Ломают CRM. Прямо сейчас. Возможно и вашу тоже

• Зафиксирован инцидент
• Как реагировать?
• Какие меры предпринять на будущее?
В этой статье, помимо самого инцидента, я постарался интересно и вдумчиво разобраться как можно предотвратить утечку данных из CRM

Меня зовут Костя Дубровин, я основатель компании TOPsharing.center (мы создали услугу аренды РОПа). В продажах давно — 29 лет. Возможно читателю будет интересна моя статья «Шеринг руководителей это...», в которой я описываю суть услуги аренды РОПа.

Поделитесь этой статьей с тем, кто развивает продажи. Он скажет спасибо)) И подпишитесь на ТГ-канал Вдумчиво о продажах, где я пишу интересно и вдумчиво о выстраивании B2B-продаж.

В этом материале — кратко о проблеме, скриншот и потом мои рассуждения о том, что с этим делать.

Мы мониторим Телеграм. Помогаем нашим клиентам находить ажиотажный спрос, о чем я писал в статье «Клиентский ажиотаж в B2B — где бывает и как не пропустить».

Благодаря мониторингу мы увидели, что сегодня в большом количестве групп появилось объявление о покупке несанкционированного доступа к CRM.

Специалисты по IT-безопасности могут меня поправить, но на мой взгляд пользователь — это самое слабое звено.

Единственное, что можно сделать с серверами крупных сервисов, таких как amoCRM или Bitrix24, — это положить их с помощью DDOS-атаки. В этом случае пользователи не смогут зайти в свои аккаунты, но никто чужие данные не получит.

Вот, что написано на странице Битрикс24: «Сотрудники могут спокойно открывать «Битрикс24» в кафе, торговых центрах, аэропортах — в незащищенной среде, подключаясь через WiFi или мобильный телефон. Злоумышленники не перехватят их пароли, чтобы использовать в своих целях. Все соединения с «Битрикс24» производятся через шифрованный обмен данными 256bit (с использованием сертификата SSL), что обеспечивает безопасность вашей корпоративной информации и защиту паролей».

На странице amoCRM не так подробно, но тоже вполне убедительно: «Доступ к вашим данным имеете только Вы и никто более. Никто из наших сотрудников, за исключением 2-х человек нашей компании, не имеет доступа к административной панели и серверам проекта. Мы не используем ваши данные в личных целях и не раскрываем их третьим лицам. Наш бизнес связан с реализацией удобного сервиса и никак не пересекается с деятельностью вашей компании».

Грамотность большинства сотрудников в сфере IT-безопасности, как и раньше, остается низкой, поэтому разработчики берут эту проблему на себя. Например Битрикс пишет, что для защиты от шпионских программ, которые могут украсть логин или пароль сотрудников, используется двухэтапная авторизация (пароль и одноразовый код). Плюс проактивный фильтр (WAF — Web Application Firewal), который защищает от большинства известных атак на веб-приложения.

Если пользователь не имеет намерения слить данные, то для их сохранности есть все технические возможности. Остался пусть и один, но очень широкий канал получения данных — подкуп.

В небольших компаниях часто встречается ситуация, когда все сотрудники видят все данные, внесенные в CRM. Это удобно, когда коллега ушел на обед или уехал в отпуск, а ты принял входящий звонок от его клиента.

Бывает, что руководитель привязывает расширенные права доступа к конкретному сотруднику, а не к должности. Повышать старого сотрудника руководитель не хочет, а вот оставить на хозяйстве — можно.

Разделение прав доступа нужно настраивать с привязкой к должности: Менеджер по продажам видит только свое, РОП — сделки своего отдела, руководитель компании — всю информацию.

Порой предприниматели просто не придают этому значения. А когда начинают подозревать, то понимают, что годами кормили чужой бизнес. В одном из проектов я застал такой разговор между собственниками:
— Знаешь сколько за январь принес наш самый опытный продажник? Семьдесят тысяч! — выпалил Кирилл, не дожидаясь моей реакции на вопрос.
— Он ленится или ворует? — спросил я.
— Я не верю в то, что он ворует. Но и не могу сказать, что ленится. Видел новенький Мондео стоит перед входом. Евойный.
— Откуда деньги?
— Говорит, что жена в Газпроме зарабатывает.
— Я могу посмотреть его личную почту, — подключился Саша — маленький айтишник, старый друг Кирилла, отвечавший за все технические вопросы.
— Я не согласна. — сказала Жанна, третий учредитель, — Сначала почитай УК.
— Я почитал. Мне не понравилось. — ответил Саша. — Но что-то с этим паразитом надо делать.

Спустя месяц личную почту все-таки посмотрели. Нашли учредительные документы на новое юрлицо, договор с тем же вендором, договора с клиентами, которые пришли через компанию Кирилла, Саши и Жанны.

Еще одну похожую историю я описывал в статье «4 схемы, с помощью которых менеджеры по продажам крадут деньги в b2b — об этом должен знать каждый предприниматель»

Режим коммерческой тайны — как дверной замок — только от честных людей. Однако грамотно составленные документ позволит отсеять всех относительно честных, но не очень умных сотрудников.

У себя на канале делюсь комплектом типовых документов по коммерческой тайне: положение, приказы, табель учета, инструкция и т.д.

Забирайте документы здесь →

Если полезно, вместо «спасибо», можете поставить лайк и комент к статье. Вам не сложно, а мне приятно!)

Нет смысла описывать ситуации, когда менеджеру не заплатили и он слил базу. Что делать в этом случае каждому очевидно.

Однако, проработав в продажах почти 30 лет, я видел много нестыковок между логикой менеджера по продажам и работодателя. Что примечательно, — они оба правы. Один считает: «Я заработал», второй считает: «Он не заработал» или «Он не может получать больше меня». Однажды я слышал как рассуждает директор по производству: «Менеджеры только @@@@ят по телефону, а получают больше начальника цеха».

Ради «восстановления справедливости» сотрудник может пойти на риск. Хорошо бы увидеть такую ситуацию на ранних стадиях. Чтобы не повторяться, могу порекомендовать несколько более ранних материалов:

1. Культура, как известно, ест стратегию на завтрак. Этот вопрос невозможно игнорировать. Если вы еще не читали книгу «Лидер и племя», то посмотрите обзор и краткий пересказ.

2. Большая статья о выстраивании отношений с сотрудниками. Если у кого-то из руководителей в вашей компании есть иллюзия, что управлять отделом — это работать с цифрами и правилами, то обязательно ее прочитайте: «Лидерство руководителя: как привести коллектив к работе не за страх, а за совесть».

3. Еще раз посмотрите на принятую в вашей компании систему бонусирования. В этом поможет статья «Материальная мотивация менеджеров по продажам: что работает, а что нет»

И конечно статья «Шеринг руководителей это…». Работайте с опытными руководителями. Не экспериментируйте на собственном бизнесе.