Когда компания решает внедрить DLP (Data Loss Prevention), обычно все боятся технических сложностей: «А сможет ли система перехватывать трафик? А не упадет ли почта?» Но практика показывает: 70% проектов DLP проваливаются или дают нулевой результат не из-за технологий, а из-за внутреннего саботажа со стороны HR и юридического департамента.
Причина проста: DLP — это инструмент тотального недоверия. А HR и юристы — главные стражи корпоративной этики и законности. Столкнитесь с ними лбами — и проект умрет в комитетах, согласованиях и формальных отказах.
Анатомия провала: почему «голоса разума» против
1. HR: «Вы хотите построить концлагерь, а не команду»
HR-директор мыслит категориями удержания, лояльности и доверия. DLP в его глазах — это:
● Мгновенное падение eNPS (индекс лояльности). Сотрудники узнают о тотальном скрине переписок — и волна увольнений накрывает отдел продаж и разработки.
● Убийство культуры открытости. Agile, «бирюзовые» ценности, «мы одна семья» — и тут вдруг система, которая фиксирует, сколько времени Петров сидел в «Авито».
● Дополнительная нагрузка. HR придется разбирать конфликты, когда сотрудник узнает, что его ревнивый начальник через DLP читал его личную переписку в Telegram (даже если она технически корпоративная).
Итог: HR начинает тормозить проект под видом заботы о людях. Реально — из страха, что текучка кадров вырастет на 30%, а он не выполнит KPI.
2. Юристы: «Мы подпишем себе приговор»
Юридический отдел видит в DLP мину замедленного действия под компанию. И они правы на 146%:
● Нарушение тайны переписки (ст. 138 УК РФ). Если DLP перехватывает сообщения из WhatsApp или личной почты, даже на корпоративном ноутбуке — это уголовное дело. Юристы не дадут вам это подписать.
● Проблема с согласием на обработку. По 152-ФЗ нужно получать отдельное письменное согласие на мониторинг переписок и файлов. Подпишут единицы.
● Использование данных в суде. Если вы уволили человека за слив данных, запись из DLP — доказательство? В 90% случаев суд признает ее недопустимой, если вы не доказали, что сотрудник был уведомлен под роспись о методах контроля. А если доказали — он напишет жалобу в РКН или прокуратуру.
Итог: Юристы начинают писать бесконечные отказы, ссылаясь на «риски блокировки компании» и «административную ответственность до 100 тыс. руб. за каждое нарушение» (ст. 13.11 КоАП РФ).
«Договориться нельзя поссориться»: 5 шагов к консенсусу
Остановите техдиректора, который уже купил DLP и кричит: «Мы всех перехватываем с понедельника!». Вот алгоритм, как превратить врагов в союзников.
Шаг 1. Продайте не «шпионаж», а «защиту от халатности»
Соберите HR и юристов и скажите им правду: «Мы не следим за тем, как вы пьете кофе. Мы страхуем компанию от случая, когда сотрудник случайно скинет базу клиентов в открытый чат с подрядчиком».
Переведите DLP в понятие «страховка от дурака и вора», а не «Большой Брат». Покажите кейсы из вашей же отрасли: штрафы за утечку персональных данных, отзыв лицензии, уголовные дела на гендиректора.
Шаг 2. Юристам — «красные линии» и белые списки
Внесите в политику использования DLP то, что защитит юристов от претензий:
● Запретить перехват личных данных: пароли, номера карт, переписка с госорганами, сообщения в личных мессенджерах (даже на рабочем ПК).
● Внедрить маскирование — DLP видит, что отправлен файл «Договор_клиент.doc», но не открывает содержимое до срабатывания правила.
● Сделать исключения — для топ-менеджеров, юристов (они работают с адвокатской тайной) и HR.
Результат: Юристы получат аргумент для РКН: «Мы контролируем только бизнес-коммуникации в служебных каналах».
Шаг 3. HR — сделать DLP «подарком для лояльных»
HR боится падения доверия. Дайте ему инструмент, чтобы этого не случилось:
● Внедряйте DLP пилотом на одном отделе (самом утекающем, например, продажи). Покажите цифры: «До внедрения — 5 подозрительных отправок в месяц. После — 0. Штат не уволился».
● Снимите KPI по «нарушениям» для HR. Не требуйте от HR-директора, чтобы он наказывал каждого, кто загрузил фото кота на флешку. Пусть HR занимается развитием, а не карательными функциями.
● Включите DLP в программу адаптации как благо: «Мы установили защиту, чтобы ваши данные не утекли к конкурентам. Система не читает ваши личные чаты, а только блокирует отправку файлов с грифом "Коммерческая тайна"».
Шаг 4. Составьте единый «Акт о мониторинге» (и подпишите его у всех)
Юридически чистый документ, который подписывает каждый сотрудник при найме. В нем должно быть:
● Перечень только корпоративных каналов связи (корпоративная почта, мессенджер, файловый обменник).
● Прямое указание: «Личная переписка и личные сайты не мониторятся».
● Согласие на обработку данных в рамках трудовой функции.
● Период хранения логов — 30 дней (не вечность).
● Обязательство не использовать DLP для оценки эффективности (сколько времени сидел в соцсетях), только для предотвращения утечек.
Важно: Пусть HR проводит разъяснительные беседы, а юристы визируют каждое изменение. Без их подписи — не включайте систему.
Шаг 5. Договоритесь о процедуре расследования: только с участием HR и юриста
Самая частая ошибка — безопасники получают алерт и бегут к директору: «Иванов слил базу!». А Иванов оказывается зятем учредителя или работает над проектом с разрешения заказчика.
Правило: Любое подозрение из DLP — это сигнал триаде (Безопасность + HR + Юрист). HR проверяет контекст (может, это тестовый файл), юрист — законность фиксации, безопасник — факт передачи. Вместе решают: увольнение, выговор или «да ладно, это рабочий момент».
Что в итоге?
Внедрить DLP без согласия HR и юристов — это как запустить ракету без тормозов. Либо вы врежетесь в суд, либо в демотивированных сотрудников.
Главная формула успеха: DLP — это не про технологии. Это про договоренности. Если вы построите систему, где HR не боится падения лояльности, юристы — штрафов, а сотрудники — слежки, — проект будет жить. Если нет — купили вы просто красивую админку, которая собирает пыль.
©Автор-эксперт: Владислав Халяпин