Утечка данных: как одна ошибка может стоить компании миллионы рублей

К персональным данным относятся практически любые сведения, которые бизнес собирает о своих постоянных и потенциальных покупателях. Эти данные – важный актив для бизнеса. Именно они позволяют безошибочно выявлять интересы и поведенческие паттерны клиентов – а значит дают возможность прицельно воздействовать на аудиторию. Грамотная работа такими данными помогает сформировать у клиентов лояльность, а от этого напрямую зависит устойчивость бизнеса.

При этом доверие, завоеванное годами, может разрушиться за один день. Письмо с конфиденциальными данными, ошибочно отправленное не на тот адрес, открытый доступ к таблице или случайный слив информации о заказах грозят компании громкими жалобами, многомиллионными штрафами, долгими судебными разбирательствами, резким падением продаж и даже уголовной ответственностью.

О том, чем может обернуться утечка ПДн для бизнеса, где компании чаще всего теряют контроль над персональными данными клиентов и как они могут защититься – в этой статье.

Какие риски несет утечка персональных данных

Закон о персональных данных ФЗ-152 существует с 2006 года. Но до недавнего времени штрафы по нему были незначительные. С 30 мая 2025 года вступили в силу новые правила: требования по защите ПДн ужесточились, а размеры штрафов увеличились в десятки раз.

Например, если не уведомить Роскомнадзор о факте утечки в течение 24 часов с момента ее обнаружения, организациям и ИП грозит штраф от 1 до 3 миллионов рублей. Это штраф за неуведомление об утечке. Отдельно придется заплатить и за саму утечку – здесь размер штрафа зависит от объема переданных данных. Он может достигать 15 миллионов рублей при первом нарушении и до 3% от годового оборота – при повторном. Наказывать будут без предупреждений.

Мы в Sendsay давно говорим, как важно заботиться о персональных данных: выбирать надежных поставщиков, проверять наличие сертификата соответствия ФЗ-152, использовать возможности шифрования трафика и разделения доступа по ролям. Безопасность клиентских данных должна быть в приоритете. Ведь чем больше у злоумышленников сведений о конкретных людях, тем успешнее их мошеннические схемы.

Законодательство становится все жестче по отношению к операторам ПДн, что неудивительно: масштабы утечек персональных данных в России только растут. По данным InfoWatch, общий объем утекших записей в 2024 году превысил 1,5 миллиарда – это на 30% больше, чем за год до этого.

Сводная статистика по утечкам из организаций в России и СНГ. Источник: Positive Technologies

Чем масштабнее утечка, тем больше проблем она за собой влечет. И все эти проблемы в конечном счете ударяют по финансовой стороне. С этой категории рисков и начнем.

Финансовые потери. При утечке данных компанию может оштрафовать государство. Сумма штрафа зависит от объема утекших данных, их категории и истории нарушений у компании. А еще дополнительные штрафы будут начислены, если компания не уведомит вовремя Роскомнадзор о проблеме и не предоставит результаты внутреннего расследования в течение следующих 72 часов.

Кроме того, бизнес несет ответственность перед теми, чьи данные попали в открытый доступ. Пострадавшие могут взыскать сумму морального и материального ущерба.

Еще в финансовые потери можно включить расходы на устранение последствий утечки. Бизнесу предстоит разобраться в причинах и не допустить повторения таких ситуаций. Для этого придется пересмотреть архитектуру защиты: провести аудит, заменить технические средства защиты, отказаться от привычных, но уязвимых решений. Это дорого и занимает месяцы.

Репутационные потери. Очевидный риск – потеря доверия партнеров и клиентов. Все больше людей начинает задумываться о том, как компании используют их данные, как долго их хранят и насколько надежно защищают. Недавнее исследование Twilio показало, что потребители называют качественную защиту своих данных самым надежным способом завоевать их доверие.

Источник: twilio

Правовые последствия. После утечки компанию почти гарантированно ждет проверка от Роскомнадзора. В ряде случаев также подключаются прокуратура, Следственный комитет и ФСБ – особенно если затронуты специальные категории данных (например, сведения о здоровье, биометрия, данные детей, военная служба и так далее, в случае таких нарушений предусмотрено до 6 лет лишения свободы). Если в ходе расследования установят, что утечка произошла по вине конкретного сотрудника, его могут привлечь к дисциплинарной, административной или даже уголовной ответственности.

Также к правовым последствиям можно отнести судебные иски от пострадавших. Клиенты и сотрудники могут требовать компенсации.

Операционные сбои. Утечки данных часто сопровождаются кибератаками. Получив доступ к важным данным, злоумышленники могут удалить их с серверов компании, и, тем самым, остановить бизнес-процессы. Например, в мае 2024 года во время хакерской атаки на сервисы компания СДЭК была вынуждена приостановить работу на три дня. Эксперты оценили убытки от простоя в 300–400 миллионов рублей – это без учета упущенной выгоды и пострадавшей репутации.

Угрозы безопасности. Оказавшиеся в открытом доступе персональные данные перехватываются хакерами для последующих атак. После первой, даже случайной, утечки вероятность второй резко возрастает, так как киберпреступники начинают проверять на прочность техническую защиту компании. А если утечка вызвана взломом, велика вероятность, что злоумышленники получили доступ не только к ПДн, но и к внутренним сервисам компании:

• CRM/ERP-системам;

• почте, мессенджерам, файловым хранилищам;

• тестовым и рабочим базам данных.

Даже временный контроль над такими системами может привести к новым утечкам, удалению данных, закладке вредоносного ПО или подмене информации.

Почему происходят утечки: основные причины

Утечки персональных данных – это не всегда результат взлома или целенаправленной атаки. Чаще виноваты неосторожность, спешка, устаревшие системы или слабый контроль.

Согласно опросу в рамках исследования экспертно-аналитического центра InfoWatch в 2024 году

Вот основные зоны риска, где компании чаще всего теряют персональные данные.

Человеческий фактор. Менеджер случайно пересылает таблицу с клиентской базой не тому адресату, бухгалтер открывает фишинговое письмо, а стажер выгружает данные в облачный документ с публичной ссылкой.

Корень проблемы – не в злонамеренности, а в отсутствии четких правил, контроля доступа и цифровой гигиены. Без регулярного обучения и технических ограничений даже добросовестные сотрудники совершают критичные ошибки.

Устаревшие или незащищенные системы. Незашифрованные почтовые клиенты, CRM без двухфакторной аутентификации, устаревшие платформы открывают доступ к конфиденциальным данным. Особенно остро стоит вопрос безопасности там, где бизнес опирается на связку сервисов, например: CRM + мессенджеры + сервисы email-рассылок, но не обеспечивает единый контроль доступа и мониторинг активности.

Облачные хранилища и съемные носители. Они удобны для бизнеса, пока доступ под контролем. Но файлы могут стать общедоступными по ошибке, если открытая ссылка попадет в интернет. Флешки и внешние диски тоже надежны до тех пор, пока к ним ограничен доступ: потерянный носитель с незашифрованной клиентской базой – это прямая утечка.

Подрядчики и внешние специалисты. Фрилансеры, агентства, интеграторы могут получить доступ к внутренним системам: для настройки рассылки, обновления сайта, импорта клиентской базы. Если в договоре с подрядчиком не прописаны правила обращения с персональными данными, вся ответственность за утечку ляжет на плечи заказчика.

Как наказывают за утечки: реальные кейсы и штрафы

Утечка из-за технической уязвимости. В 2024 году интернет-магазин Kuchenland Home дважды нарушил закон о ПДн, допустив ошибку в настройке сайта. По некоторым сведениям, эта уязвимость привела к утечке более 400 тысяч записей.

Ответственность понесли и компания, и ее директор. На основании ч. 1.1 ст. 13.11 КоАП РФ, штраф за первое нарушение составил 60 000 рублей для компании и 10 000 рублей для генерального директора, а за повторное – 70 000 рублей и 15 000 рублей, соответственно.

С учетом масштаба утечки аналогичное нарушение, выявленное после 30 мая 2025 года, может стоить компании до 5–10 миллионов рублей за первое нарушение и до 3% от годового оборота – за повторное.

Утечка по вине подрядчика. В январе 2025 года «Ростелеком» сообщил об утечке данных из инфраструктуры одного из своих подрядчиков, который обслуживал интернет-ресурсы компании. В сеть попали 154 тысячи адресов электронной почты и 101 тысяча номеров телефонов. Тогда «Ростелеком» порекомендовал пользователям сбросить пароли и включить двухфакторную аутентификацию.

Случись это после 30 мая 2025 года, то для первого раза штраф за утечку мог составить до 15 миллионов рублей. Повторное нарушение стоило бы «Ростелекому» уже от 1 до 3% от годового оборота. И еще 3 миллиона рублей пришлось бы заплатить за то, что компания не сообщила в Роскомнадзор о факте утечки в течение 24 часов с момента ее обнаружения.

Утечка специальных данных из-за человеческого фактора. К данным этой категории относятся: расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и так далее. Для нарушения закона достаточно перепутать файлы с результатами анализов или случайно передать третьему лицу данные из этой категории.

Так, несколько лет назад житель Красноярска с удивлением обнаружил расширенную версию своей истории болезни на сайте медицинского вуза. Историю опубликовала студентка медуниверситета, которая проходила в больнице практику. Причем в открытом доступе оказалось больше подробностей, чем в выписке, которую отдали на руки пациенту. Суд взыскал с больницы 50 000 рублей в пользу пострадавшего.

Если бы этот инцидент произошел после 30 мая 2025 года, то мог бы повлечь за собой штраф в размере от 1 до 1,3 миллиона рублей. Для коммерческих учреждений штраф мог составить от 10 до 15 миллионов рублей.

Утечка из-за злонамеренных действий сотрудника. Один из сотрудников «ОЗОН Банка» с мая по август 2023 года передавал третьим лицам персональные данные клиентов. Оплату он получал в криптовалюте и затем конвертировал ее в российский рубль – так ему удавалось скрывать источники средств. Суд признал сотрудника банка виновным: выписал ему штраф 50 000 рублей и назначил условный срок – 1,5 года.

С 30 мая 2025 года наказание за аналогичное преступление станет гораздо строже: штраф – до 1 млн рублей или в размере иного дохода за период до 3 лет и лишение свободы – до 6 лет.

Как защититься от утечек: практические шаги для бизнеса

Чтобы снизить риск утечки персональных данных, важно сочетать технические, организационные и правовые меры. Вот базовый план действий:

Проведите аудит всех точек обработки данных. Уточните, какие данные вы собираете, где они хранятся, кто имеет к ним доступ. Проверьте формы на сайте, заявки, письма, сервисы, в том числе сторонние. Это поможет выявить слабые места – например, устаревшие CRM, открытые облачные папки или слабые пароли. Все точки должны быть задокументированы и защищены.

Назначьте ответственного за работу с ПДн. Это может быть специалист по информационной безопасности, юрист или специально обученный сотрудник. Его задача – следить за соблюдением требований закона, внутренними регламентами и реагировать на инциденты.

Внедрите правила информационной безопасности. Установите сложные пароли и регулярно их меняйте. Обеспечьте разграничение доступа по ролям, подключите двухфакторную авторизацию и безопасный удаленный доступ. Настройте журналы действий пользователей – чтобы было видно, кто и когда обращался к ПДн.

Обучите сотрудников основам цифровой безопасности. Проводите регулярные короткие тренинги: как отличить фишинг, что делать при подозрении на утечку, как пользоваться облачными сервисами и мессенджерами безопасно. Все это помогает снизить долю утечек, вызванных человеческим фактором.

Обновите регламенты и договоры. Проверьте, есть ли в ваших документах политика обработки ПДн, положение об информационной безопасности и соглашения с подрядчиками. Все договоры с внешними исполнителями должны содержать пункт о защите ПДн и ответственности за их утечку – это ваша юридическая страховка.

Подготовьте план реагирования на инциденты. Заранее опишите порядок действий на случай утечки. Распределите роли: кто будет составлять уведомление в Роскомнадзор, а кто сообщать пострадавшим об инциденте. Продумайте форматы оповещения своих клиентов: электронное письмо, сообщение в Telegram, контрастная плашка на сайте или в приложении. Ваши действия в первые 48 часов – критически важны.

Профилактика лучше, чем реакция

Проще и дешевле внедрить защиту заранее, чем устранять последствия. Утечка обойдется бизнесу намного дороже, чем простые меры безопасности.

Если в компании нет системы защиты, утечка персональных данных – вопрос времени. Пренебрегать правилами цифровой гигиены – значит сознательно рисковать доверием клиентов, деньгами и будущим бизнеса.

Безопасность ПДн требует внимания, ресурсов и дисциплины. Проводите регулярные проверки, введите понятные правила, контролируйте доступ и обучайте сотрудников – все это будет работать только в комплексе. Такая системная профилактика поможет обезопасить ваш бизнес.

Оригинал статьи на SEOnews

Источник