Утечка данных: как одна ошибка может стоить компании миллионы рублей
К персональным данным относятся практически любые сведения, которые бизнес собирает о своих постоянных и потенциальных покупателях. Эти данные – важный актив для бизнеса. Именно они позволяют безошибочно выявлять интересы и поведенческие паттерны клиентов – а значит дают возможность прицельно воздействовать на аудиторию. Грамотная работа такими данными помогает сформировать у клиентов лояльность, а от этого напрямую зависит устойчивость бизнеса.
При этом доверие, завоеванное годами, может разрушиться за один день. Письмо с конфиденциальными данными, ошибочно отправленное не на тот адрес, открытый доступ к таблице или случайный слив информации о заказах грозят компании громкими жалобами, многомиллионными штрафами, долгими судебными разбирательствами, резким падением продаж и даже уголовной ответственностью.
О том, чем может обернуться утечка ПДн для бизнеса, где компании чаще всего теряют контроль над персональными данными клиентов и как они могут защититься – в этой статье.
Какие риски несет утечка персональных данных
Закон о персональных данных ФЗ-152 существует с 2006 года. Но до недавнего времени штрафы по нему были незначительные. С 30 мая 2025 года вступили в силу новые правила: требования по защите ПДн ужесточились, а размеры штрафов увеличились в десятки раз.
Например, если не уведомить Роскомнадзор о факте утечки в течение 24 часов с момента ее обнаружения, организациям и ИП грозит штраф от 1 до 3 миллионов рублей. Это штраф за неуведомление об утечке. Отдельно придется заплатить и за саму утечку – здесь размер штрафа зависит от объема переданных данных. Он может достигать 15 миллионов рублей при первом нарушении и до 3% от годового оборота – при повторном. Наказывать будут без предупреждений.
Мы в Sendsay давно говорим, как важно заботиться о персональных данных: выбирать надежных поставщиков, проверять наличие сертификата соответствия ФЗ-152, использовать возможности шифрования трафика и разделения доступа по ролям. Безопасность клиентских данных должна быть в приоритете. Ведь чем больше у злоумышленников сведений о конкретных людях, тем успешнее их мошеннические схемы.
Законодательство становится все жестче по отношению к операторам ПДн, что неудивительно: масштабы утечек персональных данных в России только растут. По данным InfoWatch, общий объем утекших записей в 2024 году превысил 1,5 миллиарда – это на 30% больше, чем за год до этого.
Сводная статистика по утечкам из организаций в России и СНГ. Источник: Positive Technologies
Чем масштабнее утечка, тем больше проблем она за собой влечет. И все эти проблемы в конечном счете ударяют по финансовой стороне. С этой категории рисков и начнем.
Финансовые потери. При утечке данных компанию может оштрафовать государство. Сумма штрафа зависит от объема утекших данных, их категории и истории нарушений у компании. А еще дополнительные штрафы будут начислены, если компания не уведомит вовремя Роскомнадзор о проблеме и не предоставит результаты внутреннего расследования в течение следующих 72 часов.
Кроме того, бизнес несет ответственность перед теми, чьи данные попали в открытый доступ. Пострадавшие могут взыскать сумму морального и материального ущерба.
Еще в финансовые потери можно включить расходы на устранение последствий утечки. Бизнесу предстоит разобраться в причинах и не допустить повторения таких ситуаций. Для этого придется пересмотреть архитектуру защиты: провести аудит, заменить технические средства защиты, отказаться от привычных, но уязвимых решений. Это дорого и занимает месяцы.
Репутационные потери. Очевидный риск – потеря доверия партнеров и клиентов. Все больше людей начинает задумываться о том, как компании используют их данные, как долго их хранят и насколько надежно защищают. Недавнее исследование Twilio показало, что потребители называют качественную защиту своих данных самым надежным способом завоевать их доверие.
Источник: twilio
Правовые последствия. После утечки компанию почти гарантированно ждет проверка от Роскомнадзора. В ряде случаев также подключаются прокуратура, Следственный комитет и ФСБ – особенно если затронуты специальные категории данных (например, сведения о здоровье, биометрия, данные детей, военная служба и так далее, в случае таких нарушений предусмотрено до 6 лет лишения свободы). Если в ходе расследования установят, что утечка произошла по вине конкретного сотрудника, его могут привлечь к дисциплинарной, административной или даже уголовной ответственности.
Также к правовым последствиям можно отнести судебные иски от пострадавших. Клиенты и сотрудники могут требовать компенсации.
Операционные сбои. Утечки данных часто сопровождаются кибератаками. Получив доступ к важным данным, злоумышленники могут удалить их с серверов компании, и, тем самым, остановить бизнес-процессы. Например, в мае 2024 года во время хакерской атаки на сервисы компания СДЭК была вынуждена приостановить работу на три дня. Эксперты оценили убытки от простоя в 300–400 миллионов рублей – это без учета упущенной выгоды и пострадавшей репутации.
Угрозы безопасности. Оказавшиеся в открытом доступе персональные данные перехватываются хакерами для последующих атак. После первой, даже случайной, утечки вероятность второй резко возрастает, так как киберпреступники начинают проверять на прочность техническую защиту компании. А если утечка вызвана взломом, велика вероятность, что злоумышленники получили доступ не только к ПДн, но и к внутренним сервисам компании:
-
CRM/ERP-системам;
-
почте, мессенджерам, файловым хранилищам;
-
тестовым и рабочим базам данных.
Даже временный контроль над такими системами может привести к новым утечкам, удалению данных, закладке вредоносного ПО или подмене информации.
Почему происходят утечки: основные причины
Утечки персональных данных – это не всегда результат взлома или целенаправленной атаки. Чаще виноваты неосторожность, спешка, устаревшие системы или слабый контроль.
Согласно опросу в рамках исследования экспертно-аналитического центра InfoWatch в 2024 году
Вот основные зоны риска, где компании чаще всего теряют персональные данные.
Человеческий фактор. Менеджер случайно пересылает таблицу с клиентской базой не тому адресату, бухгалтер открывает фишинговое письмо, а стажер выгружает данные в облачный документ с публичной ссылкой.
Корень проблемы – не в злонамеренности, а в отсутствии четких правил, контроля доступа и цифровой гигиены. Без регулярного обучения и технических ограничений даже добросовестные сотрудники совершают критичные ошибки.
Устаревшие или незащищенные системы. Незашифрованные почтовые клиенты, CRM без двухфакторной аутентификации, устаревшие платформы открывают доступ к конфиденциальным данным. Особенно остро стоит вопрос безопасности там, где бизнес опирается на связку сервисов, например: CRM + мессенджеры + сервисы email-рассылок, но не обеспечивает единый контроль доступа и мониторинг активности.
Облачные хранилища и съемные носители. Они удобны для бизнеса, пока доступ под контролем. Но файлы могут стать общедоступными по ошибке, если открытая ссылка попадет в интернет. Флешки и внешние диски тоже надежны до тех пор, пока к ним ограничен доступ: потерянный носитель с незашифрованной клиентской базой – это прямая утечка.
Подрядчики и внешние специалисты. Фрилансеры, агентства, интеграторы могут получить доступ к внутренним системам: для настройки рассылки, обновления сайта, импорта клиентской базы. Если в договоре с подрядчиком не прописаны правила обращения с персональными данными, вся ответственность за утечку ляжет на плечи заказчика.
Как наказывают за утечки: реальные кейсы и штрафы
Утечка из-за технической уязвимости. В 2024 году интернет-магазин Kuchenland Home дважды нарушил закон о ПДн, допустив ошибку в настройке сайта. По некоторым сведениям, эта уязвимость привела к утечке более 400 тысяч записей.
Ответственность понесли и компания, и ее директор. На основании ч. 1.1 ст. 13.11 КоАП РФ, штраф за первое нарушение составил 60 000 рублей для компании и 10 000 рублей для генерального директора, а за повторное – 70 000 рублей и 15 000 рублей, соответственно.
С учетом масштаба утечки аналогичное нарушение, выявленное после 30 мая 2025 года, может стоить компании до 5–10 миллионов рублей за первое нарушение и до 3% от годового оборота – за повторное.
Утечка по вине подрядчика. В январе 2025 года «Ростелеком» сообщил об утечке данных из инфраструктуры одного из своих подрядчиков, который обслуживал интернет-ресурсы компании. В сеть попали 154 тысячи адресов электронной почты и 101 тысяча номеров телефонов. Тогда «Ростелеком» порекомендовал пользователям сбросить пароли и включить двухфакторную аутентификацию.
Случись это после 30 мая 2025 года, то для первого раза штраф за утечку мог составить до 15 миллионов рублей. Повторное нарушение стоило бы «Ростелекому» уже от 1 до 3% от годового оборота. И еще 3 миллиона рублей пришлось бы заплатить за то, что компания не сообщила в Роскомнадзор о факте утечки в течение 24 часов с момента ее обнаружения.
Утечка специальных данных из-за человеческого фактора. К данным этой категории относятся: расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и так далее. Для нарушения закона достаточно перепутать файлы с результатами анализов или случайно передать третьему лицу данные из этой категории.
Так, несколько лет назад житель Красноярска с удивлением обнаружил расширенную версию своей истории болезни на сайте медицинского вуза. Историю опубликовала студентка медуниверситета, которая проходила в больнице практику. Причем в открытом доступе оказалось больше подробностей, чем в выписке, которую отдали на руки пациенту. Суд взыскал с больницы 50 000 рублей в пользу пострадавшего.
Если бы этот инцидент произошел после 30 мая 2025 года, то мог бы повлечь за собой штраф в размере от 1 до 1,3 миллиона рублей. Для коммерческих учреждений штраф мог составить от 10 до 15 миллионов рублей.
Утечка из-за злонамеренных действий сотрудника. Один из сотрудников «ОЗОН Банка» с мая по август 2023 года передавал третьим лицам персональные данные клиентов. Оплату он получал в криптовалюте и затем конвертировал ее в российский рубль – так ему удавалось скрывать источники средств. Суд признал сотрудника банка виновным: выписал ему штраф 50 000 рублей и назначил условный срок – 1,5 года.
С 30 мая 2025 года наказание за аналогичное преступление станет гораздо строже: штраф – до 1 млн рублей или в размере иного дохода за период до 3 лет и лишение свободы – до 6 лет.
Как защититься от утечек: практические шаги для бизнеса
Чтобы снизить риск утечки персональных данных, важно сочетать технические, организационные и правовые меры. Вот базовый план действий:
Проведите аудит всех точек обработки данных. Уточните, какие данные вы собираете, где они хранятся, кто имеет к ним доступ. Проверьте формы на сайте, заявки, письма, сервисы, в том числе сторонние. Это поможет выявить слабые места – например, устаревшие CRM, открытые облачные папки или слабые пароли. Все точки должны быть задокументированы и защищены.
Назначьте ответственного за работу с ПДн. Это может быть специалист по информационной безопасности, юрист или специально обученный сотрудник. Его задача – следить за соблюдением требований закона, внутренними регламентами и реагировать на инциденты.
Внедрите правила информационной безопасности. Установите сложные пароли и регулярно их меняйте. Обеспечьте разграничение доступа по ролям, подключите двухфакторную авторизацию и безопасный удаленный доступ. Настройте журналы действий пользователей – чтобы было видно, кто и когда обращался к ПДн.
Обучите сотрудников основам цифровой безопасности. Проводите регулярные короткие тренинги: как отличить фишинг, что делать при подозрении на утечку, как пользоваться облачными сервисами и мессенджерами безопасно. Все это помогает снизить долю утечек, вызванных человеческим фактором.
Обновите регламенты и договоры. Проверьте, есть ли в ваших документах политика обработки ПДн, положение об информационной безопасности и соглашения с подрядчиками. Все договоры с внешними исполнителями должны содержать пункт о защите ПДн и ответственности за их утечку – это ваша юридическая страховка.
Подготовьте план реагирования на инциденты. Заранее опишите порядок действий на случай утечки. Распределите роли: кто будет составлять уведомление в Роскомнадзор, а кто сообщать пострадавшим об инциденте. Продумайте форматы оповещения своих клиентов: электронное письмо, сообщение в Telegram, контрастная плашка на сайте или в приложении. Ваши действия в первые 48 часов – критически важны.
Профилактика лучше, чем реакция
Проще и дешевле внедрить защиту заранее, чем устранять последствия. Утечка обойдется бизнесу намного дороже, чем простые меры безопасности.
Если в компании нет системы защиты, утечка персональных данных – вопрос времени. Пренебрегать правилами цифровой гигиены – значит сознательно рисковать доверием клиентов, деньгами и будущим бизнеса.
Безопасность ПДн требует внимания, ресурсов и дисциплины. Проводите регулярные проверки, введите понятные правила, контролируйте доступ и обучайте сотрудников – все это будет работать только в комплексе. Такая системная профилактика поможет обезопасить ваш бизнес.
Подписывайся!
ВКонтакте
Есть о чем рассказать? Тогда присылайте свои материалы Марине Ибушевой
