АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

DLP для малого офиса: перекрываем утечку данных через USB-флешки и личные облака

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-17
DLP для малого офиса: перекрываем утечку данных через USB-флешки и личные облака

В марте у одного из моих клиентов, небольшой юрфирмы на 18 рабочих мест, за два дня до увольнения менеджер скопировал базу контактов и договоров на флешку. Обычную, за 400 рублей, купленную в киоске на первом этаже. Потом эта база всплыла у конкурента. Директор пришёл ко мне с вопросом: сколько стоит DLP-система, чтобы такое больше не повторилось. Я ответил, что для его масштаба полноценный DLP не нужен — нужен набор бесплатных и недорогих мер, которые перекрывают 90% реальных каналов утечки. Расскажу, как я это делаю у клиентов.

Почему дорогой DLP — это не про малый офис

Давайте сразу о деньгах. InfoWatch Traffic Monitor для организации на 50 рабочих мест — это от 500 тысяч рублей в год, и ещё нужен отдельный человек, который будет разбирать инциденты. SearchInform дешевле, но тоже стартует от 200-250 тысяч. Для клиники на 20 кресел или бухгалтерской фирмы на 15 человек это просто нерентабельно — годовой бюджет на всю IT-инфраструктуру часто меньше.

И вот что интересно: полноценный DLP с анализом контента, теневым копированием и поведенческой аналитикой в 90% малых офисов и не нужен. Утечки там происходят не хитрым способом через зашифрованный трафик на неизвестный сервер, а банально — сотрудник воткнул флешку, скопировал папку и унёс. Или загрузил файл в личный Яндекс.Диск с рабочего компьютера, потому что «дома доделаю». Для перекрытия именно этих сценариев хватает встроенных механизмов Windows, бесплатных утилит и грамотно настроенного файрвола.

Я не против DLP как класса — для банка или производства с гостайной он оправдан. Но директору юрфирмы на 15 человек я честно говорю: давайте закроем реальные дыры за 0-15 тысяч рублей, а не будем покупать пушку по цене танка.

USB-флешки: первый и самый частый канал

Самое простое и при этом самое эффективное — это групповые политики Windows. В домене через GPO есть готовый раздел Removable Storage Access, где можно запретить запись на съёмные диски, оставив чтение, или заблокировать устройство целиком. Настраивается это за час, а не за неделю внедрения дорогого софта.

Если домена нет — а у многих малых офисов его и правда нет, работают в рабочей группе — то же самое делается через реестр на каждой машине: ключ HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies, параметр WriteProtect. Ставится в 1 — и флешка становится read-only на всех компьютерах. Для 15-20 машин это можно раскатать одним bat-файлом через удалённый PowerShell за 20 минут, я так делал у клиента на Тверской.

Более гибкий вариант — белые списки устройств по VID и PID. Тогда сотрудники могут пользоваться конкретными выданными компанией флешками с шифрованием, а любая посторонняя просто не определится в системе. Бесплатная утилита USBDeview от NirSoft показывает все когда-либо подключавшиеся устройства с их идентификаторами — по ней и составляется список. Дальше это прописывается в той же групповой политике.

У одного клиента, производственная компания в Мытищах, я вообще пошёл на радикальную меру для цеховых компьютеров: физически залил USB-порты термоклеем, оставив один разъём для мыши-клавиатуры. Обошлось это буквально в стоимость клеевого пистолета. Грубо, зато результат стопроцентный — там, где на кону чертежи и техпроцессы, а сотрудники технически не самые продвинутые, простое решение работает надёжнее любого софта.

Личные облака: Яндекс.Диск, Google Drive, Dropbox

Тут сложнее, потому что трафик идёт по HTTPS и выглядит как обычный веб-сёрфинг. Но и здесь без дорогого DLP можно многое. Первый рубеж — блокировка доменов на уровне файрвола или роутера. На pfSense, который у меня стоит почти на всех клиентских точках, это делается через pfBlockerNG: заводится список доменов disk.yandex.ru, drive.google.com, dropbox.com, cloud.mail.ru и блокируется резолвинг DNS. На Keenetic то же самое через список запрещённых сайтов в разделе «Родительский контроль» — да, функция для детей, но прекрасно работает и для сотрудников.

Второй рубеж — SSL-инспекция через прокси. Squid с SSL bump и самоподписанным сертификатом, установленным на клиентских машинах через GPO, позволяет не просто блокировать домен целиком, а видеть, что именно передаётся, и различать просмотр диска от загрузки файла. Это чуть сложнее в настройке — часа три-четыре работы админа, но результат куда точнее топорной блокировки по домену.

Отдельная головная боль — Telegram. Его нельзя просто заблокировать по IP, потому что он умеет обходить блокировки через MTProto-прокси и постоянно меняет адреса. Здесь я обычно советую не бороться с самим мессенджером, а закрыть возможность установки таких клиентов через AppLocker — встроенный в Windows механизм белых списков приложений. Разрешаем запуск только того ПО, что есть в реестре компании, всё остальное просто не стартует. Бесплатно, входит в Windows Pro и Enterprise.

AppLocker вместо антивируса-костыля

Многие пытаются решить проблему установки левого софта антивирусом с эвристикой — не работает, потому что Google Диск и Dropbox не вредоносные программы, антивирус их пропустит. AppLocker работает по-другому: по умолчанию запрещено всё, разрешено только явно перечисленное. Настраивается через редактор локальной групповой политики, раздел Application Control Policies.

У бухгалтерской фирмы, которую я обслуживаю на Профсоюзной, мы через AppLocker разрешили запуск только 1С, Excel, Word, КриптоПро, браузера и десятка служебных утилит. Всё остальное — от установщиков облачных клиентов до случайно скачанных архиваторов с рекламным мусором — просто не запускается, пользователь видит сообщение «приложение заблокировано администратором». За полгода ни одной попытки слить данные через новый канал — просто нечем было.

Минус метода один: при появлении нового легитимного софта его нужно вручную добавлять в список. Для офиса на 15-30 человек с более-менее стабильным набором программ это не проблема — правишь политику раз в пару месяцев, пять минут работы.

Логирование и алерты — глаза, которые вы получаете бесплатно

Блокировка — это половина дела, вторая половина — видеть, что происходит. В Windows есть встроенный аудит: включаете политику аудита объектов (Object Access) и получаете в журнале событий записи о подключении USB-устройств, событие 20001 в System и 6416 в Security. Бесплатно, ничего доустанавливать не нужно.

Для более детальной картины ставлю Sysmon от Microsoft — тоже бесплатный инструмент, который логирует создание процессов, сетевые подключения, изменения файлов. Дальше можно собрать логи со всех машин в один Event Collector и раз в неделю просматривать: кто подключал флешки, кто пытался зайти на заблокированные облачные сервисы. Для офиса на 20 человек это занимает у админа минут двадцать в неделю.

Я у себя пошёл дальше и настроил алерты в Telegram — как только на любой машине клиента подключается неизвестное USB-устройство, мне и ответственному сотруднику клиента прилетает сообщение в чат. Это связка PowerShell-скрипта, отслеживающего событие 2003 в журнале, и простого HTTP-запроса к Telegram Bot API. Написать такой скрипт — часа два работы, зато реакция на инцидент не «через неделю при плановой проверке логов», а в течение минуты.

Организационные меры — то, что забывают в первую очередь

Технику можно настроить идеально, но если у сотрудника в трудовом договоре нет ни слова про ответственность за разглашение — юридически вы бессильны, даже если поймали его с поличным. Первое, что я советую директорам: пропишите в трудовом договоре или отдельном соглашении о конфиденциальности прямой запрет на копирование и передачу данных третьим лицам, с указанием конкретной ответственности. Это стоит консультации юриста, максимум 10-15 тысяч рублей разово, и работает как для суда, так и как психологический сдерживающий фактор — люди по-другому относятся к работе, когда знают, что подписали конкретный документ, а не абстрактную NDA-формальность.

Второе — простое правило: доступ по принципу минимальной необходимости. У клиента-медцентра я обнаружил, что администраторы ресепшена имели доступ вообще ко всей базе пациентов клиники, хотя работали только с записью на приём. Разграничили права в 1С — теперь администратор видит только ФИО, телефон и расписание, а полную медкарту — только врач. Это не софт, это просто час работы с настройками системы, которая уже стоит.

Третье — банальный инструктаж. Раз в квартал 20 минут с сотрудниками: показать, что мониторинг есть, объяснить, зачем он нужен, не пугая, а именно объясняя логику — компания защищает и себя, и клиентов, чьи данные хранит. У большинства утечек в малом бизнесе нет злого умысла, это по глупости: «отправлю на личную почту, чтобы дома доделать». Простое информирование убирает добрую половину таких случаев без единой строчки кода.

Что я обычно предлагаю клиентам под ключ

На практике я собираю для клиента такой пакет: групповые политики на блокировку записи USB плюс белый список разрешённых флешек с шифрованием BitLocker To Go — да, это тоже встроено в Windows Pro бесплатно. Блокировка доменов личных облаков на файрволе или роутере. AppLocker с белым списком приложений. Аудит событий плюс Telegram-алерты на подозрительную активность. И отдельно — юридическое оформление ответственности сотрудников.

По деньгам это выходит в разовые трудозатраты специалиста — обычно от 15 до 40 тысяч рублей на настройку под офис в 15-30 машин, в зависимости от того, домен там или рабочая группа, и сколько ручной работы требуется на каждой станции. Дальше — минимальное сопровождение, час-два в месяц на актуализацию списков и просмотр логов. Против полумиллиона в год за коробочный DLP разница ощутимая, а закрывает те же реальные риски.

Есть, конечно, случаи, где без серьёзного DLP не обойтись — компании с гостайной, крупный финтех, где утечка тянет на миллиардные штрафы и уголовные статьи. Но для юрфирмы, бухгалтерии, торговой компании или клиники до полусотни рабочих мест разумный набор бесплатных и условно-бесплатных мер закрывает подавляющее большинство реальных сценариев утечки. Проверено на десятке моих клиентов за последние пару лет — ни одного повторного инцидента там, где меры внедрены полностью.

Частые вопросы

Можно ли полностью запретить флешки, но не мешать работе?
Да, через белый список по VID и PID устройств: разрешаете конкретные выданные компанией накопители, а всё постороннее просто не подключается системой. Сотруднику для рабочих задач хватает выданной флешки, а унести данные на свою личную он уже не сможет.

А если сотрудник просто сфотографирует экран на телефон?
От этого технических средств почти не существует, разве что запрет телефонов в переговорных с чувствительными данными и физический контроль на входе, что для малого офиса избыточно. Здесь работает только юридическая ответственность и разумное разграничение доступа — если у человека нет доступа к базе целиком, фотографировать особо нечего.

Как быть с сотрудниками на удалёнке, которых не прикроешь корпоративным файрволом?
Для удалённых машин те же GPO и AppLocker раскатываются через VPN-подключение к корпоративному контроллеру домена, а блокировка облаков переносится на локальный firewall самой машины или на DNS-фильтрацию через сервис типа NextDNS с корпоративным профилем. Дороже и чуть сложнее в администрировании, но принцип тот же.

Стоит ли вообще уведомлять сотрудников, что их действия логируются?
Да, и это не только этично, но и юридически обязательно — по закону о персональных данных и трудовому законодательству сотрудника нужно письменно ознакомить с фактом мониторинга рабочего компьютера. Плюс это работает как превентивная мера: зная о контроле, люди сами реже нарушают правила.

Хотите закрыть утечки данных в своей компании без покупки дорогого DLP?
Напишите нам — за один выезд аудируем ваши каналы утечки и предложим конкретный план настройки под ваш бюджет.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи