Увольнение сотрудника из компании часто становится своеобразным стресс-тестом для системы информационной безопасности. В такие моменты могут проявиться многие возможные пробелы: избыточные права доступа к данным у сотрудников, неправомерное копирование данных и их фрагментов, нарушения в процессе передачи дел.
Если защита данных не встроена в повседневные бизнес-процессы, хищение клиентских данных при увольнении сотрудника — только вопрос времени.
Почему тема хищения данных о клиентах по-прежнему актуальна?
Утечка клиентских данных сегодня — это не только прямой материальный ущерб, но и серьезные репутационные и юридические риски.
С 30 ноября 2024 года вступили в силу изменения в законодательстве, касающиеся защиты персональных данных. За нарушения в области обработки и защиты ПДн, к которым относятся и данные о клиентах, предусмотрены оборотные штрафы (от 1 до 3% совокупного размера суммы выручки). Очевидно, что давление со стороны регуляторов будет только усиливаться.
Несмотря на то что хищение клиентских данных сотрудниками стало «притчей во языцех», компании продолжают сталкиваться с этим регулярно.
Как уволенные сотрудники «забирали с собой» ценные данные в 2025 году?
Опираясь на статистику 2025 года, можно выделить несколько типовых сценариев утечек.
Самый распространенный метод был до банальности прост: готовящиеся к уходу сотрудники копировали информацию о клиентах в мессенджеры. Одни отправляли файлы на личные аккаунты, другие сохраняли в «Избранном», чтобы позже скачать данные с домашнего устройства. Показательный случай из нашей практики: один из сотрудников попытался переслать базу клиентов своему личному контакту и просил собеседника удалить файл в Telegram, зная, что работодатель ведет мониторинг и предполагая, что такая мера поможет обойти защиту.
Еще один канал утечки — электронная почта. Она используется для рабочих целей в большинстве организаций, объем писем огромен, и перед специалистами по безопасности встает сложная задача — отличить рабочую переписку от передачи конфиденциальной информации третьему лицу.
Также клиенты сталкивались с попытками копирования конфиденциальных данных на USB-накопители.
Здесь можно упомянуть еще один интересный инцидент из нашей практики. Готовящийся к увольнению сотрудник знал, что компания ведет контроль, и перед тем, как попытаться скопировать ценную информацию на накопитель, он дождался завершения рабочего дня, отключил рабочую станцию от сети. Он предполагал, что этого достаточно для обхода защиты, но возможности современных систем защиты данных позволяют эффективно отрабатывать и по таким сценариям. Попытка не удалась, а при подключении рабочей станции к локальной сети практически сразу об инциденте стало известно службе ИБ.
Отдельного внимания в последнее время заслуживают теневые ИИ-инструменты. Появляются новые опасные сценарии. Например, сотрудник копирует фрагмент текста в чат-бот с рабочего компьютера, а затем, авторизовавшись дома, получает к нему доступ. Формально — работа с инструментом оптимизации, фактически — получение доступа к важным данным компании за ее пределами.
«Ловушки», в которые продолжают попадаться руководители
Постоянный круглосуточный контроль выгрузки данных о клиентах — это базовая мера защиты, а не проявление недоверия к сотрудникам. При этом на практике мы до сих пор регулярно сталкиваемся с ситуациями, когда работодатель выстраивает отношения исключительно на доверии: выгрузка, копирование и перемещение данных внутри корпоративной сети никак не контролируются.
Такая модель кажется удобной и «человечной», но ровно до того момента, пока данные не покидают корпоративный контур. После этого компания фактически теряет над ними контроль — невозможно повлиять на то, как информация будет использоваться, кому будет передана и какие будут последствия. Ниже — типовые сценарии-ловушки, с которыми сталкивались чаще всего в прошлом году и которые были использованы при попытках «увести» данные.
«Доверенный» сотрудник и работа из дома
Сотрудник берет базу клиентов домой, чтобы «доделать задачи» с личного устройства. Использовались правдоподобные поводы: простуда и забота о коллегах, необходимость поработать сверхурочно, переход на удаленку из-за летнего переезда на дачу. В условиях доверительных отношений такие просьбы редко вызывают вопросы, но на самом деле контроль в таких случаях должен усиливаться.
Маскировка данных в документах
Сотрудник копирует фрагменты базы и встраивает их в многостраничные текстовые файлы, отправляя их под видом легитимной переписки или документов на личную почту. После перехвата такого «раздутого» письма сложно оценить содержимое, а в масштабах крупной компании это становится невозможным без автоматизации.
Неконтролируемые копии на рабочих компьютерах
До внедрения специализированных средств контроля сотрудники нередко свободно передают важные документы или их части друг другу. В результате на рабочих станциях появляются неучтенные копии, о существовании которых служба ИБ может даже не подозревать.
Диверсии перед уходом
Отдельная категория рисков — злонамеренные действия сотрудников перед увольнением. Руководствуясь принципом «все, что я наработал — мое», но не имея возможности вынести данные, некоторые могут попытаться удалить документы или повредить их. Формально утечки нет, но при отсутствии защиты и контроля это может привести к остановке бизнес-процессов, срыву продаж и потере истории работы с клиентами.
Важно понимать: среди пользователей постепенно растет осведомленность о том, каким образом работодатели осуществляют наблюдение, поэтому и попытки «забрать данные с собой» или навредить становятся более продуманными и скрытными. Сотрудник может попытаться осуществить хищение данных мелкими частями в течение длительного времени.
Решение этой проблемы мы видим в реализации принципа «нулевого доверия»:

непрерывный круглосуточный мониторинг всех информационных потоков внутри контура;
контроль активности персонала в течение дня (совершаемые операции, используемое ПО, в том числе ИИ-инструменты);
инвентаризация важных информационных активов, поиск и выявление теневых копий конфиденциальных документов;
отслеживание нелояльного и токсичного поведения, нарушения трудового распорядка, контроль поиска работы;
повышение уровня контроля сотрудников, готовящихся покинуть компанию;
создание политик безопасности и уведомление персонала под подпись, контроль за соблюдением утвержденных политик;
блокировка нежелательных операций с важными для компании данными.

Кейс: как была остановлена утечка клиентской базы
Компания-клиент занимается оптовой продажей строительных материалов и владеет обширной клиентской базой. Для защиты данных была внедрена DLP-система.
Система круглосуточно анализировала почту, мессенджеры, облачные хранилища, USB-устройства, буфер обмена, а также пользовательскую активность. Также с клиентской базы были сняты цифровые отпечатки и заранее настроены правила блокировки нежелательных операций, связанных с передачей конфиденциальной информации за пределы корпоративного контура.
В ходе эксплуатации система зафиксировала инцидент по цифровому отпечатку данных. Один из сотрудников скопировал фрагмент клиентской базы и встроил его в середину многостраничного документа, после чего попытался отправить файл на личный почтовый адрес.
DLP-система проанализировала содержимое документа, выявила наличие конфиденциальной информации и автоматически поместила письмо в карантин. На этом этапе ИБ-специалист компании провел дополнительный анализ и подтвердил блокировку попытки несанкционированной передачи фрагмента базы.
Заключение: от реакции к профилактике
Увольнение сотрудников — один из самых потенциально опасных периодов при обеспечении информационной безопасности.
Самый надежный подход — превентивная защита: продуманные политики безопасности, непрерывный мониторинг группы риска и превентивная блокировка рискованных операций. Реагировать постфактум может быть слишком поздно.

Автор: технический директор компании Falcongaze, Владимир Кадыко.