Один клик.
Один неверный чат.
И ваши клиентские базы, паспорта, платежки и коммерческие тайны — в руках злоумышленников.
Штрафы — до 20 млн ₽.
Суды — от клиентов.
Репутация — разрушена на годы.
Это не сценарий из фильма.
Это — ежедневная реальность для компаний, которые позволяют сотрудникам использовать личные мессенджеры для рабочих задач.
Вот как всё исправить — без паники, без юридических сленгов, с конкретными шагами и правилами, которые поймёт даже новичок.
Что именно утекает через мессенджеры?
Сотрудники не «вредят намеренно». Они просто удобство ставят выше безопасности.
Вот что чаще всего отправляют в Telegram, WhatsApp, Viber:
Персональные данные (ПДн) | Скан паспорта клиента, список с телефонами, больничный лист | Нарушение ФЗ-152 → штраф до 20 млн ₽
Финансовые документы | Платёжные поручения, прайс-листы, выписки из банка | Утечка → конкуренты знают ваши цены и обороты
Учетные данные | Логин и пароль от CRM, скриншот сессии в 1С |Злоумышленник получает полный доступ к системе
Внутренняя переписка | Чаты с обсуждением стратегии, черновики договоров | Раскрытие бизнес-планов → потеря конкурентного преимущества
Биометрия и спецданные | Фото лица, голосовые сообщения, медицинские данные | Запрещено передавать — штраф до 20 млн ₽ по ч.17 ст.13.11 КоАП
Как именно происходят утечки? 5 реальных сценариев
1. SIM-свопинг
Злоумышленник перехватывает SMS-код двухфакторной аутентификации — и получает доступ к аккаунту сотрудника в Telegram.
→ Всё: переписка, файлы, контакты — в его руках.
2. Фишинг в чате
Сотрудник получает ссылку: «Вот договор, подпиши».
Клик → сайт ворует логин и пароль от корпоративной почты.
→ Взлом всей системы.
3. Дипфейк-атака
Голос директора в Telegram: «Срочно вышли реестр платежей — я в аэропорту».
Сотрудник верит — и отправляет.
→ Утечка 500+ клиентских данных.
4. Фото экрана на личный телефон
Бухгалтер делает скрин с базой клиентов — и отправляет его в WhatsApp коллеге.
→ Данные покинули корпоративный периметр.
→ Никто не контролирует, куда они попали.
5. Публичный Wi-Fi + незашифрованный чат
Сотрудник работает из кафе.
Злоумышленник перехватывает трафик — и читает переписку.
→ Даже если вы используете Telegram — без сквозного шифрования — данные видны.
Какие штрафы ждут вас в 2026 году?
- Утечка данных от 1 000 до 10 000 субъектов — штраф от 3 до 5 млн рублей (ч. 12).
- Утечка данных от 10 000 до 100 000 субъектов — штраф от 5 до 10 млн рублей (ч. 13).
- Утечка данных более 100 000 субъектов — штраф от 10 до 15 млн рублей (ч. 14).
- Повторное нарушение по частям 12-14 может привести к штрафу до 3% годовой выручки, но не менее 20 млн рублей (ч. 15).
- Утечка специальных или биометрических категорий ПДн карается штрафами от 10 до 20 млн рублей (ч. 16, 17).
Репутационный удар часто превышает сумму штрафа. Новость об утечке информации в СМИ и соцсетях подрывает доверие партнеров и инвесторов на годы. Восстановление бренда требует многократных инвестиций в сравнении с затратами на превентивную защиту.
Кроме того, при утечке персональных данных субъект вправе взыскать ущерб, причиненный инцидентом, а также компенсацию морального вреда (ст. 24 ФЗ №152-ФЗ).
Кому запрещено использовать Telegram и WhatsApp?
Закон прямо запрещает использовать иностранные мессенджеры для рабочих целей:
- Государственные и полугосударственные организации (доля РФ >50%)
- Банки, МФО, НПФ, страховые компании
- Участники национальной платежной системы (ЮMoney, СБП-операторы)
- Ломбарды, брокеры, управляющие компании
А что с остальными?
Для частных компаний — прямого запрета нет.
Но: если через WhatsApp утекли ПДн — штраф всё равно будет.
Закон не спрашивает, какой мессенджер вы использовали — он спрашивает: «Вы защитили данные?»
Как защититься? 6 технических мер (работают в связке)
✅ 1. DLP-система — ваш главный щит
Система блокирует отправку:
- сканов паспортов
- файлов с грифом «Коммерческая тайна»
- списков клиентов
→ Оповещает службу безопасности.
→ Не даёт отправить — даже если сотрудник хочет.
✅ 2. Корпоративный мессенджер — только один
Внедрите:
- СберМессенджер
- Мессенджер от Mail.ru
- Специализированные решения (например, «Корпоративный чат» от 1С)
Плюсы:
- Вы управляете пользователями
- Все сообщения шифруются на ваших серверах
- Можно удалить переписку при увольнении
- Нет доступа к личным контактам
✅ 3. Запрет на публичные мессенджеры на корпоративных ПК
На уровне сетевого шлюза заблокируйте:
- web.telegram.org
- web.whatsapp.com
- viber.com
Исключение: только для гостевых устройств (если BYOD).
✅ 4. MDM/UEM — защита на личных телефонах
Если сотрудник работает с телефона — установите MDM.
→ Создаёт безопасную среду на устройстве.
→ Корпоративный мессенджер работает отдельно от личных приложений.
→ При увольнении — удаляются все рабочие данные.
✅ 5. Обязательный VPN
Все удалённые сотрудники — только через корпоративный VPN.
→ Шифрует весь трафик.
→ Защищает от перехвата в кафе, аэропортах, на даче.
✅ 6. Антивирус + обновления
Установите NGAV (Next-Gen Antivirus) — он ловит:
- фишинговые ссылки в чатах
- трояны, ворующие данные
- вредоносные файлы из мессенджеров
Обновляйте ОС и приложения — раз в неделю.
Какие документы должны быть в компании?
Технические меры — это полдела.
Документы — это ваша юридическая защита.
Журналы учета:
- Мероприятий по контролю защиты персональных данных.
- Тестирования средств защиты информации.
- Обращений субъектов персональных данных.
- Посетителей помещений с обработкой ПДн.
- Материальных носителей информации.
- Проведения инструктажей по информационной безопасности.
Внутренние инструкции и регламенты:
- Инструкция по действиям при инциденте утечки персональных данных.
- Инструкция по резервному копированию.
- Инструкция по парольной защите и антивирусному контролю.
- Инструкция по учету и уничтожению материальных носителей.
- Политика информационной безопасности.
Документы по организации системы защиты информации (СЗИ):
- Акт категорирования информационных систем персональных данных (ИСПДн).
- Модель угроз безопасности персональных данных.
- Приказ о создании комиссии по защите ПДн и Положение о ее работе.
- Перечень информационных систем персональных данных (ИСПДн).
- План мероприятий по обеспечению безопасности персональных данных.
Если вы хотите снизить риски утечки конфиденциальной информации, вам нужно оформить ряд документов по защите ПДн и провести аудит информационной безопасности, обратитесь за помощью к специалистам.