Теневые IT в офисе: как выявить несанкционированные облака и мессенджеры до того, как данные утекут

Два года назад позвонила владелица небольшой московской юрфирмы — четыре юриста, секретарь, офис в центре. Подозревала утечку клиентской базы. Мы приехали, покопались в логах — и нашли гораздо больше, чем искали. Секретарь три года хранила все договоры в личном Яндекс.Диске. Искренне хотела как лучше. Просто так удобнее. Вот о таких ситуациях — и о том, что с ними делать — эта статья.

Почему сотрудники уходят в тень — и почему это не их вина

Теневые IT — это не шпионаж. Это когда менеджер скидывает прайс клиенту через WeTransfer, потому что файл 200 мегабайт и в почту не влезает. Когда бухгалтер ведёт таблицу отпусков в личном Google Sheets, потому что в 1С это неудобно, а общая Excel-ка на сервере вечно у кого-то открыта. Когда юрист обсуждает условия сделки в личном Telegram, потому что клиент написал туда сам. Люди не думают о безопасности — они думают о том, как сделать работу прямо сейчас.

Shadow IT существует в каждой второй компании, куда мы приходим с аудитом. Не преувеличение. В малом бизнесе, где нет выделенного IT-отдела и политика безопасности существует в виде одной странички в трудовом договоре, люди сами выбирают инструменты. Telegram вместо корпоративной почты. Dropbox вместо файлового сервера. Google Docs вместо SharePoint. Zoom вместо Teams. Потому что эти сервисы удобнее, быстрее, привычнее.

Важная мысль, с которой нужно начинать любой разговор о теневых IT: в большинстве случаев сотрудник не хочет навредить компании. Он хочет эффективно работать. Если корпоративные инструменты медленные, неудобные или вообще отсутствуют — люди пойдут искать альтернативу. Это человеческая природа. Значит, первопричина — не злобные сотрудники, а недостаточная инфраструктура и отсутствие нормально выстроенных процессов.

Чем реально рискует бизнес — без страшилок, но с цифрами

Давайте конкретно. Менеджер хранит таблицу с персональными данными клиентов — имена, телефоны, суммы сделок — в личном Google Sheets. Аккаунт на личной почте. Уволится — файл останется у него. Навсегда. Роскомнадзор за нарушение 152-ФЗ штрафует до 500 000 рублей за первичное нарушение. С 2024 года введена уголовная ответственность за умышленную утечку персональных данных. Плюс репутационный ущерб. Плюс потеря клиентов. Это уже не абстрактный риск.

У нас был клиент — небольшая медицинская клиника, 12 врачей, несколько администраторов. Врачи переписывались с пациентами через личные Telegram-аккаунты: результаты анализов, снимки, диагнозы. Логика понятна — пациент написал в мессенджер, удобно ответить там же. Когда один врач уволился со скандалом, он унёс с собой всю переписку: сотни пациентов, их медицинские данные, история болезней. Юридически клиника была беззащитна — ни запрета в трудовом договоре, ни корпоративного канала связи с пациентами.

Есть ещё операционный риск, о котором говорят реже. Когда данные распределены по личным дискам, мессенджерам и разным облакам, никто не знает, где актуальная версия документа. Один наш клиент из торговли потерял крупную сделку из-за того, что менеджер отправил клиенту прайс двухлетней давности. Файл лежал в личном Dropbox, не обновлялся автоматически, менеджер просто не заметил. Казалось бы, мелочь. Но это реальные деньги и реальная репутация.

Аудит Shadow IT: как мы проводим это за полдня

Полдня — это реально для первичного аудита, который даёт 80% картины. Нам не нужно несколько недель. Нужен доступ к маршрутизатору или файрволлу, желательно — к Active Directory, и один человек на стороне клиента, который знает инфраструктуру. Всё. Остальное — техника.

Начинаем с анализа DNS-запросов за последние 30 дней. Это самый быстрый способ увидеть, куда ходит трафик из вашей сети. Dropbox.com, drive.google.com, wetransfer.com, mega.nz — всё это видно в логах. Если у вас нет DNS-логирования вообще — это уже первая находка. Значит, вы не видите, что происходит у вас под носом. Исправить это несложно и недорого. Параллельно смотрим на статистику файрволла: какие сервисы потребляют трафик, в какое время, с каких машин.

Третий блок — инвентаризация установленного ПО. Скрипт через PowerShell на всех Windows-машинах, и через 10–15 минут у нас полный список: что установлено, что запускалось в последние 90 дней. TeamViewer без ведома IT — почему? AnyDesk с постоянным паролем — кто разрешил? uTorrent на рабочей машине — это уже отдельный разговор. Иногда находим экзотику: майнеры криптовалюты, установленные год назад и тихо жрущие ресурсы сервера. Такое тоже бывает.

Что мы реально находим: топ неожиданных открытий

Мессенджеры — самая частая находка. Telegram, WhatsApp, Viber установлены на рабочих компьютерах в 90% компаний. Сам по себе мессенджер — не катастрофа. Катастрофа — когда через него идут рабочие данные. Мы определяем это косвенно: анализируем объём исходящего трафика с конкретных машин в нерабочее время. Если рабочая станция бухгалтера активно что-то отправляет в 23:00 — это повод задать вопросы.

Несанкционированные облачные хранилища — второе по частоте. У одного нашего клиента из торговли обнаружили, что менеджер по закупкам настроил автосинхронизацию рабочей папки с прайсами поставщиков в личный Google Drive. Настроил год назад. Забыл. Но все закупочные цены, вся аналитика, все договорённости с поставщиками год лежали в его личном облаке. Уволится — унесёт. Взломают аккаунт — утечка. Про конкурентов я вообще молчу.

Инструменты удалённого доступа — третья история. AnyDesk, TeamViewer, RustDesk. Сотрудники ставят их, чтобы работать из дома. Идея хорошая. Реализация — без пароля, с постоянным подключением, без логов. Мы нашли компанию, где бывший системный администратор сохранял доступ через AnyDesk к серверу с 1С ещё три месяца после увольнения. Просто потому что никто не проверил, не удалил учётную запись, не отозвал права. Хорошо, что мы нашли это на аудите, а не после инцидента.

Разговор с командой: как не превратить безопасность в репрессии

Это, пожалуй, самая деликатная часть всей работы. Технически выявить теневые IT несложно. Сложно правильно донести результаты до людей. Моя позиция: если пять человек хранили файлы в личных облаках — это прежде всего сигнал, что у вас не было удобного корпоративного решения. Не надо делать из этого охоту на ведьм. Ваша задача — не наказать прошлое, а выстроить нормальное будущее.

Мы рекомендуем такой сценарий. Сначала — общее собрание или письмо от руководства. Без конкретных имён и публичных разборов. Примерная формулировка: «Мы провели технический аудит и увидели, что часть рабочих данных хранится вне корпоративной инфраструктуры. Это создаёт юридические и операционные риски. Мы не ищем виноватых — мы меняем правила и даём нормальные инструменты взамен». Потом — конкретные изменения с объяснением. Потом — внедрение альтернатив.

Один из наших клиентов — производственная компания человек на тридцать — поначалу хотел заблокировать всё разом и устроить показательный выговор троим менеджерам, которые работали через личные почтовые ящики. Я его отговорил. В итоге ввели корпоративный мессенджер на базе Mattermost, провели инструктаж, объяснили зачем это нужно. Через два месяца люди перешли на корпоративные инструменты — не потому что их загнали силой, а потому что стало понятно и удобно.

Политика: что разрешаем, что блокируем и как это фиксируем

После аудита нужны решения. Главное правило: не пытайтесь заблокировать всё. Это не сработает — люди найдут обходные пути, а вы получите скрытое противостояние с командой. Работайте по принципу белых списков: определите, что разрешено, остальное — по согласованию. Google Drive? Только корпоративный OneDrive или Яндекс.Диск для бизнеса. Мессенджеры? Telegram разрешён для рабочих чатов в корпоративном аккаунте. Передача файлов клиентам — только через согласованный канал.

Технический минимум, который мы внедряем в 95% случаев. Первое — DNS-фильтрация через UserGate или аналог: блокируем категории «файлообменники», «анонимайзеры», «торренты». Второе — политики через GPO в Active Directory: запрет установки ПО без прав администратора. Третье — мониторинг исходящего трафика через файрволл с алертами при аномалиях. Четвёртое — регламент работы с данными, который подписывают все при приёме на работу. Не ракетная наука. Базовая гигиена.

Отдельно — вопрос облачных хранилищ. Мой стандартный вопрос клиентам: «Что будет с вашими данными в Google Drive, если Google заблокирует аккаунт?» Обычно смеются. А потом задумываются. Для компаний с чувствительными данными мы рекомендуем решения с российской юрисдикцией: Яндекс.Диск для бизнеса, VK WorkSpace, или собственный файловый сервер на базе NextCloud. Последний вариант стоит дороже в развёртывании — от 40 000 до 80 000 рублей разово в зависимости от инфраструктуры — зато данные у вас, на вашем железе, под вашим контролем.

Если данные уже утекли: что делать в первые часы

Иногда к нам приходят уже после инцидента. Уволился менеджер, через месяц открыл конкурирующую компанию с вашей клиентской базой. Или конкурент знает ваши цены с точностью до копейки. Первое, что я говорю в таких ситуациях: не паниковать и не устраивать кавалерийской атаки. Нужна холодная голова и чёткая последовательность шагов.

Шаги такие. Немедленно фиксируете все логи, которые есть: маршрутизатор, файрволл, Active Directory, почтовый сервер. Логи перезаписываются — окно у вас от нескольких часов до нескольких суток. Подозрительные машины — не трогать. Не выключать, не форматировать, не «смотреть что там». Любое действие уничтожает цифровые улики. Если дойдёт до правоохранителей или страховой — криминалистическая чистота критична. И параллельно — юрист. Сразу, не потом.

По нашей практике, большинство утечек в малом бизнесе можно установить и доказать — если есть логи. Без логов — практически невозможно. Именно поэтому правильная настройка логирования — это не паранойя. Это то, что позволит вам защитить компанию в суде. Сколько стоит хранение логов за год? Несколько гигабайт на любом сервере. Сколько стоит доказать кражу данных без логов? Очень дорого. И часто — невозможно.

Частые вопросы

Можно ли полностью запретить личные мессенджеры на рабочих устройствах?
Технически — да, заблокировать можно. Практически — это создаёт больше проблем, чем решает. Сотрудники начнут работать с личных телефонов, и вы потеряете даже те данные, которые раньше хоть как-то проходили через корпоративные устройства. Правильный подход: дайте нормальную альтернативу — корпоративный мессенджер с удобным функционалом — и объясните правила работы с ним. Запрет без альтернативы не работает никогда.

Сколько стоит аудит Shadow IT для небольшой компании?
В Москве рыночная стоимость такого аудита — от 30 000 до 80 000 рублей в зависимости от размера инфраструктуры. Это разовая работа на один-два дня. Если нужен постоянный мониторинг, это обойдётся в 3 000–8 000 рублей в месяц дополнительно к IT-обслуживанию. Сравните эту сумму со штрафом от Роскомнадзора — до 500 000 рублей — или с потерей клиентской базы. Экономия на аудите редко оказывается выгодной.

Нужно ли предупреждать сотрудников о мониторинге корпоративного трафика?
Да, и это не просто этика — это требование закона. В трудовом договоре или в локальном нормативном акте должно быть зафиксировано, что работодатель ведёт мониторинг корпоративных устройств и сетевого трафика. Без этого вы сами рискуете оказаться в неловком юридическом положении. Формулировка стандартная, юрист оформит за час. Не откладывайте.

Что делать, если теневыми IT пользуется сам директор или владелец бизнеса?
Это самая частая и самая неудобная ситуация. Директор работает с личного Dropbox «потому что удобно», а потом требует от сотрудников соблюдать политику. Это не работает — команда всё видит и делает выводы. Правила либо для всех, либо ни для кого. Мы всегда говорим об этом прямо, даже если разговор неудобный. Иначе любая политика безопасности превращается в декорацию.