Электронная почта — главный рабочий инструмент и одновременно один из основных каналов утечки данных. По некоторым исследованиям 60% инцидентов с утечками в компаниях связаны именно с использованием email. Сотрудники отправляют контрагентам коммерческие предложения, бухгалтерию, договоры. В этом потоке легко потерять конфиденциальный файл или письмо с персональными данными. Разберем, как настроить контроль так, чтобы не мешать работе, но при этом предотвратить утечки.
Зачем контролировать корпоративную почту
Корпоративная почта — основной канал деловой коммуникации. Через нее проходят договоры, финансовые документы, базы клиентов, персональные данные. Именно с корпоративных ящиков сотрудники общаются с контрагентами, партнерами и госорганами — это регламентированный канал, за который компания отвечает и который обязана защищать. Личную почту для рабочих задач тоже используют, но это уже зона ответственности самих сотрудников.
Утечка или компрометация информации из корпоративной почты несет прямые убытки: потерю клиентов, штрафы, репутационный ущерб. Поэтому важно знать, что именно покидает периметр сети, и контролировать, как сотрудники ведут служебную переписку. Дело не в экономии ресурсов компании, а в защите бизнеса.
Основные риски: что утекает через почту
С помощью корпоративной переписки по компании и за ее пределы могут передавать:
Коммерческую тайну. Базы клиентов, условия сделок, маркетинговые стратегии, цены для конкретных заказчиков. Часто такая информация уходит не злоумышленникам, а обычным партнерам — в составе коммерческого предложения или отчета. Когда она оказывается у конкурента, компания теряет выручку и проигрывает тендеры.
Персональные данные. Копии паспортов, СНИЛС, зарплатные ведомости, телефоны сотрудников и клиентов. Утечка персональных данных ведет к штрафам по ст. 13.11 КоАП РФ — до нескольких миллионов рублей. Роскомнадзор фиксирует такие инциденты и проводит проверки.
Интеллектуальную собственность. Исходный код программ, дизайн-макеты, техническая документация, ноу-хау. Если эта информация попадает к конкурентам, компания теряет свое рыночное преимущество, иногда навсегда.
Контроль почты со Staffcop
Узнайте, что реально уходит с вашей почты. Часто результаты удивляют и помогают быстро закрыть самые опасные дыры.
Юридические тонкости контроля
Можно ли просматривать переписку сотрудников? Да, если соблюсти требования закона. Постановление Конституционного суда № 25-П от 26.10.2017 подтверждает: информация в корпоративной почте принадлежит работодателю. Но чтобы не нарушить тайну переписки, нужно выполнить два условия:
- Во-первых, закрепить в локальном акте правило, что корпоративные средства связи используются только для работы, и ознакомить сотрудников с этим документом под подпись.
- Во-вторых, система контроля не должна вторгаться в личную переписку — но если работник использует рабочий ящик для личных целей, он нарушает внутренние правила, и это снимает претензии.
С бизнес-стороны контроль дает прозрачность. Руководитель видит, кто с кем договаривается, на каких условиях, не пытаются ли менеджеры увести клиентов к конкурентам. Это не слежка, а защита активов компании.
Основная часть утечек происходят по вине самих сотрудников, а не из-за действий хакеров. Самый частый сценарий выглядит буднично: менеджер отправляет договор с паспортом контрагента на личную почту, чтобы поработать вечером из дома. Или пересылает коллеге файл с зарплатами «просто глянуть».
Однако наличие факта утечки еще не гарантирует, что компания сможет наказать виновного. Судебная практика последних лет показывает: суды чаще встают на сторону работников, если работодатель нарушил процедуру привлечения к дисциплинарной ответственности (ст. 192–193 ТК РФ) или не смог доказать, что информация действительно была конфиденциальной.
Что такое коммерческая тайна и как ее защитить в компании
В одном деле сотрудница переслала информацию, которую в компании считали конфиденциальной, на личный ящик. Работодатель объявил выговор, но в приказе не указал, какие именно сведения разглашены и на каком основании они отнесены к секретным. Также сотрудник не был ознакомлен под подпись с политикой. Суд отменил взыскание (определение Шестого кассационного суда общей юрисдикции от 01.02.2024 № 88-2596/2024).
Но и это еще не всё. Даже с идеально оформленными документами компания не узнает об утечке, если не ведет мониторинг почты. Обнаружить, что конфиденциальное письмо ушло за периметр, без специальных инструментов почти невозможно — вручную трафик не пересмотришь. Здесь и нужны системы мониторинга.
DLP для почты: как система мониторинга предотвращает утечки данных
DLP (Data Loss Prevention) — класс решений, которые не дают конфиденциальным данным покинуть компанию. Они следят за всеми каналами передачи информации, и почта — один из главных. DLP не просто фиксирует отправку конфиденциальных данных, а может предотвратить их передачу по почте. Разберем, как это работает и как настроить защиту, чтобы она не мешала рабочим процессам.
Принцип работы: перехват, анализ, реакция
Классическая DLP для почты встраивается в поток SMTP-трафика — то есть в канал, через который почтовый сервер отправляет письма внешним адресатам. Когда сотрудник нажимает «Отправить», письмо не уходит сразу к получателю, а сначала попадает в систему защиты. Дальше происходит следующее:
- Прохождение через систему. Письмо не уходит напрямую получателю, а сначала поступает в DLP-шлюз. Система получает полный доступ к содержимому — тексту, заголовкам, вложениям — и только после проверки отправляет письмо адресату.
- Анализ. Проверяется содержимое — текст, заголовки, прикрепленные файлы, метаданные.
- Реакция. В зависимости от настроенных правил, письмо или пропускается, или задерживается, или блокируется, или отправляется на дополнительную проверку.
Важно, что DLP может работать в трех режимах: мониторинг, карантин и блокировка. В режиме мониторинга она только собирает статистику и показывает, какие письма потенциально опасны. В активном режиме — блокирует отправку. Начинать настройку всегда лучше с пассивного режима, чтобы понять реальную картину и не остановить важную переписку.
Технологии анализа: как DLP ищет утечки
Чтобы отличить опасное письмо от безопасного, система использует несколько методов. Чем их больше и чем они точнее, тем меньше ложных срабатываний.
Контентные фильтры. Система проверяет текст и вложения на признаки конфиденциальной информации, комбинируя несколько методов:
- Поиск ключевых слов («коммерческая тайна», «секретно») — простой, но ненадежный способ: сотрудники редко маркируют утечки такими словами.
- Морфологический анализ — находит разные формы слов, например, «увольнение», «уволен», что повышает точность.
- Регулярные выражения — ловят структурированные данные: номера телефонов, паспортов, ИНН, СНИЛС, банковских карт.
Атрибутный анализ. Здесь DLP оценивает не содержимое, а служебную информацию и характеристики передаваемых данных:
- Имя и расширение файла. Например, можно запретить пересылку файлов с названиями, содержащими «зарплата», «секретно», или файлов с расширениями.key,.dwg,.sql.
- Формат и размер. Политики могут ограничивать отправку архивов (zip, rar) на личные ящики или, наоборот, требовать, чтобы конфиденциальные данные пересылались только в зашифрованных архивах с паролем.
- Метаданные документа. Система извлекает информацию об авторе, дате создания, пути к исходному файлу на диске сотрудника. Если чертеж создан в отделе разработки, а отправляет его маркетолог — это повод для проверки.
Атрибутный анализ помогает выявлять аномалии еще до глубокой проверки содержимого.
Цифровая идентификация документов. Для защиты конкретных ценных файлов DLP использует два дополняющих друг друга метода:
- Цифровые отпечатки. Система вычисляет уникальную контрольную сумму каждого конфиденциального документа и сохраняет в базе эталонов. Отпечаток остается неизменным, даже если файл переименуют, отредактируют или упакуют в архив. Это позволяет находить утечки, которые не видны по ключевым словам.
- Цифровые метки. В документ (текст, метаданные, служебные поля) невидимо встраивается идентификатор: код сотрудника, дата, проект. Метка сохраняется при редактировании и смене формата. Если помеченный файл утекает, DLP точно определяет источник — кто, когда и откуда его отправил.
Современные DLP комбинируют все эти методы. Например, письмо может быть признано опасным, если в нем есть регулярное выражение для паспорта И вложение совпадает с цифровым отпечатком кадрового документа.
Возможности настроек зарубежных DLP часто не учитывают российскую специфику и требования регуляторов, а значит, не защитят компанию от штрафов. Отечественные системы созданы под наши реалии: находят персональные данные по российским шаблонам и хранят информацию по закону. Для компаний с госзаказом или чувствительными данными выбор в пользу российского ПО — вопрос соблюдения законодательства.
Как настроить систему мониторинга почты: пошаговый алгоритм
Чтобы контроль не мешал работе, но надежно закрывал утечки, внедрение DLP проводят поэтапно. Вот последовательность действий, которая позволяет избежать ошибок и ложных срабатываний.
Шаг 1. Анализ информационных потоков
Прежде чем настраивать DLP, нужно понять, что защищать и какие процессы уже сложились. Изучите, какая информация реально передается по почте: с кем общаются отделы, какие документы (коммерческие предложения, договоры, персданные, чертежи, код) уходят вовне.
Определите, что критично — коммерческая тайна, персональные данные, интеллектуальная собственность и т.д. Оцените риски: передача каких сведений принесет прямые убытки?
Составьте списки доверенных получателей (банки, партнеры, госорганы), чтобы потом не блокировать легитимные письма.
Шаг 2. Юридическая база и маркировка документов
До включения любой системы нужно оформить отношения с сотрудниками. Как уже говорили, без этого даже зафиксированная утечка не позволит привлечь виновного к ответственности:
- Примите локальный акт, что корпоративная почта используется только для работы, и ознакомьте с ним сотрудников под подпись.
- Определите, какие документы считаются коммерческой тайной, проставьте соответствующие грифы.
- Пропишите в положении, что компания вправе контролировать служебную переписку.
Шаг 3. Первичная настройка политик на основе анализа
Когда вы понимаете, какие данные защищаете и с кем обычно общается компания, можно настроить базовые правила в DLP. На этом этапе политики делают намеренно широкими, чтобы система обращала внимание на все потенциально опасные действия. Например:
- проверка всех писем на наличие персональных данных по регулярным выражениям;
- отслеживание отправок на личные почтовые домены;
- контроль вложений с расширениями, типичными для чертежей, баз данных или исходного кода.
Важно сразу добавить исключения для заведомо легитимных получателей — банков, госорганов, ключевых партнеров, — чтобы они не создавали шум с первого дня.
Шаг 4. Запуск в режиме обучения
Когда базовые правила заданы, систему переводят в пассивный режим. Блокировка еще не включена, но DLP уже анализирует трафик по настроенным политикам и показывает, какие письма попали бы под ограничения, будь активный режим.
Этот этап обычно занимает 2–4 недели. За это время:
- Система накапливает статистику срабатываний по каждому правилу.
- Становятся видны типичные ложные срабатывания: например, бухгалтерские письма в банк, которые система ошибочно приняла за утечку персданных.
- Формируется понимание, какие политики работают точно, а какие требуют донастройки или исключений.
Режим обучения позволяет увидеть реальную картину, не рискуя заблокировать важные письма.
Шаг 5. Анализ результатов обучения и корректировка политик
На основе собранных данных политики уточняют:
- добавляют исключения по адресатам, отделам, типам документов;
- калибруют чувствительность регулярных выражений, чтобы отсечь частые ложные срабатывания;
- настраивают уровни критичности для разных типов инцидентов.
Только после этой тонкой настройки систему можно переводить в активный режим с реальной блокировкой или карантином.
Шаг 6. Настройка процессов реагирования: карантин, уведомления, эскалация
Блокировка — крайняя мера. Для большинства ситуаций достаточно отправить письмо на согласование.
Как устроен карантин:
- Подозрительные письма попадают в изолированную зону, доступную только уполномоченным сотрудникам.
- В интерфейсе зачастую отображают полное содержание: текст, вложения, заголовки и причину задержки («обнаружены персональные данные», «получатель в черном списке»).
Уровни критичности и способ реагирования может отличаться от компании к компании. Например, цепочки уведомлений можно настроить так:
- письмо на личный ящик без критичных данных → уведомление только отправителю;
- письмо с персональными данными → запрос руководителю;
- цифровой отпечаток секретного документа → немедленное оповещение службы безопасности.
Важно разграничить оповещения об инцидентах и регулярную отчетность для анализа. Для событий с высоким уровнем риска — например, отправка документов с цифровыми отпечатками, массовая рассылка в нерабочее время, пересылка файлов с грифами секретности — настраивают мгновенные уведомления ответственному сотруднику.
Письма, которые просто содержат признаки потенциальных нарушений (например, единичные отправки на личные ящики), не требуют срочного вмешательства. Информация о них накапливается в системе и отражается в регулярных отчетах — ежедневных, еженедельных или ежемесячных. Рассылать такие уведомления в моменте бессмысленно: они создадут информационный шум и помешают отслеживать реальные угрозы.
Письма в карантине хранятся ограниченное время, например, 7 дней, затем автоматически удаляются или возвращаются отправителю — это защищает от поломки процесса коммуникаций и заставляет реагировать своевременно.
Шаг 7. Включение активной блокировки и переход к динамическим политикам
Когда правила откалиброваны и инциденты ранжированы, систему переводят в проактивный режим. Теперь она не только показывает, но и реально задерживает опасные письма, предотвращая утечки.
DLP с UEBA-функциями поддерживают динамические политики, которые учитывают не только содержание письма, но и контекст коммуникаций: историю переписки сотрудника, его должность, отдел, типовые объемы отправляемых данных. Например:
- Если документы, обычно циркулирующие внутри отдела разработки, отправляются сотруднику из другого подразделения или на внешний адрес, система повышает приоритет инцидента.
- Если сотрудник всегда отправлял письма без вложений, а сейчас пытается отправить архив с десятью файлами — даже если файлы не нарушают политик, такое отклонение от обычного поведения помечается для проверки.
- Если после 20:00 кто-то массово рассылает чертежи на внешние адреса, система автоматически повышает приоритет инцидента и дублирует уведомление руководителю.
Все действия логируются. Если возникает спор с регулятором или судебный иск, у компании есть доказательства: политика сработала, письмо не ушло бесконтрольно.
Шаг 8. Регулярная актуализация правил
Бизнес меняется: появляются новые партнеры, запускаются проекты, сотрудники переходят между отделами. Раз в квартал стоит анализировать статистику срабатываний, убирать устаревшие исключения и добавлять новые правила под актуальные процессы.
Отчеты о мониторинге почты
Система контроля почты собирает огромные массивы информации: кто, кому, когда, с какими вложениями. Сами по себе эти данные бесполезны, пока их не превратят в понятные отчеты, на основе которых можно принимать решения.
Какие отчеты нужны и кому
Руководитель службы безопасности видит дашборд с основными метриками: количество инцидентов за день/ неделю, динамика по отделам, топ сотрудников-нарушителей, эффективность политик, например сколько писем заблокировано, сколько пропущено после проверки.
IT-отдел получает технические отчеты: нагрузка на почтовые серверы, время задержки писем при проверке, ошибки доставки, сбои в работе DLP. Им важно, чтобы защита не создавала проблем для инфраструктуры.
HR и линейные руководители могут отслеживать нарушения трудовой дисциплины: массовые рассылки в личных целях, отправку резюме с корпоративного ящика, использование рабочей почты для регистрации в сомнительных сервисах. Это повод для профилактических бесед, а не для увольнения.
Бизнес-заказчику (коммерческому директору, владельцу продукта) полезно знать, какие документы чаще всего уходят партнерам, нет ли аномалий в активности отделов. Например, если отдел продаж обычно отправляет 50 писем в день, а сегодня 200 — возможно, кто-то готовит базу клиентов к выгрузке.
Настройка отчетов: периодичность и триггеры
Автоматические отчеты настраивают под конкретные задачи:
Регулярные дайджесты. Ежедневные, еженедельные или ежемесячные сводки для каждой роли. Руководитель ИБ получает статистику инцидентов за неделю, IT — отчет о производительности, HR — выборку по нарушениям.
Событийные уведомления. Мгновенные оповещения при наступлении определенных событий: попытка отправки документа с грифом «секретно», массовая рассылка в нерабочее время, отправка на домен конкурента.
Отчеты по требованию. Возможность за пару минут сформировать детальную выписку за любой период — например, при запросе от Роскомнадзора или в рамках внутреннего расследования. Какие персональные данные, кому и когда отправлялись — все это должно собираться в один файл без ручного копания в логах.
Коротко о самом важном о мониторинге почтового трафика
Контроль почты законен, но только при соблюдении процедур. Без локального акта, подписанного сотрудниками, и четкого определения, что считать коммерческой тайной, суд отменит любое взыскание. Документы должны быть маркированы, сотрудники — ознакомлены под подпись.
DLP — это не слежка, а фильтр, который не мешает работе. Системы предотвращения утечек анализируют коммуникации и реагируют на нарушения без вреда бизнесу.
Политики нужно настраивать с умом, начиная с режима обучения. Жесткие правила заблокируют половину коммерческих предложений. Исключения по адресатам, типам документов и отделам — обязательны.
Импортные DLP не заточены под российские требования. Они хуже распознают СНИЛС, паспорт РФ, ИНН и не учитывают 152-ФЗ. Отечественные системы созданы под наши реалии. Для государственных компаний это вопрос соблюдения закона.
Автоматизация отчетов и реагирования экономит дни работы. Готовые дашборды для ИБ, IT, HR и бизнес-заказчиков позволяют не копаться в логах. Карантин с настраиваемыми уведомлениями и интеграция с SIEM дают возможность не просто блокировать письма, а расследовать цепочки инцидентов.
Начните с аудита: посмотрите, что реально уходит с вашей почты. Часто результаты удивляют и помогают быстро закрыть самые опасные дыры.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.