7 тревожных сигналов, что пора провести аудит безопасности вашей CRM
В этой статье про:
- Аудит Информационной Безопасности (далее ИБ) в CRM нужен не только банкам, но и любой компании с клиентскими данными
- Утечки чаще происходят не от взломов, а из-за «мы забыли»
- Привожу 7 реальных кейсов, когда аудит становится необходим
- Кто несёт ответственность за утечки и какой размер штрафа
Что общего у всех, кто «ничего не нарушал»?
Они теряли данные. Не понимали, что утекло. И уверяли нас, что «всё настроено нормально».
На практике, утечки, штрафы и претензии происходят не из-за хакеров. А из-за того, что:
- токены не отозвали,
- админа уволили, а доступ остался,
- интеграции живут своей жизнью,
- логов нет, контроля — ноль.
Если вы руководите бизнесом и работаете с CRM — эта статья для вас.
Почему формальный подход не работает
152-ФЗ звучит пугающе. Но по факту его нарушают не из злого умысла. А из-за инерции:
- «Этим занимался предыдущий подрядчик»
- «Кто-то настраивал, но мы не трогали»
- «Сейчас некогда, работает же»
А потом: проверка, утечка, клиент пишет в соцсетях — и уже не важно, кто был «ответственным».
Что даёт аудит на практике
Аудит — это не чек-лист. Это попытка понять:
- кто и зачем имеет доступ к данным,
- какие сервисы подключены и что сливают,
- какие роли у сотрудников,
- где нарушен принцип минимальных прав,
- где нет логирования или резервного копирования.
И самое главное — что надо делать сегодня, а что может подождать.
7 сигналов, что пора действовать
Вот 7 кейсов из практики. Если у вас есть хотя бы один — стоит задуматься.
1. Ушёл ИТ-специалист, админ или подрядчик
- Токены живы
- API открыты
- Учетки не отключены
Был случай, когда бывший подрядчик год имел доступ к CRM, потому что «забыли». Это выяснилось на аудите — случайно.
2. Внедрена или доработана CRM/ERP/телефония
Когда появляются:
- webhook'и
- рассылки
- автоэкспорт данных в внешние сервисы
…но никто не пересматривает права и маршрут передачи данных.
Кейс: CRM интегрировали с email-маркетингом, не отключили экспорт персональных данных. В результате база ушла в «временное» облако подрядчика.
3. Грядёт проверка от регулятора или партнёра
Проверяющие не интересуются, «почему так получилось».Им важно, что вы не соблюдаете закон.А вы об этом узнаёте в момент проверки. Поздно.
4. Резкий рост: сотрудников стало вдвое больше, появились филиалы
Старые политики доступа не масштабируются. И вдруг оказывается, что:
- Менеджер из Ростова видит клиентов из Москвы.
- Новички имеют права администратора.
- Телефония пишет все разговоры — всем.
Была ситуация: сотрудник случайно нашёл паспорт клиента, который не должен был видеть. Никто не знал, как это произошло. Ответ: права доступа не меняли с момента запуска.
5. Появились внешние подрядчики: маркетинг, бухгалтерия, поддержка
У них есть доступы. Но:
- кто их выдал?
- что именно им доступно?
- куда попадают эти данные?
Юридически — ответственность на вашей компании.
6. Никто не знает, кто имеет доступ к персональным данным
Вопрос руководству: кто в вашей компании может открыть договор с паспортом клиента?
Если ответа нет — это уже риск.
7. Вы просто давно не проверяли систему
Если аудит не проводился более года, в 9 случаях из 10 есть серьёзные проблемы, о которых никто не знает.
Что делать дальше?
Для начала — посмотрите, кто в вашей компании юридически несёт ответственность за утечку данных.Это поможет понять, насколько серьёзно стоит отнестись к аудиту, даже если «всё вроде нормально».