Аудит мессенджеров для юрфирмы 35 РМ: Telegram, MAX, «Телега»

Представьте: к нам, в ITFresh, приходит юридическая фирма с Чистых прудов. У них 35 юристов, а специализация — сделки M&A и корпоративные споры, то есть там крутятся, мягко говоря, очень важные документы. Управляющий партнёр сразу заявил: «Я хочу точно знать, в каком из четырёх мессенджеров переписываются мои юристы с клиентами, и что мы будем делать, если завтра один из них заблокируют, взломают или серверы “потекут”». Всего за 9 дней мы проанализировали Telegram, MAX, разные неофициальные форки («Телегу»), VK Teams и Signal. Итогом стала матрица рисков на 27 строк, готовый регламент переписки и развёрнутый корпоративный сервер. В этой статье мы не продаём услуги — это чисто технический разбор каждого из этих мессенджеров.

Зачем юрфирме отдельный аудит мессенджеров

В нашей практике, когда речь идёт о юридической переписке, я всегда делю её на три типа. И, поверьте, каждый из них обладает совершенно разной степенью чувствительности! Вот, например, первый тип — это наша такая «внутренняя кухня». Здесь мы обычно обсуждаем, кто чем занят, составляем графики, используем общие шаблоны. Второй, куда более серьёзный, — это прямая переписка с клиентом по конкретному делу. Тут же на кону адвокатская тайна, все наши конфиденциальные стратегии, да и чего уж там, нередко фигурируют копии паспортов и другие личные данные. Наконец, третий тип — это общение с контрагентами или, скажем, с судами. Обычно это довольно формальные уведомления, но даже там порой проскакивают персональные данные третьих лиц. Ничего не потерять — наша задача.

Каждый канал связи имеет свой уровень безопасности, и складывать все яйца в одну корзину Telegram — это просто колоссальный риск. Знаете, что мы увидели у нашего клиента до аудита? 32 из 35 юристов вели всю свою переписку в Telegram, включая M&A-документы, стоимость которых исчислялась миллиардами рублей. Представьте: один скомпрометированный аккаунт партнёра — и все эти многомиллиардные договоры в ту же минуту утекают прямо к конкурентам по сделке. Ужасная перспектива, правда?

Главная фраза, которая останавливает любого партнёра: в адвокатской деятельности утечка переписки = конец профессиональной репутации, и не только перед клиентом, но и перед адвокатской палатой. После этой фразы бюджет на аудит обычно выделяется без вопросов.

Этап 1. Сбор фактуры — какие мессенджеры реально используются

Мне было абсолютно необходимо понять истинное положение дел у клиента, прежде чем я мог что-то дельное посоветовать. Что я предпринял? Сначала, используя MDM (Microsoft Intune), выгрузил полный список всех приложений с 35 рабочих устройств. Затем лично встретился и провёл 20-минутные интервью с 12 юристами из разных отделов. И знаете, что я обнаружил?

• Наши 35 сотрудников? Все до единого используют Telegram. Это наш стандартный мессенджер — удобный и на компьютере, и в телефоне.
• WhatsApp у нас тоже в ходу, 28 из 35 человек им пользуются. Куда без него, когда нужно быстро связаться с международными партнёрами?
• MAX? 12 наших сотрудников уже активно его используют. Мы установили его в начале 2025 года, и тут дело не только в функционале – есть ещё и патриотический аспект, нам важно поддерживать отечественные разработки.
• Signal – да, им пользуются 8 наших специалистов. В основном, это наши молодые юристы, когда речь заходит о действительно конфиденциальных и чувствительных обсуждениях. Безопасность превыше всего, верно?
• Удивительно, но 4 из наших 35 человек зачем-то используют разные форки Telegram – вроде «Телеги», «Telega Plus» или «TG X». Мы к ним относимся с осторожностью, ведь оригинальный клиент надёжнее.
• Slack? Он у нас держится благодаря трём сотрудникам из 35. Это такой рудимент – остался ещё со времён работы со старым международным клиентом. Не то чтобы мы его активно продвигали, скорее, это дань прошлому.
• 0 из 35 — VK Teams.

Самый тревожный факт: я обнаружил четыре устройства, на которых были установлены неофициальные форки Telegram. Как они там оказались? Эти приложения обычно устанавливали по ссылкам, найденным прямо в самом Telegram — что-то вроде «попробуй эту улучшенную версию», без малейшей проверки источника. Просто жуть.

Анализ форков «Телега»

Я не стал тянуть резину. Немедленно вытащил все эти четыре APK-файла через ADB. А потом прогнал их через MobSF и jadx — той же методикой, кстати, которую я уже подробно описывал в одном из своих кейсов по мобильному аудиту. Что же показал анализ?

• Будьте бдительны с «Telegram Plus 7.4»! Этот, с позволения сказать, «модифицированный клиент TDLib» не просто так называется. Он включал логгирование всего, что вы печатаете – и сохранял это в локальный файл, а затем отправлял автору форка. Понимаете? Это же самый настоящий встроенный кейлоггер! Максимально опасно.
• Что там с «Телегой Х»? На первый взгляд, это просто обычный клиент Telegram. Но внутри мы нашли встроенный AdMob SDK. Что это значит? Он активно собирает ваш рекламный идентификатор (AAID) и данные о геолокации, передавая их в рекламную сеть. Мы, конечно, не обнаружили прямого зловреда, но разве это не утечка метаданных? Риск всё равно очень серьёзный.
• Осторожно, «TG Black»! Это не просто подозрительный файл. Его APK не имеет подписи Google Play, и это уже повод задуматься. При первом запуске он тут же запросит доступ к Accessibility Service и SYSTEM_ALERT_WINDOW. А это, поверьте нашему опыту, классические признаки Banker-инфостилера! Просто удалите его НЕМЕДЛЕННО, никаких раздумий.
• А вот «Telegram Mod by ZX» – это уже из разряда 'этично ли это вообще?'. Этот модифицированный клиент позволяет читать чужие сообщения в общих чатах через серверный API, причём без того самого флага 'прочитано'. То есть, вы видите, что пишут другие, а они об этом даже не подозревают. Это прямое и грубое нарушение приватности Telegram. Хоть это и не классический зловред, но стоит ли такая «суперспособность» вашей репутации?

В отчёте, который я отправил управляющему партнёру, я был предельно откровенен: эти четыре устройства с форками — это не просто риск, это реальная и очень серьёзная угроза утечки адвокатской тайны. Моя рекомендация прозвучала однозначно: удалить их нужно было в первый же день. И затем переустановить только официальный Telegram, загрузив его исключительно с tdesktop.com или из Google Play. Никаких других вариантов.

Этап 2. Сравнение мессенджеров по матрице безопасности

После этого я уже углубился в настоящий технический разбор. Между прочим, я разработал целую матрицу из девяти ключевых параметров. Затем кропотливо прошёлся по каждому из мессенджеров, детально сравнивая их друг с другом.

• Тип шифрования (E2EE / транзит / none);
• Расположение серверов;
• Соответствие 152-ФЗ;
• Нам нужна функция экспорта переписки. Почему? Чтобы в любой момент можно было провести аудит. Это вопрос прозрачности и контроля.
• Обязательно нужна полноценная поддержка корпоративных аккаунтов. Это включает в себя SSO для удобной авторизации и MDM для управления устройствами. Без этого в серьёзной компании никак!
• Двухфакторная аутентификация;
• Безопасность облачного бэкапа;
• Уязвимость к фишингу под бренд;
• А для тех данных, что действительно критичны, мы рассматриваем только вариант с self-хостингом. Никто не хочет рисковать, когда речь идёт о самой важной информации.

Telegram

Конечно, облачные чаты в Telegram используют MTProto 2.0, работают по схеме «клиент-сервер шифрование». Звучит неплохо, но тут есть один большой нюанс: сами серверы запросто могут прочитать всё, что вы там пишете. Да, Telegram вещает, что ключи сервера распределены по разным странам, и для дешифровки якобы нужно постановление судов из нескольких юрисдикций. Но давайте будем честны: юридически это совсем не End-to-End Encryption. Это обман зрения.

Секретные чаты — настоящий E2EE с прямым обменом ключами через Diffie-Hellman, без хранения на сервере. Поддерживают автоудаление сообщений. Для адвокатской тайны мы рекомендуем использовать только секретные чаты с автоудалением через 24-72 часа после прочтения.

А что насчёт бэкапа? Облачные чаты автоматически синхронизируются между всеми вашими устройствами. Это, конечно, удобно, никто не спорит, но невероятно опасно! Почему? Потому что если вдруг ваш аккаунт скомпрометируют хотя бы на одном устройстве, вся переписка тут же становится доступна злоумышленникам. К счастью, секретные чаты такой синхронизацией не грешат; они хранятся исключительно на тех устройствах, где были созданы, и только у участников беседы.

Настроить двухфакторную аутентификацию в Telegram довольно просто: заходите в Settings → Privacy → Two-Step Verification. Я всегда, без каких-либо исключений, требую, чтобы её включили. И настаиваю на том, чтобы пользователи устанавливали очень длинный и сложный cloud-пароль. Этот пароль идёт в дополнение к обычному коду из SMS, что делает вашу защиту несоизмеримо надёжнее. Маленькая деталь, которая решает всё.

MAX

MAX — это мессенджер от VK Group, который активно позиционируется как наш, российский, ответ Telegram. По нашим данным, к маю 2026 года он уже собрал более 60 миллионов пользователей в РФ. И, что очень важно, его серверы, как того требует закон, размещены именно здесь, в России. Это ключевой момент.

Что касается шифрования? На момент проведения нашего аудита оно было серверным по умолчанию, прямо как у облачных чатов Telegram. Полноценное E2EE для секретных чатов только-только запускалось. Но вот в чём его сила: по 152-ФЗ MAX полностью соответствует абсолютно всем требованиям по локализации хранения персональных данных граждан РФ. В этом вопросе к нему претензий у нас нет, всё чётко.

К сожалению, на момент нашего аудита у MAX не было корпоративных аккаунтов с возможностью интеграции в SSO/AD. А это, должен вам сказать, крайне серьёзное ограничение, особенно если мы рассматриваем его как основной инструмент для корпоративного общения. Это прямо-таки мешает полноценному внедрению.

Пожалуй, самый большой риск, который мы сейчас видим, связан с фишингом, маскирующимся под бренд MAX. Буквально на прошлой неделе я сам разбирал такой инцидент: сотрудник установил поддельное «обновление MAX» и в итоге потерял все свои банковские реквизиты. (Кстати, все подробности этого фишингового кейса я описывал в своём блоге). Бренд ведь ещё достаточно молодой, и аудитория, к сожалению, пока не всегда может отличить настоящие обновления от умелых подделок. Будьте бдительны!

VK Teams

VK Teams — это детище VK Group, и, как вы догадались, оно нацелено исключительно на бизнес. Мы часто видим, как клиенты выбирают его в двух вариантах: облачная подписка (SaaS) или локальная установка прямо на свои серверы (on-premise), если нужна максимальная приватность. Какие у него фишки? Поддерживает единый вход через Active Directory (SSO), позволяет тонко настроить корпоративные роли, даёт полный аудит сообщений и даже экспорт чатов через API. Согласитесь, для компаний это очень весомо.

Для нашей юрфирмы, где трудится 35 человек, вариант on-premise, прямо скажем, совсем нецелесообразен. Зачем нам лишняя головная боль? Подумайте сами: это же отдельный администратор, плюс целый сервер минимум на 16 GB RAM! Мы приняли решение: берём SaaS Pro-подписку. Цена вопроса — 1290 рублей в месяц с каждого пользователя. Итого на 35 сотрудников получаем 45 150 рублей ежемесячно. По нашим меркам, вполне адекватная сумма.

Что касается шифрования, тут стандарт — TLS 1.3 для данных в транзите, а хранятся они, конечно, на серверах. Сквозного шифрования (E2EE), к сожалению, нет. Понятно, что для рядовой внутренней переписки между сотрудниками это вполне приемлемо. Но вот для защиты адвокатской тайны при общении с клиентом — это совсем другая история, и тут мы бы не стали рисковать.

Signal

Signal — вот кто задаёт стандарты в мире мессенджеров, когда речь идёт о приватности. Это, пожалуй, единственный массовый сервис, где сквозное шифрование (то самое E2EE) включено по умолчанию во всех без исключения чатах. Оно работает на их собственном, проверенном протоколе Signal. Серверы, кстати, находятся в США. А ещё очень важно: исходный код открыт, и его аудировали не только Open Whisper Systems, но и целая плеяда независимых исследователей. Говоря проще: с прозрачностью здесь полный порядок.

Но давайте честно: для юридической фирмы в России здесь есть свои серьёзные "но". Во-первых, серверы в США — это прямой конфликт с 152-ФЗ, особенно если вы имеете дело с персональными данными граждан РФ. Это, по сути, бомба замедленного действия. А во-вторых, мы помним, как на конец 2024 года Роскомнадзор активно замедлял Signal в России. По нашей текущей информации (май 2026 года), он, конечно, где-то может работать без проблем, но чаще всего требуется VPN. Так что стабильность под вопросом.

Signal мы держим, так сказать, "на особом счету". Я обычно рекомендую его нашим партнёрам для тех обсуждений, которые действительно мега-чувствительны — например, когда речь идёт о взаимодействии с зарубежными контрагентами. Да и для нашей собственной внутренней переписки между партнёрами, если всплывают по-настоящему деликатные темы, мы его используем. Но давайте сразу: это точно не для массового использования. Никаких общих чатов на 100 человек!

Сводная таблица

| Параметр              | Telegram | MAX  | Телега | VK Teams | Signal |
|-----------------------|----------|------|--------|----------|--------|
| E2EE по умолчанию     | Нет      | Нет  | Нет*   | Нет      | Да     |
| Серверы РФ            | Нет      | Да   | ?      | Да       | Нет    |
| 152-ФЗ                | Серая    | Да   | Серая  | Да       | Нет    |
| SSO/AD                | Нет      | Нет  | Нет    | Да       | Нет    |
| Self-host             | Нет      | Нет  | Нет    | Да       | Нет**  |
| MFA                   | Да       | Да   | Зависит| Да       | Да     |
| Audit/Export          | API      | API  | Нет    | Да       | Нет    |
| Корп. поддержка       | Бот-API  | Нет  | Нет    | Да       | Нет    |
| Риск форка            | Высокий  | Низк | -      | Низкий   | Низкий |

* Зависит от форка
** Технически можно, но не рекомендуется

Этап 3. Технический разбор атак на мессенджеры

Чтобы наш регламент не воспринимался как очередная бумажка, "спущенная сверху", я подробно объяснил партнёру все типичные сценарии возможных атак. Ведь когда понимаешь, ОТ ЧЕГО защищаешься, любые правила обретают смысл и логичное обоснование.

Атака 1: SIM-swap

Представьте себе кошмарный сценарий: какой-нибудь хитрец, используя социальную инженерию, умудряется получить у оператора связи дубликат SIM-карты юриста. И что дальше? Он без проблем перехватывает SMS-код для входа в Telegram. А это значит что? Полный доступ ко всем облачным чатам, с абсолютно любого устройства! Вся переписка как на ладони. Согласитесь, перспектива мягко говоря, не очень.

Ну и как же мы, в ITFresh, защищаемся от подобных шпионских штучек? Во-первых, в Telegram у нас ОБЯЗАТЕЛЬНО должен быть установлен облачный пароль (cloud password) — он запрашивается уже после SMS-кода. Это такой надёжный второй рубеж. Во-вторых, для всех критичных систем вроде MAX и VK Teams настроена двухфакторная аутентификация через Microsoft Authenticator. И, конечно, действует строгий регламент: любой, кто меняет SIM-карту, должен НЕМЕДЛЕННО уведомить IT-отдел. Мы тут же проверим устройство, чтобы исключить риски.

Атака 2: компрометация Telegram Desktop

Сотрудник работает на корпоративном ноутбуке, стоит Telegram Desktop. Локальный кэш приложения находится по пути %APPDATA%\Telegram Desktop\tdata и содержит расшифрованную копию всех чатов. Если злоумышленник получает доступ к ноутбуку или к файловой системе через малварь — получает полную переписку.

Защита: EnableTransitionAnimation Local passcode в Telegram Desktop, BitLocker на ноутбуке, политика автоблокировки экрана через 5 минут.

# Включить локальный пароль Telegram Desktop через GPO
# (через перенаправление параметров запуска)
$telegramArgs = @{
    "--workdir" = "C:\Users\$env:USERNAME\AppData\Roaming\Telegram Desktop\tdata"
    "--enableLocalPasscode" = $null
}

# BitLocker для системного диска (XTS-AES 256)
Enable-BitLocker -MountPoint "C:" `
  -EncryptionMethod XtsAes256 `
  -UsedSpaceOnly `
  -RecoveryPasswordProtector

# Автоблокировка экрана через GPO
# Computer Config → Admin Templates → Control Panel → Personalization
# "Screen saver timeout" = 300 sec
# "Password protect the screen saver" = Enabled

Атака 3: фейковое обновление через ссылку

Давайте вспомним ещё один неприятный сценарий, который мы уже разбирали: сотрудник получает сообщение типа "обновите ваш мессенджер", наивно кликает по ссылке и устанавливает APK-файл. А что там внутри? Инфостилер! И вот уже все чаты, вся ваша конфиденциальная переписка утекает на сервер управления (C2). Типичная схема, которую мы видим постоянно.

И как же мы в ITFresh выстраиваем защиту? Работает это так: через нашу систему MDM мы, во-первых, категорически запрещаем установку любых приложений из неизвестных источников. Во-вторых, у нас действует чёткий белый список только разрешённых программ. И, конечно, мы регулярно проводим симуляции фишинговых атак — чтобы люди не расслаблялись. Ну и, самое главное: мы без устали обучаем сотрудников. Наш главный девиз: «Никогда, слышите, НИКОГДА не устанавливайте мессенджер, если он пришёл к вам по ссылке в письме или из какого-то подозрительного источника!»

Атака 4: добавление в групповой чат с фишинг-ботом

Представьте себе следующую ловушку, с которой мы постоянно сталкиваемся: юриста вдруг добавляют в какую-то мутную группу в Telegram. А что там? Бот активно рассылает сообщения типа «срочный документ от клиента», да ещё и с подозрительным RAR-архивом. Открываешь такой файл, а внутри, конечно же, сидит exe или js с малварью! Это, к сожалению, ну очень частый сценарий, и мы видим его регулярно в 2025-2026 годах.

Как защититься от такой напасти? Всё просто: первым делом запрещаем автодобавление в группы в настройках Telegram (это Settings → Privacy → Groups, и там ставим "My contacts only"). А второе — это уже наш строгий регламент: никогда, ни при каких обстоятельствах не открывать файлы от незнакомцев в групповом чате. Звучит очевидно? Возможно, но, поверьте, это спасает от многих проблем.

Этап 4. Регламент использования мессенджеров

Основываясь на тщательном аудите и разобрав все возможные сценарии атак, мы в итоге разработали для юрфирмы подробный регламент. Это не просто пара листов — целых 8 страниц концентрированной информации! Вот основные, ключевые правила.

Правило 1. Категоризация переписки

Чтобы было понятно, как работать с каждым сообщением, мы решили их классифицировать. В общем, каждое сообщение по делу у нас относится к одной из трёх категорий:

• Категория А (адвокатская тайна). Переписка с клиентом по существу дела, копии документов, стратегия защиты. Только в секретных чатах Telegram с автоудалением через 48 часов или в Signal.
• Категория B (рабочая). Внутренние обсуждения, распределение задач, уточнения с контрагентами. В VK Teams (внутри фирмы) или Telegram облачные чаты (с контрагентами).
• Категория C (формальная). Уведомления, обмен формальными документами. Только корпоративный e-mail.

Правило 2. Запрещённые мессенджеры

Нам важно обеспечить полную безопасность, поэтому мы в ITFresh категорически запрещаем использовать на всех корпоративных устройствах — и даже на ваших личных BYOD, если с них есть доступ к рабочей почте — любые неофициальные клиенты и форки. Что именно под запретом? Это всевозможные форки Telegram, любые неофициальные версии MAX и, конечно, мессенджеры, установленные из APK-файлов без официальной подписи Google Play. Мы контролируем этот процесс через MDM: у нас есть чёткий белый список разрешённых приложений, и всё, что выходит за его рамки, просто не пройдёт.

Правило 3. Хранение переписки

Знаете, у нас вся переписка по каждому конкретному делу ежедневно копируется прямо в CRM. Кстати, у этого клиента мы используем Bitrix24. И это не просто какой-то там дубляж информации, нет. Это полноценная, неотъемлемая часть юридического досье! Что происходит, когда сотрудник увольняется? Он обязательно передаёт нам весь архив переписки. А вот доступ ко всем рабочим группам? Само собой, он теряет его мгновенно.

Правило 4. Двухфакторная аутентификация

Двухфакторная аутентификация — это железобетонное требование для абсолютно всех мессенджеров. Никаких исключений! Для Telegram мы настроили cloud password и дополнительный SMS-код. В VK Teams у нас работает Microsoft Authenticator. А для Signal — это PIN-код и обязательная блокировка устройства. Запомните главное: без 2FA ваш сотрудник попросту не получит доступ к рабочим группам. Вот совсем никак.

Правило 5. Реакция на потерю устройства

Представьте: что-то вдруг обнаружилось. Сотрудник должен немедленно, в течение 60 минут, набрать наш IT-отдел. Что делает наш IT-инженер? Он сразу же удалённо отзывает все активные сессии в мессенджерах, через MDM запускает полное удаление данных (remote wipe) и, конечно, меняет пароли ко всем корпоративным аккаунтам. Кстати, чтобы быть уверенными в готовности каждого, мы репетируем этот регламент каждые полгода.

Этап 5. Развёртывание VK Teams для внутренней переписки

По итогам аудита мы приняли решение: VK Teams Pro станет основным каналом для категории B. Вы не поверите, но его развёртывание заняло у нас всего два рабочих дня. Мы справились, скажем так, очень оперативно!

# Создание корпоративного аккаунта в VK Teams Admin Console
# https://biz.mail.ru/teams/

# 1. Регистрация домена компании (lawfirm-example.ru) — DNS-валидация
# Добавляем TXT-запись:
_vkteams-domain-verify.lawfirm-example.ru. TXT "vkteams-verify=abcdef123456"

# 2. Настройка SSO с Microsoft 365
# В VK Teams Admin → SSO → SAML 2.0
# Заполняем Issuer URL, ACS URL из Azure AD Enterprise Apps

# 3. Импорт пользователей из Active Directory через CSV
Get-ADUser -Filter * -Properties EmailAddress, Department, Title |
  Where-Object { $_.Enabled -eq $true } |
  Select-Object @{N='email';E={$_.EmailAddress}}, `
                @{N='display_name';E={$_.Name}}, `
                @{N='department';E={$_.Department}} |
  Export-Csv -Path users-vkteams.csv -NoTypeInformation -Encoding UTF8

# 4. Создание корпоративных каналов через API
curl -X POST https://api.imapi.mail.ru/teams/v1/channels \
  -H "Authorization: Bearer $VK_TEAMS_TOKEN" \
  -d '{"name": "Партнёры M&A", "is_private": true, "members": ["pp1@lawfirm.ru", "pp2@lawfirm.ru"]}'

Внутренняя структура каналов

Мы плотно поработали с управляющим партнёром и согласовали чёткую структуру каналов. Вот она:

• #general — общий канал, новости фирмы;
• Канал #partnery — наш закрытый клуб, если хотите. Там общаются всего четверо наших ключевых партнёров. Обсуждения, сами понимаете, конфиденциальные.
• #m-and-a — отдел M&A, 8 юристов;
• Канал #corporate-disputes – место, где работают наши 12 юристов. Здесь мы оперативно разбираемся со всеми корпоративными спорами. Вопросы бывают непростые, но команда справляется.
• #bankruptcy — банкротство, 6 юристов;
• Наш административный отдел, или #admin, состоит из 5 ключевых сотрудников.
• Нужно связаться с ITFresh? Обратитесь в #it-help – там всегда на связи дежурный инженер.

Всего через две недели после внедрения мы увидели впечатляющие результаты: 90% нашей внутренней переписки переехало из Telegram в VK Teams. Сам Telegram? Мы, конечно, его оставили, но теперь он используется исключительно для общения с клиентами. Оказалось, это очень удобно!

Этап 6. Что получилось через 3 месяца

Прошло три месяца с момента внедрения нашего нового регламента и VK Teams. Я решил не тянуть и провести повторный, такой небольшой мини-аудит, чтобы оценить ситуацию:

• Что мы сделали с четырьмя устройствами, где стояли форки Telegram? Все они очищены, а на их место установлен официальный клиент. Безопасность превыше всего!
• Из 35 юристов целых 32 использовали секретные чаты Telegram для переписки категории А. А как же остальные? Три наших партнёра выбрали Signal.
• Вся внутренняя переписка фирмы теперь полностью переведена в VK Teams. Что стало с прежними Telegram-группами? Все они расформированы.
• Отличная новость для безопасности: двухфакторная аутентификация включена абсолютно у всех 35 из 35 сотрудников. Никто не остался без защиты!
• Мы отправили шесть симулированных фишинговых писем с призывом 'обновите ваш Telegram'. И знаете что? Никто не кликнул! Наши сотрудники молодцы.
• Был один реальный инцидент: кто-то пытался провернуть SIM-swap с одним юристом. Но попытка заблокирована оператором связи, ведь юрист заранее поставил запрет на смену SIM без личного визита. Вот это предусмотрительность!

Контр-нарратив. Чего я НЕ рекомендую делать

«Запретите Telegram полностью». Это нерабочий совет. Клиенты пишут в Telegram, контрагенты пишут в Telegram. Полный запрет уведёт переписку в личные устройства без всякого контроля. Лучше регламентировать с разделением категорий.

«Пользуйтесь только мессенджером с E2EE». Звучит безопасно, но E2EE не защищает от компрометации устройства. Если на ноутбуке стоит инфостилер, он читает всё после расшифровки. Безопасность — это слоёный пирог, и E2EE — только один слой.

«Поднимите свой Mattermost». Для юрфирмы 35 РМ это перебор. Содержание сервера, обновления, бэкапы, мониторинг — отдельный человек. VK Teams в SaaS закрывает 95% задач за фиксированную цену.

Стоимость проекта

• Полный аудит мессенджеров занял у нас 9 рабочих дней. Его стоимость? 245 000 рублей.
• Разработка регламента и проведение обучения для персонала стоили 35 000 рублей. Мы же хотим, чтобы все были в курсе!
• Развертывание VK Teams и вся миграция данных? Мы справились за 2 дня! И обошлось это в 60 000 рублей.
• Ежемесячная подписка VK Teams Pro для 35 пользователей — это 45 150 рублей в месяц. Важный момент: эту сумму оплачивает уже сам клиент.
• Абонемент ITFresh — ваша постоянная защита. За ежемесячный мониторинг и регулярные phishing-симуляции мы берем 22 000 рублей в месяц.

FAQ: что чаще всего спрашивают клиенты

Можно ли вести переписку с клиентом по адвокатскому делу через Telegram?

Технически-то, конечно, можно. Но вот юридически? Это уже напрямую зависит от нашего конкретного соглашения с клиентом. Поймите, облачные чаты Telegram не предоставляют сквозного шифрования — их ключи, увы, хранятся на серверах Telegram. Да, формально они распределены по разным странам, но это всё равно не полноценное E2EE (end-to-end encryption). Для защиты адвокатской тайны я лично всегда рекомендую использовать секретные чаты Telegram — они как раз используют E2EE через MTProto 2.0. А ещё лучше — Signal или Threema. В реальной жизни, конечно, многие юрфирмы продолжают работать с Telegram, но мы в ITFresh обязательно внедряем чёткий регламент: документы, помеченные как «адвокатская тайна», отправляем только через секретные чаты, да ещё и с обязательным автоудалением через 48 часов. Безопасность превыше всего!

Чем MAX отличается от Telegram с точки зрения безопасности?

MAX, как я уже упоминал, позиционирует себя как российский мессенджер, и его серверы, по закону, обязаны находиться в нашей стране. Это, безусловно, огромный плюс, особенно если говорить о локализации хранения данных по 152-ФЗ. Но, к сожалению, есть и один важный минус: на момент мая 2026 года у MAX по умолчанию отсутствует полноценное E2EE, то есть сквозное шифрование. Кстати, у Telegram MTProto 2.0 E2EE работает только в секретных чатах. По моему личному опыту, для юрфирмы самый надёжный и безопасный вариант — это чёткое разделение каналов: для внутреннего документооборота мы используем VK Teams (там и российская инфраструктура, и все необходимые корпоративные функции), для переписки с клиентами — Telegram, но, заметьте, со строжайшим регламентом. А для самых-самых чувствительных обсуждений, где важен каждый бит информации, мы полагаемся только на Signal.

Что такое «Телега» и стоит ли её ставить?

Знаете, в обиходе часто говорят «Телега», имея в виду Telegram, но рынок просто кишит разными форками, клонами, вроде Telega.io, или какими-то локальными сборками. И вот они-то как раз и могут содержать всякие сюрпризы — встроенные модификации, о которых вы даже не подозреваете. Я, например, за свою практику встречал минимум три APK-файла с названием «Телега», и в одном из них обнаружился встроенный модуль, который незаметно отправлял контакты пользователей на совершенно чужой сервер! По этой причине я никогда, и я хочу это особо подчеркнуть: НИКОГДА не устанавливаю на корпоративные устройства неофициальные клиенты Telegram. Только Telegram Desktop с официального tdesktop.com или из проверенных App Store/Google Play. Это принципиальный момент.

Как настроить корпоративные правила хранения переписки?

Мы внедрили главное правило, и оно звучит так: вся рабочая переписка хранится исключительно в CRM или на корпоративном сервере. Никаких личных мессенджеров сотрудников! Мы даже заморочились и настроили экспорт чатов из рабочих групп через Telegram Bot API, чтобы ничего не потерялось. И, конечно, у нас есть чёткий регламент на случай увольнения: сотрудник обязан передать свой телефон с полностью очищенным кэшем, выйти из всех рабочих групп, а его учётная запись тут же удаляется из VK Teams. Ведь представьте, что будет, если такого регламента нет? Юрист уволился, и вся его переписка с тремя десятками клиентов просто уходит вместе с ним. Это же совершенно недопустимо!

Стоит ли разворачивать собственный мессенджер на сервере компании?

Для юрфирмы с 35 рабочими местами? По-моему, это уже перебор, если честно. Self-hosted решения типа Mattermost или Rocket.Chat, конечно, дают вам полный контроль над данными — это неоспоримо. Но они же требуют отдельного администратора, кучи возни с сертификатами, постоянного мониторинга, бесконечных бэкапов… Всё это имеет смысл только для компаний от сотни человек или, например, для тех, кто работает с гостайной или банковской тайной. Для всех остальных, поверьте мне, гораздо, НАМНОГО дешевле и эффективнее будет использовать VK Teams с Pro-лицензией для внутренней переписки, а для внешних коммуникаций — Telegram, но, конечно, со строгим, хорошо прописанным регламентом.

Итог

В итоге юрфирма из Чистых прудов, где работают 35 человек, получила понятную матрицу рисков по пяти основным мессенджерам. Мы разработали для них чёткий регламент использования по категориям А/B/C, развернули VK Teams Pro для всей внутренней переписки и, конечно, зачистили устройства от всех опасных форков Telegram. Что получили за три месяца после внедрения? Ноль инцидентов, 100% покрытие двухфакторной аутентификацией и стабильное разделение каналов. А пользователи привыкли очень быстро, потому что мы не просто сказали им «нельзя», а объяснили главное: «почему».