В ПравоТех мы создаём решения для юристов, HR, управленцев и других специалистов, чья работа связана с конфиденциальными данными. Наши клиенты неизменно предъявляют высокие требования к информационной безопасности, и это закономерно отражается в договорах — целыми разделами об обработке данных, сроках обновления информации и многом другом.

Работая в такой среде, мы постоянно размышляем о культуре ИБ. Разработчики, тестировщики, DevOps и сисадмины, как правило, хорошо осведомлены об угрозах и осторожны. Но безопасность компании — это общее дело. Злоумышленники часто ищут лазейки там, где их меньше всего ждут, целенаправленно атакуя сотрудников, чья повседневная работа не связана напрямую с техническими деталями. Именно такие коллеги, в силу специфики своих задач и доверия к другим внутри компании, могут невольно стать мишенью для изощрённых атак.

Как же эффективно донести до всех сотрудников суть современных киберугроз? Как сформировать не просто список "что нельзя делать", а глубокое понимание тактик злоумышленников, их уловок и масок?

Вместе с нашей командой обучения (Tutors) мы нашли формат — короткие художественные истории. Они показывают, как обычные рабочие (и не только) ситуации могут обернуться серьёзными инцидентами безопасности. Сегодня публикуем первую историю из серии — «Антибонус». Это история о том, как мечта о заслуженной премии обернулась кошмаром из-за пары сообщений и одного неверного решения.

Знакомьтесь с героями:

Менеджер: Макс - типичный сотрудник, занятый своими задачами. Он не параноик, доверяет коллегам и системам, иногда может пойти навстречу или проявить неосторожность в спешке. Его цель — просто хорошо делать свою работу.

QA-инженер: Лена - коллега с техническим бэкграундом. Она знает "кухню" цифровых угроз и пытается предупредить ошибки, но не всегда её вовремя слышат.

Привет, Хабр! Меня зовут Александр, я лидер команды DevSup (это как DevOps, только с функцией поддержки больших клиентов которым Saas не подходит) в IT-компании ПравоТех.
 Мы создаем решения (например, case.one для ведения дел и doc.one для документооборота), чтобы юристы, менеджеры и все кто рядом с юриспруденцией могли работать быстрее, умнее и спокойнее. Наша миссия – «Помогаем людям получать удовольствие от работы».
Сейчас у нас активно внедряются ИИ-инструменты. Создаются боты для консультаций и опросов, часто обращаемся к большим моделям чтобы «обстучать» какую-то идею.
В этой статье поделюсь историей о том, как эффективно и безопасно использовать ИИ, превратив рутину в решенную задачу. 
 
Итак, представьте: вам в руки попадает договор поставки ПО. Не просто договор, а целая книжечка на 50-70 страниц А4. Нужно срочно – за 2-3 дня! – проанализировать его вдоль и поперек: проверить сроки, штрафы, бонусы, риски для вашей компании. Знакомая ситуация для менеджеров, юристов, закупщиков?

Дилемма: Выкроить время и вычитать всё дотошно, рискуя не успеть? Или пробежаться по диагонали, надеясь, что глаз «зацепит» опасную формулировку? Соблазн велик: закинуть текст в публичный ИИ-чат (типа ChatGPT или DeepSeek) и спросить: «Эй, ИИ, моя компания ООО «Рога и копыта» – найди всё, что нам невыгодно!»

Цена такого «упрощения» может быть огромной. Давайте разберемся, почему это крайне опасно:

1.  Конфиденциальность — прощай! Условия договора (а они почти всегда секретны!) отправляются владельцу ИИ-сервиса. Нарушение пункта о неразглашении – гарантировано.