Утечка данных в компании — инструкция по выживанию

Инциденты с важными данными компаний уже давно стали реальностью современного бизнеса. По оценкам экспертов, в первой половине 2025 года произошло не менее 110 утечек. В первую очередь, пострадали компании малого бизнеса и интернет‑торговли. До нынешнего года главными последствиями утечек были репутационные риски и незначительные финансовые потери. С введением оборотных штрафов (которые достигают иногда нескольких миллионов) и блокировок каждый из таких инцидентов может стать фатальным для бизнеса. Сегодня даже небольшие организации, включая салоны, магазины, различные сервисы обязаны соблюдать требования, которые раньше касались преимущественно крупных игроков.

В этой статье я предложу пошаговый план действий при утечке данных и покажу, как минимизировать ущерб, сохранить доверие клиентов и укрепить защиту на будущее.

Что считается утечкой данных?

О каких данных идет речь? Прежде всего, это:

• персональные данные сотрудников и клиентов (паспортные данные, телефоны, e‑mail, платежные реквизиты);
• коммерческая тайна (договоры, финансовые отчёты, разработки, стратегические планы);
• клиентские базы и CRM‑записи;
• учётные данные и логины к ИТ‑системам.

В нынешнем году, несмотря на ожидаемое рынком ужесточение мер со стороны регулятора, инцидентов было достаточно. К примеру, такие:

1. В мае в открытый доступ попала база с данными более чем 900 тыс. руководителей компаний Москвы и Московской области с ФИО, ИНН, телефонами, включая личные номера, email, сведениями о компаниях.
2. В июне в открытом доступе оказались БД предположительно гипермаркета мебели «СТОЛПЛИТ» и одежды BlackStar Wear с ФИО, адресами почты, паролями, сведениями о дате рождения и ссылками на соцсети.

В целом за 2024 год, согласно данным отчета Роскомнадзора, было зафиксировано 135 случаев утечек данных россиян, из‑за чего в Сеть попало 710 млн записей.

Даже если кажется, что компания «неинтересна злоумышленникам», утечка может обернуться штрафами, потерей доверия клиентов и реальными финансовыми потерями.

Первые действия при утечке (антикризисный чек‑лист)

Первые часы после инцидента — самые важные для минимизации последствий. Если все сделать правильно, серьезного кризиса возможно избежать. Вот ключевые действия, которые важно предпринять.

Уведомить руководство/CISO о произошедшем инциденте и предпринятых мерах ликвидации последствий.

Собрать факты: что именно утекло, когда, как.

Пригласить стороннего подрядчика на консалтинг для быстрой ликвидации последствий (в случае необходимости).

Уведомить РКН в течение 24 часов об инциденте, предполагаемых причинах, вреде, мерах по ликвидации последствий, об ответственном.

Провести внутреннее расследование и направить результаты в Роскомнадзор в течение 72 часов с расширенными данными и предполагаемыми виновниками инцидента (если есть).

Юридические и репутационные шаги

Когда произошла утечка, важно действовать не только технически корректно, но и юридически грамотно. Здесь потребуется подключить сразу несколько департаментов (или специалистов), которые отвечают за следующие направления работы: взаимоотношения с клиентами, PR и маркетинг, юристы, GR (если есть отношения с госструктурами). И вот о чем здесь важно помнить.

Соблюдайте закон. Если вы работаете только в России, то для вас все описано в 152‑ФЗ, включая уведомление РКН. Если есть европейские клиенты, действует также GDPR: компания обязана сообщить о факте утечки регулятору в течение 72 часов

Работайте с клиентами. Правильная коммуникация поможет сохранить доверие. Замалчивать проблему нельзя: информация всё равно может всплыть в СМИ или социальных сетях. Поэтому:

• сообщайте честно и прозрачно, но без паники;
• дайте конкретику: что произошло, какие данные затронуты, какие меры приняты для защиты пользователей;
• предложите шаги по минимизации риска: смена паролей, блокировка карт, горячая линия для обращений.

Снизьте репутационный ущерб. Важно помнить о том, что открытость в коммуникациях, корректно сформулированные месседжи для паблика и соблюдение закона помогают снизить не только штрафы, но и репутационный удар. Это особенно актуально для представителей малого бизнеса, которые легко могут потерять конкурентные преимущества. Расскажите о ситуации максимально честно и помогите клиентам защититься от последствий. Например, можно открыть горячую линию для консультаций.

Техническая ликвидация последствий

1. Проверка и устранение уязвимости. Проведите анализ инфраструктуры, чтобы понять, каким образом произошла утечка: через незащищенный сервер, фишинговую атаку, подрядчика или инсайдера. Только устранив первопричину, можно гарантировать, что ситуация не повторится.
2. Сброс паролей и отзыв сертификатов. Все потенциально скомпрометированные учётные записи должны быть немедленно сброшены. Если использовались цифровые сертификаты или ключи доступа, их необходимо отозвать и заменить.
3. Обновление и настройка ПО. Установите все актуальные патчи и обновления безопасности, особенно для систем, работающих с персональными данными и платежной информацией. Настройте регулярное автоматическое обновление.
4. Мониторинг подозрительной активности. В течение ближайших недель важно отслеживать аномалии: массовые входы, несанкционированные попытки авторизации, скачивание больших объёмов данных. Здесь помогают SIEM- и DLP‑системы, а также сервисы Threat Intelligence.

Как минимизировать ущерб бизнесу до утечки

Даже имея самые надёжные системы, риск инцидента полностью исключить невозможно. Но правильно выстроенные действия помогают снизить последствия до управляемого уровня. Вот что поможет уменьшить негативное воздействие инцидента на организацию.

План антикризисных коммуникаций. У компании должен быть заранее подготовленный сценарий: кто отвечает за коммуникацию с клиентами, СМИ, регуляторами и партнёрами. Чем быстрее и прозрачнее компания выходит с официальной позицией, тем меньше потери доверия.

Финансовые инструменты:

1. Киберстрахование — всё чаще становится обязательным элементом защиты, позволяя компенсировать прямые убытки от инцидентов.
2. Резервные фонды помогают оперативно закрыть экстренные расходы: от юридических услуг до найма внешних специалистов по кибербезопасности.

Сотрудничество с правоохранительными органами. В случае серьёзной атаки важно не пытаться «замять» проблему внутри компании. Подключение к расследованию специализированных центров реагирования на компьютерные инциденты и правоохранительных органов помогает выявить источник атаки, собрать доказательства и предотвратить повторение инцидента.

Утечка данных — это кризис, который можно контролировать. Чем быстрее компания активирует юридические, технические и финансовые механизмы защиты, тем меньше будут репутационные и материальные потери.

Профилактика будущих инцидентов

Как защитить бизнес от инцидентов в будущем? Вот чек‑лист, который поможет минимизировать количество возможных проблем, связанных со случайной или намеренной потерей данных:

• проверьте, что все персональные данные граждан РФ обрабатываются и хранятся на территории России;
• убедитесь, что ваша организация уведомила РКН о намерении обрабатывать персональные данные;
• разработайте и внедрите процедуры для оперативного уведомления об утечках данных;
• назначьте ответственного за защиту персональных данных в вашей организации;
• обеспечьте получение отдельного согласия на обработку биометрических данных и используйте ЕБС для их обработки;
• проводите регулярный аудит ИБ и тестирование на проникновение;
• внедрите необходимые для обеспечения безопасности инструменты с функционалом DLP и SIEM, а также SGRC с модулем управления инцидентами;
• проводите регулярное обучение сотрудников (фишинг, парольная дисциплина).

Заключение

Таким образом, утечка данных — не катастрофа, а серьезный повод задуматься о кибербезопасности. Крайне важно действовать в рамках законодательства, чтобы избежать существенных штрафов со стороны госорганов. С утечкой можно и нужно бороться, но лучшая битва — та, которой не было. По этой причине профилактику инцидентов, указанную выше, стоит проводить, не дожидаясь, когда один из них произойдет.