Вы подключили к CRM телефонию. Добавили сотрудников в HR-платформу. Создали команду в корпоративном мессенджере. В каждом из этих случаев вы сами дали сторонним сервисам доступ к данным своих сотрудников - потому что иначе эти инструменты просто не работают.
Злого умысла у этих сервисов нет. Риск - в настройках по умолчанию: часть данных открыта так, что системы сбора читают их без взлома. Конкуренты, которые пользуются такими системами, получают доступ к вашей оргструктуре, контактам менеджеров и иногда к схеме ваших коммерческих связей.
Разберём три конкретных канала, через которые персональные данные сотрудников уходят в базы систем сбора - и как их закрыть.
Если вы уже слышали про риски открытых контактов сотрудников, но не разобрались с механикой - прочитайте сначала материал «Персональные данные сотрудников в открытом доступе: 4 риска для бизнеса». Там описаны последствия; здесь - конкретные точки входа для систем сбора.
Если вас интересует вопрос защиты - начните с bесплатного аудита периметра на сайте StopParsing: stopparsing.ru. Он показывает, какие данные о вашей компании уже видны системам сбора.
Почему разрешённый доступ - это тоже уязвимость?
Коротко: Угроза приходит не от взломщиков, а от настроек по умолчанию в сервисах, которым вы сами дали доступ. Системы сбора данных читают то, что открыто легально.
Когда говорят об утечке данных, обычно имеют в виду взлом: кто-то пробрался в систему и похитил информацию. Это случается, но не так часто, как думают.
Гораздо чаще персональные данные сотрудников уходят наружу через совсем другой механизм: сервисы, которым вы сами дали доступ, хранят эти данные способом, который делает их доступными для автоматизированных систем сбора.
Схема такая. Вы подключаете облачный сервис. Он требует авторизации и доступа к вашим данным - это нормально, так он работает. Но параллельно часть этих данных попадает в открытые профили, API без авторизации или индексируемое облачное хранилище. Системы сбора данных обходят эти источники автоматически.
При этом ни вы ничего не нарушали, ни сервис - формально. Но результат тот же: персональные данные ваших сотрудников оказались в чужих базах.
Как системы сбора данных читают то, что вы открыли?
Коротко: Это автоматизированные программы, которые обходят открытые источники и собирают контакты, должности и структуру компаний. Законность зависит от того, что именно собирается.
Системы сбора работают просто: программа обходит список URL или API-эндпоинтов, извлекает структурированные данные и сохраняет в базу. Они не взламывают пароли и не проникают в закрытые системы - только читают то, что открыто.
Под «открытым» понимается:
- Страницы в интернете без авторизации
- API-ответы, которые не требуют токена
- Профили на платформах, настройки приватности которых стоят на «видно всем» по умолчанию
- Агрегаторы контактов, куда данные попадают из десятков источников автоматически
В России работа с персональными данными регулируется 152-ФЗ. Законный сбор - это данные, которые человек сам разместил в открытом доступе. Незаконный - сбор данных, которые должны быть закрыты. Граница часто размытая, и системы сбора действуют именно в этой серой зоне.
StopParsing работает строго в правовом поле 152-ФЗ - закрывает только ваши данные, не собирает чужих.
Первый канал: CRM и телефонные интеграции
Коротко: Когда облачная телефония подключена к CRM, контакты сотрудников синхронизируются в сторонние системы. Часть этих систем передаёт данные в аналитику, которую читают системы сбора.
CRM и облачная телефония - стандартный инструмент отдела продаж. Интеграция удобна: звонок попал в систему, создался контакт, история сохранилась. Но за этим удобством стоит цепочка синхронизаций, которую большинство руководителей не отслеживают.
Что происходит с данными:
Когда менеджер звонит с рабочего номера через облачную АТС, номер этого менеджера виден абоненту. Это нормально. Но этот же номер оседает в системе провайдера телефонии. Часть провайдеров передаёт агрегированные данные в аналитические платформы - это прописано в их пользовательских соглашениях мелким шрифтом.
Параллельно: в самой CRM хранится список всех сотрудников с их рабочими номерами. CRM - это тоже облачный сервис. Если у него есть публичный профиль компании или API для партнёрских интеграций, часть этих данных может быть доступна без авторизации.
Что конкретно утекает:
- Рабочие номера менеджеров, которые звонят клиентам
- Имена и должности сотрудников из профилей CRM
- Иногда - схема того, кто звонит и кому: сами разговоры системам недоступны, но факт соединения фиксируется
Телефоны менеджеров, попавшие в такие базы, используют для двух вещей: переманивания сотрудников и прямого спама по рабочим номерам. Ваш менеджер начинает получать звонки с предложениями работы от конкурентов - без всякого резюме с его стороны, просто потому что номер уже есть в базе.
Второй канал: HR-платформы и сервисы найма
Коротко: Вакансии на работных сайтах раскрывают структуру компании: отделы, уровни, часто имена руководителей. HR-SaaS для управления командой создаёт профили сотрудников, часть которых видна без авторизации.
Когда компания размещает вакансию на hh.ru или аналогичной платформе, в объявлении видно:
- Название отдела («руководитель отдела продаж» - значит, у вас есть отдел продаж и есть его руководитель)
- Иногда прямой контакт нанимающего менеджера или HR
- Требования, по которым можно восстановить структуру команды
Это не секрет и не нарушение - платформы для найма по определению открыты. Но для систем сбора данных это готовая карта вашей оргструктуры. Пройдясь по вакансиям одной компании за год, можно восстановить всю иерархию и понять, кто за что отвечает.
Отдельный риск - HR-SaaS:
Если вы используете облачные сервисы для управления командой (онбординг, постановка задач, оценка сотрудников), у каждого сотрудника там есть профиль. Часть таких платформ создаёт публичные страницы по умолчанию - чтобы внешние подрядчики или соискатели могли видеть открытые профили.
Проблема в том, что «публичный профиль по умолчанию» часто содержит email, иногда телефон и должность. Большинство компаний не проверяют настройки приватности каждого нового SaaS после подключения.
Подробнее о том, что именно видно системам сбора из открытых источников - в статье «Что о вашей компании видно системам сбора данных».
Третий канал: корпоративные SaaS с открытыми профилями
Коротко: Таск-трекеры, вики, корпоративные порталы и инструменты для совместной работы создают профили участников. Настройки видимости требуют ручного закрытия; по умолчанию данные часто открыты.
SaaS-инструменты для командной работы строятся по одному принципу: у каждого участника есть профиль, доступный коллегам. Большинство таких сервисов также создают публичные версии этих профилей - на случай, если кто-то захочет найти коллегу из другой компании или подтвердить принадлежность человека к организации.
Пока этим пользуются единицы, всё нормально. Но системы сбора данных обходят такие профили автоматически и собирают контакты всех, кто не закрыл приватность вручную.
Что туда попадает:
- Рабочий email (обычно в формате имя@компания.ru)
- Имя и должность
- Иногда телефон, если сотрудник сам добавил его в профиль при регистрации
- Ссылки на другие соцсети и профессиональные аккаунты
Особенность этого канала: данные туда попадают через действия самих сотрудников при регистрации. Многие заполняют профиль честно, не зная, что он будет виден снаружи. Это не их ошибка - это настройки по умолчанию сервиса.
Кстати, если хотите понять, насколько ваша компания открыта для систем сбора - запросите бесплатный аудит периметра. Он показывает, какие конкретно данные о ваших сотрудниках и сайтах доступны прямо сейчас.
Что делают конкуренты с данными ваших сотрудников?
Коротко: Собранные данные используют для переманивания команды, прямого спама менеджерам и восстановления схемы ваших коммерческих связей. Каждое из этих последствий стоит денег.
Когда система сбора получает контакты ваших сотрудников, данные используются несколькими способами.
Переманивание команды. Рекрутеры конкурентов звонят вашим менеджерам прямо на рабочий телефон - минуя LinkedIn и HeadHunter. Для этого не нужно, чтобы сотрудник сам искал работу. Достаточно, что его номер есть в базе. Менеджер по продажам, который чувствует себя недооценённым, получает звонок в нужный момент. Это не случайность - это работа систем подбора.
Спам по рабочим каналам. Рабочий номер менеджера попадает в базы рекламных звонков. Не личные звонки с предложениями работы - именно рекламные. Поставщики, дистрибьюторы, финансовые компании. Менеджер тратит время на отсев вместо работы с реальными клиентами.
Восстановление коммерческих связей. Если конкурент знает, кто именно в вашей компании занимается закупками и в каких компаниях ваши менеджеры числятся контактами - он может реконструировать вашу базу поставщиков или клиентов. Не точно, но достаточно, чтобы понять, в каком сегменте вы работаете и к кому стоит зайти первым.
Через незащищённые каналы конкурент может узнать, кому вы звоните, и выйти к вашим клиентам раньше вас. Это не паранойя - это механика, которая уже работает.
Как проверить свой периметр прямо сейчас?
Коротко: Аудит периметра занимает 30 минут и показывает, что конкретно видно системам сбора. Делается по трём направлениям: сайт, телефоны сотрудников, открытые профили в сервисах.
Самостоятельный первичный аудит - это три проверки.
Проверка 1: сайт. Зайдите на свой сайт и поищите раздел «Команда», «Контакты» или «О нас». Если там указаны имена конкретных сотрудников с рабочими телефонами и email - эти данные уже индексируются. Это не обязательно плохо, но это надо знать.
Проверка 2: телефоны. Возьмите несколько рабочих номеров менеджеров и введите их в поиск. Что находится? Если номер засветился на площадках объявлений или в агрегаторах контактов - он уже в базах систем сбора.
Проверка 3: профили в SaaS. Войдите в настройки профиля в нескольких корпоративных сервисах (таск-трекер, вики, HR-платформа). Проверьте, что стоит в разделе «видимость» или «приватность». Если там «доступно всем» по умолчанию - закройте.
Это даст первое понимание ситуации. Полный аудит - отдельная история: там проверяется несколько десятков источников, в которые попадают данные большинства компаний.
Подробнее о том, как устроен профессиональный аудит периметра - в статье «С чего начинается защита от парсинга: аудит периметра за 4 шага».
Как закрыть эти каналы
Коротко: StopParsing закрывает периметр по двум направлениям - сайты и номера сотрудников. Данные вносятся под защиту от парсинга, после чего собрать оргструктуру компании становится значительно труднее.
После аудита становится понятно, какие данные уже открыты и через какие каналы они продолжают утекать. Дальше - план защиты.
Что закрывает StopParsing:
- Сайты - от систем сбора данных: посетителей вашего сайта значительно труднее снять и передать в базы перехвата
- Номера сотрудников - от парсинга: собрать оргструктуру и выйти на конкретных людей становится намного сложнее
- Формы захвата - от перехвата заявок конкурентами
Схема работы такая: сначала аудит периметра (вы передаёте сайты и список телефонов - сервис показывает, что видно системам сбора). Следом - план с конкретными векторами. После - ваши домены и номера вносятся под защиту от парсинга. Дальше - мониторинг и поддержание периметра по мере роста компании.
Цена считается индивидуально по результатам аудита - зависит от числа сайтов, номеров и объёма данных под угрозой. Фиксированных пакетов нет.
Чего не стоит ожидать от защиты периметра?
Коротко: Абсолютной защиты не существует. StopParsing существенно усложняет сбор данных о вашей компании - обнулить его до нуля нельзя. Это честная позиция сервиса.
Ни один сервис защиты данных не даёт гарантии «100% ваши данные не утекут никогда». Тот, кто обещает такое - вводит вас в заблуждение.
Реальный результат защиты периметра - другой: системы сбора переключаются на более доступные цели. Когда получить данные о вашей компании становится значительно сложнее, чем о соседнем конкуренте, автоматизированная система пойдёт туда, где легче.
Задача сервиса - сделать вашу компанию неудобной целью для автоматизированного сбора, а не стать щитом от всех угроз сразу.
Снижение риска - реальное, и оно работает. Абсолютного исключения - нет, и StopParsing об этом говорит прямо.
Источники
- Федеральный закон № 152-ФЗ «О персональных данных», Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. mindigital.gov.ru
- Описание сервиса и механики защиты: stopparsing.ru
- Материал по теме: Персональные данные сотрудников в открытом доступе: 4 риска для бизнеса
- Материал по теме: Что о вашей компании видно системам сбора данных
- Материал по теме: С чего начинается защита от парсинга: аудит периметра за 4 шага
Если хотите понять, что конкретно открыто о вашей компании прямо сейчас - начните с бесплатного аудита периметра.
