В любой компании найдётся чат, который начинался с невинного «скиньте акт сюда, чтобы быстрее согласовать». Через пару недель туда же летят таблицы со скидками, договоры, скрины из CRM, контакты клиентов, куски техзаданий и голосовые от руководителя. Никто не планировал собирать архив коммерческой тайны в мессенджере, но архив уже появился: без ролей, журналов, срока хранения и понятного владельца.
Если сотрудники привыкли отправлять документы туда, где быстрее ответят, MAX быстро получает те же договоры, прайсы, выгрузки из CRM и скриншоты внутренних систем. Через неделю никто не вспомнит, где лежит оригинал, кто скачал копию и остался ли подрядчик в группе после проекта. Для коммерческой тайны опасна не сама платформа, а привычка отправлять важные документы в самый быстрый чат.
Почему коммерческая тайна плохо живёт в чате
Коммерческая тайна не появляется от слова «конфиденциально» в названии файла. По закону о коммерческой тайне компания определяет перечень закрытых сведений, ограничивает доступ, учитывает людей с допуском, закрепляет обязанности работников и подрядчиков, маркирует документы или носители грифом «Коммерческая тайна». Без таких мер важный файл легко становится обычным вложением, которое переслали по привычке.
В СЭД, CRM или репозитории есть роли, журналы, сроки хранения и отзыв прав. В групповом чате файл быстро отрывается от таких правил. Менеджер отправил договор, инженер приложил схему, бухгалтер скинул акт, подрядчик остался в группе после закрытия задачи. После утечки юристам придётся доказывать, кто видел файл, почему получил доступ, какие запреты действовали и как компания защищала сведения.
MAX завязан на номер телефона и имя. В пользовательском соглашении также указано, что действия под аккаунтом считаются действиями пользователя. Для личной переписки формат привычен. Для бизнеса сразу возникают рабочие вопросы: сотрудник использует личный или корпоративный номер, кто закрывает доступ после увольнения, что происходит при потере смартфона, смене устройства или переносе номера к другому оператору.
Личный телефон добавляет ещё больше неизвестных. Компания не видит пароль блокировки, резервные копии, обновления системы, сторонние клавиатуры, семейный доступ, вредоносные приложения и синхронизацию файлов. Один смартфон с рабочей перепиской может раскрыть больше, чем отдельная учётная запись в CRM: кто ведёт клиента, какие скидки обсуждаются, где буксует проект и кто принимает решение.
Какие функции MAX создают риск для компании
В политике конфиденциальности MAX перечислены не только имя и номер телефона. Сервис также обрабатывает технические данные: IP-адрес, операционную систему, браузер, местоположение, провайдера, активность в интерфейсе и cookies. Адресная книга попадает в обработку, если пользователь дал разрешение. Для компании список важен не сам по себе, а как повод заранее решить, какие рабочие данные не должны смешиваться с личными контактами и переписками.
Адресную книгу не подключают по умолчанию на рабочих устройствах. MAX рекомендует дать доступ к контактам телефона, чтобы быстрее найти знакомых и начать переписку. На корпоративном смартфоне такой список легко смешивает сотрудников, клиентов, подрядчиков, личные номера и старые проектные связи. Иногда сами контакты раскрывают лишнее: кто участвует в тендере, кто ведёт крупного клиента, кто подключён к закрытому проекту.
Файлы в MAX быстро становятся главным источником риска. Справка сервиса указывает вложения до 4 ГБ: фотографии, видео, файлы разных форматов, контакты и местоположение. В одно сообщение спокойно помещается архив договоров, выгрузка из CRM, папка с техдокументацией, лог-файл или презентация для руководства. Для сотрудника удобно. Для ИБ проблема понятная: закрытые данные уходят из СЭД, CRM, репозитория и корпоративного хранилища.
До запуска рабочих групп проверьте хранение переписок и файлов: где лежат сообщения, сколько хранятся вложения, кто видит журналы, как удаляются документы и какой режим шифрования используется для личных и групповых чатов. Для предварительной проверки пригодится отдельный разбор шифрования MAX.
Где рабочие данные чаще всего теряются
Проблема часто начинается с обычной спешки. Договор надо срочно согласовать, таблицу со скидками быстро показать руководителю, скрин из CRM отправить подрядчику, акт с реквизитами перекинуть бухгалтерии. Файл улетает в чат, потом в личную переписку, потом в ещё одну группу. Через неделю оригинал лежит в СЭД, а копии живут где угодно.
С подрядчиками всё часто ломается на мелочах: человека добавили ради одной задачи, проект закончился, группа осталась. Через полгода никто не помнит, кто выдал доступ и какой договор закрывал передачу сведений. При конфликте всплывает неприятное: документы уходили без NDA, без маркировки и без учёта фактических получателей. Похожий механизм разбирался в материале про инсайдерские угрозы.
Опасны не только документы. Скрин из CRM показывает клиентскую базу, фото доски после встречи раскрывает план сделки, голосовое с цифрами по выручке передаёт финансовый прогноз, ссылка на тестовый стенд открывает внутреннюю архитектуру, лог-файл может содержать токены или адреса закрытых сервисов. Сотрудник считает такой материал рабочей мелочью, конкурент увидит готовую подсказку.
Боты и мини-приложения подключают только после проверки ИБ. Любую форму, кнопку или интеграцию проверяют до запуска: какие данные собираются, где хранится результат, кто видит ответы, как удалить сведения при ошибке и кто отвечает за инцидент. Если ответов нет, клиентские данные, договоры, ключи и финансовые документы через такой инструмент не проходят.
| Что нельзя терять | Как уходит в чат | Что делать вместо пересылки |
|---|---|---|
| Клиентские базы и лиды | Выгрузки отправляют отделу или подрядчику | Давать ссылку на CRM с доступом по роли |
| Договоры, счета, акты | Вложения сохраняются на личных устройствах | Хранить документы в СЭД, в чат отправлять номер задачи |
| Исходный код, логи, ключи | Секреты попадают в скриншоты и архивы | Обсуждать через трекер и репозиторий |
| Финансовые планы | Цифры обсуждают в смешанных группах | Открывать доступ только назначенным участникам |
| Персональные данные клиентов | Файлы уходят в переписку без нужных правил хранения | Передавать через CRM, СЭД или другую утверждённую систему |
Что разрешить в MAX, а что запретить
В MAX можно оставить рабочие уведомления, короткие вопросы, ссылки на задачи, напоминания, организационные сообщения и переписку без вложений. Если нужен договор, клиентская база, финансовая таблица или исходный код, в чат отправляется ссылка на СЭД, CRM, трекер или репозиторий. Сам файл остаётся там, где компания видит доступ и может отозвать права.
- договоры не пересылаются файлом, в чат уходит номер задачи или ссылка на СЭД;
- клиентские базы не выгружаются в чат, доступ открывается в CRM;
- исходный код, логи, токены и ключи не отправляются скриншотами и архивами;
- финансовые таблицы не уходят в смешанные группы с подрядчиками;
- документы с грифом «Коммерческая тайна» остаются в системе с правами доступа;
- подрядчик получает отдельную группу только на срок задачи;
- после увольнения сотрудника проверяются рабочие группы, владельцы чатов и сохранённые доступы.
Перед запуском MAX компания определяет, какие устройства допускаются к рабочим чатам. Если сотрудники заходят с личных телефонов, через мессенджер нельзя отправлять клиентские выгрузки, договоры, ключи доступа, финансовые таблицы и документы с грифом «Коммерческая тайна». Доступ к контактам, файлам, камере, микрофону и геолокации ограничивают заранее, иначе лишние разрешения быстро станут привычкой.
У каждой рабочей группы назначается владелец. Не отдел, не самый активный участник, а конкретный сотрудник. Владелец проверяет состав группы, удаляет лишних людей, фиксирует подрядчиков, передаёт права при отпуске или увольнении, закрывает чат после проекта. Внешний участник получает доступ под задачу и на ограниченный срок.
Перед массовым запуском проверьте, какие файлы сотрудники уже пересылают, кто состоит в рабочих группах, есть ли там подрядчики, какие номера используются для входа и куда уходят документы после согласования. Если ответы приходится собирать вручную по перепискам, массовый запуск MAX лучше отложить. Сначала запрет на секреты во вложениях, владельцы рабочих групп и понятные правила доступа. Новые чаты можно открывать после этого.
