МЫ ИСПОЛЬЗУЕМ COOKIE. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
OK
TELEGRAM-БОТЫ, ИИ-АССИСТЕНТЫ, ОБЛАЧНЫЕ СЕРВИСЫ: КАК БИЗНЕС ТЕРЯЕТ КОНТРОЛЬ НАД СОБСТВЕННЫМИ ДАННЫМИ
Многие компании, особенно в сегменте малого и среднего бизнеса, до сих пор воспринимают информационную безопасность как «задачу только для крупного бизнеса». Работает простая логика: «мы никому не интересны», «нас не будут взламывать», «у нас нет секретных данных». На практике именно такая самоуверенность становится причиной большинства утечек. Подробнее об этом рассказывает эксперт в области ИТ и информационной безопасности, основатель компании Soltecs Анатолий Волков.
Пока инцидента не произошло, вопросы контроля доступов редко попадают в приоритет собственника. О безопасности начинают задумываться уже постфактум — когда утекла база клиентов, третьи лица получили доступ к финансовым документам или внутренний сервис компании оказался скомпрометирован.

При этом чужой опыт людей не учит. Даже на фоне регулярных новостей об утечках многие предприниматели уверены, что подобные сценарии случаются «с кем-то другим». Хочу подчеркнуть: особенно опасной ситуация становится на фоне массового увлечения ИИ-инструментами и автоматизацией.

ИИ-инструменты — новый риск для бизнеса
Сегодня предприниматели активно внедряют в бизнес-процессы ИИ-агентов, Telegram-ботов и автоматизацию «в один клик». Часто такие решения создаются буквально по инструкции из интернета — без понимания архитектуры, правил безопасности и того, как именно обрабатываются данные компании.

На практике это выглядит так: собственник просит нейросеть «сделать бота», подключает его к CRM, Google-таблицам или финансовой системе и начинает загружать туда рабочую информацию — клиентские базы, бухгалтерию, отчеты и внутренние документы.

Проблема в том, что большинство даже не задается вопросами:
  • кто еще может получить доступ к этим данным;
  • как настроены права доступа;
  • где хранится информация;
  • кто контролирует интеграцию между сервисами.
Как показывает опыт, такие боты часто оказываются фактически открытыми для вмешательств извне. Причем злоумышленник может не только читать информацию, но и копировать, изменять и даже удалять ее. 

ИИ-инструменты создают у людей иллюзию простоты. Предприниматель действительно получает быстрый результат: может самостоятельно собрать сайт, настроить бота или автоматизировать процессы без команды разработчиков. Но за внешней простотой скрывается техническая инфраструктура, которую большинство пользователей не понимает:
  • DNS и доменные настройки;
  • серверы и VPS;
  • открытые порты;
  • API-интеграции;
  • управление доступами;
  • хранение данных.
Раньше между бизнесом и ИТ-системой всегда был специалист, который хотя бы частично отвечал за архитектуру и сохранность данных. Теперь эту роль пытаются переложить на нейросеть — но она лишь выполняет запрос пользователя. Причем результат напрямую зависит от того, насколько подробно или, наоборот, поверхностно сформулирована задача. Если предприниматель просит «сделай удобного бота» — система сделает удобного бота. Но она не сделает его автоматически защищенным.

Сегодня сотрудники используют ИИ как «внешний мозг»: загружают туда договоры с реквизитами, переписки, клиентские базы, финансовые документы и даже файлы с персональными данными. При этом мало кто задумывается, что такие данные могут быть сохранены и впоследствии использованы для обучения будущих моделей. Фактически бизнес уже сейчас массово передает ИИ чувствительную корпоративную информацию, последствия раскрытия которой наверняка проявятся в ближайшие пару лет.

Много сервисов — мало контроля
Сегодня малый и средний бизнес использует в работе десятки разрозненных онлайн-сервисов: CRM-системы, корпоративная почта, облачные хранилища, Google-таблицы, мессенджеры, сервисы аналитики и автоматизации. И в каждом из них сотруднику нужно отдельно выдавать права доступа.

Пока команда маленькая, собственник еще способен контролировать процесс вручную. Но как только начинается рост, контроль быстро теряется. Новый сотрудник получает доступ сразу к нескольким сервисам, таблицам и рабочим аккаунтам, и после увольнения эти права часто никто не отзывает.

Особенно критична ситуация с облачными документами и почтой. На практике компании редко ведут учет того, кому и к каким данным был предоставлен доступ. В результате бывшие сотрудники могут месяцами сохранять доступ к корпоративной информации, клиентским базам, финансовым документам и внутренней переписке.
Все потому, что централизованная система отсутствует, все строится стихийно: сервисы подключаются по мере необходимости, а ответственность за ИТ-функции берет на себя либо сам собственник, либо сотрудник, который «немного разбирается в компьютерах».

Да, такая система работает, но как именно она устроена и насколько защищена — часто никто не понимает. В таких «серых зонах» обычно возникают основные утечки данных и проблемы с безопасностью.

Отсутствие контроля над цифровой инфраструктурой
Важно контролировать доступы не только к внешним сервисам, но также и к внутренним — сайтам, хостингам, серверам.

На практике бизнес часто сталкивается с ситуацией, когда критически важные сервисы оформлены не на компанию, а на конкретного сотрудника или подрядчика. По моим наблюдениям, это одна из самых распространенных проблем малого и среднего бизнеса.

Особый риск возникает, когда все доступы к ИТ-инфраструктуре замыкаются на одном специалисте. В небольших компаниях системный администратор нередко получает полный контроль над всеми сервисами: облаками, серверами, резервными копиями, корпоративной почтой, сайтами и базами данных. Проще говоря, вся инфраструктура компании фактически сосредоточена в руках одного человека. При этом собственник часто даже не имеет административных доступов и не знает, где и что размещено.

И проблема здесь не только в недобросовестности сотрудника. Срабатывают и более бытовые сценарии: болезнь, конфликты на работе, внезапное увольнение, несчастный случай или переход специалиста к конкурентам. Если доступы нигде не задокументированы и не распределены между несколькими ответственными лицами, бизнес может в буквальном смысле потерять контроль над собственной инфраструктурой.

Да, некоторые собственники считают, что достаточно подписать с ИТ-специалистом NDA или стандартный договор о неразглашении. На практике такие документы редко становятся полноценной защитой. Никакой договор не заменяет выстроенную систему управления доступами.

Как снизить риски: что бизнесу делать с доступами прямо сейчас:
Защита компании начинается не с дорогих решений и сложного софта, а с базового наведения порядка в доступах. Главная задача бизнеса — понять, где именно хранится информация, кто имеет к ней доступ и насколько эти права действительно необходимы сотрудникам.

Шаг 1. Консолидировать доступы
Первое, что бы я порекомендовал, — провести полную инвентаризацию цифровой инфраструктуры. Компании важно собрать в одном месте информацию обо всех сервисах, которые используются в работе:
  • CRM-системах;
  • корпоративной почте;
  • облачных хранилищах;
  • хостингах и доменах;
  • ИИ-сервисах;
  • серверах и резервных копиях.
Цель — не просто составить список паролей, а разобраться до конца: что именно у вас есть, кто к этому имеет доступ и кто за это отвечает.

При этом доступ к критически важной информации не должен оставаться у одного человека. Ключевые административные доступы обязаны быть как минимум у собственника бизнеса или генерального директора.

Шаг 2. Навести порядок в правах доступа
После аудита доступов следует второй этап — пересмотр прав сотрудников.
В небольших компаниях административные права часто выдаются всем «для удобства», чтобы не тратить время на настройку ролей и ограничений. В результате менеджеры получают доступ к финансовой информации, бухгалтерия — к коммерческим данным и так далее. Сотрудники могут видеть значительно больше, чем требуется для их работы.

Такой подход создает сразу несколько рисков:
  • утечка информации;
  • копирование клиентских баз;
  • удаление данных из-за конфликтов;
  • внутреннее мошенничество;
  • случайные ошибки сотрудников.
Доступы должны выдаваться строго по ролям и задачам. Если сотруднику больше не нужен доступ к определенному сервису, его необходимо своевременно ограничить.

Шаг 3. Ограничить доступ к настройкам ИТ-инфраструктуры
Часто права доступа к хостингам, доменам, серверам, CRM и другим системам и сервисам исторически сосредоточены у одного системного администратора или подрядчика. При смене ИТ-команды собственники нередко даже не знают, какие именно доступы существовали и где они использовались.

Это создает опасную ситуацию: бывший администратор может сохранить не только пароли, но и скрытые способы подключения к системе — так называемые бэкдоры.

Поэтому при смене подрядчика или увольнении ИТ-специалиста важно:
  • изменить административные пароли;
  • пересмотреть доступы всех пользователей;
  • проверить резервные каналы доступа;
  • контролировать, где хранятся резервные копии данных.
Хранение бэкапов — тема, заслуживающая отдельного внимания. В небольших компаниях системные администраторы нередко делают резервные копии, как им удобно, — например, на домашние серверы или личные накопители. В результате после увольнения у бывшего сотрудника могут остаться многолетние архивы корпоративных данных: базы клиентов, документы, финансовая отчетность и внутренняя переписка.
Собственник должен знать, где хранятся резервные копии, и иметь к ним доступ. 

Почему ИТ-аутсорсинг часто безопаснее штатного администратора
Главное преимущество аутсорсинга в вопросах информационной безопасности — не сам формат работы, а наличие выстроенных процессов и распределенной ответственности. Когда вся инфраструктура компании завязана на одного штатного системного администратора, бизнес фактически создает «единую точку отказа».

Внешняя команда снижает этот риск. Во-первых, отношения с подрядчиком обычно закреплены юридически: в договоре можно прописать порядок передачи доступов, ответственность сторон и правила работы с корпоративными данными. Во-вторых, доступы не концентрируются у одного сотрудника — с инфраструктурой работает команда, внутри которой процессы документируются и контролируются.

Зрелые ИТ-подрядчики обычно сразу выстраивают систему так, чтобы собственник сохранял контроль над ключевыми ресурсами. Например, критически важные доступы передаются руководителю компании и хранятся отдельно.
Кроме того, аутсорсинговые компании чаще стремятся к консолидации инфраструктуры: вместо десятков разрозненных сервисов создается единая система управления доступами. В такой модели нового сотрудника можно подключить ко всем необходимым сервисам через один аккаунт, а при увольнении — так же быстро отключить «одной кнопкой». Это не только повышает безопасность, но и снижает риск человеческих ошибок, которые в малом бизнесе остаются одной из главных причин утечек данных.