Более 50% кибератак на российские компании в 2025 г. были реализованы методами социальной инженерии — через манипуляции сотрудниками, а не взлом технических систем [1]. При этом 51% российских компаний уже сталкивались с утечками персональных данных [2]. И это только вершина айсберга.
Особенность России в том, что подавляющее большинство (95,6%) утечек информации по вине сотрудников носят умышленный характер — это в 2 раза выше, чем в мире [3]. При этом только 24% компаний выявляют внутренние инциденты до возникновения ущерба. В остальных случаях проблема становится заметной уже в процессе развития инцидента или после нанесения ущерба бизнесу [4]. Среди главных причин — отсутствие прозрачности в действиях пользователей (25%) и недостаток логов и данных для расследований (23%) [5].
Для чего нужен модуль «Журнал событий»
В системах электронного документооборота ежедневно происходят тысячи событий. В них создаются конфиденциальные документы, принимаются управленческие решения, хранятся персональные данные. Когда возникает инцидент, появляется вопрос: что именно произошло и кто это сделал? Понять это помогает модуль «Журнал событий».
Модуль фиксирует каждое действие пользователя в Docs5 и визуализирует данные на дашбордах для последующего анализа. Регистрируются все значимые операции: входы и выходы из системы, действия с карточками, справочниками, файлами, отчетами, пользователями, ролями, узлами и списками.
Архитектура модуля построена на связке СЭД → ElasticSearch / OpenSearch → Kibana / OpenSearch. Данные передаются в отдельный индекс, а авторизованные сотрудники через веб-интерфейс Kibana выполняют поиск, фильтрацию данных, формируют необходимые выборки. Вся информация о действиях пользователей доступна в едином интерфейсе .
Сценарии использования модуля
Модуль решает конкретные задачи:
- Анализ инцидентов, связанных с утечкой конфиденциальных данных (например, когда нужно выяснить, кто и когда получал доступ к документам или выполнял их выгрузку);
- Выявление подозрительных активностей (входы в систему в нерабочее время, неудачные попытки аутентификации, массовое удаление файлов);
- Обработка обращений в службу технической поддержки (на основе анализа действий пользователя);
- Оценка адаптации пользователей после внедрения системы (по итогам анализа динамики активности используемых функций);
- Проведение служебных расследований (восстановление картины действий определенного сотрудника за любой период времени);
- Анализ загруженности системы (динамика количества пользователей, созданных документов и других показателей).
Что именно фиксируется
Каждое событие регистрируется с обязательным набором параметров:
- идентификатор / логин сотрудника;
- IP-адрес;
- дата и время события;
- тип события — вход, изменение, сохранение, удаление и другие;
- краткое описание события;
- привязка к объекту СЭД (карточка, элемент справочника и т.д.)
Модуль позволяет не просто узнать, что событие произошло, но и понять его контекст. Например, при изменении полей карточки фиксируется не только факт изменения, но и название изменённого поля и его текущее значение. При принятии решения в карточке документа — регистрационный номер карточки и название принятого решения.
Наглядная аналитика вместо сырых логов
Модуль содержит набор готовых дашбордов, отображающих ключевые метрики: количество уникальных пользователей, созданных и согласованных документов, открытых карточек, принятых решений, загруженных файлов. Также доступны выборки по наиболее активным пользователям, популярным решениям и процессам за период.
Пользователи могут создавать собственные дашборды и группировать их в панели данных под свои задачи.
Модуль «Журнал событий» дает компаниям глубокое понимание того, как сотрудники взаимодействуют с СЭД. Это помогает оперативно находить ответы на важные вопросы и повышать управляемость процессов.