Когда мобильные телефоны были кнопочными, а адрес электронной почты публиковали направо и налево в самых темных закоулках интернета, в голову не могла прийти мысль: «Так нельзя». Теперь выудить чьи-то личные контакты стало заметно сложнее — и не просто так, а потому что работодатели настойчиво переводят все процессы на «корпоративные рельсы». Вместе с A1 разбираемся, чем опасно смешивать личные и рабочие дела и зачем нас заставляют пользоваться корпоративной почтой.
Читать на OnlínerСперва пару слов о том, откуда ноги растут. Более 15 лет назад стала популярна концепция BYOD (Bring your own device). Она предполагала, что сотрудники компаний могут использовать собственную технику в работе: смартфоны и компьютеры, например. Для бизнеса это означало экономию, для сотрудника — удобство. Но есть же еще информационная безопасность, так что бизнес стал внимательнее относиться к целостности своих процессов. Тем более концепция с тех пор стала затрагивать не только электронные устройства, но и, например, личные номера телефонов или электронную почту, а также различные интернет-сервисы.
Сейчас о BYOD почти не говорят, однако она никуда не делась, просто трансформировалась в гибридный подход.
Для рядового сотрудника требование установить антивирус, пользоваться «фирменной» почтой или работать исключительно на офисном ноутбуке действительно может выглядеть как формат контроля и проявление недоверия.
«Я привык к своему Gmail и к своему Telegram, у меня все рабочие контакты в личной почте, отстаньте со своей бюрократией и контролем».
Отчасти, это и есть контроль, но не персональный: так компании защищают и себя, и нередко самих сотрудников на уровне информационной безопасности (ИБ) и управления IT-рискaми, ведь под угрозой активы бизнеса.
Электронная почта — это часть IT-инфраструктуры компании, может содержать определенную информацию: например, о договоренностях, составляющих коммерческую тайну, персональные данные клиентов и так далее. Почта же может использоваться и как универсальный способ аутентификации пользователя в «фирменной» сети: для доступа к облакам, сервисам, внутренним ресурсам и так далее.
Адрес почты — это ключ ко всему.
Ваш личный почтовый ящик имеет базовую защиту общедоступных сервисов, никак не управляется ИБ-отделом компании, уровень доверия к нему минимальный, так как под удар могут попасть юридически значимые переписки — те самые коммерческая тайна и персональные данные. То есть применяться как ID такая почта не может, «безопасники» попросту не позволят (точнее, не должны) вам попасть во внутренний периметр с помощью сторонней почты.
К тому же сам факт использования корпоративной рабочей почты мотивирует сотрудников внимательнее относиться к содержанию переписки.
А есть еще и косвенная проблема: менеджер, например, вел значимого клиента через личный Gmail, а после увольнения вполне закономерно отказался передавать доступ. Для компании это чревато потерей контракта. А еще бывший сотрудник, возможно, сохранил уйму другой рабочей информации на сторонней площадке. Или зарегистрировал на свою личную почту сервисы, необходимые в работе, в том числе корпоративные социальные сети или подписки на услуги.
Ушел человек, «ушли» и рабочие инструменты.
А вот обратный пример: использование корпоративного ящика в личных целях. К нему, например, «привязывают» собственные учетные записи мессенджеров, социальных сетей, оформляют подписки, пересылают фото. Для пользователя возникает аналогичная проблема: возможность потери доступа к личным данным в случае увольнения.
К тому же отношение к рабочему ящику как к личному диктует и специфику обращения с ним: кто-то укажет его как контактный на «левом» форуме, а тот взломают и сольют все данные в даркнет, создав потенциальную брешь в системе безопасности компании-работодателя. Увеличивается и риск утечки, в том числе непреднамеренной (например, через синхронизацию с личным облаком или домашним, менее защищенным, компьютером, более подверженным взлому).
Что не так с использованием личной почты в рабочих целях:
Мы начали именно с электронной почты, так как она описывает некоторые потенциальные опасности применительно к конкретному сервису. Электронное же устройство — смартфон или ноутбук — дает куда более широкие возможности для потенциального вторжения извне.
Почему использование личных устройств несет риски?
Ноутбук или смартфон точно так же является частью IT-инфраструктуры компании. Если это личное устройство, его называют «неуправляемый endpoint», то есть обеспечить его безопасность нельзя. Ведь, когда речь о корпоративном устройстве, настроенном должным образом, оно гарантированно будет получать все необходимые обновления, в том числе патчи безопасности и централизованные обновления антивирусного ПО. Это особенно важно, когда на условном ноутбуке «крутится» какое-то учетное ПО — банковское, например, или клиентов. Кроме того, наверняка на таких устройствах настроен бесшовный вход в корпоративные облака или в иные внутренние информационные системы и базы данных.
Если ноутбук личный, контролировать его безопасность сложнее.
Пример: на личном «рабочем» ноутбуке установлена CRM для работы с клиентской базой. Пользователь на этом же компьютере серфил по интернету, скачивая всякие нужные программы, среди которых затесался инфостилер — вредоносное приложение для сбора и кражи любой доступной ему информации. И успешно забрал с незащищенного ПК данные клиентов, скомпрометировав их. Так как компьютер домашний, никаких логов активности не ведется, инцидент если и выявляют, то лишь тогда, когда база уже появилась в даркнете. При этом неизвестно, как глубоко пробрались за прошедшее время злоумышленники: «безопасникам» придется проверять все.
Еще вариант развития событий: база CRM на личном ноутбуке была единственной и без бэкапов, а пользовательский компьютер атакован шифровальщиком. Виноваты все: от пользователя до ИБ-отдела, который разрешил подобное.
Эксперты также считают, что неконтролируемое пользование личной техникой и аккаунтами для работы несет и иные риски, к которым относят возникновение так называемого Shadow IT, «теневого IT». Получается, что сотрудники выстраивают вокруг своей работы собственную IT-инфраструктуру, используя сторонние сервисы и ПО, потому и обеспечить должный уровень кибербезопасности и контроля нельзя.
Пример: использование самописных или незащищенных программ для хранения данных клиентов (да хоть табличка в Excel, которая хранится в незашифрованном виде на домашнем компьютере) либо регистрация рекламной кампании на личный адрес электронной почты.
Что плохого в личной технике:
А как быть, когда компания и ее сотрудник решили разойтись? Давайте посмотрим на это с точки зрения инфобеза, а не финансовых и других обязательств сторон.
Правильный подход на этапе приема на работу: выдается корпоративная рабочая техника и/или универсальный корпоративный же идентификатор — электронная почта, например. В этом случае все доступы для бывшего сотрудника могут быть закрыты в момент, когда права учетной записи аннулируются, а техника — сдана. Также отделу ИБ необходимо учесть аспект существования «теневого IT», чтобы не возникла иллюзия безопасности и скрытые утечки данных через «мертвые» аккаунты.
Смысл фразы традиционно будет зависеть от того, где вы поставите запятую, однако в реальности бизнесу всегда нужна гибкость: запреты, как известно, не работают, а вот системный подход — да.
Можно следовать простым правилам:
Безопасный интернет от А1: защитите свою компанию и сотрудников от онлайн-угроз
Кража конфиденциальной информации для компании — это удар по репутации, потеря доверия и финансовый ущерб. Только за декабрь 2025 года услуга «Безопасный интернет» от A1 заблокировала 2,5 млн угроз. Уберегите свою компанию от онлайн-угроз! Главный плюс сервиса — он работает автоматически на уровне сети. Cистема сама распознает опасность и блокирует переход по вредоносной ссылке. Цена цифровой безопасности — 2,9 рубля в месяц.
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро
Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by