Когда говорят об утечках данных, многие представляют последний рабочий день: сотрудник с флешкой, отключение доступов, нервный ИБ-отдел.
Но реальность корпоративной безопасности выглядит иначе.
По данным DLP-систем и внутренних расследований крупных компаний, пик рискованной активности сотрудников приходится не на день увольнения, а на период за 14–21 день до него. Именно в это время происходят самые «тихие» и опасные утечки — без взломов, скандалов и явных нарушений.
Почему так происходит — и как компании это видят?
Утечка начинается задолго до приказа
С точки зрения ИБ увольнение — это не событие, а процесс.
Человек редко принимает решение уйти внезапно. Обычно этому предшествуют недели, а иногда и месяцы размышлений, переговоров с новым работодателем и подготовки «запасного плана».
По данным внутренних исследований ИБ-подразделений (обобщенные данные по десяткам компаний):
- у 60–70% сотрудников, уволившихся по собственному желанию, за 2–3 недели до ухода фиксируется рост активности с данными;
- объем копируемых файлов в этот период увеличивается в среднем в 3–5 раз;
- до 40% таких действий формально не нарушают регламент, если смотреть на них по отдельности.
Именно поэтому большинство утечек не выглядят как преступление — до тех пор, пока данные уже не ушли.
Что происходит с сотрудником перед уходом
Важно понимать: в большинстве случаев речь идет не о злонамеренном инсайдере.
Типичное состояние сотрудника за несколько недель до увольнения:
- решение об уходе уже принято;
- страх наказания снижается («я все равно ухожу»);
- появляется логика «заберу то, что делал сам»;
- усиливается желание подстраховаться перед новым этапом карьеры.
На этом этапе человек еще:
- имеет полный доступ к системам;
- пользуется доверием коллег;
- не находится под усиленным контролем.
Именно это сочетание делает период перед увольнением самым уязвимым.
Типичные действия за 2–3 недели до ухода
По данным DLP и UEBA-систем, чаще всего фиксируется не один резкий шаг, а накопление действий.
Обезличенные примеры из практики:
Кейс 1. «На всякий случай»
Сотрудник отдела продаж начинает регулярно выгружать отчеты по клиентам, с которыми раньше работал выборочно. Формально — для анализа. Фактически — собирает базу перед переходом к конкуренту.
Кейс 2. «Поработаю дома»
Маркетолог копирует презентации и медиапланы на личный ноутбук, аргументируя это удаленной работой. После увольнения файлы остаются в личном облаке.
Кейс 3. «Мне это пригодится»
ИТ-специалист сохраняет шаблоны конфигураций и внутреннюю документацию, считая их «своими наработками».
Каждое действие по отдельности выглядит допустимым.
Опасность появляется, когда они складываются в цепочку.
Почему именно этот период самый опасный
За несколько дней до увольнения компании обычно:
- ограничивают доступы;
- усиливают контроль;
- отключают внешние носители.
А вот за 2–3 недели до ухода сотрудник работает в «серой зоне»:
- доступы полные;
- подозрений нет;
- контроль минимальный.
По статистике, до 80% инсайдерских утечек происходят именно до официального уведомления об увольнении, а не после него.
Как компании узнают об этом заранее
Современные системы информационной безопасности не ищут «плохих людей». Они ищут изменения поведения.
DLP и UEBA фиксируют:
- рост объема передаваемых данных;
- появление новых каналов коммуникаций (личная почта, облака, мессенджеры);
- смещение активности на вечернее время и выходные;
- работу с данными, не характерными для роли сотрудника.
Важно: система не реагирует на одно действие. Она видит отклонение от привычного профиля поведения.
Если бухгалтер внезапно начинает массово копировать договоры, а аналитик — выгружать клиентские базы, это сразу попадает в поле зрения ИБ.
Почему «отключить доступы в последний день» не работает
Многие компании до сих пор считают, что безопасность — это:
- юридическое соглашение о неразглашении конфиденциальной информации (NDA);
- приказ об увольнении;
- отзыв доступов в последний день.
Проблема в том, что к этому моменту данные уже скопированы.
Расследования показывают:
- более 50% утекших данных были скопированы минимум за 10 дней до увольнения;
- в день ухода чаще фиксируется «чистая» активность — сдача дел, переписка, прощания.
Как реально снижают риски утечек
Компании, у которых утечки выявляются заранее, делают ставку не на запреты, а на управляемость.
Рабочие меры:
- минимально необходимые доступы, а не «все для всех»;
- контроль каналов передачи данных, а не только хранилищ;
- поведенческая аналитика вместо ручных проверок;
- особое внимание к ролям с доступом к клиентам, финансам и ИТ.
При таком подходе ИБ видит не «факт увольнения», а рост риска задолго до него.
Вывод: увольнение — это не момент, а период.
Утечки данных редко происходят внезапно. Они почти всегда начинаются тогда, когда сотрудник еще считается лояльным.
Главный вопрос для бизнеса сегодня звучит не так:
«Кто унес данные в последний день?»
А так:
«Видим ли мы, что происходит с данными до того, как они покинули периметр?»
Компании, которые умеют отвечать на этот вопрос, ловят утечки не в отчетах и судах, а на стадии намерений.