8044 ЦОК КПП БСН mobile
🔴 Вебинар: Налоговая нагрузка и законные способы налоговой оптимизации – 2026 →
Консалтинг Онлайн
Защита персональных данных
Снижение риска утечки через мессенджеры: технические меры и понятные правила для сотрудников

Снижение риска утечки через мессенджеры: технические меры и понятные правила для сотрудников

Узнайте, какие бывают риски утечки данных при использовании мессенджеров, какие предусмотрены штрафы за утечку и как минимизировать неблагоприятные последствия для бизнеса. 

Утечка конфиденциальных данных через мессенджеры — это прямая угроза финансовой стабильности и репутации вашей компании. Штрафы исчисляются миллионами, клиенты подают в суд за разглашение персональных данных, а конкуренты получают доступ к коммерческой тайне. Риски реализуются в один клик — из-за ошибки сотрудника или целенаправленной атаки. В этой статье вы получите готовый план: от выбора технических средств защиты до внедрения понятных правил для персонала, который исключит человеческий фактор как слабое звено.

О каких рисках идет речь

Риски утечки персональных данных и другой информации через мессенджеры — это ежедневная операционная угроза для бизнеса. Инциденты происходят не только из-за злонамеренных действий, но и по неосторожности. 

Самые распространенные каналы утечки информации:

  1. Взлом аккаунта сотрудника. Происходит при перехвате одноразового SMS-кода (SIM-свопинг), использовании слабого или повторного пароля, или трояна на личном телефоне. Злоумышленник получает полный доступ к истории переписки и контактам.

  2. Перехват трафика. В публичных Wi-Fi-сетях злоумышленник может провести атаку «человек посередине» (Man-in-the-Middle), особенно если мессенджер не использует сквозное шифрование.

  3. Фишинговые ссылки в чатах. Сотрудник получает в рабочем чате ссылку, маскирующуюся под документ для согласования. Переход приводит на сайт, ворующий учетные данные, или автоматически запускает установку вредоносного ПО.

  4. Уязвимости в ПО. Несвоевременное обновление приложения на смартфоне сотрудника оставляет известные дыры в безопасности, которыми пользуются киберпреступники.

Человеческий факторключевой канал утечки информации. Пример: сотрудник бухгалтерии получает в Telegram срочный голосовой запрос, похожий на голос директора: «срочно вышли реестр платежей, я в дороге, нет доступа к почте». Работник все отправляет, и данные уходят злоумышленникам, использовавшим технологию дипфейка.

Другой частый сценарий — «удобство» против правил. Сотрудник фотографирует экран с клиентской базой на личный телефон, чтобы быстро отправить фрагмент коллеге в WhatsApp1. В этот момент данные покидают контролируемый периметр компании.

Какие данные под угрозой

Через мессенджеры сотрудники чаще всего передают оперативные данные, минуя защищенные корпоративные каналы. Эта информация мгновенно попадает под угрозу:

  1. Персональные данные (ПДн). Нарушение 152-ФЗ «О персональных данных» происходит при пересылке даже одного документа. Примеры: сканы паспортов, договоров с ФИО и адресами, списков клиентов с телефонами, резюме кандидатов, больничных листов. Утечка персональных данных может стать основанием для привлечения к ответственности по ст.13.11 КоАП.

  2. Финансовая и коммерческая информация. Сюда входят банковские реквизиты, платежные поручения, условия сделок, внутренние прайс-листы, планы закупок, данные об оборотах. Это прямая угроза экономической безопасности компании.

  3. Внутренняя переписка и документы. Обсуждения стратегии, протоколы совещаний, черновики договоров, отчеты об ошибках в продукте в переписке между отделами. Утечка раскрывает управленческие и технологические процессы.

  4. Учетные данные и доступы. Самая критичная категория. Сотрудники могут отправить коллеге логин и пароль для доступа к системе, одноразовый код, скриншот с открытой сессией в CRM или бухгалтерской программе. Это дает прямой доступ к цифровому ядру компании.

Итог: под угрозой оказывается вся информация, составляющая конфиденциальность и деловую репутацию организации.

Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных

Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса

Последствия утечки информации через мессенджеры

Риски, связанные с утечкой информации, носят комплексный характер и приводят к юридической, финансовой и репутационной катастрофе. Последствия масштабируются в зависимости от типа и объема данных.

Административная ответственность

С 2025 года ужесточена административная ответственность за утечку персональных данных. По обновленной статье 13.11 КоАП штрафы для юридических лиц исчисляются миллионами и напрямую зависят от масштаба инцидента:

  1. Утечка данных от 1 000 до 10 000 субъектов — штраф от 3 до 5 млн рублей (ч. 12).

  2. Утечка данных от 10 000 до 100 000 субъектов — штраф от 5 до 10 млн рублей (ч. 13).

  3. Утечка данных более 100 000 субъектов — штраф от 10 до 15 млн рублей (ч. 14).

  4. Повторное нарушение по частям 12-14 может привести к штрафу до 3% годовой выручки, но не менее 20 млн рублей (ч. 15).

  5. Утечка специальных или биометрических категорий ПДн карается штрафами от 10 до 20 млн рублей (ч. 16, 17).

Гражданская ответственность и утрата репутации

Репутационный удар часто превышает сумму штрафа. Новость об утечке информации в СМИ и соцсетях подрывает доверие партнеров и инвесторов на годы. Восстановление бренда требует многократных инвестиций в сравнении с затратами на превентивную защиту.

Кроме того, при утечке персональных данных субъект вправе взыскать ущерб, причиненный инцидентом, а также компенсацию морального вреда (ст. 24 ФЗ №152-ФЗ). 

Некоторым организациям запрещено использовать иностранные мессенджеры

Использование WhatsApp1, Telegram и других зарубежных мессенджеров для рабочих вопросов запрещено не всем, а конкретным типам организаций. Эти правила четко прописаны в законодательстве.

Если ваша организация относится к одной из перечисленных ниже категорий, использовать для служебной переписки можно только российские аналоги:

1. Все государственные и окологосударственные структуры: унитарные предприятия, госкомпании, организации, где доля государства превышает 50%.

2. Банки и практически все финансовые компании:

  • кредитные организации (все банки);

  • страховые компании;

  • микрофинансовые организации (МФО);

  • негосударственные пенсионные фонды (НПФ);

  • брокеры, управляющие компании, другие участники рынка ценных бумаг;

  • ломбарды;

  • операторы платежных систем (как, например, ЮMoney).

3. Участники национальной платежной системы — этот круг еще шире.

А что же остальным? Частным компаниям, не входящим в эти списки, закон напрямую не запрещает общение в Telegram или WhatsApp1. Но здесь вступает в силу ответственность за защиту данных. Если через личный чат сотрудника утекут персональные данные клиентов, компанию ждут многомиллионные штрафы.

Вывод: даже если ваш бизнес не подпадает под прямой запрет, разрешать сотрудникам использовать личные мессенджеры для рабочих данных — это высокий риск. Безопасная альтернатива — внедрение корпоративного защищенного инструмента для общения.

Как обеспечить техническую защиту при использовании мессенджеров

Предотвращение утечек информации через мессенджеры требует многоуровневого подхода. Технические меры создают барьеры для нелегитимной передачи данных и минимизируют риски. Внедряйте их комплексно.

Ключевые средства защиты информации от утечки:

  1. Системы класса DLP (Data Loss Prevention). Это основа контроля. DLP-системы анализируют исходящий трафик со всех устройств, включая корпоративные и личные (в режиме BYOD), на предмет передачи конфиденциальных данных. При попытке отправить через мессенджер номер паспорта или файл с грифом «Коммерческая тайна» система блокирует операцию и оповещает службу безопасности. Важно настроить политики под специфику ваших данных.

  2. Выделенные корпоративные мессенджеры. Для рабочих коммуникаций внедряйте специализированные решения. Их главное преимущество — администрирование компанией. Вы можете централизовано управлять пользователями, шифровать историю переписки на своих серверах, устанавливать политики хранения и удаления сообщений. Это исключает использование данных в личных целях.

  3. Сегментация сети и ограничение доступа. Запретите доступ к публичным мессенджерам (WhatsApp1, Telegram Web) с корпоративных компьютеров на уровне сетевого шлюза. Выделите отдельные сегменты сети (VLAN) для гостевых устройств, если полностью запретить использование невозможно. Это сужает область потенциального инцидента.

  4. Решения для управления мобильными устройствами (MDM/UEM). Если работа возможна с личных телефонов, используйте MDM. Это позволяет создать безопасную среду на устройстве сотрудника, в которой будет работать корпоративный мессенджер. В случае утери телефона или увольнения сотрудника данные удаляются дистанционно.

  5. Обязательное использование VPN. Если сотрудники работают удаленно, обязательным правилом должен быть доступ в корпоративную сеть только через защищенный VPN. Это шифрует весь трафик и предотвращает перехват данных в публичных сетях, даже если мессенджер не использует сквозное шифрование.

  6. Антивирусная защита и обновления. На всех корпоративных устройствах должны быть установлены и актуальны антивирусные средства нового поколения (NGAV), способные обнаруживать фишинговые ссылки и трояны, ворующие данные из мессенджеров. Регулярное обновление ОС и приложений закрывает известные уязвимости.

Технические меры работают в связке с регламентами. Их задача — не просто блокировать, а сделать безопасное использование мессенджеров единственным удобным сценарием для сотрудника, эффективно предотвращая утечки информации.

Разработка многоуровневой системы IT безопасности и правовой защиты персональных данных

Обеспечиваем информационную и правовую безопасность для госучреждений и крупного бизнеса

Какие документы по защите данных должны быть в компании

Для обеспечения юридической и технической защиты информации компания должна разработать и вести следующий обязательный пакет документов. Полный перечень таких документов зависит от того, какие данные вы обрабатываете, в каком объеме, какие категории субъектов вам их предоставляют и какие способы обработки вы используете. В первую очередь оформите Положение об обработке и защите ПДн. Понадобятся и другие документы. 

Журналы учета:

  1. Мероприятий по контролю защиты персональных данных.

  2. Тестирования средств защиты информации.

  3. Обращений субъектов персональных данных.

  4. Посетителей помещений с обработкой ПДн.

  5. Материальных носителей информации.

  6. Проведения инструктажей по информационной безопасности.

Внутренние инструкции и регламенты:

  1. Инструкция по действиям при инциденте утечки персональных данных.

  2. Инструкция по резервному копированию.

  3. Инструкция по парольной защите и антивирусному контролю.

  4. Инструкция по учету и уничтожению материальных носителей.

  5. Политика информационной безопасности.

Документы по организации системы защиты информации (СЗИ):

  1. Акт категорирования информационных систем персональных данных (ИСПДн).

  2. Модель угроз безопасности персональных данных.

  3. Приказ о создании комиссии по защите ПДн и Положение о ее работе.

  4. Перечень информационных систем персональных данных (ИСПДн).

  5. План мероприятий по обеспечению безопасности персональных данных.

Если вы хотите снизить риски утечки конфиденциальной информации, вам нужно оформить ряд документов по защите ПДн и провести аудит информационной безопасности, обратитесь за помощью к специалистам.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFJTxg3z

  1. Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена

Информации об авторе

Консалтинг Онлайн

Консалтинг Онлайн

«Консалтинг Онлайн» - комплексное юридическое сопровождение бизнеса от создания до ликвидации

12 902 подписчика333 поста

Начать дискуссию

ГлавнаяБух.Совет