тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > Чем опасны утечки данных и почему в 2025 году их стали бояться 

By 29.04.2025 Информационная безопасность 0 Comments

Чем опасны утечки данных и почему в 2025 году их стали бояться 

Утечки персональных данных (ПДн) долгое время считались в бизнес-среде чем-то вроде досадной мелочи – неприятно, но не смертельно. Ну утекла база клиентов, ну получили штраф в пару десятков тысяч – переживём. 

Однако ситуация изменилась. Масштаб утечек растёт, последствия становятся всё более ощутимыми, а с 30 мая 2025 года вступают в силу оборотные штрафы за утечку персданных, которые уже никому не покажутся пустяком. 

Разберёмся, чем на самом деле опасны утечки персональных данных для бизнеса и почему многие компании схватились за голову только после появления закона об оборотных штрафах.

Болевые точки утечек персданных

Опасность для обычных граждан 

Для человека утечка его персональных данных – это риск стать жертвой мошенников. Попавшие в сеть паспортные данные, телефоны, адреса, сведения о банковских картах тут же берут на вооружение преступники. Имя, телефон и номер паспорта из утёкшей базы позволяют злоумышленнику представиться сотрудником банка или госслужбы и убедительно выманивать деньги. По оценкам экспертов, утечки напрямую подпитывают рынок социального инжиниринга – преступники активно скупают слитые базы и используют их для таргетированных атак на граждан. 

В результате люди теряют деньги, оказываются втянутыми в аферы, на них могут оформить кредиты или левые сим-карты. Утечка медицинских данных способна нарушить тайну частной жизни, а публикация сведений о детях – привести к угрозам безопасности семьи. Иными словами, утечки бьют по самому ценному – безопасности и благополучию. 

Риски для бизнеса

Для компании утечка данных клиентов или сотрудников – это финансовые потери и удар по репутации. 

Прямые издержки включают затраты на расследование инцидента, усиление защиты, выплаты компенсаций пострадавшим клиентам. Непрямые – отток клиентов, снижение доверия, негатив в СМИ. Бренд, однажды попавший в заголовки из-за утечки, надолго теряет репутацию надежного. 

Например, после крупной утечки в сервисе «Яндекс.Еда» в 2022 году компанию ждали не только разбирательства с регуляторами, но и коллективный иск от клиентов​. То же самое произошло с логистической компанией СДЭК – утечка данных обернулась для неё судебными тяжбами и убытками. 

Подобные инциденты часто заканчивались лишь разовыми штрафами и публичными извинениями. Теперь же бизнесу грозят многомиллионные санкции, и каждая утечка может стать «чёрным лебедем» для финансовых показателей. 

Согласно новому закону, утечка данных  может стоить компании до 3% годовой выручки или 500 млн рублей. Для многих компаний такие санкции – катастрофа. Подробнее о том, как будут определять сумму наказания, расскажем ниже.

Иными словами, цена утечки для бизнеса взлетела.

Крупные утечки последних лет

Чтобы понять масштаб проблемы, вспомним несколько громких утечек последних лет и их последствия:

  • Утечка данных МТС Банка
    В сентябре 2023 года в сеть попала база данных клиентов МТС Банка, содержащая информацию о более чем 3 млн клиентов. В утечке присутствовали фамилии, имена, отчества, даты рождения, ИНН, номера телефонов, адреса электронной почты, а также частичные данные банковских карт.
  • Утечка данных абонентов t2
    В августе 2022 года в открытом доступе оказались данные более 7,5 миллионов абонентов оператора сотовой связи t2. Утечка включала ФИО, номера телефонов, электронные адреса и пол клиентов. Компания заявила, что инцидент произошёл по вине одного из IT-партнёров.
  • Инсайдерская утечка в Сберебанке
    Сотрудник банка вынес клиентскую базу (данные миллионов держателей карт), пытаясь продать её на чёрном рынке. Скандал ударил по имиджу Сбера, потребовал масштабного внутреннего расследования и увольнений. Банк тогда отделался репутационными потерями, а этот случай показал: внутренние угрозы реальны, а контроль за сотрудниками – не менее важен, чем защита от хакеров.
  • Атаки 2022 года на госресурсы
    На фоне геополитической обстановки выросло число утечек из российских государственных систем и крупных компаний. Весной 2022 года появились сообщения об утечке данных пользователей портала «Госуслуги», затем о продаже баз данных российских автомобилистов, избирателей и др. Эти утечки сопровождались резонансом в СМИ и соцсетях, подогревая беспокойство граждан. Официально многие сливы не подтвердились, но осадок остался – доверие к защищённости госданных было подорвано. 

Каждый из этих инцидентов должен был стать уроком для бизнеса. Однако в массе своей принимать меры он начал только после принятия закона об оборотных штрафах

В то же время граждане осознали, что их данные – на вес золота, и начали требовать от компаний и властей лучшей защиты. Их жалобы становятся весомым поводом для проведения внеплановой проверки. Государство же получило сигнал, что нужны более жесткие правила игры.

Почему раньше утечки замалчивали

Если утечки такие опасные, закономерен вопрос – почему же их так долго не воспринимали всерьёз? 

Дело в том, что исторически ответственность за утечку персональных данных в России была смехотворной. Максимальный штраф для компании до последнего времени не превышал 500 тысяч рублей, а зачастую ограничивался и вовсе несколькими десятками тысяч​. 

Для сравнения: в Евросоюзе с 2018 года действует GDPR (General Data Protection Regulation, Общий регламент защиты ПДн), по которому штрафы достигают миллионов евро, вплоть до 4% годового оборота нарушителя. 

Российский бизнес видел, какие обороты штрафных санкций бывают на Западе, но внутри страны подобных прецедентов не было. В результате страх потерять данные присутствовал где-то на горизонте, но не казался осязаемым. Многие компании предпочитали замалчивать утечки, чтобы избежать даже небольшого штрафа и лишнего внимания регуляторов. 

Кроме того, защита ПДн не считалась приоритетом ни в бюджете, ни в корпоративной культуре. Руководители могли рассуждать: «Зачем тратить миллионы на кибербезопасность, если потенциальный штраф – копейки?». 

Отделы информационной безопасности годами выбивали ресурсы и предупреждали о рисках, но без поддержки топ-менеджмента их слова тонули в общем шуме. В итоге в организациях копились уязвимости, устаревало ПО, сотрудники не обучались кибергигиене – бомба тикала, и многочисленные утечки последних лет тому подтверждение.

Картина начала меняться, когда масштабы утечек достигли такого уровня, что замалчивать их стало невозможно. Общество и СМИ стали обращать внимание на каждую крупную утечку, Роскомнадзор – чаще проводить проверки. Но решающим толчком стал новый закон, вводящий суровые штрафы за утечки. Он мгновенно привлёк внимание и владельцев бизнеса, и директоров по безопасности – ведь на кону уже вовсе не символические суммы.

Новый закон об оборотных штрафах: игра меняется

С 30 мая 2025 года размер наказания напрямую привязан к масштабу утечки:

  • За утечку данных от 1 000 до 10 000 человек – штраф для организации от 3 до 5 млн руб.​
  • За утечку ПДн 10 000–100 000 человек – от 5 до 10 млн руб. штрафа​.
  • Если пострадали данные более 100 000 граждан – штраф взлетает до 10–15 млн руб.

И это лишь за первый случай. Если компания «попадётся» повторно, вступают в силу оборотные штрафы: от 0,1% до 3% годовой выручки, но не менее 15 млн руб. и не более 500 млн руб. Но куда серьезнее другое: вводится персональная ответственность руководителей: раньше максимумом была выговор или увольнение, а теперь возможны и личные штрафы и уголовная ответственность для должностных лиц. Полный перечень нововведений – здесь. Что конкретно меняется, и что делать – здесь.

Смягчающие обстоятельства (самостоятельное раскрытие утечки, меры по защите, компенсация ущерба пострадавшим) смогут снизить размер оборотного штрафа. То есть, если компания вкладывалась в ИБ, оперативно признает проблему и поможет расследованию, наказание может быть менее суровым.

Как минимизировать риски утечки: стратегия безопасности

Перед компаниями остро встал вопрос: что делать, чтобы не стать следующей жертвой утечки? Вот несколько ключевых шагов, которые теперь переходят из категории «желательно» в «обязательно»:

  • Аудит и усиление защиты. Первым делом стоит провести тщательную инвентаризацию, где и как хранятся ПДн, выявить уязвимости. Шифрование баз данных, сегментация сети, двухфакторная аутентификация для доступа – больше нельзя откладывать эти меры «на потом». Вспомним, что во многих утечках данных виноваты банальные ошибки: незащищённый сервер резервных копий, пароли по умолчанию, открытый порт. Такие простейшие «дыры» надо закрыть в первую очередь.
  • Обучение персонала и внутренний контроль. Человеческий фактор – причина до 80% утечек по оценкам отрасли. Фишинговое письмо, открытое сотрудником, или флешка с вирусом могут обойти все технологические заслоны. Поэтому регулярные тренинги по кибергигиене, имитация атак, контроль за действиями администраторов и подрядчиков – критически важны. Не стоит забывать и про DLP-системы (Data Leakage Prevention), которые отслеживают подозрительную активность и не дают сотрудникам вывести конфиденциальные данные на сторону.
  • План реагирования на инцидент. Даже лучшая защита не даёт 100% гарантии. Поэтому у компании должен быть план: что делать, если утечка всё же произошла. Быстрое выявление, изоляция проблемы, оповещение руководства и пользователей, взаимодействие с регуляторами. Следуя отработанному сценарию, компании снижают риски негативных последствий. Кстати, признавать утечку официально теперь выгоднее, чем скрывать – попытка замалчивания грозит 3% штрафа от оборота, тогда как сотрудничество с надзорными органами может смягчить наказание.
  • Соответствие требованиям 152-ФЗ и регуляторов. Закон о ПДн (152-ФЗ) давно предписывает минимальные меры защиты: хранение данных граждан РФ на российских серверах, использование сертифицированных средств защиты, разграничение доступа и т.д. Сейчас эти требования – не пустая формальность, а база, без которой нельзя обрабатывать данные. Компаниям стоит убедиться, что они в полном объёме выполняют требования Роскомнадзора, ФСТЭК, ФСБ по защите информации. Регуляторы получили карт-бланш на проверки, и лучше встретить их во всеоружии.
  • Современные безопасные решения. Рынок технологий безопасности предлагает немало инструментов, способных закрыть большинство рисков. Но внедрять всё и сразу дорого и сложно, особенно если инфраструктура устарела. Поэтому многие компании смотрят в сторону облачных сервисов, где значительная часть этих мер реализована «из коробки».

Закон об оборотных штрафах буквально заставил владельцев компаний взглянуть правде в глаза и вложиться в безопасность, пока не поздно. Что ж, лучше поздно, чем никогда – системная защита данных выгодна всем. Граждане получат более ответственное обращение с их информацией, бизнес – меньше шансов оказаться в суде или на полосе скандальной хроники, государство – более защищенные информационные системы.

Для бизнеса и ИБ-специалистов сейчас главное – не паниковать, а действовать. Пересмотреть свою инфраструктуру, процессы и, при необходимости, обратиться к современным решениям. 

Одним из таких решений может стать SafeCloud 152-ФЗ – безопасное облачное пространство для хранения и обработки персональных данных. Это облако, спроектированное с учетом всех требований закона 152-ФЗ и рекомендаций регуляторов, позволяет компаниям размещать данные в полностью защищенной среде, минимизируя риск утечки. 

В SafeCloud 152-ФЗ уже реализованы все необходимые меры защиты – от сетевых экранов и шифрования до системы мониторинга аномалий. Используя такое облачное решение, бизнес может сосредоточиться на своих задачах, доверив рутину информационной безопасности профессионалам облачного провайдера. 

Для директора по ИБ это означает меньше бессонных ночей и уверенность, что данные под надёжным присмотром. Для владельца компании – гарантию, что даже в случае форс-мажора не придётся выписывать многомиллионный чек за слитую информацию. 

Заполните форму, и мы свяжемся с вами, чтобы провести аудит вашей инфраструктуры и найти лучшее решение по хранению персональных данных.