Ломают CRM. Прямо сейчас. Возможно и вашу тоже

• Зафиксирован инцидент
• Как реагировать?
• Какие меры предпринять на будущее?
В этой статье, помимо самого инцидента, я постарался интересно и вдумчиво разобраться как можно предотвратить утечку данных из CRM

Меня зовут Костя Дубровин, я основатель компании TOPsharing.center (мы создали услугу аренды РОПа). В продажах давно — 29 лет. Возможно читателю будет интересна моя статья «Шеринг руководителей это...», в которой я описываю суть услуги аренды РОПа.

Поделитесь этой статьей с тем, кто развивает продажи. Он скажет спасибо)) И подпишитесь на ТГ-канал Вдумчиво о продажах, где я пишу интересно и вдумчиво о выстраивании B2B-продаж.

В этом материале — кратко о проблеме, скриншот и потом мои рассуждения о том, что с этим делать.

Мы мониторим Телеграм. Помогаем нашим клиентам находить ажиотажный спрос, о чем я писал в статье «Клиентский ажиотаж в B2B — где бывает и как не пропустить».

Благодаря мониторингу мы увидели, что сегодня в большом количестве групп появилось объявление о покупке несанкционированного доступа к CRM.

IT-безопасность

Специалисты по IT-безопасности могут меня поправить, но на мой взгляд пользователь — это самое слабое звено.

Единственное, что можно сделать с серверами крупных сервисов, таких как amoCRM или Bitrix24, — это положить их с помощью DDOS-атаки. В этом случае пользователи не смогут зайти в свои аккаунты, но никто чужие данные не получит.

Вот, что написано на странице Битрикс24: «Сотрудники могут спокойно открывать «Битрикс24» в кафе, торговых центрах, аэропортах — в незащищенной среде, подключаясь через WiFi или мобильный телефон. Злоумышленники не перехватят их пароли, чтобы использовать в своих целях. Все соединения с «Битрикс24» производятся через шифрованный обмен данными 256bit (с использованием сертификата SSL), что обеспечивает безопасность вашей корпоративной информации и защиту паролей».

На странице amoCRM не так подробно, но тоже вполне убедительно: «Доступ к вашим данным имеете только Вы и никто более. Никто из наших сотрудников, за исключением 2-х человек нашей компании, не имеет доступа к административной панели и серверам проекта. Мы не используем ваши данные в личных целях и не раскрываем их третьим лицам. Наш бизнес связан с реализацией удобного сервиса и никак не пересекается с деятельностью вашей компании».

Грамотность большинства сотрудников в сфере IT-безопасности, как и раньше, остается низкой, поэтому разработчики берут эту проблему на себя. Например Битрикс пишет, что для защиты от шпионских программ, которые могут украсть логин или пароль сотрудников, используется двухэтапная авторизация (пароль и одноразовый код). Плюс проактивный фильтр (WAF — Web Application Firewal), который защищает от большинства известных атак на веб-приложения.

Если пользователь не имеет намерения слить данные, то для их сохранности есть все технические возможности. Остался пусть и один, но очень широкий канал получения данных — подкуп.

Настройки CRM

В небольших компаниях часто встречается ситуация, когда все сотрудники видят все данные, внесенные в CRM. Это удобно, когда коллега ушел на обед или уехал в отпуск, а ты принял входящий звонок от его клиента.

Бывает, что руководитель привязывает расширенные права доступа к конкретному сотруднику, а не к должности. Повышать старого сотрудника руководитель не хочет, а вот оставить на хозяйстве — можно.

Разделение прав доступа нужно настраивать с привязкой к должности: Менеджер по продажам видит только свое, РОП — сделки своего отдела, руководитель компании — всю информацию.

Порой предприниматели просто не придают этому значения. А когда начинают подозревать, то понимают, что годами кормили чужой бизнес. В одном из проектов я застал такой разговор между собственниками:
— Знаешь сколько за январь принес наш самый опытный продажник? Семьдесят тысяч! — выпалил Кирилл, не дожидаясь моей реакции на вопрос.
— Он ленится или ворует? — спросил я.
— Я не верю в то, что он ворует. Но и не могу сказать, что ленится. Видел новенький Мондео стоит перед входом. Евойный.
— Откуда деньги?
— Говорит, что жена в Газпроме зарабатывает.
— Я могу посмотреть его личную почту, — подключился Саша — маленький айтишник, старый друг Кирилла, отвечавший за все технические вопросы.
— Я не согласна. — сказала Жанна, третий учредитель, — Сначала почитай УК.
— Я почитал. Мне не понравилось. — ответил Саша. — Но что-то с этим паразитом надо делать.

Спустя месяц личную почту все-таки посмотрели. Нашли учредительные документы на новое юрлицо, договор с тем же вендором, договора с клиентами, которые пришли через компанию Кирилла, Саши и Жанны.

Коммерческая тайна

Режим коммерческой тайны — как дверной замок — только от честных людей. Однако грамотно составленные документ позволит отсеять всех относительно честных, но не очень умных сотрудников.

У себя на канале делюсь комплектом типовых документов по коммерческой тайне: положение, приказы, табель учета, инструкция и т.д.

Если полезно, вместо «спасибо», можете поставить лайк и комент к статье. Вам не сложно, а мне приятно!)

Злой умысел

Нет смысла описывать ситуации, когда менеджеру не заплатили и он слил базу. Что делать в этом случае каждому очевидно.

Однако, проработав в продажах почти 30 лет, я видел много нестыковок между логикой менеджера по продажам и работодателя. Что примечательно, — они оба правы. Один считает: «Я заработал», второй считает: «Он не заработал» или «Он не может получать больше меня». Однажды я слышал как рассуждает директор по производству: «Менеджеры только @@@@ят по телефону, а получают больше начальника цеха».

Ради «восстановления справедливости» сотрудник может пойти на риск. Хорошо бы увидеть такую ситуацию на ранних стадиях. Чтобы не повторяться, могу порекомендовать несколько более ранних материалов:

1. Культура, как известно, ест стратегию на завтрак. Этот вопрос невозможно игнорировать. Если вы еще не читали книгу «Лидер и племя», то посмотрите обзор и краткий пересказ.

2. Большая статья о выстраивании отношений с сотрудниками. Если у кого-то из руководителей в вашей компании есть иллюзия, что управлять отделом — это работать с цифрами и правилами, то обязательно ее прочитайте: «Лидерство руководителя: как привести коллектив к работе не за страх, а за совесть».

3. Еще раз посмотрите на принятую в вашей компании систему бонусирования. В этом поможет статья «Материальная мотивация менеджеров по продажам: что работает, а что нет»

И конечно статья «Шеринг руководителей это…». Работайте с опытными руководителями. Не экспериментируйте на собственном бизнесе.

Давайте общаться

  • Напишите в комментариях как вы фокусируетесь на цели.
  • Подпишитесь на мой ТГ-канал Вдумчиво о продажах, где я пишу интересно и вдумчиво о выстраивании B2B-продаж, а по средам провожу экспертные сессии в прямом эфире.
  • Либо пообщайтесь с нашим шеринговым РОПом, который может вести ваш отдел продаж. Это можно сделать в формате экспресс-аудита.
0
34 комментария
Написать комментарий...
Татьяна

Все, что лежит в каком-то облаке, не может быть на 100% защищено от взлома, я так считаю. Иллюзия:)

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Это заблуждение. Вообще ничего защитить на 100% невозможно. Весь вопрос в стоимости взлома. Она может быть больше, чем стоимость информации. Либо потребовать столько времени, что информация потеряет актуальность.

Ответить
Развернуть ветку
Natalia Korennaia

В общем, я в каком-то другом мире живу. Я крайне удивлена, что такие запросы, как в одном из чатов в тг, есть. Даже в голову не входит никак.😲 Жесть.

Ответить
Развернуть ветку
Татьяна

К сожалению, слив и продажа разных баз данных сейчас, как будто, в порядке вещей :(

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Всегда так было

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Это было всегда. Но я первый раз вижу, чтобы так открыто

Ответить
Развернуть ветку
Artem Tarasov

К сожаления, в мире интернета нет такого понятия как безопасность, если работает грамотный IT-специалист, то хоть трехэтапный вход, получить данные не проблема.

Ответить
Развернуть ветку
Sano

Разграничение прав, права по запросу, доступ через терминал, логгирование, различные зонды и многое-многое другое.

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Тогда зачем покупать их у сотрудников?

Ответить
Развернуть ветку
user0564335

может всё-таки грамотный социальный инженер?) а то что будет этот IT-специалист делать, если откровенной дыры в процессе авторизации не найдется?

Ответить
Развернуть ветку
Artem Tarasov

Не спорю, это в зависимости уже от ситуации.

Ответить
Развернуть ветку
Слава Рюмин

Чтобы предотвратить утечку данных из СРМ, нужен акт возмездия для первого кто решится)

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Для этого нужно его найти))

Ответить
Развернуть ветку
Евгений Ма

Тут не понял. Даже не пойму, как должно быть )

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

автозамена. Сейчас исправим

Ответить
Развернуть ветку
Андрей Вечерний

Зачем

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Чтобы продать тоже самое на рубль дешевле

Ответить
Развернуть ветку
Наташа Погудина

Вечно меня пугают на виси, страшно заходить!

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Лучше знать, чем не знать)

Ответить
Развернуть ветку
Андрей Захаров

.

Ответить
Развернуть ветку
Андрей Захаров

Еще имеет смысл подумать о защите резервных копий. И иметь какое-то решение блокирующее доступ при массовой выгрузке данных (или подозрительных / нетипичных запросах).

Ответить
Развернуть ветку
Татьяна

В СРМ, что в Битрикс, что в АМО можно на уровне прав доступа установить запрет на экспорт данных. Но никто не запретит переписать просто номера телефонов нужных клиентов в свою записную книжку.

Ответить
Развернуть ветку
Андрей Захаров
Но никто не запретит переписать просто номера телефонов нужных клиентов в свою записную книжку.

Скорее всего переписывать даже не придется, потому что менеджеры и так обычно с клиентами встречаются, созваниваются.

Но если клиентов очень много, то в записную книжку уже не перепишешь просто так.

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

В том объявлении интерес как раз к большим базам, судя по всему.

Ответить
Развернуть ветку
Андрей Захаров

В большие базы данных можно вносить .. предискажения (заведомо неправильные / фальшивые данные), причем для разных учетных записей отображать разные данные.

Когда где-то выгрузки всплывут - будет ясно, чья учетная запись была задействована для слива данных.

Еще в большие данные имеет смысл внедрить "горшочек с мёдом" (приманку). Какие-нибудь данные, фальшивых клиентов, с которыми никто никогда работать не будет (бизес компании или бизнес-процессы компании именно с такими клиентами не работают). Злоумышленник же купивший досуп, не будет знать о таком естественном ограничении и полезет в такую запись чтобы ее посмотреть / скопировать - тут его и можно будет вычислить.

Мелокому бизнесу с несколькими клиентами сложно защититься, а вот тем, у кого данных много - значительно проще. Способов очень много, я перечислил лишь самые самые простые.

Ответить
Развернуть ветку
Андрей Захаров

С большими базами выстроить защиту проще.

И дело упрощается, если база пополняется, а не статична (архивная). По анализу того, кто именно, с какой периодичностью смотрит новые / обновленные данные, можно вычислить утечку.

Нужна работающая анти-фрод система и ИБ-аналитики, тогда шанс предотвращения утечки больших баз данных будет большой.

Ответить
Развернуть ветку
Татьяна

Парсить контакты из Телеграм, или соц.сетей уже не интересно:))

Ответить
Развернуть ветку
Андрей Захаров

И если бизнес-процессы позволяют, то отображать сотруднику только те данные, с которыми именно он работает. Например, если за менеджером закреплены определенные клиенты, то настроить доступ так, чтобы видеть данные по ним может только этот менеджер. Тогда для выгрузки данных потребуется либо сговор нескольких сотрудников, либо доступ к резервной копии.

При наличии интеграции (обмена данными) CRM с другими системами, проверять наличие ограничений доступа к данным (ограничения например массовой выкачки данных) через интеграции со стороны других систем.

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

А что делать, если менеджер собрался слить своих собственных клиентов?

Ответить
Развернуть ветку
Андрей Захаров

Принять риск, потому что помешать этому техническими мерами невозможно (если только этих клиентов не сотни-тысячи).

Здесь, опять таки, как правильно вы в статье написали, надо предусматривать ответственность (режим коммерческой тайны, подписывать при приеме на работу соответсвующие документы). Но реализовать применение ответственности на практике, то есть поймать за руку менеджера, если он будет "выносить" данные клиентов по частям, шанс маленький, но он есть.

Еще одна из мер, которая подойдет только крупным фирмам (то есть далеко не всем) выстраивать долгосрочные отношения с клиентами, чтобы им было невыгодно уходить к конкурентам. Всякого рода накопительные скидки, а может быть даже и контроль клиентов своих клиентов)), то есть иметь некие рычаги в цепочке создания ценности своего клиента. Тогда даже получив клиентские данные его не получится увести к другому поставщику.

Ответить
Развернуть ветку
Вдумчиво о продажах
Автор

Согласен. Спасибо!

Ответить
Развернуть ветку
Андрей Захаров

Вам спасибо!

Ответить
Развернуть ветку
Андрей Захаров

Еще в голову пришел один вариант (воздействия через/на клиента, чтобы ему было невыгодно уходить).

Можно позволять клиенту накапливать некую величину дебиторской задолженности, которую ему будет трудно (но придется по условям контракта) погасить сразу, если он уйдет к другому поставщику. Но тут надо всё взвесить и просчитать.

Ответить
Развернуть ветку
Андрей Захаров

Еще скажу очевидное. Сотрудники не всегда и не обязательно уведут клиентскую базу. Есть люди, которые на это не пойдут вообще, есть люди, которые на это пойдут при некоторых условиях, а есть люди, которые специально в фирму устроятся ради доступа к данным и ноу-хау. Соответственно, надо выстраивать кадровую политику и не экономить на численности персонала ("разделяй и властвуй") и на оплате.
Стажер / непроверенный в делах сотрудник не должен иметь безусловный доступ к критичным для бизнеса фирмы данным.

Ответить
Развернуть ветку
31 комментарий
Раскрывать всегда