IT-онбординг и оффбординг сотрудника: чеклист, который закроет дыры в безопасности вашего офиса

За пятнадцать лет в IT-аутсорсинге я видел многое. Но чаще всего меня поражает вот что: компания тратит деньги на антивирус, фаервол и VPN — а потом забывает отключить уволенного менеджера от корпоративной почты. И он полгода читает переписку. Это не страшилка из интернета — это реальная история от нашего клиента, торговая компания, 23 человека в штате, Москва. Вот почему я написал эту статью.

Откуда берутся утечки — спойлер: не от хакеров

Когда говорят про утечки данных, все представляют хакеров в балаклавах, которые ночью взламывают серверы. На практике картина куда скучнее. Добрая половина инцидентов, с которыми мы работаем, — это бывшие или действующие сотрудники. Просто человек уволился, получил расчёт, попрощался с коллегами — и ещё три месяца спокойно заходил в корпоративную CRM. Потому что никто не отключил.

Расскажу конкретный случай. Менеджер по продажам ушёл к конкуренту. Через месяц звонит генеральный: утечка, клиенты уходят, конкуренты знают наши цены. Начинаем копать. Оказывается, бывший менеджер два месяца заходил в систему через мобильное приложение — его учётка жила, никто не почесался. База 1500 клиентов. Ущерб по итогам квартала — больше двух миллионов рублей потерянного оборота. Причина — не хакеры. Отсутствие процесса.

Причина такого бардака типичная: кадры подписали приказ об увольнении, бухгалтерия выплатила расчёт, а IT никто не уведомил. Системный администратор узнал об уходе человека через три недели — случайно, в курилке. Это стандартная ситуация для компаний до 50 человек, где нет IT-директора в штате и нет выстроенного процесса. Онбординг и оффбординг — это не HR-история. Это IT-безопасность. И начинается она за сутки до первого рабочего дня нового человека, а заканчивается через неделю после того, как уволенный сдал пропуск.

Онбординг: начинаем до того, как человек пришёл

Про онбординг обычно говорят в разрезе HR — встреча с командой, экскурсия по офису, корпоративные ценности. Меня интересует другое. К моменту, когда новый сотрудник садится за рабочее место, у него должно быть готово всё. Компьютер настроен. Учётная запись создана. Почта работает. Доступы выданы ровно в той мере, в какой нужно для работы — и ни граммом шире. Иначе первый день превращается в хаос, а системный администратор носится по офису с ноутбуком подмышкой.

Для этого нужен запрос от HR или руководителя за один-два рабочих дня до выхода человека. Простое письмо: имя, должность, отдел, дата выхода, какие системы нужны. На основании этого мы готовим рабочее место. Создаём учётную запись в Active Directory. Настраиваем почту — Exchange или Office 365, у кого что. Добавляем в нужные группы безопасности. Устанавливаем базовый набор ПО: Windows 10 или 11, антивирус, 1С если нужно, офисный пакет, браузер. Проверяем принтер. Всё это занимает два-три часа — при условии, что мы знаем заранее.

Отдельная история — лицензии. КриптоПро стоит около 1500 рублей за лицензию. 1С — от 6000 до 15 000 рублей за пользователя, зависит от конфигурации. Office 365 — примерно 700-800 рублей в месяц на человека. Это деньги, и они должны быть в бюджете заранее. Не «подключим потом», а сразу. Иначе бухгалтер неделю сидит без 1С и работает в блокноте, а компания потом разгребает последствия.

Что выдать и что подписать: акт оборудования и соглашение о безопасности

Каждый выданный ноутбук, монитор, мышь, гарнитура — должны быть в акте. С серийными номерами. С подписью сотрудника. Звучит занудно? Расскажу историю. Клиент — медицинская клиника, 18 человек. Врач уволился, сдал ноутбук. Через месяц выяснилось, что это другой ноутбук — он подменил свой старый на более дешёвый из подсобки. Доказать без акта — невозможно. Теперь у них каждый ноутбук сфотографирован, серийный номер в таблице, акт в двух экземплярах. Десять минут работы при приёме — и никаких сюрпризов при увольнении.

В акт вносим: компьютер с маркой и серийным номером, монитор, клавиатуру, мышь, гарнитуру, если выдаётся — корпоративный телефон или SIM-карту. Отдельной строкой — токен ЭЦП, если он выдаётся сотруднику. КриптоПро-токен — маленькая флешка, стоит 1200-2000 рублей, но на ней записан ключ электронной подписи. Потерял — головная боль: перевыпуск занимает время и деньги. Поэтому токен фиксируем отдельно, с указанием, под какую подпись он выдан.

Помимо оборудования, в первый день подписываем два документа. Первый — соглашение о неразглашении. Второй — соглашение о правилах использования IT-инфраструктуры компании. Там написано: корпоративный компьютер — только для работы, личные флешки не подключаем, пароли коллегам не передаём, в корпоративных аккаунтах личные данные не храним. Не потому что мы шпионим за людьми. А потому что если что-то случится — у компании есть подписанный документ. В суде это работает. Без него — не работает ничего.

Оффбординг: самая дырявая часть IT-безопасности в малом бизнесе

Честно скажу: онбординг большинство компаний делают хотя бы частично. Ноутбук покупают, почту создают, это понятно. А вот оффбординг — это катастрофа. Увольнение всегда стресс для обеих сторон. HR занимается документами. Руководитель думает, как закрыть вакансию. Бухгалтерия считает расчёт. IT — в самом конце этого списка. А потом выясняется, что человек полгода читал корпоративную почту с домашнего дивана.

Правильный оффбординг начинается в тот момент, когда подписан приказ об увольнении — или когда стало известно о намерении уволиться. Устанавливаем дату последнего рабочего дня. За день до неё — или в сам день с утра — IT получает уведомление. Не в конце рабочего дня. Утром. Потому что список задач длинный и успеть нужно до того, как человек ушёл.

Минимальный список по оффбордингу: заблокировать учётную запись в Active Directory; отозвать доступ к корпоративной почте; отключить от VPN и RDP; сменить пароли к общим сервисам, которые знал сотрудник — корпоративные аккаунты в соцсетях, CRM, облачные сервисы, а если был доступ к банк-клиенту — там первым делом; деактивировать карту доступа в офис или сменить код на замке; забрать корпоративный телефон и SIM-карту; забрать токен ЭЦП; принять оборудование по тому самому акту; сделать резервную копию данных с его компьютера перед форматированием. На небольшую компанию это полтора-два часа работы. Один раз не сделаешь — потом разгребаешь месяцами.

Три реальных случая, которые вы, скорее всего, узнаете

Случай первый. Небольшая бухгалтерская фирма, восемь человек. Бухгалтер уволилась после конфликта с директором — громко, с хлопком дверью. Про смену пароля от личного кабинета в банке забыли: у неё был доступ к расчётным счетам нескольких клиентов фирмы. Она ничего не сделала — но три недели имела возможность сделать всё что угодно. Обнаружили случайно, когда новый бухгалтер заметил, что кто-то менял настройки уведомлений. Итог: смена паролей, двухфакторная аутентификация везде, аудит доступов. Нам это обошлось клиенту в 15 000 рублей за работу и несколько нервных дней для директора.

Случай второй. Торговая компания, склад, около сорока человек. Кладовщик уволился. Никто не отозвал его доступ к системе учёта товаров. Он ещё месяц заходил, смотрел остатки и закупочные цены. Передавал конкурентам. Выяснилось случайно — по стечению обстоятельств, которое описывать не буду. В этой истории компания потеряла нескольких поставщиков, которые ушли к конкурентам, знавшим условия точнее.

Случай третий — обратный, но не менее дорогостоящий. Компания уволила системного администратора. Быстро, без нормальной передачи дел — поссорились. Через две недели упал сервер: что-то с настройками DNS. Никто в компании не знал, как это починить. Не было документации — вообще никакой. Пароли от всего — в голове у уволенного сисадмина. Новый специалист разбирался трое суток. Простой обошёлся примерно в 80 000 рублей потерянного времени сотрудников и срочного привлечения нашей команды по повышенному тарифу. Это стоило дороже, чем нормальный оффбординг, раз в тридцать.

Минимальный рабочий процесс для офиса, где нет IT-директора

Идеально — завести тикет-систему. YouTrack, Jira, СБИС, что угодно. При онбординге открывается задача с чеклистом: создать учётку, выдать оборудование, настроить ПО, подписать документы, провести инструктаж по информационной безопасности. При оффбординге — такой же список в обратном порядке. Кто сделал — ставит отметку и дату. Никаких «а я думал, Петя сделал».

Для небольших компаний, где нет времени на внедрение систем, достаточно Google Таблицы с двумя листами — «Онбординг» и «Оффбординг». На каждого нового или уходящего — строка. Столбцы: задача, ответственный, срок, статус. HR заполняет своё, IT — своё, руководитель видит картину в одном месте. Это занимает двадцать минут на настройку и работает лучше, чем ничего. Не стыдно начать с таблицы — стыдно не начать вообще.

Для компаний с Windows Server и Active Directory часть онбординга автоматизируется. Шаблоны учётных записей по отделам: бухгалтерия, продажи, склад, производство. Новый бухгалтер создаётся по шаблону — получает ровно те доступы, которые нужны бухгалтеру. Ничего лишнего. Это называется принцип минимальных привилегий. На слух сложно, на практике — один раз настроил шаблоны, и новый пользователь создаётся за пять минут вместо получаса.

Документация и пароли: та самая вещь, которую все откладывают до понедельника

Знаю, что никто не любит документацию. Особенно в малом бизнесе, где все бегут и некогда. Но есть два документа, без которых оффбординг ключевого технического специалиста превращается в катастрофу. Первый — список всех систем и сервисов с указанием, кто администратор и где хранится пароль. Второй — схема сети на одном листе A4. Где сервер, где роутер, что с чем соединено. Без этого новый человек или подрядчик тратит дни на то, чтобы просто понять, что вообще есть в компании.

Пароли — отдельная боль. У большинства небольших компаний пароли от критичных систем живут в голове у одного человека или в блокноте на столе. Когда этот человек уходит, начинается квест. Решение простое: корпоративный менеджер паролей. Bitwarden есть в бесплатной self-hosted версии — ставится на сервер, хранит все корпоративные пароли, доступен нужным людям. KeePass с общей базой на защищённом сетевом диске — тоже работает. Стоимость внедрения — от нуля до трёх тысяч рублей в год. Это несравнимо с тем, чего стоит потеря доступа к критичному сервису в пятницу вечером накануне сдачи отчётности.

И последнее про оффбординг. Перед форматированием компьютера уходящего сотрудника — всегда делаем резервную копию или образ рабочего стола и папки с документами на сетевое хранилище. Храним три месяца. Зачем? Потому что через неделю после увольнения руководитель обязательно спросит: а где тот договор, который Маша делала в марте? И хорошо, когда есть что ответить. А не разводить руками.

Частые вопросы

Достаточно ли просто заблокировать учётную запись в Active Directory при увольнении?
Блокировка в AD закрывает доступ к корпоративному компьютеру и сетевым ресурсам домена — но не трогает облачные сервисы. Если компания использует Office 365, Google Workspace, CRM в облаке, 1С в облаке — у каждого своя учётная запись, и каждую нужно отключать отдельно. Именно поэтому нужен чеклист с конкретным перечнем систем, а не одно действие.

Что делать, если сотрудник уволился внезапно или конфликтно?
Внезапное или конфликтное увольнение — значит, оффбординг делаем в тот же день и максимально быстро. Первым делом блокируем почту и удалённый доступ: VPN, RDP. Потом по чеклисту всё остальное. Если человек имел доступ к финансовым системам или базам клиентов — сразу просматриваем логи доступа за последние две-три недели. Это занимает час, но даёт чёткое понимание того, что происходило и есть ли повод для беспокойства.

Нужен ли письменный акт при выдаче оборудования новому сотруднику?
Да, обязательно — акт в двух экземплярах с перечнем оборудования и серийными номерами. Один экземпляр сотруднику, второй остаётся в компании. Без акта при увольнении невозможно юридически предъявить претензии, если ноутбук вернули не тот или в плохом состоянии. Документ оформляется за десять минут и защищает компанию в любом споре.

Как быть с корпоративными аккаунтами в соцсетях, если ими пользовался один менеджер?
Частая история: один человек вёл Instagram или ВКонтакте компании — и ушёл. Если пароль знал только он, доступ либо потерян, либо аккаунт фактически под его контролем. Правило одно: пароли от всех корпоративных аккаунтов хранятся в корпоративном менеджере паролей, не в голове сотрудника. При увольнении меняем пароль и привязанную двухфакторку сразу — ещё до того, как человек вышел из офиса.