Утечка персональных данных: что делать и как предотвратить

Утечка персональных данных -- это несанкционированная передача, предоставление, распространение или получение доступа к персональным данным, в результате которого информация становится доступной лицам, не имеющим на это законного основания. Федеральный закон N 152-ФЗ определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу.

Утечка может произойти в любой форме:

• Электронная утечка -- несанкционированный доступ к базам данных, взлом информационных систем, компрометация учётных записей, перехват трафика, утечка через облачные хранилища
• Утечка на бумажных носителях -- утрата документов, содержащих ПДн, несанкционированное копирование бумажных документов, ненадлежащее уничтожение бумажных носителей
• Устная утечка -- разглашение персональных данных в разговоре, при телефонных переговорах или в публичных местах

С точки зрения закона не имеет значения, произошла утечка умышленно или по неосторожности -- оператор несёт ответственность в обоих случаях. С 30 мая 2025 года, после вступления в силу Федерального закона N 420-ФЗ от 30.11.2024, ответственность за утечку персональных данных кратно возросла.

Примеры утечек из практики:

• Публикация базы данных клиентов в открытом доступе в результате неправильной настройки сервера
• Отправка email-рассылки со списком получателей в открытом поле (CC вместо BCC)
• Потеря ноутбука сотрудника с базой данных пациентов
• Фишинговая атака с компрометацией CRM-системы и выгрузкой клиентской базы
• Продажа базы данных недобросовестным сотрудником

По данным Роскомнадзора, в 2024 году было зафиксировано более 135 утечек персональных данных граждан РФ, затронувших свыше 710 млн записей. Масштаб проблемы нарастает, что и обусловило ужесточение законодательства.

Понимание причин утечек -- первый шаг к их предотвращению. Статистика инцидентов показывает, что утечки персональных данных происходят по трём основным группам причин.

1. Человеческий фактор

По различным оценкам, от 50% до 70% утечек связаны с действиями сотрудников -- как умышленными, так и случайными:

• Случайные ошибки -- отправка данных не тому адресату, публикация конфиденциальной информации в открытых каналах, неправильная настройка прав доступа
• Умышленные действия -- продажа баз данных, копирование информации перед увольнением, шантаж
• Социальная инженерия -- фишинговые письма, телефонное мошенничество, манипуляции с целью получения доступа к системам
• Использование слабых паролей -- простые, повторно используемые или скомпрометированные пароли

2. Кибератаки

Внешние злоумышленники -- вторая по частоте причина утечек:

• Взлом информационных систем -- эксплуатация уязвимостей веб-приложений, SQL-инъекции, атаки на API
• Вредоносное ПО -- программы-шифровальщики (ransomware), трояны, шпионское ПО
• DDoS с последующим проникновением -- отвлекающая атака для маскировки основного вектора
• Атаки на цепочку поставок -- компрометация через подрядчиков и поставщиков сервисов

3. Технические и организационные сбои

• Неправильная конфигурация -- открытые порты, базы данных без аутентификации, публичные S3-хранилища
• Устаревшее ПО -- неустановленные обновления безопасности, использование ПО с известными уязвимостями
• Отсутствие шифрования -- хранение и передача данных в открытом виде
• Отсутствие мониторинга -- утечка происходит, но обнаруживается спустя недели или месяцы
• Недостаточное разграничение доступа -- избыточные привилегии пользователей, отсутствие принципа минимальных привилегий

По данным отраслевых исследований за 2024-2025 годы, среднее время обнаружения утечки в российских компаниях составляет 45-60 дней. За это время ущерб может многократно возрасти. Именно поэтому мониторинг утечек и оперативное реагирование имеют критическое значение.

При обнаружении утечки персональных данных оператор обязан действовать оперативно и по чёткому алгоритму. С 2025 года порядок действий регламентирован статьёй 21.1 Федерального закона N 152-ФЗ (в редакции 420-ФЗ). Ниже -- пошаговый алгоритм действий.

Шаг 1. Обнаружение и фиксация инцидента

Зафиксируйте факт утечки: дата и время обнаружения, источник информации об инциденте, предварительная оценка масштаба. Сохраните все доказательства -- логи, скриншоты, копии уведомлений. Назначьте ответственного за координацию реагирования.

Шаг 2. Оценка масштаба и последствий

Определите:

• Какие категории ПДн затронуты (ФИО, паспортные данные, финансовая информация, данные о здоровье)
• Количество субъектов, чьи данные скомпрометированы
• Причину утечки (внешняя атака, действия сотрудника, техническая ошибка)
• Продолжается ли утечка в текущий момент

Шаг 3. Локализация и устранение

Немедленно примите меры по прекращению утечки: заблокируйте скомпрометированные учётные записи, закройте уязвимости, отключите скомпрометированные системы от сети (при необходимости), смените пароли и ключи доступа.

Шаг 4. Уведомление Роскомнадзора (в течение 24 часов)

Оператор обязан направить в Роскомнадзор первичное уведомление об инциденте в течение 24 часов с момента обнаружения утечки. В уведомлении указывается:

• Предполагаемая причина инцидента
• Предполагаемый вред субъектам ПДн
• Принятые меры по устранению последствий
• Контактное лицо для взаимодействия

Шаг 5. Дополнительное уведомление (в течение 72 часов)

В течение 72 часов с момента обнаружения инцидента оператор направляет дополнительное уведомление с результатами внутреннего расследования:

• Установленная причина утечки
• Точный объём скомпрометированных данных
• Перечень мер, принятых для минимизации ущерба
• Информация о привлечении виновных лиц к ответственности

Шаг 6. Уведомление субъектов ПДн

Если утечка может причинить вред правам и законным интересам субъектов персональных данных, оператор обязан уведомить их о произошедшем инциденте. Уведомление должно содержать информацию о том, какие данные скомпрометированы и какие меры предпринимает оператор.

Шаг 7. Документирование и выводы

По итогам расследования составьте акт об инциденте, включающий: хронологию событий, установленную причину, перечень скомпрометированных данных, принятые меры, рекомендации по предотвращению повторных инцидентов. Этот документ потребуется при взаимодействии с Роскомнадзором и при судебном разбирательстве.

С 30 мая 2025 года вступили в силу нормы Федерального закона N 420-ФЗ от 30.11.2024, которые радикально ужесточили ответственность за утечку персональных данных. Закон ввёл дифференцированные штрафы в зависимости от объёма скомпрометированных данных и оборотные штрафы за повторные утечки.

Административная ответственность (ст. 13.11 КоАП РФ):

Оборотные штрафы за повторную утечку:

При повторной утечке (если компания уже была привлечена к ответственности за аналогичное нарушение) применяются оборотные штрафы:

• От 1% до 3% совокупной выручки за предшествующий календарный год
• Не менее 15 000 000 рублей
• Не более 500 000 000 рублей

Подробный разбор механизма оборотных штрафов -- в статье Оборотные штрафы за утечку ПДн.

Смягчающие обстоятельства:

Закон предусматривает снижение штрафа при наличии следующих условий:

• Оператор ежегодно тратит на информационную безопасность не менее 0,1% от выручки
• Используются сертифицированные средства защиты информации
• Оператор добровольно уведомил Роскомнадзор и ГосСОПКА об инциденте в установленные сроки
• Оператор оказал полное содействие расследованию

Уголовная ответственность:

420-ФЗ также ввёл уголовную ответственность за незаконное использование персональных данных (новая статья 272.1 УК РФ):

• Незаконное использование ПДн, полученных неправомерным путём, -- штраф до 300 000 руб. или лишение свободы до 4 лет
• Трансграничная передача незаконно полученных ПДн -- лишение свободы до 6 лет
• Если деяние совершено группой лиц или с использованием служебного положения -- лишение свободы до 8 лет
• Если действия повлекли тяжкие последствия -- лишение свободы до 10 лет

Таким образом, с 2025 года утечка персональных данных -- это не только административный штраф, но и реальный риск уголовного преследования для виновных лиц. Подробнее о 420-ФЗ -- в статье 420-ФЗ: новые штрафы за персональные данные.

С вступлением в силу изменений, внесённых 420-ФЗ, порядок уведомления Роскомнадзора об утечке персональных данных стал обязательной процедурой с жёсткими сроками. Нарушение сроков уведомления является самостоятельным основанием для привлечения к административной ответственности.

Двухэтапная процедура уведомления:

Первый этап -- в течение 24 часов с момента обнаружения инцидента оператор направляет первичное уведомление, содержащее:

• Сведения об операторе (наименование, ИНН, регистрационный номер в реестре операторов)
• Дату и время обнаружения инцидента
• Предположительную причину утечки
• Предположительный перечень скомпрометированных данных
• Предполагаемое число затронутых субъектов
• Контактные данные ответственного лица
• Предварительную оценку возможного вреда субъектам ПДн

Второй этап -- в течение 72 часов с момента обнаружения инцидента оператор направляет дополнительное уведомление с результатами внутреннего расследования:

• Установленную причину инцидента
• Точное количество затронутых субъектов и категории скомпрометированных данных
• Принятые меры по локализации и устранению последствий
• Информацию о привлечении виновных к ответственности

Как подать уведомление:

• Через портал Роскомнадзора -- pd.rkn.gov.ru, раздел уведомлений об инцидентах. Требуется авторизация через УКЭП или Госуслуги
• Через систему ГосСОПКА -- государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (для организаций, подключённых к системе)
• По почте -- в территориальное управление Роскомнадзора (только при невозможности электронной подачи)

Через Госуслуги: Для юридических лиц доступна подача уведомления через портал Госуслуг с использованием учётной записи организации. После авторизации необходимо выбрать соответствующую услугу в разделе Роскомнадзора и заполнить форму.

Что будет, если не уведомить:

Неуведомление или несвоевременное уведомление Роскомнадзора об инциденте является отягчающим обстоятельством при назначении штрафа за саму утечку. Кроме того, своевременное добровольное уведомление -- одно из условий для применения смягчающих обстоятельств, которые могут существенно снизить размер штрафа.

Предотвращение утечек персональных данных требует комплексного подхода, включающего организационные и технические меры. Ниже приведён чек-лист мер, которые оператор должен реализовать для минимизации рисков.

Организационные меры:

• Разработайте и утвердите внутренние документы -- политику обработки ПДн, положение об обработке, регламент реагирования на инциденты. Полный перечень необходимых документов -- в статье Какие документы нужны по 152-ФЗ
• Назначьте ответственного за обработку ПДн (ст. 22.1 152-ФЗ) и ответственного за безопасность ПДн
• Проведите обучение сотрудников -- регулярные тренинги по информационной безопасности, распознаванию фишинга, правилам обращения с ПДн
• Ограничьте доступ по принципу минимальных привилегий -- каждый сотрудник должен иметь доступ только к тем данным, которые необходимы для выполнения его обязанностей
• Проводите аудит обработки ПДн -- не реже одного раза в год проверяйте соответствие процессов установленным правилам
• Контролируйте подрядчиков -- заключайте договоры поручения обработки (ст. 6 ч. 3 152-ФЗ), проверяйте выполнение ими требований по защите ПДн

Технические меры:

• Шифрование данных -- при хранении (encryption at rest) и при передаче (encryption in transit, TLS/SSL)
• Многофакторная аутентификация -- для доступа к системам, содержащим ПДн
• Системы обнаружения вторжений (IDS/IPS) -- мониторинг сетевого трафика на предмет аномалий
• DLP-системы (Data Loss Prevention) -- предотвращение утечки данных через электронную почту, мессенджеры, съёмные носители
• Регулярное обновление ПО -- оперативная установка патчей безопасности
• Резервное копирование -- регулярные бэкапы с проверкой возможности восстановления
• Сегментация сети -- изоляция систем с ПДн от общей корпоративной сети
• Антивирусная защита -- на всех рабочих станциях и серверах

Чек-лист проверки готовности:

1. Все внутренние документы по обработке ПДн актуальны и утверждены
2. Ответственные за обработку и безопасность ПДн назначены приказом
3. Сотрудники прошли обучение в текущем году
4. Определён уровень защищённости для каждой ИСПДн
5. Средства защиты информации соответствуют уровню защищённости
6. Настроен мониторинг и логирование событий безопасности
7. Разработан и протестирован план реагирования на инциденты
8. Проведена оценка рисков утечки
9. Все подрядчики имеют договоры поручения обработки ПДн
10. Организовано регулярное резервное копирование

Используйте Чек-лист соответствия 152-ФЗ для полной проверки вашей организации.

Инцидент безопасности персональных данных -- это любое событие, которое приводит или может привести к нарушению конфиденциальности, целостности или доступности персональных данных. Понятие инцидента шире, чем понятие утечки: не каждый инцидент является утечкой, но каждая утечка -- это инцидент.

Виды инцидентов безопасности ПДн:

• Утечка (компрометация конфиденциальности) -- несанкционированный доступ третьих лиц к персональным данным
• Нарушение целостности -- несанкционированное изменение или уничтожение данных (например, в результате атаки шифровальщика)
• Нарушение доступности -- невозможность доступа к данным для уполномоченных лиц (DDoS-атака, сбой оборудования, уничтожение резервных копий)
• Попытка несанкционированного доступа -- даже если атака отражена, это инцидент, который необходимо расследовать

Отличие инцидента от утечки:

Порядок реагирования на инциденты:

1. Обнаружение -- через системы мониторинга (SIEM, IDS/IPS), обращения пользователей, внешние уведомления
2. Классификация -- определение типа инцидента, уровня критичности, потенциального ущерба
3. Локализация -- изоляция затронутых систем, предотвращение распространения
4. Устранение -- ликвидация причины инцидента, восстановление нормальной работы
5. Расследование -- установление хронологии, причин, виновных лиц
6. Уведомление -- при подтверждении утечки -- обязательное уведомление Роскомнадзора
7. Документирование -- составление акта, внесение в журнал инцидентов
8. Корректирующие действия -- доработка мер защиты для предотвращения повторных инцидентов

Каждая организация, обрабатывающая персональные данные, должна иметь утверждённый регламент реагирования на инциденты безопасности. Этот документ определяет роли, порядок эскалации, сроки реагирования и шаблоны уведомлений. Его наличие -- один из критериев при оценке смягчающих обстоятельств в случае утечки.