Вы уволили сотрудника. Или он ушёл сам. Поменяли ли вы пароли от CRM, панели управления сайтом, облачной бухгалтерии? А от админки 1С? А от корпоративной почты? Если вы хотя бы на секунду задумались — вы уже в зоне риска.
«Свой» человек, который знает все пароли, — это самая большая уязвимость бизнеса. Не хакеры из далёкой страны, а вчерашний менеджер, который обиделся и решил «насолить». Или системный администратор, который оставил себе чёрный ход.
В этой инструкции — пошаговый план цифровой гигиены для владельца бизнеса. Как защитить доступы, ничего не пропустить и спать спокойно.
- ✅ Почему уволенный сотрудник — главная угроза номер один
- ✅ Как правильно настроить роли и права в 1С (и не дать бухгалтеру украсть базу)
- ✅ Чек-лист немедленных действий при увольнении ключевого сотрудника
- ✅ Как настроить двухфакторную аутентификацию для всех критических систем
- ✅ Что делать, если доступы уже скомпрометированы
Почему «цифровая гигиена» — это не про ИТ, а про деньги
Типичная история: уволился обиженный менеджер. Через неделю сайт лежит, CRM заблокирована, а с расчётного счёта ушли деньги. Или проще: бухгалтер скачала базу 1С на флешку перед уходом к конкуренту — со всеми клиентами, ценами и поставщиками.
Большинство владельцев бизнеса думают: «Со мной такого не случится». Но статистика неумолима:
- Более 60% утечек данных происходят по вине инсайдеров — сотрудников, у которых был легитимный доступ
- После увольнения экс-сотрудники сохраняют доступ к системам в 89% случаев — просто потому, что никто не отозвал права
- Средний ущерб от «мести уволенного» оценивается в 500 000–2 000 000 ₽ для малого бизнеса
Цифровая гигиена — это не про «паранойю». Это про системное управление рисками. Как мыть руки перед едой и чистить зубы. Только здесь цена ошибки — потеря клиентов, репутации и денег.
Правило №1: Никогда не используйте общие пароли и аккаунты
Самая частая и самая опасная ошибка: один логин и пароль на всех. «Зайди под админом, там всё есть». Это катастрофа.
Почему это плохо:
- Вы никогда не узнаете, кто конкретно совершил действие в системе. А если что-то пойдёт не так — искать будет некого.
- При увольнении сотрудника нужно менять пароль — а это значит, что новый пароль нужно сообщить всем остальным. Кто-то забудет, кто-то потеряет, кто-то обидится.
- Сотрудник, который знает «общий» пароль от админки, может зайти в систему после увольнения. Вы просто не сможете это предотвратить.
Как правильно: У каждого сотрудника — свой личный аккаунт. С уникальным логином и паролем. Даже если это временный стажёр.
Правило №2: 1С — настройка прав доступа как фундамент безопасности
1С хранит всё: клиентов, поставщиков, цены, остатки на складах, банковские счета. Если доступ к 1С попадёт в чужие руки — бизнес под угрозой.
В 1С есть встроенная система ролей, которая позволяет тонко настроить, кто что может видеть и делать .
Стандартные роли в 1С (обязательные для настройки)
По стандартам 1С, в каждой конфигурации должны быть три базовые роли :
- «ПолныеПрава» (FullAccess) — даёт неограниченный доступ ко всем данным, но не позволяет администрировать саму систему. Эту роль даём только проверенным сотрудникам (финансовому директору, главному бухгалтеру, вам самому).
- «АдминистраторСистемы» (SystemAdministrator) — даёт права на обновление конфигурации, работу в Конфигураторе. Эту роль нельзя давать обычным сотрудникам. Только разработчикам и внедренцам, и то только на время работ.
- «ИнтерактивноеОткрытиеВнешнихОтчетовИОбработок» — позволяет открывать внешние отчёты и обработки. Это потенциальный вектор атаки (через внешнюю обработку можно украсть данные). Давайте только тем, кому действительно нужно.
Роль «ПолныеПрава» должна назначаться только совместно с ролью «АдминистраторСистемы», если пользователь работает в локальном режиме. В облачной версии эти права обычно разделены .
Как настроить права для типовых ролей
Лучший подход — создавать роли под реальные должности :
| Должность | Что должно уметь | Что должно быть запрещено |
|---|---|---|
| Менеджер по продажам | Создавать заказы, смотреть остатки | Изменять цены, видеть себестоимость, удалять документы |
| Кладовщик | Оформлять отгрузки, приходы, перемещения | Видеть цены продажи, себестоимость, данные по клиентам |
| Бухгалтер | Видеть всё по финансам, формировать отчёты | Изменять документы задним числом (закрытые периоды) |
| Руководитель/Владелец | Всё видеть, всё утверждать | Ничего (но лучше использовать отдельную учётную запись для ежедневной работы, без роли «АдминистраторСистемы») |
Правило №3: Парольная политика — надёжность и менеджеры паролей
«Admin123», «qwerty», «1сбухгалтерия2025». Такие пароли подбираются за секунды. Даже не хакерами — перебором через бесплатные программы.
Требования к надёжному паролю:
- Длина не менее 12 символов (лучше 15–20)
- Содержит заглавные и строчные буквы, цифры, специальные символы (!@#$%^&*)
- Не повторяет другие пароли (особенно от личной почты и соцсетей)
- Не содержит логин, название компании, дату рождения
Используйте менеджеры паролей
Хранить все пароли в голове или в файле «пароли.txt» на рабочем столе — это катастрофа. Используйте менеджеры паролей:
- Bitwarden — бесплатный, с открытым исходным кодом, есть российская версия
- KeePass — бесплатный, база хранится локально (не в облаке)
- 1Password — платный, но очень удобный
- Встроенные менеджеры в браузерах — лучше, чем ничего, но менее безопасно
Один мастер-пароль вы запоминаете. Все остальные генерирует и хранит менеджер.
Правило №4: Двухфакторная аутентификация (2FA) — обязательный минимум
Даже если злоумышленник узнал ваш пароль (украл, подобрал, подсмотрел), без второго фактора он не войдёт. Второй фактор — это код из приложения на телефоне (Google Authenticator, Яндекс.Ключ, Authy).
Где обязательно включить 2FA:
- Почта — через доступ к почте можно восстановить пароль куда угодно
- Хостинг и панель управления сервером — доступ к серверу = доступ ко всему
- CRM и 1С (если поддерживается облачная версия)
- Банк-клиент — обязательно
- Рекламные кабинеты (Яндекс.Директ, VK Ads) — чтобы кто-то не слил бюджет
- Доменные регистраторы — украдут домен — украдут сайт
Правило №5: Мониторинг доступа — кто, когда и откуда заходил
Вы не сможете предотвратить то, о чём не знаете. Настройте логирование и регулярно проверяйте, кто заходил в системы.
Что проверять:
- Журнал регистрации в 1С — показывает, кто и когда заходил, какие документы менял
- Историю входов в CRM и банк-клиент — обратите внимание на подозрительные IP и необычное время (ночью, в выходные)
- Логи доступа к серверу и сайту — особенно на наличие подозрительных POST-запросов
- Активные сессии — в большинстве систем можно посмотреть список активных сессий и завершить их удалённо
Что должно насторожить:
- Входы с необычных IP (другой город, страна)
- Входы в нерабочее время (после 22:00, в выходные)
- Многократные неудачные попытки входа (возможно, подбор пароля)
- Одновременный вход одного пользователя из разных мест
В 1С есть роль «ПросмотрЖурналаРегистрации» — она позволяет видеть, кто и что делал в системе . Дайте эту роль себе и тем, кто отвечает за безопасность.
Чек-лист действий при увольнении сотрудника
Этот список должен быть вшит в процедуру увольнения любого сотрудника. Не пропускайте ни один пункт.
Немедленно (в день увольнения):
- [ ] Заблокировать доступ к корпоративной почте — сменить пароль, отозвать сессии
- [ ] Отозвать доступ к 1С — удалить учётную запись или сменить пароль
- [ ] Заблокировать доступ к CRM — деактивировать пользователя
- [ ] Отозвать доступ к облачным сервисам — Google Workspace, Яндекс.Диск, Miro, Canva и т.д.
- [ ] Сменить пароли от всех общих почтовых ящиков — например, info@, sales@
- [ ] Сменить пароли от социальных сетей компании
В течение дня:
- [ ] Проверить подключённые устройства в Telegram, WhatsApp — завершить сессии на чужих устройствах
- [ ] Отозвать доступ к рекламным кабинетам (Яндекс.Директ, VK Ads)
- [ ] Сменить пароли от домена и хостинга
- [ ] Проверить, не подключён ли сотрудник к системе через API-ключи (например, в сервисах отправки сообщений, коллтрекинге)
В течение недели:
- [ ] Провести аудит всех активных сессий в критических системах
- [ ] Проверить журналы регистрации на предмет подозрительных действий в последние дни работы сотрудника (мог скачать базу)
- [ ] Сменить пароли от всех систем, где использовался общий доступ (даже если сотрудник не имел к ним прямого доступа, он мог их узнать)
- [ ] Оповестить контрагентов, с которыми работал уволенный сотрудник, о смене контактного лица
Что делать, если доступы уже скомпрометированы
Вы заметили подозрительную активность: документы меняются «сами», входящий трафик резко упал, клиенты жалуются на странные письма «от вашего имени». Не паникуйте, действуйте по плану.
План экстренных действий:
- Заблокируйте всё. Смените пароли на всех критических системах: почта, 1С, CRM, банк-клиент, хостинг. Даже если кажется, что доступ не скомпрометирован — перестрахуйтесь.
- Завершите все активные сессии. В большинстве систем есть функция «завершить все сессии» — используйте её.
- Временно отключите подозрительных пользователей. Если видите, что с какой-то учётной записи идёт подозрительная активность — заблокируйте её до выяснения.
- Свяжитесь с банком. Если есть подозрение на компрометацию банк-клиента — заблокируйте счета и смените ключи подписи.
- Проведите аудит. Соберите логи, найдите источник проблемы. Кто, когда и откуда заходил.
- Пригласите специалиста по безопасности. Если не уверены, что нашли всё — не экономьте. Стоимость аудита (30–70 тыс. ₽) несоизмерима с потерями от серьёзного взлома.
Создайте политику безопасности в компании
Один владелец — хорошо. А когда политика записана, все сотрудники её знают и соблюдают — ещё лучше.
Что включить в политику безопасности:
- Ответственность за сохранность паролей. Не записывать на стикерах, не передавать третьим лицам.
- Правила использования личных устройств. Можно ли заходить в корпоративные системы с личного ноутбука или телефона.
- Процедуру увольнения. Кто и за что отвечает при уходе сотрудника.
- Правила доступа к информационным системам. Кто имеет право на какие роли и данные.
- Действия при подозрении на утечку. Кому сообщать в первую очередь.
Донесите политику до всех сотрудников. Проведите инструктаж при найме. И напоминайте раз в квартал.
Чек-лист безопасности для владельца бизнеса
Раз в месяц (или хотя бы раз в квартал) проверяйте себя по этому списку:
- [ ] У каждого сотрудника есть личный аккаунт в каждой системе
- [ ] Права доступа в 1С настроены по принципу минимальной необходимости
- [ ] Включена двухфакторная аутентификация на почте, в банк-клиенте, CRM и хостинге
- [ ] Все сотрудники используют менеджер паролей (хотя бы вы)
- [ ] При увольнении любого сотрудника вы отзываете доступы в день ухода
- [ ] Вы регулярно просматриваете журнал регистрации в 1С и историю входов в CRM
- [ ] У вас записана процедура действий при компрометации доступов
- [ ] Сотрудники под подпись ознакомлены с политикой безопасности
- [ ] Ваши резервные копии хранятся в защищённом месте, доступ к ним ограничен
- [ ] Вы хотя бы раз в полгода приглашаете специалиста для аудита безопасности
Заключение: цифровая гигиена — это привычка
Внедрить все эти правила с нуля сложно. Но можно начать с малого: на этой неделе включите двухфакторную аутентификацию на своей почте и в банк-клиенте. На следующей — настройте роли в 1С и уберите «админские» права у тех, кому они не нужны. Ещё через неделю — составьте процедуру увольнения и чётко пропишите, кто за что отвечает.
Безопасность — это не «настроил и забыл». Это процесс, который требует постоянного внимания. Но когда вы однажды столкнётесь с ситуацией, когда экс-сотрудник попытается навредить, а у него ничего не выйдет — вы поймёте, что все усилия были не зря.
Нужна помощь с аудитом безопасности и настройкой доступов в 1С, CRM и других системах? EDGESECTION проводит аудит цифровой гигиены бизнеса под ключ: проверяем все точки входа, настраиваем роли, права, 2FA и даём рекомендации.
