DLP-инвентаризация у клиента: 3 канала утечки, которые мы закрыли

К нам в ITfresh пришла торговая компания 38 РМ из района Бутырского — оптовая продажа промышленного оборудования, средний чек 1.2 млн рублей за сделку, база из 12 400 потенциальных клиентов в Bitrix24. Генеральный заметил, что три последних крупных тендера ушли к новой региональной компании, которая «слишком много знала» — про их предложения, клиентскую историю и даже про слабые места конкретных закупщиков. За 12 рабочих дней мы развернули DLP, нашли 3 активных канала утечки и подготовили почву для расставания с двумя сотрудниками. Этот материал — нерекламный разбор того, как это устроено технически.

Что такое DLP и зачем оно МСБ

DLP — Data Loss Prevention — это не одна программа, а класс систем, которые отслеживают перемещение данных в компании и блокируют запрещённые действия по политикам. На рабочих станциях стоит агент, на сервере — управляющая часть. Агент видит всё: что копируется на флешку, что отправляется в личную почту, что синхронизируется в облако, какие файлы открывают и в какой мессенджер пересылают.

В крупных компаниях DLP — стандарт. В МСБ — пока редкость. Главный аргумент против от собственников: «у меня все свои». Я в ответ показываю свою статистику за 2024-2026 годы: из 22 проектов внедрения DLP в МСБ в 11 случаях в первый месяц после запуска нашли активные каналы утечки. То есть в каждой второй компании сидит сотрудник, который тихо сливает данные конкурентам или готовится к уходу с базой клиентов.

Главная фраза, которую я говорю собственникам: DLP — это не наказание, это страховка. Не от добросовестных сотрудников, а от тех, кто завтра увольняется и хочет уйти с активом, который вы создавали 10 лет.

Этап 1. Инвентаризация ценных данных и согласование с заказчиком

Прежде чем поставить агентов, надо определить, что мы вообще защищаем. Хорошая DLP-политика — это не «следим за всем», а «защищаем эти конкретные категории данных». В торговой компании я с коммерческим директором составил список:

• Клиентская база (12 400 контактов). Из CRM Bitrix24, экспортируется в Excel-файлы. Содержит ИНН, контакты ЛПР, историю общения, средний чек.
• Прайсы (12 файлов на 2026 год). С персональными скидками для ключевых клиентов до 18%. Утечка — конкурент знает, какую цену предлагать.
• Договоры (340 активных). Условия поставки, штрафы, обязательства. Утечка — конкурент знает, как переманить клиента.
• Маркетинговая аналитика. Воронки, конверсии по сегментам, эффективность каналов. Утечка — конкурент знает, куда вкладывать рекламу.
• Контакты поставщиков. 47 поставщиков с условиями, скидками, личными отношениями. Утечка — конкурент перехватывает поставку.
• Финансовая отчётность. P&L, баланс, налоговая. Утечка — серая зона, мало интересно конкурентам, но критично для собственника.

Параллельно с инвентаризацией готовим юридическую часть. Без неё DLP — это потенциальное нарушение закона. По 152-ФЗ и Трудовому кодексу работодатель обязан уведомить сотрудников о мониторинге рабочих компьютеров. Я готовлю клиенту три документа:

1. Положение о работе с конфиденциальной информацией;
2. Уведомление о мониторинге рабочих мест с подписями всех сотрудников;
3. Приложение к трудовому договору о согласии на мониторинг.

Это занимает 2-3 дня (часть на стороне юриста заказчика). Без подписанных документов начинать установку DLP я отказываюсь — иначе любое разоблачение сотрудника может развалиться в суде.

Этап 2. Выбор системы — почему StaffCop, а не InfoWatch

На рынке РФ для МСБ работают несколько продуктов. Я смотрел: StaffCop Enterprise, Стахановец, СёрчИнформ КИБ, InfoWatch Traffic Monitor, ИНФОВОТЧ Person Monitor. Для торговой компании 38 РМ выбрал StaffCop Enterprise по четырём причинам:

• Лицензия на 38 рабочих мест — 285 000 рублей разово (около 7 500 рублей за РМ). СёрчИнформ КИБ для тех же РМ — около 750 000 рублей.
• Серверная часть устанавливается на одну VM Linux Ubuntu 22.04 с PostgreSQL — никаких лицензий MS SQL, никаких сложных AD-зависимостей.
• Есть детальная политика по протоколам: SMTP, HTTP/HTTPS, FTP, мессенджеры с распознаванием конкретных приложений (Telegram Desktop, WhatsApp Desktop), USB-устройства, печать, буфер обмена.
• OCR на лету — система распознаёт текст на скриншотах. Если сотрудник скриншотит CRM и шлёт картинку в личную почту, DLP видит текст и срабатывает по словарным правилам.

Для крупных компаний (от 100-200 человек) я выбираю либо СёрчИнформ КИБ (более глубокая аналитика, профайлинг сотрудников), либо InfoWatch Traffic Monitor (если есть требования по интеграции с SIEM). Для МСБ — StaffCop оптимален.

Этап 3. Развёртывание серверной части

Серверную часть развернул на отдельной VM Proxmox у клиента: 4 vCPU, 16 GB RAM, 500 GB SSD. Linux Ubuntu Server 22.04 LTS. На такой конфигурации StaffCop тянет до 100 рабочих станций без подтормаживаний.

# Подготовка системы
apt update && apt upgrade -y
apt install -y postgresql-14 postgresql-contrib nginx certbot \
  python3-certbot-nginx ufw fail2ban

# Настройка PostgreSQL
sudo -u postgres psql << 'EOF'
CREATE USER staffcop WITH PASSWORD 'D1FF3R3nt-P@55w0rd-2026!';
CREATE DATABASE staffcop_db OWNER staffcop;
GRANT ALL PRIVILEGES ON DATABASE staffcop_db TO staffcop;
EOF

# Настройка firewall — открыты только 443 (web) и 22 (только из админ-VPN)
ufw default deny incoming
ufw allow from 10.99.10.0/24 to any port 22
ufw allow 443/tcp
ufw enable

# Установка StaffCop server (дистрибутив скачали с client area)
dpkg -i staffcop-server-8.0.46_amd64.deb
systemctl enable staffcop && systemctl start staffcop

# Сертификат от Let's Encrypt для веб-консоли
certbot --nginx -d dlp.lawfirm-example.ru \
  --email itfresh-admin@example.ru --agree-tos -n

После установки веб-консоль на https://dlp.example.ru. Первый вход — пароль администратора в /var/log/staffcop/install.log, обязательно меняем на длинный.

Интеграция с Active Directory

StaffCop умеет подтягивать сотрудников из AD по LDAP. Это нужно, чтобы политики применялись по группам безопасности AD, а не по списку машин:

# В StaffCop Admin Console -> Settings -> LDAP
ldap_server: ldap://dc01.corp.company.ru:389
bind_dn: CN=svc-staffcop,OU=ServiceAccounts,DC=corp,DC=company,DC=ru
bind_password: ВыделенныйПароль_StaffCop_2026!
search_base: OU=Sotrudniki,DC=corp,DC=company,DC=ru
sync_interval: 3600

# Маппинг групп
ad_group "GG_Buhgalteria" -> staffcop_group "Buhgalteria"
ad_group "GG_Sales"       -> staffcop_group "Sales"
ad_group "GG_IT"          -> staffcop_group "IT-bypass"

Для группы IT мы создали отдельный профиль с расширенными правами (IT-инженеры законно копируют файлы между серверами в рамках своей работы, и лишние алерты тут только мешают).

Этап 4. Развёртывание агентов на 38 РМ

Агенты раскатили через GPO на доменные машины за один вечер. На несколько недоменных ноутбуков ставил вручную. Установщик MSI 28 МБ с инсталляционным паролем, скрытый от пользователя:

# Скрипт развёртывания через GPO Computer Startup
@echo off
REM Скрытая установка StaffCop Agent
\\dc01\staffcop$\staffcop-agent-8.0.46.msi /qn /norestart ^
  SERVER_URL=https://dlp.example.ru ^
  INSTALL_PASSWORD=DeepSecret-2026 ^
  AGENT_VISIBILITY=hidden ^
  TAMPER_PROTECTION=on

REM Проверка установки
sc query StaffCopAgent | findstr "RUNNING" >nul
if errorlevel 1 echo "Failed: %COMPUTERNAME%" >> \\dc01\logs$\staffcop-deploy.log

Agent работает в скрытом режиме, не виден в трее, не виден в списке программ Add/Remove. В диспетчере задач имя процесса замаскировано под системный WinSysSvc.exe. Это сделано не для того, чтобы обмануть сотрудников (они подписали уведомление), а чтобы они не пытались отключить агент в случае «технических проблем» с компьютером.

Защита агентов от удаления

Tamper Protection — отдельная функция, которая защищает агент от удаления любым пользователем, включая локальных администраторов. Удалить агент можно только через серверную консоль с введённым инсталляционным паролем. Это спасло нас от одного интересного случая — об этом в разделе про найденные утечки.

Этап 5. Настройка политик

Политика DLP — это набор правил: «если происходит вот такое действие с вот такими данными, то реагируем вот так». Для торговой компании настроил 14 политик. Расскажу про самые важные.

Политика 1: блокировка USB-устройств

# StaffCop Policy YAML (упрощённо)
name: USB Storage Block
target_groups: [Sales, Buhgalteria, Marketing]
action: block_with_alert
trigger:
  device_class: USB-storage
  exception_list:
    - VID_058F&PID_6387  # Корпоративные флешки Kingston DT100
    - VID_0951&PID_1666  # Kingston DataTraveler 3.0
    - VID_0930&PID_6544  # Toshiba корпоративный (admin)
notification:
  user: "Подключение USB-носителей запрещено политикой компании"
  ticket: it_support@company.ru
incident_severity: high

Корпоративные флешки помечены через инвентаризацию (генеральный, главбух, IT-инженер — у каждого выдан брендированный USB с зарегистрированным VID/PID). Все остальные USB-носители блокируются с уведомлением.

Политика 2: контроль исходящей почты

name: Outbound Mail Monitoring
target_groups: [Sales, Marketing]
trigger:
  protocol: SMTP, HTTPS-webmail
  recipients_match:
    - "*@gmail.com"
    - "*@yandex.ru"
    - "*@mail.ru"
    - "*@yahoo.com"
    - "*@outlook.com"
  exclude_recipients:
    - "user@gmail.com"  # Личные адреса, согласованные с HR
  attachment_rules:
    - if_size_gt: 1MB
      action: alert_and_quarantine
    - if_extension_in: [xls, xlsx, csv, accdb, mdb, sql]
      action: block_and_alert
    - if_filename_match: "*клиент*|*база*|*price*|*прайс*"
      action: block_and_alert
content_rules:
  ocr_screenshots: true
  block_keywords: ["клиентская база", "прайс на 2026", "наша скидка"]
incident_severity: critical

Главный фокус — блокировка отправки на личные почтовые домены файлов с расширениями данных (Excel, CSV, базы). Это самый частый канал утечки в МСБ.

Политика 3: контроль облачных синков

name: Personal Cloud Sync Block
target_groups: [Sales, Marketing, Buhgalteria]
trigger:
  process_match:
    - "Yandex.Disk.exe"
    - "Dropbox.exe"
    - "OneDrive.exe (личный аккаунт)"
    - "Google Drive.exe (личный аккаунт)"
    - "MEGAsync.exe"
  exception_corporate_oneDrive: true  # корпоративный OneDrive разрешён
action: block
notification:
  user: "Запрещена синхронизация личного облака на рабочем компьютере"

Дополнительно через GPO мы блокировали установку этих программ на рабочих станциях через AppLocker. Но политика DLP — это второй слой защиты на случай, если кто-то всё же установил.

Политика 4: контроль печати

name: Print Monitoring
target_groups: [all]
trigger:
  print_event: true
  rules:
    - if_pages_gt: 50
      action: alert
    - if_filename_match: "*клиент*|*договор*|*price*"
      action: alert_and_save_copy
    - if_pages_gt: 200
      action: block_and_require_approval
  printer_whitelist:
    - "HP LaserJet Office01"
    - "Kyocera ECOSYS Office02"
incident_severity: medium
retention_days: 365

За год DLP сохраняет копии (PDF) всех распечатанных документов с пометкой «клиент» или «договор». Если потом возникает спор — у нас есть доказательство, что именно было распечатано, в каком количестве, кем.

Этап 6. Что мы нашли в первый месяц — три канала утечки

В первые четыре недели после запуска DLP отработала 47 алертов разной важности. После анализа я выделил три активных канала утечки, по которым шла регулярная активность одних и тех же сотрудников.

Канал 1. Менеджер по работе с ключевыми клиентами и личная почта

Алёна (имя изменено), 31 год, в компании 4 года, обслуживает 12 ключевых клиентов с оборотом 60 млн рублей в год. За месяц на её рабочем компьютере DLP зафиксировал 47 попыток отправки писем на адрес alyona.s***@gmail.com с вложениями. Содержание:

• Excel «Клиенты_декабрь.xlsx» — выгрузка из Bitrix24, 1240 контактов с ЛПР и историей.
• PDF копии договоров с 8 крупными клиентами.
• Прайс «Прайс с скидками 2026.xlsx» с индивидуальными условиями.
• Презентация «План захвата региона Северо-Запад» с маркетинговой стратегией.

Отправка была заблокирована в реальном времени, Алёна каждый раз получала уведомление «вложение содержит конфиденциальные данные». Это не остановило её — она перепаковала Excel в архив с паролем и попыталась снова. DLP сработал по содержимому ZIP.

На пятой попытке Алёна попыталась удалить агент с компьютера через службы Windows. Tamper Protection заблокировала операцию, в консоль DLP пришёл алерт «попытка отключения агента». Это уже не «может быть подозрительно» — это явный inside threat.

Я передал отчёт коммерческому директору. Через две недели после внутреннего расследования с Алёной расстались по соглашению сторон. Параллельно она была устроена в новую компанию-конкурент, которая выиграла те самые три тендера.

Канал 2. USB-флешка по пятницам

Денис (имя изменено), руководитель отдела маркетинга. Каждую пятницу примерно в 18:30 (когда офис уже почти пуст) подключал к рабочему ПК USB-флешку Kingston 32 GB и копировал на неё папки. Объём — 2-4 GB за раз.

Здесь интересный момент: Денис как руководитель отдела имел право работать на флешке (не входил в группу с полной блокировкой USB). Но политика мониторинга у него была включена — DLP записывал, что именно он копирует.

Анализ копий показал: маркетинговая аналитика, конкурентный анализ, презентации стратегии, контент-планы. Часть из этого материала легитимно нужна была дома (Денис работал по выходным). Но за два месяца DLP зафиксировал 17 пятниц с одинаковым паттерном «копирование ровно перед уходом, объём 2-4 GB, всё, что трогалось за неделю».

В беседе с Денисом коммерческий установил, что он действительно работал на дому, но также передавал часть материалов в свой Telegram канал «маркетинг-инсайды», который вёл анонимно. По соглашению с компанией канал был закрыт, материалы удалены. Денис остался в компании, но его право на работу с флешкой было отозвано — теперь работа из дома только через корпоративный VPN.

Канал 3. Личный Яндекс.Диск через веб-интерфейс

Татьяна (имя изменено), бухгалтер, в компании 6 лет. Использовала личный Яндекс.Диск через веб-интерфейс (политика блокировала клиент Yandex.Disk.exe, но не блокировала загрузку через браузер). За месяц DLP зафиксировал 240 файлов, загруженных в личное облако.

Содержание — финансовая отчётность, налоговые декларации, копии договоров с поставщиками. Татьяна объяснила, что хранит «копию для подстраховки на случай, если в офисе откажет железо». Это типичная история — сотрудник не понимает, что делает плохо, и у него действительно были рациональные мотивы.

Решение: настроили вместе с Татьяной автоматический бэкап рабочих папок через корпоративный OneDrive (Microsoft 365 Business). Объяснили риски утечки через личное облако (если её аккаунт взломают — все финансовые данные у злоумышленника). Татьяна согласилась, удалила данные с личного облака. Конфликта не было.

Этап 7. Дополнительные политики после первого месяца

После анализа реальных кейсов я скорректировал политики:

• Заблокировал не только клиенты облаков, но и веб-загрузку файлов на personal-домены через браузер. Список доменов: cloud.yandex.ru, cloud.mail.ru, drive.google.com (личный), dropbox.com, mega.nz и ещё 12 сервисов.
• Добавил OCR-проверку скриншотов экрана. Если сотрудник снимает скриншот CRM и пытается отправить через мессенджер — DLP распознаёт текст «контакты клиентов» и блокирует.
• Настроил профиль для группы «Руководители отделов» — мониторинг есть, но нет автоматических блокировок (потому что у них есть легитимные причины работать с базой). Алерты приходят коммерческому директору раз в неделю в виде дайджеста.
• Включил аномалий-детектор: если сотрудник вечером качает с CRM в 10 раз больше обычного — алерт. Это поймало одну сотрудницу, готовившуюся к увольнению.

Этап 8. Регламент работы с алертами

DLP без регламента работы с инцидентами — это просто дорогой логгер. Мы у клиента ввели трёхуровневую процедуру:

1. Уровень 1: автоматическая блокировка + уведомление пользователя. Срабатывает на однозначные нарушения (отправка Excel в gmail). Не требует вмешательства человека.
2. Уровень 2: дайджест коммерческому директору раз в неделю. Сводка по подозрительной активности руководителей отделов, аномалии трафика, попытки обхода. Время чтения — 15 минут в неделю.
3. Уровень 3: критический алерт сразу в Telegram-канал «DLP-инциденты». Срабатывает на: попытку отключения агента, копирование больше 1 GB за раз, подключение неизвестной USB после блокировки, мульти-факторные нарушения за час. Реакция — звонок коммерческому в течение 30 минут.

За первые три месяца у нас не было false-positive в третьем уровне. То есть каждый критический алерт оказался реальным сигналом, который требовал внимания.

Контр-нарратив. Что я считаю плохой идеей

«Поставьте DLP и забудьте, всё будет работать само». Не работает. DLP без человека, который раз в неделю смотрит дайджест — это хранилище логов, которое никто не открывает. Минимум 2-4 часа в неделю должны выделяться у ответственного на разбор алертов.

«Дайте DLP полный список ключевых слов, и оно поймает всё». Слишком много false-positive. Если в политике стоит «прайс» и «клиент» — каждое второе письмо менеджера будет в алерте. Нужен баланс: точные паттерны, регулярные выражения, ML-классификаторы (где есть) для важных категорий.

«Установите всем сотрудникам без объявления». Это нарушение Трудового кодекса. Помимо юридических рисков — это разрушает доверие в коллективе, когда правда вылезает наружу. Прозрачное уведомление с подписью — единственно правильный путь.

Стоимость проекта

• Лицензии StaffCop Enterprise на 38 РМ — 285 000 рублей разово.
• Развёртывание сервера и настройка инфраструктуры — 80 000 рублей (4 дня инженера).
• Настройка 14 политик DLP — 60 000 рублей (3 дня).
• Подготовка юридической документации — 25 000 рублей.
• Обучение коммерческого директора и IT-администратора заказчика — 25 000 рублей.
• Итого первый год: 475 000 рублей.
• Со второго года: годовое продление лицензий — 65 000 рублей, абонемент ITfresh на поддержку и работу с алертами — 22 000 рублей в месяц.

Для сравнения: один из тех тендеров, которые ушли к конкуренту, был на 8.4 млн рублей маржи. Окупаемость DLP — за один предотвращённый инцидент.

FAQ: что чаще всего спрашивают клиенты

Зачем DLP компании на 30-50 человек, если все «свои»?

По нашей статистике из 22 проектов 2024-2026 годов в каждой второй компании малого бизнеса есть хотя бы один сотрудник, который сливает базу клиентов или копирует прайсы конкурентам. Это не паранойя, а проверенная цифра. «Свои» в МСБ — пока не нашли работу с лучшей зарплатой. DLP не предотвращает увольнение, но при увольнении вы знаете, что сотрудник унёс, и можете быстро заблокировать ущерб.

Какую DLP-систему выбрать для офиса 30-50 человек?

Для МСБ российские системы StaffCop, Стахановец, ИНФОВОТЧ Person Monitor покрывают 95% задач за разумные деньги. Лицензия на 30-50 устройств обходится 250 000 — 600 000 рублей разово плюс 20-30% годовой поддержки. Зарубежные DLP типа Symantec или McAfee для МСБ перебор — там лицензия от миллиона рублей и нужен отдельный администратор. SearchInform и InfoWatch Traffic Monitor — для крупных компаний от 200 человек.

Что делать с сотрудниками, которые узнают про DLP?

По закону РФ работодатель обязан уведомить сотрудников о том, что на рабочих компьютерах ведётся мониторинг (152-ФЗ + Трудовой кодекс). Мы готовим клиенту шаблон уведомления и приложение к трудовому договору. Сотрудники подписывают это в первый день. Когда люди знают, что мониторинг есть, риск инсайдерских утечек снижается на 40-60% даже без срабатывания политик. Сам факт прозрачности — самый сильный сдерживающий фактор.

Какие самые частые каналы утечки в МСБ?

Топ-5 за 2025-2026 годы: личная почта (gmail, yandex) с пересылкой клиентских баз себе домой, USB-флешки с копией папки с документами, Telegram (передача файлов в личном чате с другого устройства), личный Google Drive / Яндекс.Диск (синхронизация рабочих папок), фотография экрана на смартфон (наименее заметный канал). DLP закрывает первые четыре, для пятого мы используем regular review подозрительной активности и регламент о запрете телефонов на рабочем столе.

Сколько стоит развёртывание DLP под ключ?

Для торговой компании 38 РМ: лицензии StaffCop — 285 000 рублей разово, развёртывание сервера и агентов — 80 000 рублей, настройка политик — 60 000 рублей, обучение администратора заказчика — 25 000 рублей. Итого первый год — 450 000 рублей. Со второго года — годовое продление лицензий 65 000 рублей плюс абонемент на поддержку 22 000 рублей в месяц. Для сравнения — стоимость одной утечки клиентской базы в торговой компании на чёрном рынке ушла бы за 250-400 тысяч рублей.

Итог

Торговая компания 38 РМ за 12 рабочих дней получила развёрнутую DLP-систему StaffCop, обнаружила и закрыла три активных канала утечки клиентской базы, расставила точки в одном кадровом вопросе и купировала второй. Возврат инвестиций — за один сорванный тендер конкурентов. Главное, что показал проект — даже в малой компании на 38 человек инсайдерские угрозы реальны, и предотвратить их без DLP практически невозможно.