Ломают CRM. Прямо сейчас. Возможно и вашу тоже

• Зафиксирован инцидент
• Как реагировать?
• Какие меры предпринять на будущее?
В этой статье, помимо самого инцидента, я постарался интересно и вдумчиво разобраться как можно предотвратить утечку данных из CRM

Ломают CRM. Прямо сейчас. Возможно и вашу тоже

Меня зовут Костя Дубровин, я основатель компании TOPsharing.center (мы создали услугу аренды РОПа). В продажах давно — 29 лет. Возможно читателю будет интересна моя статья «Шеринг руководителей это...», в которой я описываю суть услуги аренды РОПа.

Поделитесь этой статьей с тем, кто развивает продажи. Он скажет спасибо)) И подпишитесь на ТГ-канал Вдумчиво о продажах, где я пишу интересно и вдумчиво о выстраивании B2B-продаж.

В этом материале — кратко о проблеме, скриншот и потом мои рассуждения о том, что с этим делать.

Мы мониторим Телеграм. Помогаем нашим клиентам находить ажиотажный спрос, о чем я писал в статье «Клиентский ажиотаж в B2B — где бывает и как не пропустить».

Благодаря мониторингу мы увидели, что сегодня в большом количестве групп появилось объявление о покупке несанкционированного доступа к CRM.

Ломают CRM. Прямо сейчас. Возможно и вашу тоже

IT-безопасность

Специалисты по IT-безопасности могут меня поправить, но на мой взгляд пользователь — это самое слабое звено.

Единственное, что можно сделать с серверами крупных сервисов, таких как amoCRM или Bitrix24, — это положить их с помощью DDOS-атаки. В этом случае пользователи не смогут зайти в свои аккаунты, но никто чужие данные не получит.

Вот, что написано на странице Битрикс24: «Сотрудники могут спокойно открывать «Битрикс24» в кафе, торговых центрах, аэропортах — в незащищенной среде, подключаясь через WiFi или мобильный телефон. Злоумышленники не перехватят их пароли, чтобы использовать в своих целях. Все соединения с «Битрикс24» производятся через шифрованный обмен данными 256bit (с использованием сертификата SSL), что обеспечивает безопасность вашей корпоративной информации и защиту паролей».

На странице amoCRM не так подробно, но тоже вполне убедительно: «Доступ к вашим данным имеете только Вы и никто более. Никто из наших сотрудников, за исключением 2-х человек нашей компании, не имеет доступа к административной панели и серверам проекта. Мы не используем ваши данные в личных целях и не раскрываем их третьим лицам. Наш бизнес связан с реализацией удобного сервиса и никак не пересекается с деятельностью вашей компании».

Грамотность большинства сотрудников в сфере IT-безопасности, как и раньше, остается низкой, поэтому разработчики берут эту проблему на себя. Например Битрикс пишет, что для защиты от шпионских программ, которые могут украсть логин или пароль сотрудников, используется двухэтапная авторизация (пароль и одноразовый код). Плюс проактивный фильтр (WAF — Web Application Firewal), который защищает от большинства известных атак на веб-приложения.

Если пользователь не имеет намерения слить данные, то для их сохранности есть все технические возможности. Остался пусть и один, но очень широкий канал получения данных — подкуп.

Настройки CRM

В небольших компаниях часто встречается ситуация, когда все сотрудники видят все данные, внесенные в CRM. Это удобно, когда коллега ушел на обед или уехал в отпуск, а ты принял входящий звонок от его клиента.

Бывает, что руководитель привязывает расширенные права доступа к конкретному сотруднику, а не к должности. Повышать старого сотрудника руководитель не хочет, а вот оставить на хозяйстве — можно.

Разделение прав доступа нужно настраивать с привязкой к должности: Менеджер по продажам видит только свое, РОП — сделки своего отдела, руководитель компании — всю информацию.

Порой предприниматели просто не придают этому значения. А когда начинают подозревать, то понимают, что годами кормили чужой бизнес. В одном из проектов я застал такой разговор между собственниками:
— Знаешь сколько за январь принес наш самый опытный продажник? Семьдесят тысяч! — выпалил Кирилл, не дожидаясь моей реакции на вопрос.
— Он ленится или ворует? — спросил я.
— Я не верю в то, что он ворует. Но и не могу сказать, что ленится. Видел новенький Мондео стоит перед входом. Евойный.
— Откуда деньги?
— Говорит, что жена в Газпроме зарабатывает.
— Я могу посмотреть его личную почту, — подключился Саша — маленький айтишник, старый друг Кирилла, отвечавший за все технические вопросы.
— Я не согласна. — сказала Жанна, третий учредитель, — Сначала почитай УК.
— Я почитал. Мне не понравилось. — ответил Саша. — Но что-то с этим паразитом надо делать.

Спустя месяц личную почту все-таки посмотрели. Нашли учредительные документы на новое юрлицо, договор с тем же вендором, договора с клиентами, которые пришли через компанию Кирилла, Саши и Жанны.

Коммерческая тайна

Режим коммерческой тайны — как дверной замок — только от честных людей. Однако грамотно составленные документ позволит отсеять всех относительно честных, но не очень умных сотрудников.

У себя на канале делюсь комплектом типовых документов по коммерческой тайне: положение, приказы, табель учета, инструкция и т.д.

Если полезно, вместо «спасибо», можете поставить лайк и комент к статье. Вам не сложно, а мне приятно!)

Злой умысел

Нет смысла описывать ситуации, когда менеджеру не заплатили и он слил базу. Что делать в этом случае каждому очевидно.

Однако, проработав в продажах почти 30 лет, я видел много нестыковок между логикой менеджера по продажам и работодателя. Что примечательно, — они оба правы. Один считает: «Я заработал», второй считает: «Он не заработал» или «Он не может получать больше меня». Однажды я слышал как рассуждает директор по производству: «Менеджеры только @@@@ят по телефону, а получают больше начальника цеха».

Ради «восстановления справедливости» сотрудник может пойти на риск. Хорошо бы увидеть такую ситуацию на ранних стадиях. Чтобы не повторяться, могу порекомендовать несколько более ранних материалов:

1. Культура, как известно, ест стратегию на завтрак. Этот вопрос невозможно игнорировать. Если вы еще не читали книгу «Лидер и племя», то посмотрите обзор и краткий пересказ.

2. Большая статья о выстраивании отношений с сотрудниками. Если у кого-то из руководителей в вашей компании есть иллюзия, что управлять отделом — это работать с цифрами и правилами, то обязательно ее прочитайте: «Лидерство руководителя: как привести коллектив к работе не за страх, а за совесть».

3. Еще раз посмотрите на принятую в вашей компании систему бонусирования. В этом поможет статья «Материальная мотивация менеджеров по продажам: что работает, а что нет»

И конечно статья «Шеринг руководителей это…». Работайте с опытными руководителями. Не экспериментируйте на собственном бизнесе.

Давайте общаться

  • Подпишитесь на тг-канал Вдумчиво о продажах, где я публикую анонсы всех своих материалов.
  • Пообщайтесь с нашим шеринговым руководителем, который может вести ваш отдел продаж или маркетинга. Это можно сделать в формате бесплатного экспресс-аудита.
  • И конечно познакомьтесь с моей книгой «8 граней личности», чтобы гениально продавать, гениально управлять и гениально подбирать сотрудников.
3131
38 комментариев

Все, что лежит в каком-то облаке, не может быть на 100% защищено от взлома, я так считаю. Иллюзия:)

3
Ответить

Это заблуждение. Вообще ничего защитить на 100% невозможно. Весь вопрос в стоимости взлома. Она может быть больше, чем стоимость информации. Либо потребовать столько времени, что информация потеряет актуальность.

3
Ответить

В общем, я в каком-то другом мире живу. Я крайне удивлена, что такие запросы, как в одном из чатов в тг, есть. Даже в голову не входит никак.😲 Жесть.

2
Ответить

К сожаления, в мире интернета нет такого понятия как безопасность, если работает грамотный IT-специалист, то хоть трехэтапный вход, получить данные не проблема.

2
Ответить

Разграничение прав, права по запросу, доступ через терминал, логгирование, различные зонды и многое-многое другое.

1
Ответить

Тогда зачем покупать их у сотрудников?

Ответить

может всё-таки грамотный социальный инженер?) а то что будет этот IT-специалист делать, если откровенной дыры в процессе авторизации не найдется?

Ответить