалось, что параллельно она уже успела устроиться в новую компанию-конкурент, которая, как вы понимаете, в итоге выиграла те самые три тендера. Случайность? Не думаю.

Канал 2. USB-флешка по пятницам

Вот вам ещё одна история. Денис (имя, конечно, изменено), руководитель отдела маркетинга. Каждую пятницу, примерно в половине седьмого вечера, когда офис уже пустел и только доносился звук закрывающихся дверей, он подключал к своему рабочему ПК USB-флешку Kingston на 32 ГБ. А затем начинал копировать на неё папки. Объём был весьма солидный, между прочим — от 2 до 4 ГБ за один раз.

И тут возникает очень интересный нюанс. Денис, будучи руководителем отдела, имел полное, законное право работать с флешкой; он не входил в ту группу, где USB-порты блокировались наглухо. Однако политика мониторинга у него была включена — и наша DLP-система скрупулёзно записывала абсолютно всё, что он копировал. Мелочь, а как важно!

Что же показали файлы? Анализ был красноречив: маркетинговая аналитика, подробный конкурентный анализ, презентации стратегического развития, контент-планы. Конечно, часть этих материалов вполне могла быть нужна ему дома, ведь Денис часто трудился по выходным. Но за два месяца DLP зафиксировала 17 пятниц, и каждый раз один и тот же паттерн: копирование строго перед уходом, объём 2-4 ГБ, и всё, что он только что трогал за неделю. Это уже не спишешь на случайность, верно?

Во время беседы коммерческий директор узнал от Дениса, что да, он действительно работал из дома, но также передавал часть материалов в свой Telegram-канал «Маркетинг-инсайды», который вёл анонимно. В итоге, после переговоров с компанией, канал был закрыт, а все материалы удалены. Денис остался в компании, однако его право на использование флешки было аннулировано — теперь работа из дома разрешена только через корпоративный VPN. Компромисс был найден.

Канал 3. Личный Яндекс.Диск через веб-интерфейс

Встречайте Татьяну (имя изменено), бухгалтера, которая проработала у нас целых шесть лет. Она активно использовала личный Яндекс.Диск, но не через клиентскую программу, а через веб-интерфейс. Почему именно через веб? Всё просто: наша политика блокировала исполняемый файл Yandex.Disk.exe, но почему-то не запрещала загрузку файлов через браузер. За один месяц наша DLP зафиксировала, что Татьяна загрузила 240 файлов в своё личное облачное хранилище. Впечатляет, правда?

И что же там было? Содержимое, прямо скажем, очень серьёзное: свежайшая финансовая отчётность, налоговые декларации, копии договоров с поставщиками. Татьяна объяснила, что хранит «копию для подстраховки на случай, если вдруг в офисе откажет железо». И вот это, друзья, очень типичная история: сотрудник искренне убеждён, что не делает ничего плохого, и у него действительно были вполне рациональные, по его мнению, мотивы.

Что мы сделали? Совместно с Татьяной мы настроили автоматический бэкап её рабочих папок через корпоративный OneDrive (да, мы используем Microsoft 365 Business). Мы терпеливо объяснили ей все риски утечки через личное облако: ведь если её аккаунт взломают, все эти финансовые данные тут же окажутся в руках злоумышленников! Татьяна всё отлично поняла, согласилась и, конечно, удалила данные со своего личного облака. К нашему счастью, никакого конфликта не возникло, а проблема решилась мирно.

Этап 7. Дополнительные политики после первого месяца

После того, как мы разобрали эти реальные кейсы, я, конечно, скорректировал наши политики безопасности:

• Мы пошли дальше простого блокирования облачных клиентов. Нашей задачей было полностью перекрыть веб-загрузку файлов на любые personal-домены через браузер. А чтобы уж наверняка, мы заблокировали не только cloud.yandex.ru, cloud.mail.ru, drive.google.com (именно личный аккаунт), dropbox.com и mega.nz, но и ещё целых 12 аналогичных сервисов. Так что утечкам здесь не пройти!
• Мы внедрили OCR-проверку для всех скриншотов экрана. Представьте: сотрудник делает снимок вашей CRM, а затем пытается скинуть его, скажем, через мессенджер. Что произойдет? Наша DLP-система моментально распознаёт ключевые слова — например, «контакты клиентов» — и тут же всё блокирует. Ни один конфиденциальный скриншот не пройдет мимо нас.
• Для группы «Руководители отделов» мы, конечно, настроили особый профиль. Мониторинг их действий присутствует, но автоматических блокировок нет. Почему? Потому что мы прекрасно понимаем: у них есть абсолютно легитимные причины для работы с базой данных. А все алерты, если что-то пойдет не так, приходят коммерческому директору один раз в неделю в удобном формате дайджеста.
• Мы запустили аномалий-детектор. Как это работает? Очень просто: если вечером сотрудник вдруг начинает скачивать данные из CRM в 10 раз активнее, чем обычно, мы мгновенно получаем алерт. И знаете, что интересно? Именно так мы однажды поймали одну сотрудницу, которая уже активно готовилась к увольнению и собирала данные. Живой пример эффективности!

Этап 8. Регламент работы с алертами

Представьте: у вас есть DLP, но нет чётких правил, как действовать при инцидентах. Тогда это просто дорогущий сборщик логов, не более. Зачем он нужен? Мы в ITFresh всегда настаиваем на отлаженных процедурах. Например, для одного из наших клиентов мы разработали и внедрили особую трёхуровневую систему, чтобы ни одна важная деталь не ускользнула.

1. Уровень 1: автоматическая блокировка + уведомление пользователя. Срабатывает на однозначные нарушения (отправка Excel в gmail). Не требует вмешательства человека.
2. Уровень 2: дайджест коммерческому директору раз в неделю. Сводка по подозрительной активности руководителей отделов, аномалии трафика, попытки обхода. Время чтения — 15 минут в неделю.
3. Уровень 3: критический алерт сразу в Telegram-канал «DLP-инциденты». Срабатывает на: попытку отключения агента, копирование больше 1 GB за раз, подключение неизвестной USB после блокировки, мульти-факторные нарушения за час. Реакция — звонок коммерческому в течение 30 минут.

И знаете что? За первые три месяца работы этой системы мы не получили ни одного ложного срабатывания на третьем уровне. То есть каждый критический сигнал, который она выдавала, был реальной угрозой. Не просто шум, а нечто, что требовало нашего немедленного вмешательства. Разве это не показатель эффективности?

Контр-нарратив. Что я считаю плохой идеей

«Поставьте DLP и забудьте, всё будет работать само». Не работает. DLP без человека, который раз в неделю смотрит дайджест — это хранилище логов, которое никто не открывает. Минимум 2-4 часа в неделю должны выделяться у ответственного на разбор алертов.

«Дайте DLP полный список ключевых слов, и оно поймает всё». Слишком много false-positive. Если в политике стоит «прайс» и «клиент» — каждое второе письмо менеджера будет в алерте. Нужен баланс: точные паттерны, регулярные выражения, ML-классификаторы (где есть) для важных категорий.

«Установите всем сотрудникам без объявления». Это нарушение Трудового кодекса. Помимо юридических рисков — это разрушает доверие в коллективе, когда правда вылезает наружу. Прозрачное уведомление с подписью — единственно правильный путь.

Стоимость проекта

• Итак, сами лицензии StaffCop Enterprise, необходимые для 38 рабочих мест, обойдутся в 285 000 рублей. Это единовременный платеж.
• За развёртывание сервера и полноценную настройку всей инфраструктуры мы берем 80 000 рублей. В эту стоимость уже входят 4 дня работы нашего инженера.
• Настройка четырнадцати индивидуальных DLP-политик, столь важных для безопасности, стоит 60 000 рублей. На это уходит около трёх дней работы специалиста.
• И, конечно, важный пункт — подготовка всей необходимой юридической документации. Это стоит 25 000 рублей. Мы позаботимся, чтобы всё было чётко и законно.
• Мы не просто уходим после настройки! Обязательное обучение коммерческого директора и вашего IT-администратора — это тоже часть нашей работы, и оно обойдётся в 25 000 рублей. Ведь нам важно, чтобы вы могли эффективно пользоваться всеми возможностями системы.
• Итого первый год: 475 000 рублей.
• И что же со второго года? Мы всё предусмотрели. Ежегодное продление лицензий обойдётся в 65 000 рублей — сумма, которая обеспечит актуальность вашего ПО. А чтобы система работала как часы, абонемент ITfresh на всестороннюю поддержку и оперативную работу с алертами стоит 22 000 рублей в месяц. Согласитесь, это вполне прозрачно и предсказуемо.

Чтобы вы понимали, о каких суммах речь: один-единственный тендер, который в своё время уплыл к конкурентам, мог бы принести нам 8.4 миллиона рублей чистой прибыли. Вот так. Поэтому окупаемость DLP? Она наступает моментально, буквально после первого же перехваченного инцидента. Один кейс, и система себя уже окупила.

FAQ: что чаще всего спрашивают клиенты

Зачем DLP компании на 30-50 человек, если все «свои»?

Наша статистика, основанная на 22 проектах за 2024-2026 годы, не даёт соврать: в каждой второй компании малого и среднего бизнеса мы находим сотрудника, который либо сливает клиентскую базу, либо копирует прайсы конкурентам. Нет, это не паранойя, это суровая реальность. Почему так? Часто «свои» люди в МСБ — это просто те, кто ещё не нашёл место с зарплатой получше. Конечно, DLP не остановит человека от увольнения. Зато вы будете на 100% уверены, что он унёс с собой, и сможете моментально предотвратить любой потенциальный вред компании.

Какую DLP-систему выбрать для офиса 30-50 человек?

Для малого и среднего бизнеса российские DLP-системы — это просто находка. Тот же StaffCop, Стахановец или ИНФОВОТЧ Person Monitor легко закроют 95% ваших задач. И что важно, стоят они вполне вменяемых денег. Представьте: лицензия на 30-50 рабочих мест обойдётся вам в 250 000 – 600 000 рублей один раз, плюс ежегодная поддержка 20-30%. Зарубежные аналоги? Символ дороговизны и избыточности для МСБ. Symantec или McAfee — это перебор: там ценник стартует от миллиона, и вам ещё понадобится отдельный админ. А вот решения типа SearchInform и InfoWatch Traffic Monitor мы рекомендуем уже для больших компаний, где коллектив от 200 человек.

Что делать с сотрудниками, которые узнают про DLP?

Помните о важном юридическом нюансе: по законам РФ (152-ФЗ и Трудовой кодекс) работодатель не просто *может*, а ОБЯЗАН предупредить сотрудников о мониторинге на их рабочих компьютерах. Это не прихоть, это требование. Мы в ITFresh всегда готовим клиентам все нужные документы: шаблон уведомления и специальное приложение к трудовому договору. Обычно сотрудники подписывают их в свой первый же день. И вот что удивительно: просто знание о мониторинге снижает риск утечек на 40-60% даже без того, чтобы система что-то блокировала. Прозрачность — это порой сильнее любой технологии, правда?

Какие самые частые каналы утечки в МСБ?

Мы проанализировали утечки за 2025-2026 годы и выделили топ-5 самых распространённых каналов. И что же сотрудники использовали чаще всего? 1. Личная почта (будь то Gmail или Яндекс) для пересылки клиентских баз «себе домой». 2. Обычные USB-флешки — на них просто копировали целые папки с документами. 3. Telegram: передача важных файлов в личном чате на другое устройство. 4. Личные облачные хранилища вроде Google Drive или Яндекс.Диск, синхронизация рабочих папок. 5. И самый хитрый, наименее заметный — фотографирование экрана смартфона. Наша DLP-система уверенно перекрывает первые четыре. А для пятого мы используем регулярный анализ подозрительной активности, плюс жёсткий регламент: никаких телефонов на рабочем столе!

Сколько стоит развёртывание DLP под ключ?

Возьмём пример: торговая компания, 38 рабочих мест. Какие были расходы на DLP? Лицензии StaffCop — 285 000 рублей, это разовый платёж. Развёртывание сервера и агентов — 80 000 рублей. Настройка всех политик — ещё 60 000 рублей. Обучение администратора заказчика — 25 000 рублей. В итоге, первый год обошёлся в 450 000 рублей. А со второго года? Годовое продление лицензий всего 65 000 рублей, плюс наш абонемент на поддержку 22 000 в месяц. Теперь представьте: одна-единственная утечка клиентской базы для такой торговой компании на чёрном рынке стоит 250-400 тысяч рублей. Чувствуете разницу? Неужели стоит рисковать?

Итог

Та же торговая компания на 38 человек получила полностью готовую к работе DLP-систему StaffCop всего за 12 рабочих дней. Мы не просто развернули её, мы сразу же обнаружили и успешно закрыли три активных канала утечки клиентской базы. Кроме того, удалось поставить жирную точку в одном сложнейшем кадровом вопросе, а второй — оперативно урегулировать. По сути, система окупилась мгновенно, лишь за счёт одного сорванного для конкурентов тендера. Этот кейс в очередной раз доказал: даже в небольшой команде инсайдерские угрозы — это не миф, а очень реальная опасность. А без DLP их практически невозможно остановить.