Как всё обычно начинается

Бизнес уверенно строит воронки, считает ROI, автоматизирует воронки.В центре всей этой активности — CRM.Через неё проходят заявки, звонки, документы, чаты, рассылки. Всё, что приносит деньги.

Но есть одна проблема. Внутри этой системы работают люди. А значит — возможны ошибки, забытые настройки и неотключённые доступы. И вот что мы видим на реальных проектах:

1. висят старые токены и вебхуки, о которых уже никто не помнит;
2. сотрудники с правами администратора, хотя давно не работают с клиентами;
3. никто не логирует действия — кто выгрузил базу, кто удалил клиента, непонятно.

📍И всё вроде бы работает — до тех пор, пока не происходит утечка данных. А после неё — фишинг, падение доверия и проверка от Роскомнадзора.

Кто отвечает за утечку?

Многие удивляются, но по закону 152-ФЗ за утечку данных отвечает не подрядчик, не уволенный айтишник, не системный администратор. Ответственна компания.

С 2025 года штрафы выросли: от 300 000 до 15 млн рублей. И регуляторы теперь действительно приходят с проверками — особенно после жалоб клиентов или упоминаний в СМИ.

Один реальный кейс

Компания с филиальной сетью. Каждому офису настроен отдельный портал Битрикс24. Общий администратор — удалённый подрядчик. После его увольнения доступ не отключили.

Через две недели началась фишинговая рассылка от имени компании. Клиенты переходили по поддельной ссылке, попадали на фейковый «личный кабинет». Потом — жалобы, проверки, 350 000 ₽ штрафа.

А в CRM всё работало. Просто никто не проверил, что происходит в фоновом режиме.

5 причин, почему так происходит

1. Права доступа по аналогии: «Новенькому выдали такие же, как у Васи».
2. Старые токены и интеграции живут годами. Никто не ревизирует.
3. Внешние сервисы не ограничены: маркетинг, рассылки, бухгалтерия.
4. Нет логов: кто экспортировал базу — неизвестно.
5. Все админы: у продавца и у стажёра — одинаковый уровень доступа.

Почему даже ИТ-отдел не замечает

Это не про некомпетентность. Просто приоритеты часто в другом:

1. быстрее внедрить, чем проверить,
2. настроить, а потом когда-нибудь оптимизировать,
3. пока работает — лучше не трогать.

И вот так в CRM накапливаются «технические долги» по безопасности. До первой проверки или жалобы.

Как это исправить?

Самый логичный путь — провести аудит информационной безопасности. Без накрутки. Просто методично посмотреть:

1. кто имеет доступ и зачем,
2. какие внешние интеграции работают,
3. есть ли логирование,
4. как устроен процесс при увольнении,
5. у кого реально права администратора.

📌 В 90% случаев мы находим критические уязвимости, которые можно устранить за 2–3 дня. Иногда одна настройка — это разница между спокойной работой и штрафом на полмиллиона.

Когда точно стоит сделать аудит

1. Вы меняли подрядчика
2. Подключили внешние сервисы (коллтрекинг, рассылки, ERP)
3. Была волна найма или увольнения
4. CRM не проверялась более года
5. Появились требования партнёров по ИБ
6. Не можете быстро ответить: кто имеет доступ к паспортам клиентов?

Что дальше?

Если вы дочитали до этого момента — скорее всего, риски в вашей CRM уже есть. Их можно устранить.

Пройдитесь по чек листу: Когда пора проводить аудит информационной безопасности: 7 сигналов, которые нельзя игнорировать

👉 Читать: 7 тревожных сигналов, которые нельзя игнорировать