Хочешь рассмешить регулятора? Скажи, что утечек информации не будет

Специалист по информационной безопасности компании Б-152 Александра Даньшина

Главная причина утечек — люди. Но обучение до сих пор случается «когда-нибудь потом». Процесс выстраивания информационной безопасности сложен и многогранен. Нужно определить уровни защищенности систем, спроектировать структурную схему для виденья общей картины инфраструктуры ис, смоделировать возможные угрозы, чтобы только после этого выстроить такую систему защиты, через которую не пробьется ни один злоумышленник — надежную, предусматривающую все уязвимости и адаптивную к масштабированию инфраструктуры. Казалось бы — все, беспокоиться не о чем, данные под контролем, и можно не бояться штрафов за утечки. Но, перекладывая известную поговорку на мотив информационной безопасности, можно сказать: «Хочешь рассмешить регулятора? Скажи, что твоя компания никогда не столкнется с утечками. Регулятор посмеется, пока рядовой сотрудник в это время отправляет себе на личную почту конфиденциальные документы, чтобы поработать из дома».

Действительно, как бы ни была корректно выстроена система информационной безопасности, не стоит забывать про человеческий фактор и отсутствие грамотности в цифровой гигиене среди рядовых сотрудников компании. Многие руководители до сих пор верят, что главной угрозой утечек являются хакеры, но результаты исследования рынка Privacy, проведенного компанией Б-152, говорят о другом. 44,4% компаний признают организационный хаос и человеческий фактор главными проблемами в контроле ПДн. Но только 37% используют обучение сотрудников как метрику эффективности, а 63,8% пытаются выйти из ситуации через ужесточение ответственности и штрафов. 

12 марта 2026 г. аналитический центр InfoWatch опубликовал отчет под названием «Россия, утечки информации ограниченного доступа, 2023-2025», где подробно проанализирована динамика утечек информации в организациях, а также определены отрасли с наиболее частными инцидентами по вине работников [источник]. 

По сравнению с прошлыми двумя годами, в 2025 г. наблюдается снижение количества утечек (2023 г. — 887, 2024 г. — 899, 2025 г. — 739). Также замечен спад и в количестве записей, скомпрометированных в результате инцидентов (2023 г. — 1502 млн., 2024 г. — 1714 млн., 2025 г. — 1343 млн.). Причинами уменьшения количества утечек на 17,8% и количества скомпрометированных записей на 21,6% по сравнению с 2024 г. могут являться как повышение штрафов за утечки персональных данных, что поспособствовало пересмотру отношения компаний к обеспечению информационной безопасности, так и в целом ужесточение требований к системам защиты и их реализации.

Конечно, наиболее актуальной причиной утечек все еще являются кибератаки (80%), однако раскрытие конфиденциальной информации также происходит по вине внутренних нарушителей, а именно работников организации (10,6%). Непреднамеренное нарушение информационной безопасности составляет всего 0,5%, из чего можно сделать вывод, что утечка данных происходит в результате умышленных действий сотрудников (9,6%).

Статистика за 2025 г. показывает, что отрасль, наиболее подверженная утечкам по вине внутренних нарушителей, — государственная. 43,6% утечек было реализовано в госучреждениях. На втором месте — телекоммуникационная отрасль, где утечки в 2025 г. составили 32,1%. Меньше инцидентов — в банковской отрасли (всего 9%), еще меньше — в медицинской (5,1%) и транспортной (3,8%). Оставшиеся 6,4% приходятся на утечки, произошедшие в других отраслях. 

Специалисты InfoWatch выделяют 12 типов каналов, по которым совершаются утечки. Основным каналом, естественно, являются подключенные к сети интернет устройства — 87%. Также популярным каналом распространения конфиденциальной информации остаются мессенджеры, составляя 3,8%. Еще 5% составляют другие каналы, к которым относятся устное разглашение, передача данных по электронной почте, фото, бумажные документы, кража оборудования. Оставшиеся 9,6% приходятся на каналы, которые не выявлены.

Вывод по общему количеству утечек, к сожалению, наводит на мысль, что наиболее действенным способом заставить компании начинать вкладываться в информационную безопасность, являются штрафы. Согласно исследованию Б-152, 77,6% российских компаний пугает вероятность проверки Роскомнадзора, что в 1,5 раза выше, чем страх перед самими утечками (57,8%). Бизнес больше боится наказания, чем реального инцидента и его последствий для себя, своих сотрудников и клиентов. Стоит понимать важность выделения бюджета на выстраивание системы защиты, ведь впоследствии ее отсутствие может стать угрозой финансовой устойчивости бизнеса. При этом 47% компаний называют главной сложностью при реализации 152-ФЗ нехватку денег, ресурсов и кадров. 41% компаний до сих пор не имеют выделенного бюджета на защиту персональных данных, еще 37% заморозили расходы на 2025 г. И это на фоне троекратного роста кибератак, ущерб от которых составил 1,5 трлн руб. за 2025 г.

Ну а что же все-таки делать с внутренним нарушителем? Каждому не доверять? В своей практике мы часто сталкиваемся с тем, что в компании предусмотрены организационные меры, формально обеспечивающие безопасность. Но обычные сотрудники ни разу и в глаза эти документы не видели, и уже счастье, если они о них хотя бы слышали. Исследование Б-152 говорит, что 67,7% организаций пересматривают процессы только после обращений граждан, которые заметили свои данные в открытом доступе или их использование без соглашения. 59,1% компаний усиливают защиту из-за новых требований законодательства. Репутационные риски от утечек или действия конкурентов волнуют компании значительно меньше: лишь 12% считают, что безопасность персональных данных влияет на бренд, то есть 88% даже не задумываются, сколько стоит репутация. К сожалению, бесполезно тратить бюджет на «уроки цифровой гигиены» и рассылки с напоминаниями об информационной безопасности, если работника это вообще никак не интересует и не затрагивает: поставится подпись о прослушивании лекции, письмо с рассылкой полетит в корзину. И это хорошо, если работник не имеет никаких корыстных побуждений, однако, судебная практика знает и иные случаи. 

Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну регламентирует ч.3 ст.183 УК РФ, и именно по этой статье большое количество сведений о судебных делах — в открытом доступе. Одно из таких дел связано с разглашением банковской тайны клиентов работником контактного центра одного из банков, имеющего доступ к базам данных [источник]. В 2017 г. сотрудник «К» умышленно нарушил все должностные инструкции и статью 26 Федерального закона «О банках и банковской деятельности». Размещая на теневом форуме объявления о предоставлении информации, «К» получал по 20 000 руб. за каждую совершенную сделку, в ходе которой разглашал ФИО, паспортные данные, информацию о счете и кодовом слове клиентов банка. В ходе своей незаконной деятельности «К» успел продать информацию о 20 клиентах, получив за это в общей сумме 400 000 руб. Однако был задержан в результате оперативного мероприятия сотрудниками УМВД России с поличным.  В ходе разбирательства суд приговорил «К» к выплате штрафов в размере 100 000 каждому физическому лицу, чьи данные были распространены.

Если утечка происходит по вине подрядчика, ответственность часто воспринимается как проблема извне, хотя юридические риски остаются у компании. Согласно данным исследования рынка Privacy, 64,3% компаний вообще не контролируют трансграничную передачу данных, а 10,9% респондентов даже не знают, передают ли они ПДн за границу.

Все это приводит к выводу о необходимости смещения фокуса защиты в плоскость корпоративной культуры, контроля лояльности и мониторинга поведения. При этом в зрелых структурах существуют хотя бы формализованные процедуры, но в 71% компаний процесс управления рисками нарушения законодательства вообще не внедрен. Штрафы бизнес воспринимает как разовые расходы, работа продолжается в прежнем режиме. Утечки уже многие воспринимают как обыденность, после них просто назначают виновного и обременяют ответственного сотрудника дополнительной нагрузкой даже без дополнительного обучения. Базовой мерой обеспечения защиты от утечек являются классические DLP-системы, которые настроены на выявление попыток вывода или передачи конфиденциальных данных. Такие системы эффективны и важны, но могут быть не всегда достаточны. Чтобы действовать на опережение злоумышленников, применяются системы с поведенческим анализом (UEBA). Такие системы способны анализировать поведение сотрудников в разрезе групп особого контроля и подразделений компании, выявлять аномалии поведения и выстраивать индивидуальные профили, рассчитывать индекс уязвимости сотрудника и многое другое.

Также к техническому аспекту защиты важно подключить и организационные процессы внутри компании. Умышленные утечки в подавляющем большинстве случаев совершаются сотрудниками, которые уже находятся в стадии конфликта или планируют увольнение. Поэтому верным решением будет пересмотреть процесс взаимодействия отдела Информационной безопасности с HR-отделом. С момента подачи заявления об уходе (или даже при фиксации конфликта с руководителем) доступ сотрудника к чувствительным данным должен быть автоматически сужен. Системы защиты переводятся в режим повышенного контроля за данным сотрудником. Также и при приеме на работу для позиций с доступом к особо ценным данным целесообразно использовать не только проверку службой безопасности, но и оценку рисков лояльности (склонность к нарушению правил, наличие финансовых проблем и т.д.).

Однако важно понимать, что расширение мониторинга неизбежно поднимает вопросы соблюдения трудового законодательства и права на частную жизнь. Да и перегибы с тотальным контролем могут демотивировать лояльных сотрудников и привести к оттоку кадров. Необходимо, чтобы все сотрудники были не только ознакомлены с политикой использования корпоративных ресурсов, где четко указано, что рабочее оборудование и корпоративные каналы связи подлежат мониторингу, но и в целом сотрудник понимал, какова роль его внимания к вопросам защиты информации в компании, как может рухнуть его карьера, если он будет «по доброте душевной» брать работу на дом, скачивая гигабайты конфиденциальной информации себе на флешку. Важен не только контроль, но и личная осознанность и ответственность за свои поступки. Скрытая слежка без уведомления недопустима.

Фото спикера: Б-152

Новосибирским работодателям все еще не хватает спецов по кибербезопасности