All articles

Кібербезпека бізнесу: чому ваш адмін небезпечніший за рейдера, і як з цим жити

30
Денис Федоркін
3 followers
Кібербезпека бізнесу та захист інформації у 2026 році. Як попередити крадіжку домену та втрату доступу до CRM. Чому NDA не працює без режиму комерційної таємниці: гайд від LBA.

Уявіть ситуацію: п'ятниця, вечір. Ви відкриваєте CRM, щоб перевірити продажі за тиждень, а пароль не підходить. Сайт видає помилку 404. Телефони менеджерів мовчать, бо IP-телефонія "лягла". Ви дзвоните системному адміністратору, а його номер — "поза зоною".

Вітаю. Вас не зламали хакери з Північної Кореї. Вас "хакнула" ваша власна недбалість. Ваш колишній співробітник просто змінив права доступу і пішов до конкурентів, прихопивши клієнтську базу.

Я займаюся безпекою бізнесу уже 17 років. За цей час методи рейдерства еволюціонували. Якщо раніше захоплювали заводи з "тітушками", то у 2026 році достатньо вкрасти логін від Cloudflare або root-права до сервера.

У цій статті ми розберемо, що таке реальна кібербезпека бізнесу, як відбувається крадіжка домену зсередини, і чому підписаний NDA — це часто просто дорогий туалетний папір.

Синдром "Бога": чому айтішники тримають вас у заручниках

Власники бізнесу часто живуть в ілюзії контролю. Ви думаєте, що володієте компанією, бо ваше прізвище в реєстрі. Але в цифровому світі власник той, хто має паролі.

Найпоширеніша проблема, з якою до нас приходять клієнти в LBA — це втрата контролю над цифровими активами. І найчастіше винуватець — "своя людина". Системний адміністратор або DevOps, який налаштовував інфраструктуру, часто реєструє все на себе.

Як це виглядає на практиці:

  1. Домен: Зареєстрований на приватну пошту адміна (admin_vasya@gmail.com), а не на корпоративний акаунт. Юридично — крадіжка домену неможлива, бо він і не був вашим. Вася — законний власник.
  2. Хостинг та сервери: Оплачуються з корпоративної картки, але акаунт прив'язаний до особистого телефону розробника.
  3. Доступ до CRM: Ви маєте права "Адміністратора", але розробник має права "Власника" (Super Admin) або доступ до бази даних напряму. Він може вивантажити всю базу в один клік, і ви навіть не дізнаєтесь про це.

Це міна уповільненої дії. Коли ви захочете звільнити такого співробітника, він натисне "червону кнопку".

NDA, який не працює: головний міф IT-права

"Ми підписали з ними суворий NDA (Non-Disclosure Agreement) на 10 сторінок!" — каже мені клієнт, коли база клієнтів вже "гуляє" ринком.

Я вас розчарую. В Україні, навіть у 2026 році, сам по собі договір про нерозголошення працює вкрай рідко. Чому? Тому що суди вимагають доказів того, що інформація дійсно була таємною, і ви її охороняли.

Якщо у вас немає введеного режиму "Комерційної таємниці", будь-який NDA можна розбити в суді. Суддя спитає: "А як працівник мав зрозуміти, що цей файл — секретний? На ньому було маркування? Чи був обмежений доступ?".

Legal Hack від LBA: Як змусити NDA працювати

Щоб захист інформації був реальним, а не паперовим, потрібно виконати "святу трійцю" дій згідно з Цивільним кодексом та Законом «Про захист від недобросовісної конкуренції»:

  1. Наказ по підприємству. Ви маєте офіційно затвердити Перелік відомостей, що становлять комерційну таємницю. Не абстрактне "все, що на сервері", а конкретно: "База даних клієнтів в CRM", "Вихідний код продукту X", "Фінансова звітність".
  2. Положення про комерційну таємницю. Документ, який описує процедуру роботи з даними. Як передавати, де зберігати, кому можна, кому ні.
  3. Маркування та обмеження доступу. Це критично. Якщо пароль від сервера висить на стікері на моніторі — це не таємниця. У цифровій площині це означає логування доступів, двофакторну аутентифікацію і гриф "Конфіденційно" на документах.

Тільки коли ці три пункти виконані, порушення NDA тягне за собою реальну відповідальність, аж до кримінальної (ст. 231, 232 ККУ).

"Це мій код": суперечки про авторське право

Ще одна зона ризику — інтелектуальна власність. Розробник пише код, отримує зарплату, а потім заявляє: "Код належить мені, компанія платила тільки за процес написання". І з точки зору закону, без правильного договору, він може бути правий.

Поняття "службовий твір" в IT має свої нюанси. Якщо в трудовому договорі або гіг-контракті чітко не прописано, що майнові права переходять до замовника в момент створення об'єкта, ви ризикуєте отримати позов.

Ми в LBA інтегруємо в договори формулювання, які відсікають будь-які претензії на авторство з боку виконавців. Це стосується не тільки коду, а й дизайну, контенту та налаштувань рекламних кабінетів.

Аудит IT-інфраструктури: Due Diligence вашої безпеки

Не чекайте, поки грім вдарить. Кібербезпека бізнесу починається з аудиту. Це не про антивіруси, це про юридичну належність активів.

Що ми перевіряємо під час IT-аудиту в LBA:

  1. Whois доменів: На кого реально зареєстровані активи?
  2. Recovery Emails: Куди прийде лист для відновлення пароля від пошти директора чи адмінки сайту? Якщо на пошту дружини адміна — у вас проблеми.
  3. Ліцензії та софт: Використання піратського ПЗ — це подарунок для БЕБ або кіберполіції під час обшуку. Вони вилучать сервери "на експертизу", і бізнес зупиниться на місяці.
  4. Договори з підрядниками: Чи є там пункти про неконкуренцію (Non-compete) та штрафи за переманювання співробітників?

Пам'ятайте логіку рейдера (або недобросовісного конкурента): навіщо ламати двері офісу, якщо можна купити вашого адміна і отримати ключі від цифрового королівства? 

Висновки

У 2026 році інформація коштує дорожче за верстати та нерухомість. Захист інформації — це не параноя, це гігієна бізнесу.

Не покладайтеся на чесне слово "хлопців з техпідтримки". Будуйте юридичний каркас, який зробить крадіжку ваших активів невигідною або неможливою.

Перевірте, на кого оформлені домени та сервери.

Введіть режим комерційної таємниці (наказами, а не на словах).

Перепишіть договори з розробниками.

Якщо ви підозрюєте, що ваші дані вже "витекають", або адмін поводиться підозріло — дійте негайно. Звертайтеся до спеціалістів. Ми проведемо аудит, закриємо діри в безпеці та, за потреби, змусимо винних відповідати за законом.

FAQ: Питання, які нам ставлять найчастіше

Чи можна повернути домен, якщо адмін зареєстрував його на себе?

Це складно, але можливо. Потрібно доводити в суді (або через процедуру UDRP), що адмін діяв як агент компанії, використовував кошти компанії і бренд компанії. Шанси зростають, якщо у вас зареєстрована ТМ (Торговельна Марка), яка збігається з назвою домену. Перевірити наявність ТМ можна через відповідні реєстри або сервіси на кшталт YouControl.

Як контролювати фрілансерів, які мають доступ до CRM?

Тільки через обмеження прав доступу на технічному рівні та підписання жорсткого договору про надання послуг з пунктами про конфіденційність. Ніколи не давайте фрілансерам права адміністратора. Створюйте для них окремі облікові записи, які можна заблокувати в один клік.

Чи працює Non-compete (заборона працювати на конкурентів) в Україні у 2026?

Для резидентів Дія.Сіті — так, це офіційно дозволено. Для звичайних ТОВ — це "сіра зона". Суди часто визнають такі угоди такими, що порушують право на працю. Проте, ми прописуємо це як заборону на використання отриманих знань та контактів, що юридично є більш стійкою конструкцією (захист від недобросовісної конкуренції).

Підписуйтеся на мої соцмережі, щоб бути в курсі новин: YouTube Instagram Facebook 

Автор: Денис Федоркін, керуючий партнер Law Business Association