+7 (495) 660-35-00

info@iteron.ru

129226, РФ, Москва

Сельскохозяйственная, д. 11, к.3, оф. 148

09:00 - 21:00

без выходных

Заказать звонок
IT-аутсорсинг IT аудит Установка серверов Настройка серверов Администрирование серверов
Главная/Блог/Что делать при утечке персональных данных: пошаговое руководство
Дата публикации:

29.07.2025

Что делать при утечке персональных данных: пошаговое руководство

 IT Заметки    

Автор статьи

Багрецов Владимир Генеральный директор

Персональные данные продолжают утекать, и закон ответил на это жестче. Штрафы выросли, требования к безопасности стали строже, ответственность — конкретнее. Но риски не исчезли.

Ни одна компания не гарантирует абсолютной защиты. Главное — минимизировать угрозы, а если прорыв случился, действовать четко: сообщить регулятору, предупредить клиентов, найти причину.

Эта инструкция поможет специалисту, отвечающему за персданные в компании, правильно среагировать на инцидент.

Что такое персональные данные

Федеральный закон 152-ФЗ определяет персональные данные как информацию, прямо или косвенно относящуюся к конкретному человеку. Закон не дает жесткого перечня, оставляя пространство для оценки.

К таким данным традиционно относят ФИО, дату и место рождения, адрес, образование, семейное положение, профессию. Главный критерий — возможность идентифицировать человека, даже если для этого нужно сопоставить несколько косвенных признаков.

Виды персональных данных

Разделение данных нужно, чтобы установить разные правила игры: как обрабатывать и защищать информацию разного рода, и как наказывать нарушителей. Российский закон разграничивает четыре категории:

  • общедоступные 
  • биометрические
  • специальные
  • иные.

Первые три группы прописаны чётко, несмотря на правки. С последней — "иными" — ситуация иная: конкретики нет. Операторам приходится самим разбираться, с какими сведениями они имеют дело, и уже потом решать, как их защищать.

Кто имеет право обрабатывать ПДн

Право обрабатывать ПДн имеют операторы — организации или физлица, которые определяют цели и способы работы с данными. Но это не безграничное право. Закон (152-ФЗ) разрешает обработку только при наличии оснований, например:

  • Согласие человека — письменное, электронное или иное явное подтверждение;
  • Договор с человеком — если обработка нужна для исполнения контракта (например, банк обрабатывает данные для кредита);
  • Публичные функции — госорганы, исполняющие законы (налоговая, суды);
  • Защита жизни/здоровья — экстренные случаи (вызов врача);
  • Научные или журналистские цели — при условии анонимизации.

Обязанности оператора:

  • Уведомить Роскомнадзор (если нет исключений);
  • Обеспечить безопасность данных;
  • Не передавать третьим лицам без оснований.

Как происходит утечка данных и кто в зоне риска

Утечки редко случаются из-за одной оплошности. Обычно проблемы накапливаются: сотрудник кликает на поддельное письмо — злоумышленники проникают в сеть; ИТ-специалисты запаздывают с обновлениями — уязвимости остаются открытыми. Целевые взломы и скрытные операции хакерских групп дополняются человеческими промахами. Потерянный ноутбук с клиентскими данными, небрежно открытый доступ к облаку или пересланные в мессенджеры контракты. Иногда угроза растет внутри компании — обиженный сотрудник уносит базы данных. Особенно коварны атаки через подрядчиков: история SolarWinds показала, как взлом одного вендора парализовал тысячи организаций.

Под ударом — бизнес с ценными активами. Банки и финтех-компании мишень для охотников за карточными реквизитами. Клиники рискуют историями болезней и ДНК-тестами. Магазины теряют базы покупателей, а госучреждения — паспортные данные и секретные архивы. Даже школы и стартапы в опасности: первые хранят сведения о детях, вторые игнорируют защиту ради скорости, имея на руках стратегические наработки.

Атаки неслучайны. Данные — валюта теневого рынка: контакты, страховые полисы, реквизиты счетов уходят в даркнет. Преступникам помогают устаревшие программы, простые пароли и открытые порты, сводящие на нет любую защиту. Без регулярных тренировок сотрудники остаются слабым звеном. Штрафы за нарушения 152-ФЗ достигают 18 млн ₽, но репутационный урон страшнее. Масштаб бедствия разный: утечка в такси-сервисе навредит бизнесу, а попадание чертежей оборонного завода в чужие руки станет катастрофой.

Что делать, если произошла утечка персональных данных

Если Вы узнали об утечке данных в компании, услугами которой пользовались. Если ваша личная информация попала в руки злоумышленников, ее могли уже разместить на специализированных форумах или в криминальных базах. Первые 72 часа после инцидента часто самые важные — сразу уточните у компании время происшествия. 

Что такое персональные данные

Федеральный закон 152-ФЗ «О персональных данных» определяет их как любые сведения о человеке (физическом лице), которые позволяют его прямо или косвенно идентифицировать. Закон не содержит исчерпывающего перечня, оставляя трактовку открытой. К таким данным обычно относят, например, фамилию, имя, отчество, дату и место рождения, адрес проживания, сведения об образовании, семейном статусе или занимаемой должности.

Виды персональных данных

При обеспечении защиты данных первостепенное значение имеет грамотная классификация персональных сведений. Ее определяют ФЗ-152 и Постановление Правительства № 1119, устанавливающие четыре основные категории данных, обрабатываемых в информационных системах:

  1. Общедоступные данные. Это информация, добровольно размещенная в открытом доступе самим человеком. Он вправе запросить ее удаление у оператора или через суд. Сюда обычно входят дата и место рождения, адрес, контакты (телефон, email), профессия, место работы, образование.
  2. Специальные данные. Категория включает сведения о частной жизни: расовая или национальная принадлежность, политические, религиозные, философские убеждения, состояние здоровья, интимные отношения. Их обработка возможна лишь по судебному решению, для исполнения международных договоров, работы правоохранительных органов или с явного письменного согласия субъекта.
  3. Биометрические данные. Уникальные физические или биологические параметры, позволяющие установить личность: отпечатки пальцев, рисунок сетчатки, ДНК, группа крови, фотографии. Для их обработки оператору почти всегда требуется отдельное согласие человека. Исключение - случаи, предусмотренные законом (расследование преступлений, исполнение судебных актов). Данные, хранящиеся не для идентификации, к биометрическим не относятся.
  4. Иные данные. Все остальные сведения, не попавшие в предыдущие группы. Часто это переменная информация: доходы, должность, стаж работы, график отпусков, семейное положение, социальный статус.

Дополнительно персональные данные различают по цели и методу обработки:

  • данные в государственных и муниципальных информационных системах;
  • сведения, обрабатываемые исключительно автоматически;
  • информация, используемая для политической агитации или продвижения товаров и услуг;
  • данные, передаваемые за пределы Российской Федерации (трансграничная передача).

Кто имеет право обрабатывать ПДн

Работать с персональными данными разрешено операторам и их доверенным представителям. Оператор – это компания или человек, который ведет обработку данных самостоятельно или вместе с другими. Доверенные лица действуют строго от имени оператора и выполняют его поручения.

Как происходит утечка данных и кто в зоне риска

  • Крупный бизнес и госструктуры: Главные цели хакеров из-за огромных объемов ценных данных (клиентов, сотрудников, гостайн). Утечка здесь – катастрофа для репутации и кошелька.
  • Малый и средний бизнес: Часто экономят на защите, считая себя неинтересными мишенями. Ошибаются: их данные (финтранзакции, клиентские базы) тоже крадут и продают.
  • Простые пользователи интернета: Каждый, кто регистрируется на сайтах, покупает онлайн, пользуется соцсетями. Риск стать жертвой фишинга, кражи аккаунтов, мошенничества с картами. Чем активнее человек в сети, тем выше риск.
  • Сотрудники компаний: Их персональные данные (паспорта, ИНН, мед. информация, зарплата) могут утечь вместе с корпоративными базами. Они же – первая линия обороны (или слабое звено) против фишинга.

Распространенные методы атак

Персональные данные — ценный товар для злоумышленников, которые постоянно изобретают новые и используют проверенные методы для их хищения. Самые распространенные способы атак:

  • Фишинг. Массовая рассылка поддельных писем или сообщений (SMS, мессенджеры) от имени доверенных организаций (банки, сервисы) с целью выманить логины, пароли, данные карт или перейти на вредоносный сайт.
  • Вредоносное ПО (Малварь). Вирусы, трояны, шпионские программы и кейлоггеры, которые внедряются в устройства через зараженные вложения, ссылки или нелегальный софт для кражи данных прямо с устройств жертв.
  • Взломы систем. Поиск и эксплуатация уязвимостей в безопасности сайтов, корпоративных сетей, облачных хранилищ или баз данных для прямого хищения больших массивов информации.
  • Инсайдерские угрозы. Умышленная или случайная утечка данных сотрудниками организации, имеющими к ним доступ (продажа, халатность, потеря устройств).
  • Социальная инженерия. Прямой обман человека по телефону (вишинг), лично или через соцсети для добровольной передачи конфиденциальной информации или совершения опасных действий.
  • Кража физических носителей. Потеря или хищение ноутбуков, смартфонов, серверов, бумажных документов и архивов с нешифрованными данными.
  • Прослушивание и перехват данных. Снятие информации при передаче по незащищенным или общедоступным сетям (Wi-Fi в кафе), использование скрытых камер или микрофонов.

Что делать, если произошла утечка персональных данных

  • Немедленно заблокируйте скомпрометированные финансовые инструменты. Свяжитесь с банком по официальному номеру с телефона, не связанного с утечкой, чтобы заблокировать карты и счета. Отзовите выданные ранее разрешения на списание (например, для онлайн-платежей).
  • Смените все пароли, особенно к важным аккаунтам. Начните с почты, банкинга, соцсетей и облачных хранилищ. Используйте уникальные сложные комбинации и двухфакторную аутентификацию (2FA) везде, где это возможно. Никогда не повторяйте пароли.
  • Сообщите об утечке оператору данных (если она произошла у организации). Требуйте официального подтверждения факта утечки и разъяснения, какие именно данные пострадали. Это важно для оценки рисков и дальнейших действий.
  • Подайте заявление в правоохранительные органы. Обратитесь в полицию или отдел "К" МВД по борьбе с киберпреступностью. Предоставьте все доказательства: скрины писем, уведомления оператора, данные о подозрительных операциях.
  • Опротестуйте несанкционированные операции. Если злоумышленники успели что-то украсть или оформить кредит, немедленно направьте заявление в банк или МФО для оспаривания этих действий.
  • Внимательно отслеживайте финансовые операции и кредитную историю. Регулярно проверяйте выписки по счетам и картам. Запросите отчет из БКИ (бюро кредитных историй) на предмет появления подозрительных кредитов или займов на ваше имя.
  • Настройте уведомления о важных действиях. Включите СМС и email-оповещения от банков о всех операциях, изменениях контактных данных, попытках входа в аккаунты.
  • Будьте предельно осторожны с фишингом. После утечки высок риск целевых атак. Тщательно проверяйте любые подозрительные звонки, письма и сообщения, даже если они кажутся от знакомых организаций. Не переходите по ссылкам и не скачивайте вложения.
  • Оповестите близких и коллег (если утекли их контакты). Предупредите их о возможных мошеннических схемах от вашего имени или с использованием их данных.
  • Обратитесь в Роскомнадзор (если оператор бездействует). Если организация, допустившая утечку, не реагирует на ваши обращения, подайте жалобу в Роскомнадзор как надзорный орган по защите ПДн.

Ответственность за нарушение законодательства о ПДн

  • Дисциплинарная ответственность. Применяется к работнику, виновному в утечке или ином нарушении ПДн по его вине. Работодатель может объявить выговор, замечание или уволить сотрудника (по основаниям, предусмотренным ТК РФ).
  • Гражданско-правовая ответственность. Оператор ПДн обязан возместить субъекту ПДн (владельцу данных) материальный ущерб и компенсировать моральный вред, причиненный нарушением его прав. Субъект вправе подать иск в суд.
  • Административная ответственность (КоАП РФ, ст. 13.11). Это основной и самый распространенный вид наказания для организаций и должностных лиц. Штрафы варьируются в зависимости от тяжести нарушения.
  • Уголовная ответственность (УК РФ, ст. 137, 140, 272, 274.1). Наступает в особо серьезных случаях, когда нарушение совершено умышленно и повлекло тяжкие последствия.

Как предотвратить утечку данных в будущем

  • Внедрите DLP-системы. Используйте специализированное ПО для контроля и блокировки передачи конфиденциальных данных (по почте, мессенджерам, на флешки). Оно отслеживает ключевые слова, шаблоны документов и предотвращает несанкционированный вынос информации.
  • Жестко ограничьте доступ по принципу "минимума привилегий". Сотрудник получает доступ ТОЛЬКО к тем данным, которые абсолютно необходимы для его работы. Регулярно пересматривайте и отзывайте избыточные права.
  • Обязательно шифруйте данные. Применяйте шифрование как для информации "в покое" (на серверах, ноутбуках, в облаке), так и "в движении" (при передаче по сети). Это сделает украденные данные бесполезными без ключа.
  • Постоянно обновляйте ПО и системы. Установите строгий регламент своевременного обновления ОС, приложений, антивирусов и сетевого оборудования. Устаревшее ПО — главная лазейка для хакеров.
  • Регулярно обучайте сотрудников. Проводите практические тренинги по распознаванию фишинга, правилам работы с ПДн, безопасному использованию паролей и носителей информации. Человеческий фактор — слабое звено.
  • Разработайте и соблюдайте регламенты. Четко задокументируйте политики обработки ПДн, процедуры реагирования на инциденты, правила резервного копирования и уничтожения данных. Следуйте им неукоснительно.
  • Контролируйте физическую безопасность. Ограничьте доступ в серверные, используйте сейфы для документов, уничтожайте бумажные носители шредером. Не оставляйте экраны с данными без присмотра.
  • Аудит и тестирование защиты. Регулярно проверяйте логи доступа, проводите тесты на проникновение (pentesting) и моделируйте атаки, чтобы находить и закрывать уязвимости до их эксплуатации злоумышленниками.

Известные кейсы утечек персональных данных

Yahoo (2013-2014). Эта утечка стала крупнейшей в истории: злоумышленники получили доступ к данным всех 3 миллиардов учетных записей сервиса. Были похищены имена пользователей, электронные адреса, даты рождения, зашифрованные пароли и ответы на секретные вопросы. Последствия оказались катастрофическими: компания Yahoo не только столкнулась с многомиллионными штрафами, но и потеряла $350 миллионов от цены своей продажи Verizon, а ее репутация была серьезно подорвана на долгие годы.

Equifax (2017). Кредитное бюро Equifax стало жертвой хакеров, использовавших известную, но не устраненную вовремя уязвимость в своем веб-приложении. В результате была украдена исключительно чувствительная информация 147 миллионов жителей США, включая номера социального страхования (SSN, аналог ИНН), водительских прав, а также детали кредитных историй. Инцидент привел к отставке CEO, судебным искам на сумму свыше $1.7 миллиарда и невосполнимому ущербу доверия к одному из ключевых игроков финансового рынка.

Нужна консультация?

Оставьте заявку и мы подробно ответим на все Ваши вопросы!

    Отправляя сообщение, Вы разрешаете сбор и обработку персональных данных.. Политика конфиденциальности

     

    Читайте также

    Регуляторы и нормативное регулирование в сфере информационной безопасности
    Регуляторы и нормативное регулирование в сфере информационной безопасности
    Как выбрать надежного подрядчика для бизнеса
    Как выбрать надежного подрядчика для бизнеса
    Аварийное восстановление (Disaster Recovery)
    Аварийное восстановление (Disaster Recovery)
    Правила безопасной работы с электронной почтой
    Правила безопасной работы с электронной почтой
    ИТ-консалтинг для бизнеса: что это такое, виды, этапы, выгоды и как выбрать компанию
    ИТ-консалтинг для бизнеса: что это такое, виды, этапы, выгоды и как выбрать компанию
    Как настроить свой первый сервер (VPS) с нуля
    Как настроить свой первый сервер (VPS) с нуля
    Отсканируйте код