Сценарий, который мы слышим снова и снова:
🔹 “Мы просто забыли отключить токен”
🔹 “Он уволился, но у него остался доступ”
🔹 “Интегратор всё настроил, мы не трогали”
🔹 “Раньше работало — сейчас что-то пошло не так”
Казалось, всё нормально. А потом — утечка, штраф и паника. Письма от клиентов, фейковые рассылки, проверка от Роскомнадзора, и штрафы от 300 000 до 3 миллионов рублей.
И всё это — про обычные компании: маркетинг, торговля, услуги, образование, производство.
Аудит безопасности — это как диагностика: пока всё работает, никто не думает
Если у вас в компании:
- стоит CRM,
- работают менеджеры,
- подключена телефония, рассылки, API,
- есть подрядчики или айтишники — то рано или поздно вы с этим столкнётесь.
Вопрос не “если”, а “когда”. И лучше узнать о проблеме до, чем после.
Как понять, что пора проводить аудит?
Вот 7 сигналов, которые мы видим почти в каждом случае до утечки. Если узнаете хотя бы один — уже не тяните.
1. Ушёл ИТ-шник — доступ остался
Подрядчик закончил проект, сисадмина уволили — а вебхуки, токены, почтовые ящики и доступ к облаку остались.
Всё тихо, пока не случится что-то странное. И вы даже не поймёте, откуда это пришло.
2. Внедрили CRM или сделали доработку — не пересмотрели доступы
Новая телефония, маркетинг, рассылки — круто.
Но данные начинают “гулять” между сервисами.
И если никто не проверяет, кто и что выгружает — база может уйти случайно.
3. Скоро проверка
Если в договоре с крупным клиентом есть пункт “соблюдение 152-ФЗ”, а у вас логов нет и роли “для всех” — это уже риск.
Не потому что “плохая компания”, а потому что забыли, не настроили, некогда.
4. Компания быстро выросла, а безопасность осталась “старой”
Было 15 человек — стало 60. Открыли филиалы, наняли новых сотрудников.
А CRM всё ещё по старым правилам: у всех одинаковые права, никто не проверяет, кто видит паспортные данные клиента.
5. Подключили внешних подрядчиков, но не ограничили им доступ
Классика:
- маркетолог подключил рекламу — и получил весь список клиентов
- бухгалтерия на аутсорсе — и видит CRM
- коллтрекинг настроили — и он выгружает заявки
А кто проверяет, куда идут эти данные? А если что-то пойдёт не так — кто будет платить?
6. Никто не может ответить: “А кто у нас видит паспортные данные?”
Поставьте на паузу. Задайте этот вопрос себе или своему ИТ.
Если ответа нет — вы в зоне риска.
7. “У нас всё нормально, мы давно не проверяли”
Именно такие компании чаще всего попадают.
Работает? Отлично.
Но безопасность — это не настройка. Это процесс.
И если вы ничего не проверяли больше года — вы не знаете, что происходит в системе.
Чем полезен аудит
Аудит — это не “страшилки” и не “галочка в отчёте”. Это:
- выявить, где дыры в доступах
- отключить токены, которые забыли
- ограничить подрядчиков
- проверить логи: кто и что выгружал
- показать, какие данные действительно под контролем
- спать спокойно, даже если завтра проверка
Что делать дальше?
Для начала — разберитесь, кто в компании юридически несёт ответственность за утечку персональных данных.
Мы написали короткую статью, где разобрали этот вопрос простым языком: Кто несёт ответственность за утечку данных?
Если вы дочитали до этого места — скорее всего, время проверить систему уже пришло. Лучше сделать это сейчас, чем объяснять потом, почему всё пошло не так.