Что лежит в CRM и почему это критично
В CRM Битрикс24 у среднего бизнеса хранится всё: контакты клиентов (телефон, email, должности), история взаимодействий, договоры, реквизиты, иногда — паспортные данные. Это самые ценные данные компании.
Утечка базы клиентов = катастрофа: репутационная (клиенты узнают и потеряют доверие), юридическая (152-ФЗ), коммерческая (база попадёт к конкурентам).
Угрозы
- Внутренняя угроза: сотрудник копирует базу перед уходом
- Социальная инженерия: фишинг, выманивание паролей
- Утечка через интеграции: подключённый сервис скомпрометирован
- Атака на учётку: подбор/перехват пароля
- Случайная утечка: сотрудник переслал базу на личную почту
Уровень 1: Базовая защита
1. 2FA для всех. Без вариантов. Особенно для админов и руководителей.
2. Сильные пароли. Минимум 12 символов, через менеджер.
3. Права доступа. Менеджер видит только своих клиентов, а не всю базу.
4. Логирование. Кто и когда смотрел/выгружал данные.
Уровень 2: Защита от внутренних угроз
1. Запрет экспорта. Битрикс позволяет ограничить экспорт CSV для рядовых менеджеров. Только администратор может выгрузить.
2. Контроль за действиями. Если менеджер за день посмотрел 500 карточек (а обычно 30) — это аномалия. Сигнал.
3. Регламент при увольнении. Перед увольнением — анализ активности, при необходимости юридическая фиксация.
4. Ограничение мобильной выгрузки. На мобильном приложении тоже ограничения.
Уровень 3: Защита от внешних
1. IP-white list. Доступ к Битрикс только с офисных IP или через корпоративный VPN.
2. Геобан. Запрет входа из стран, где у вас нет сотрудников.
3. Регулярная смена паролей. Раз в 3–6 месяцев.
4. Мониторинг аномалий. Битрикс показывает «вход с нового устройства» — обращать внимание.
Уровень 4: Защита данных в покое
1. Шифрование. Битрикс24 шифрует данные на серверах. Дополнительно — для критичных полей кастомное шифрование (паспорта).
2. Минимизация ПДн. Не хранить данные, которые не нужны. Если паспорт нужен только для оформления — после оформления удалять.
3. Бэкапы зашифрованы. Не оставлять бэкапы в открытом виде.
Шаг 1: Аудит прав доступа
Раз в полгода — кто к чему имеет доступ. Особенно после кадровых изменений. Часто остаются доступы у уволенных или сменивших роль сотрудников.
Шаг 2: Регламент работы с базой
- Запрет копировать базы на личные носители
- Запрет пересылать клиентские данные на личную почту
- Запрет работы с CRM на чужих/публичных компьютерах
- Обязательная блокировка экрана при отходе
В трудовом договоре — пункт об ответственности за разглашение коммерческой тайны.
Шаг 3: Обучение менеджеров
- Как распознать фишинг
- Что не делать (не пересылать на личное, не давать пароль)
- Что делать при подозрении на компрометацию
Шаг 4: Тестирование
Раз в полгода — тренировочные фишинговые рассылки сотрудникам. Кто кликнул — обучить ещё раз.
Главные ошибки
- Все менеджеры видят всю базу.
- 2FA только для админов.
- Нет контроля за уволенными — их учётки активны месяцами.
- Бэкапы не зашифрованы.
- Менеджер выгружает базу на флешку и уходит к конкурентам.
Сколько стоит
Аудит и базовая настройка защиты CRM: 40 000–100 000 ₽. Срок 2–4 недели.
Полная настройка с регламентами, обучением, тестированием: 100 000–300 000 ₽.
Рассчитать → Записаться на разбор →
FAQ
Можно ли заблокировать экспорт совсем?
Да, для рядовых менеджеров — полностью. Для админа — оставить, но с логированием.
Что делать, если уже произошла утечка?
Зафиксировать факт (логи), уведомить РКН в течение 24 часов, провести расследование, при необходимости — заявление в полицию.