Идеи для бизнесаБизнес с нуляМаркетплейсыБухгалтерияНДС 2026СправочникШаблоны документов
Идеи для бизнесаБизнес с нуляМаркетплейсыБухгалтерияНДС 2026СправочникШаблоны документов

Поговорим о защите персональных данных клиентов на корпоративных сайтах, веб‑порталах и интернет‑магазинах.

Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека, например, связка ФИО + телефон + email. А также паспортные данные и другие сведения, по совокупности которых можно установить личность.

С 30 мая 2025 года Роскомнадзор, согласно поправкам к 152‑ФЗ, ввёл огромные штрафы за утечку персональных данных — от 3 до 15 миллионов рублей, а также отдельный штраф от 1 до 3 миллионов рублей за неуведомление ведомства об утечке. По задумке законодателей данная поправка должна мотивировать бизнес лучше защищать персональные данные, а значит — снизить число успешных хакерских атак и количество утечек ПД. Однако на практике ужесточение ответственности не только повышает требования к бизнесу в части защиты персональных данных, но и создаёт дополнительные риски: получим доступ к корпоративным данным, злоумышленники могут использовать угрозу обращения в Роскомнадзор как инструмент давления на компанию.

Хакеры увидели в этом новые возможности для наживы — они восприняли это как призыв к действию. Киберпреступники стали целенаправленно специализироваться на взломе баз данных с последующим шантажом и вымогательством. Раньше при утечке компания рисковала в основном репутацией, а теперь к этому добавился реальный многомиллионный штраф от государства. Хакеры это прекрасно осознают: у них появился ещё один рычаг давления, и вероятность того, что «жертва» предпочтёт заплатить выкуп, становится гораздо выше.

И все это не просто слова — мы столкнулись с этим на практике.

Реальный кейс: как хакеры потребовали 300 000 ₽ под угрозой штрафа от РКН за утечку персональных данных

В начале 2026 года один наш знакомый обратился к нам с проблемой: хакеры взломали его старый интернет‑магазин, удалили базу данных объёмом почти 450 МБ, выгрузили оттуда записи о 50 000 пользователях и потребовали выкуп в 300 000 рублей, угрожая в противном случае сообщить об утечке в Роскомнадзор (а там компании грозили уже миллионные штрафы).

Мы со своей стороны быстро возобновили работу сайта — восстановили из архива базу данных, сменили все пароли доступа и провели необходимые мероприятия по закрытию всевозможных уязвимостей. Но главная проблема осталась: украденные записи о пользователях уже находились в руках хакеров.

Задайте себе вопрос — как бы вы поступили на месте нашего героя: заплатили бы 300 000 ₽ мошенникам с риском подсесть на удочку шантажа или рискнули бы нарваться на многомиллионный штраф от Роскомнадзора?

Мы тоже задумались над этой безвыходной дилеммой, поэтому усилили защиту в iCMS (системе управления сайтом нашей собственной разработки). Однако мы прекрасно понимаем: даже самые устойчивые современные системы не защищены от взлома на 100%. Целенаправленные атаки опытных киберпреступников могут взломать самые неприступные IT‑системы.

Например, самый свежий и резонансный случай — взлом «Аэрофлота» в июле 2025 года. Там за безопасность отвечала огромная команда, тратились миллионы рублей, использовались различные системы обнаружения атак, и всё равно хакеры смогли получить доступ к более чем 20 ТБ данных, выгрузили 12 ТБ внутренних баз, парализовали работу авиакомпании и чуть полностью не убили ее инфраструктуру.

Защита по периметру не обеспечивает 100% гарантии сохранности ПД пользователей. Поэтому подход к безопасности пора менять — вместо того, чтобы пытаться построить неприступный периметр, мы с командой INTRID глубоко изучили этот вопрос и пришли к выводу: данные нужно защищать не только от несанкционированного доступа, но и от использования в случае возможной утечки. Именно поэтому сейчас мы активно внедряем в сайты клиентов решения, при которых персональные данные не хранятся в базе в открытом виде.

Т-Бизнес секреты: новости, анонсы событий, советы предпринимателей

Телеграм‑канал: 71 180 читателей

Т‑Бизнес секреты: новости, анонсы событий, советы предпринимателей
Подписаться

Как сделать украденные данные бесполезными для злоумышленников

Один из способов защиты персональных данных — не хранить их в базе в открытом виде. Для этого используют разные подходы: хеширование, шифрование, токенизацию, маскирование и разграничение доступа. На практике эти методы часто комбинируют, чтобы сохранить удобство работы сайта и одновременно снизить риск при возможной утечке.

Хеширование — это преобразование исходного значения в специальную строку с помощью математического алгоритма. Например, номер телефона, email или пароль превращается в набор символов, который внешне не похож на исходные данные. Важная особенность хеша в том, что его нельзя просто “расшифровать” обратно. Система может только снова обработать введённое значение тем же способом и сравнить результат с тем, что уже хранится в базе.

Именно поэтому хеширование часто используют там, где важно подтвердить совпадение данных, но не обязательно хранить их в открытом виде. Например, сайт может проверить, что пользователь ввёл тот же номер телефона или email, не сохраняя исходное значение напрямую в базе. Для владельца сайта это означает простую вещь: даже если злоумышленник получит доступ к базе, он увидит не реальные контакты клиентов, а технические значения, которые никак нельзя использовать против бизнеса.

При этом надёжность зависит не только от самого факта хеширования, но и от его настройки. Для персональных данных недостаточно просто “прогнать” номер телефона или email через первый попавшийся алгоритм. Обычно используют дополнительные защитные механизмы: соль, секретные параметры, усложнённые алгоритмы обработки и отдельные индексы для поиска. Благодаря этому одинаковые или похожие данные значительно сложнее сопоставить между собой.

У хеширования есть и альтернативы. Если данные нужно восстанавливать в исходном виде — например, показывать номер телефона менеджеру, отправлять письмо клиенту или передавать информацию в CRM, — применяют шифрование. В этом случае данные тоже хранятся в нечитаемом виде, но могут быть расшифрованы при наличии ключа. Поэтому при шифровании особенно важно правильно хранить и защищать ключи: если ключ попадёт к злоумышленнику вместе с базой, уровень защиты снизится.

Ещё один подход — токенизация. Она заменяет реальные данные техническими идентификаторами: например, вместо телефона или платёжных данных система хранит токен, а исходное значение находится в отдельном защищённом хранилище. Такой вариант часто используют в платёжных, банковских и интеграционных сценариях.

Также применяется маскирование — частичное скрытие данных в интерфейсе. Например, телефон отображается как +7 900 ***-**-67, а email — как i***@mail.ru. Маскирование не заменяет хеширование или шифрование, но помогает снизить риск случайной утечки через админку, скриншоты, выгрузки или доступы сотрудников.

На практике защита персональных данных строится не на одном инструменте, а на их сочетании. Например, пароли хранят в виде хешей, телефоны и email можно хешировать для проверки совпадений и поиска, часть данных шифровать для восстановления в нужных бизнес‑процессах, а в интерфейсе показывать только замаскированные значения. Такой подход позволяет сайту или интернет‑магазину работать привычным образом, но при этом значительно снижает ущерб от возможной утечки.

Даже небольшому интернет‑магазину и другим сайтам, которые обрабатывают ПД пользователей, стоит задуматься о внедрении шифрования. Ведь оказаться перед выбором — выплачивать многомиллионный штраф или выкуп хакерам — обойдётся в разы дороже, чем любые разовые усилия по его внедрению.

Практические рекомендации по защите сайта и персональных данных ваших клиентов

Итак, мы выяснили, что из‑за утечки персональных данных компания может столкнуться со значительными финансовыми потерями, штрафами, репутационным ущербом и шантажом со стороны злоумышленников. Поэтому защиту персональных данных важно рассматривать не как формальность, а как обязательную часть работы сайта, интернет‑магазина или корпоративного портала.

Что стоит сделать уже сейчас:

  1. Провести аудит сайта и понять, какие персональные данные собираются и где они хранятся.
  2. Проверить, нет ли на сайте устаревших модулей, небезопасных форм и слабых паролей доступа.
  3. Ограничить доступ к административной панели и базе данных, настроив роли сотрудников так, чтобы у каждого был доступ только к необходимым для работы разделам и данным.
  4. Настроить регулярное резервное копирование, чтобы можно было быстро восстановить работу сайта после атаки.
  5. Конечно, использовать шифрование для хранения ПД.
  6. Заранее подготовить план действий на случай инцидента: кто отвечает за восстановление сайта и уведомление клиентов о внештатной ситуации.

Комментарии проходят модерацию по правилам редакции


Больше по теме
Новости