Чек-лист для защиты персональных данных: как избежать утечки и сохранить доверие клиентов

Один миллиард строк персональных данных утёк в сеть только за первую половину 2024 года. Защита персональных данных клиентов становится приоритетом для бизнеса. Штрафы за утечки растут, требования к безопасности ужесточаются, а несоблюдение норм может привести к серьёзным последствиям.

В статье разбираем, какие риски несут утечки, какие компании уже столкнулись с проблемами, а в конце — даём рекомендации и делимся чек-листом, который поможет бизнесу защитить данные клиентов.

Риски для бизнеса

Нарушение конфиденциальности персональных данных (ПДн) может привести к серьёзным последствиям для компаний, особенно с учётом ужесточения законодательства в этой области. Основные риски — юридические, финансовые, репутационные и операционные последствия. Рассмотрим их подробнее.

1. Юридические риски

• Штрафы:

Федеральный закон от 30.11.2024 № 420-ФЗ внёс изменения в статью 13.11 КоАП. В новой редакции различают штрафы за утечку:

- общих категорий ПДн от 10 до 100 тыс. идентификаторов — от 3 до 5 млн. рублей, более 100 тыс. субъектов или 1 млн. идентификаторов — от 10 до 15 млн. рублей;

- специальных категорий ПДн — от 10 до 15 млн. рублей;

- биометрических ПДн — от 15 до 20 млн. рублей.

• Уголовная ответственность:

В случае умышленного нарушения конфиденциальности ПДн, например, сотрудник решил незаконно воспользоваться или передать ПДн, возможна уголовная ответственность по статье 272.1 УК РФ (до 4 лет лишения свободы).

2. Финансовые риски

• Прямые убытки:

Штрафы, судебные издержки и затраты на устранение последствий утечки данных, например, восстановление систем защиты.

• Косвенные убытки:

Потеря клиентов, снижение доходов из-за потери доверия, затраты на PR-кампании для восстановления репутации.

• Иски от физических лиц:

Клиенты, чьи данные были скомпрометированы, могут подать в суд с требованием о возмещении ущерба, компенсации морального вреда.

3. Репутационные риски

• Потеря доверия клиентов:

Утечка ПДн подрывает доверие клиентов к компании, особенно если речь идёт о финансовых или медицинских данных.

• Негативные публикации в СМИ:

Инциденты с утечкой ПДн часто становятся достоянием общественности, что может негативно отразиться на имидже компании.

• Снижение лояльности сотрудников:

Если утечка данных затронула сотрудников, это может привести к снижению их лояльности и увеличению текучки кадров.

4. Операционные риски

• Затраты на восстановление систем:

После утечки данных компании придётся инвестировать в усиление защиты, аудит систем и обучение сотрудников.

• Потеря данных:

В случае кибератаки или утечки данные могут быть утрачены без возможности восстановления, что приведёт к сбоям в работе.

Кстати, компаниям нельзя скрывать утечки — с 30 мая 2025 года неуведомление Роскомнадзора грозит штрафом до 3 миллионов рублей. Что нужно делать:

• В течение 24 часов сообщить об инциденте в Роскомнадзор.
• В течение 72 часов направить отчёт о результатах расследования.

Громкие истории провалов на рынке в 2024 году

В России только за первую половину 2024 года в интернет утекло около 1 млрд строк персональных данных. Лидером по числу утечек стал онлайн-ритейл. На него пришлось 30,8% зарегистрированных инцидентов (19,6% в 2023 году). Расскажем про самые громкие случаи прошлого года.

Rendez-Vous

В начале прошлого года интернет-магазин подвергся масштабной кибератаке. Служба информационной безопасности Rendez-Vous официально подтвердила, что злоумышленниками были несанкционированно скопированы и попали в открытый доступ такие данные клиентов, как: ФИО, адреса имейлов, телефоны, информация о заказах. 

«ВинЛаб»

В июле 2024 года СМИ сообщили, что в открытом доступе были выложены фрагменты таблицы с данными покупателей «ВинЛаб»: ФИО, телефоны, адреса имейлов, пароли, номера карт лояльности, количество бонусов и т.п. В частичном дампе содержалось более 408 тыс. строк с данными пользователей, но, по сообщению телеграм-канала «Утечки информации», в таблице содержалось гораздо больше данных: 8,2 млн уникальных номеров телефонов и 1,6 млн уникальных адресов электронной почты. 

Trello

В январе 2024 года в открытый доступ попала база данных пользователей сервиса управления проектами Trello. Позже эта информация продавалась на одном из даркнет-форумов. Известно, что данные были собраны путём запросов к официальному API платформы, а не в результате хакерского взлома. База содержала более 15 миллионов записей, включая адреса имейлов, имена и фамилии, логины, ссылки на аватары пользователей.

Рекомендации от Convergent

Наш руководитель службы технических разработок Алексей Григорьев поделился рекомендациями для обеспечения безопасности, которых мы придерживаемся внутри агентства. Берите на вооружение.

1. Поддерживайте актуальные версии ПО

Современное программное обеспечение состоит из множества компонентов, каждый из которых может содержать уязвимости. Регулярное обновление — один из важнейших аспектов безопасности.

Что делать:

• Обновляйте операционную систему и серверное ПО минимум 1 раз в месяц.
• Следите за актуальными версиями библиотек, фреймворков и пакетов.
• Обновляйте инструменты разработки и автоматизации CI/CD.
• Используйте системы мониторинга уязвимостей, например, SonarQub

2. Используйте антивирусы

Новые угрозы появляются ежедневно, поэтому важно обеспечивать защиту на всех уровнях.

Что делать:

• Установите антивирусное ПО на все корпоративные устройства, например, Kaspersky.
• Обеспечьте регулярное обновление антивирусных баз.
• Настройте мониторинг активности на серверах и рабочих станциях.

3. Контролируйте работу с данными

Данные из продакшен-среды не должны покидать её пределы без строгих правил безопасности.

Что делать:

• Никогда не используйте продакшен-данные в тестовых и разработческих средах.
• Аннонимизируйте персональные данные перед их анализом или тестированием, например, через nxs-data-anonymizer.
• Ограничьте количество сотрудников, имеющих доступ к продакшену.
• Внедрите логирование и аудит всех операций с чувствительными данными.

4. Разработайте и соблюдайте внутренние политики безопасности

Чёткие правила работы с персональными данными и конфиденциальной информацией помогут минимизировать риски.

Что делать:

• Определите порядок хранения и уничтожения данных. Разработайте инструкции для того, каким образом и где вы храните данные, базы данных, архивы, бекапы. А так же убедитесь, что удаляете данные, когда вам они больше не нужны.
• Настройте контроль доступа на основе принципа минимально необходимого доступа. Например, для изменения контента достаточно прав доступа изменения контента, не нужно давать административный доступ.

5. Защитите учётные записи и доступы

Атаки на учётные записи — один из самых распространённых способов взлома систем.

Что делать:

• Используйте двухфакторную аутентификацию (2FA) для всех критически важных сервисов.
• Применяйте менеджеры паролей для безопасного хранения учётных данных, например, Пассворк.
• Отключайте или ограничивайте доступ для неиспользуемых учётных записей.
• Регулярно проверяйте права доступа сотрудников.
• Производите смену паролей не реже 1 раза в год.

6. Обеспечьте безопасность кода

Разработчики иногда допускают ошибки, которые могут привести к уязвимостям в коде.

Что делать:

• Используйте статический (SAST) и динамический (DAST) анализ кода для выявления уязвимостей.
• Применяйте безопасные практики разработки (следуйте рекомендациям OWASP).
• Ограничивайте прямой доступ к критически важным данным через API.
• Внедрите систему код ревью с упором на безопасность.

7. Защитите сеть и серверы

Безопасность серверов и сетевой инфраструктуры — ключ к защите веб-приложений.

Что делать:

• Настройте файрволлы и Web Application Firewall (WAF).
• Используйте VPN для доступа к внутренним ресурсам.
• Ограничьте количество открытых портов и проверяйте конфигурации серверов.
• Включите логирование всех критически важных событий и анализируйте логи.

8. Следите за новыми угрозами и трендами в безопасности

Угрозы безопасности постоянно эволюционируют, поэтому необходимо следить за новыми тенденциями.

Что делать:

• Подписывайтесь на отчёты и базы данных уязвимостей (CVE, OWASP Top 10).
• Участвуйте в конференциях и вебинарах по информационной безопасности.
• Проводите регулярные тренинги для сотрудников по безопасности.

9. Будьте осторожны с использованием искусственного интеллекта

Многие ИИ-системы не раскрывают детали обработки данных, что создаёт риски утечки информации.

Что делать:

• Максимально анонимизируйте данные перед вводом в ИИ-системы.
• Никогда не вводите в ИИ-консоль конфиденциальную информацию (пароли, персональные данные, коммерческие тайны).
• Разработайте регламент использования ИИ-инструментов в компании.

Делимся нашим чек-листом проверки безопасности, который мы применяем на всех стадиях управления клиентскими проектами. Используя его, вы существенно повысите уровень безопасности ваших проектов и защитите бизнес от угроз.