Защита данных
Данные сотрудников: 3 канала утечки через сервисы с вашим доступом
Сторонние сервисы с вашим доступом - CRM, HR-платформы, корпоративный SaaS - могут передавать персональные данные сотрудников системам сбора данных. Разбираем три конкретных канала утечки.

Вы подключили к CRM телефонию. Добавили сотрудников в HR-платформу. Создали команду в корпоративном мессенджере. В каждом из этих случаев вы сами дали сторонним сервисам доступ к данным своих сотрудников - потому что иначе эти инструменты просто не работают.
Злого умысла у этих сервисов нет. Риск - в настройках по умолчанию: часть данных открыта так, что системы сбора читают их без взлома. Конкуренты, которые пользуются такими системами, получают доступ к вашей оргструктуре, контактам менеджеров и иногда к схеме ваших коммерческих связей.
Разберём три конкретных канала, через которые персональные данные сотрудников уходят в базы систем сбора - и как их закрыть.
Если вы уже слышали про риски открытых контактов сотрудников, но не разобрались с механикой - прочитайте сначала материал «Персональные данные сотрудников в открытом доступе: 4 риска для бизнеса». Там описаны последствия; здесь - конкретные точки входа для систем сбора.
Если вас интересует вопрос защиты - начните с bесплатного аудита периметра на сайте StopParsing: stopparsing.ru. Он показывает, какие данные о вашей компании уже видны системам сбора.
Почему разрешённый доступ - это тоже уязвимость?
Когда говорят об утечке данных, обычно имеют в виду взлом: кто-то пробрался в систему и похитил информацию. Это случается, но не так часто, как думают.
Гораздо чаще персональные данные сотрудников уходят наружу через совсем другой механизм: сервисы, которым вы сами дали доступ, хранят эти данные способом, который делает их доступными для автоматизированных систем сбора.
Схема такая. Вы подключаете облачный сервис. Он требует авторизации и доступа к вашим данным - это нормально, так он работает. Но параллельно часть этих данных попадает в открытые профили, API без авторизации или индексируемое облачное хранилище. Системы сбора данных обходят эти источники автоматически.
При этом ни вы ничего не нарушали, ни сервис - формально. Но результат тот же: персональные данные ваших сотрудников оказались в чужих базах.
Как системы сбора данных читают то, что вы открыли?
Системы сбора работают просто: программа обходит список URL или API-эндпоинтов, извлекает структурированные данные и сохраняет в базу. Они не взламывают пароли и не проникают в закрытые системы - только читают то, что открыто.
Под «открытым» понимается:
- Страницы в интернете без авторизации
- API-ответы, которые не требуют токена
- Профили на платформах, настройки приватности которых стоят на «видно всем» по умолчанию
- Агрегаторы контактов, куда данные попадают из десятков источников автоматически
В России работа с персональными данными регулируется 152-ФЗ. Законный сбор - это данные, которые человек сам разместил в открытом доступе. Незаконный - сбор данных, которые должны быть закрыты. Граница часто размытая, и системы сбора действуют именно в этой серой зоне.
StopParsing работает строго в правовом поле 152-ФЗ - закрывает только ваши данные, не собирает чужих.
Первый канал: CRM и телефонные интеграции
CRM и облачная телефония - стандартный инструмент отдела продаж. Интеграция удобна: звонок попал в систему, создался контакт, история сохранилась. Но за этим удобством стоит цепочка синхронизаций, которую большинство руководителей не отслеживают.
Что происходит с данными:
Когда менеджер звонит с рабочего номера через облачную АТС, номер этого менеджера виден абоненту. Это нормально. Но этот же номер оседает в системе провайдера телефонии. Часть провайдеров передаёт агрегированные данные в аналитические платформы - это прописано в их пользовательских соглашениях мелким шрифтом.
Параллельно: в самой CRM хранится список всех сотрудников с их рабочими номерами. CRM - это тоже облачный сервис. Если у него есть публичный профиль компании или API для партнёрских интеграций, часть этих данных может быть доступна без авторизации.
Что конкретно утекает:
- Рабочие номера менеджеров, которые звонят клиентам
- Имена и должности сотрудников из профилей CRM
- Иногда - схема того, кто звонит и кому: сами разговоры системам недоступны, но факт соединения фиксируется
Телефоны менеджеров, попавшие в такие базы, используют для двух вещей: переманивания сотрудников и прямого спама по рабочим номерам. Ваш менеджер начинает получать звонки с предложениями работы от конкурентов - без всякого резюме с его стороны, просто потому что номер уже есть в базе.
Второй канал: HR-платформы и сервисы найма
Когда компания размещает вакансию на hh.ru или аналогичной платформе, в объявлении видно:
- Название отдела («руководитель отдела продаж» - значит, у вас есть отдел продаж и есть его руководитель)
- Иногда прямой контакт нанимающего менеджера или HR
- Требования, по которым можно восстановить структуру команды
Это не секрет и не нарушение - платформы для найма по определению открыты. Но для систем сбора данных это готовая карта вашей оргструктуры. Пройдясь по вакансиям одной компании за год, можно восстановить всю иерархию и понять, кто за что отвечает.
Отдельный риск - HR-SaaS:
Если вы используете облачные сервисы для управления командой (онбординг, постановка задач, оценка сотрудников), у каждого сотрудника там есть профиль. Часть таких платформ создаёт публичные страницы по умолчанию - чтобы внешние подрядчики или соискатели могли видеть открытые профили.
Проблема в том, что «публичный профиль по умолчанию» часто содержит email, иногда телефон и должность. Большинство компаний не проверяют настройки приватности каждого нового SaaS после подключения.
Подробнее о том, что именно видно системам сбора из открытых источников - в статье «Что о вашей компании видно системам сбора данных».
Третий канал: корпоративные SaaS с открытыми профилями
SaaS-инструменты для командной работы строятся по одному принципу: у каждого участника есть профиль, доступный коллегам. Большинство таких сервисов также создают публичные версии этих профилей - на случай, если кто-то захочет найти коллегу из другой компании или подтвердить принадлежность человека к организации.
Пока этим пользуются единицы, всё нормально. Но системы сбора данных обходят такие профили автоматически и собирают контакты всех, кто не закрыл приватность вручную.
Что туда попадает:
- Рабочий email (обычно в формате имя@компания.ru)
- Имя и должность
- Иногда телефон, если сотрудник сам добавил его в профиль при регистрации
- Ссылки на другие соцсети и профессиональные аккаунты
Особенность этого канала: данные туда попадают через действия самих сотрудников при регистрации. Многие заполняют профиль честно, не зная, что он будет виден снаружи. Это не их ошибка - это настройки по умолчанию сервиса.
Кстати, если хотите понять, насколько ваша компания открыта для систем сбора - запросите бесплатный аудит периметра. Он показывает, какие конкретно данные о ваших сотрудниках и сайтах доступны прямо сейчас. Запросить аудит на stopparsing.ru
Что делают конкуренты с данными ваших сотрудников?
Когда система сбора получает контакты ваших сотрудников, данные используются несколькими способами.
Переманивание команды. Рекрутеры конкурентов звонят вашим менеджерам прямо на рабочий телефон - минуя LinkedIn и HeadHunter. Для этого не нужно, чтобы сотрудник сам искал работу. Достаточно, что его номер есть в базе. Менеджер по продажам, который чувствует себя недооценённым, получает звонок в нужный момент. Это не случайность - это работа систем подбора.
Спам по рабочим каналам. Рабочий номер менеджера попадает в базы рекламных звонков. Не личные звонки с предложениями работы - именно рекламные. Поставщики, дистрибьюторы, финансовые компании. Менеджер тратит время на отсев вместо работы с реальными клиентами.
Восстановление коммерческих связей. Если конкурент знает, кто именно в вашей компании занимается закупками и в каких компаниях ваши менеджеры числятся контактами - он может реконструировать вашу базу поставщиков или клиентов. Не точно, но достаточно, чтобы понять, в каком сегменте вы работаете и к кому стоит зайти первым.
Через незащищённые каналы конкурент может узнать, кому вы звоните, и выйти к вашим клиентам раньше вас. Это не паранойя - это механика, которая уже работает.
Как проверить свой периметр прямо сейчас?
Самостоятельный первичный аудит - это три проверки.
Проверка 1: сайт. Зайдите на свой сайт и поищите раздел «Команда», «Контакты» или «О нас». Если там указаны имена конкретных сотрудников с рабочими телефонами и email - эти данные уже индексируются. Это не обязательно плохо, но это надо знать.
Проверка 2: телефоны. Возьмите несколько рабочих номеров менеджеров и введите их в поиск. Что находится? Если номер засветился на площадках объявлений или в агрегаторах контактов - он уже в базах систем сбора.
Проверка 3: профили в SaaS. Войдите в настройки профиля в нескольких корпоративных сервисах (таск-трекер, вики, HR-платформа). Проверьте, что стоит в разделе «видимость» или «приватность». Если там «доступно всем» по умолчанию - закройте.
Это даст первое понимание ситуации. Полный аудит - отдельная история: там проверяется несколько десятков источников, в которые попадают данные большинства компаний.
Подробнее о том, как устроен профессиональный аудит периметра - в статье «С чего начинается защита от парсинга: аудит периметра за 4 шага».
Как закрыть эти каналы
После аудита становится понятно, какие данные уже открыты и через какие каналы они продолжают утекать. Дальше - план защиты.
Что закрывает StopParsing:
- Сайты - от систем сбора данных: посетителей вашего сайта значительно труднее снять и передать в базы перехвата
- Номера сотрудников - от парсинга: собрать оргструктуру и выйти на конкретных людей становится намного сложнее
- Формы захвата - от перехвата заявок конкурентами
Схема работы такая: сначала аудит периметра (вы передаёте сайты и список телефонов - сервис показывает, что видно системам сбора). Следом - план с конкретными векторами. После - ваши домены и номера вносятся под защиту от парсинга. Дальше - мониторинг и поддержание периметра по мере роста компании.
Цена считается индивидуально по результатам аудита - зависит от числа сайтов, номеров и объёма данных под угрозой. Фиксированных пакетов нет.
Чего не стоит ожидать от защиты периметра?
Ни один сервис защиты данных не даёт гарантии «100% ваши данные не утекут никогда». Тот, кто обещает такое - вводит вас в заблуждение.
Реальный результат защиты периметра - другой: системы сбора переключаются на более доступные цели. Когда получить данные о вашей компании становится значительно сложнее, чем о соседнем конкуренте, автоматизированная система пойдёт туда, где легче.
Задача сервиса - сделать вашу компанию неудобной целью для автоматизированного сбора, а не стать щитом от всех угроз сразу.
Снижение риска - реальное, и оно работает. Абсолютного исключения - нет, и StopParsing об этом говорит прямо.
Источники
- Федеральный закон № 152-ФЗ «О персональных данных», Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации. mindigital.gov.ru
- Описание сервиса и механики защиты: stopparsing.ru
- Материал по теме: Персональные данные сотрудников в открытом доступе: 4 риска для бизнеса
- Материал по теме: Что о вашей компании видно системам сбора данных
- Материал по теме: С чего начинается защита от парсинга: аудит периметра за 4 шага
Если хотите понять, что конкретно открыто о вашей компании прямо сейчас - начните с бесплатного аудита периметра.
Запросить аудит на stopparsing.ru
Частые вопросы
Почему разрешённый доступ - это тоже уязвимость?+
Угроза приходит не от взломщиков, а от настроек по умолчанию в сервисах, которым вы сами дали доступ. Системы сбора данных читают то, что открыто легально.
Как системы сбора данных читают то, что вы открыли?+
Это автоматизированные программы, которые обходят открытые источники и собирают контакты, должности и структуру компаний. Законность зависит от того, что именно собирается.
Что делают конкуренты с данными ваших сотрудников?+
Собранные данные используют для переманивания команды, прямого спама менеджерам и восстановления схемы ваших коммерческих связей. Каждое из этих последствий стоит денег.
Как проверить свой периметр прямо сейчас?+
Аудит периметра занимает 30 минут и показывает, что конкретно видно системам сбора. Делается по трём направлениям: сайт, телефоны сотрудников, открытые профили в сервисах.
Чего не стоит ожидать от защиты периметра?+
Абсолютной защиты не существует. StopParsing существенно усложняет сбор данных о вашей компании - обнулить его до нуля нельзя. Это честная позиция сервиса.
Цифры и формулировки - из практики и базы знаний LEADLIFE. Кейсы отражают результаты конкретных клиентов и не являются гарантией аналогичного результата.
Посчитаем, сколько клиентов вы теряете
Разбор под вашу нишу: сегменты, цена контакта, что делает отдел продаж. Без обязательств.
Получить расчёт и подарокЧитать дальше
Как парсеры сканируют формы на сайте и что они ищут
Форма на вашем сайте для автоматического сборщика - это не закрытая зона. Разбираем, что именно читает парсер из структуры формы и какие риски это создаёт для B2B-компании.
ЧитатьCallLeadОбзвон базы: с какого объёма он начинает окупаться
Как понять, выгодно ли запускать обзвон клиентов с вашей базой - и как посчитать это до первой оплаты.
ЧитатьCallLead5 данных в карточке лида, которые говорят продавцу: брать сейчас или нет
Продавец открывает список лидов. Их двадцать. Кому звонить прямо сейчас, а кого поставить в очередь на следующую неделю? Разбираем 5 параметров карточки, по которым это решение принимается за 30 секунд.
Читать