Внутренние проблемы компаний стали причиной массовых утечек данных

    Изображение: www.magnific.com/ru

    По данным Роскомнадзора, в 2025 году было зафиксировано 118 случаев компрометации баз данных, в результате которых в открытый доступ попало более 52 млн записей. За этот период и первый квартал 2026 года ведомство получило свыше 100 тысяч жалоб от граждан, связанных с обработкой персональных данных.

    Основные причины утечек кроются во внутренних проблемах компаний, пишет «Газета.Ru» со ссылкой на бизнес-юриста, руководителя частной юридической практики, эксперта по персональным данным, интеллектуальной собственности и цифровым продуктам Нину Сафиуллину. Чаще всего, по ее словам, инциденты происходят из-за использования сотрудниками личных устройств для работы, передачи данных через незащищенные каналы связи, а также сохранения доступа к информации после увольнения работников. При этом реальные масштабы утечек могут значительно превышать официальную статистику.

    Эффективная защита требует комплексного подхода к организации системы безопасности. Важными элементами являются разработка внутренних регламентов, четкое распределение ответственности, контроль доступа к данным и наличие процедур реагирования на инциденты. При этом простое размещение политики обработки данных на сайте не гарантирует защиту от утечек.

    Алгоритм реагирования на инцидент включает несколько ключевых этапов. После обнаружения утечки необходимо зафиксировать обстоятельства инцидента, ограничить несанкционированный доступ к данным, сохранить доказательную базу, в течение 24 часов уведомить Роскомнадзор, провести внутреннее расследование в течение 72 часов, оценить риски для пользователей и принять меры по минимизации возможного ущерба.

    Последствия утечки, по словам Нины Сафиуллиной, зависят от типа скомпрометированных данных. Утечка обезличенных технических данных несет меньший риск по сравнению с компрометацией баз, содержащих персональные сведения: имена, телефоны, адреса и паспортные данные.

    Профилактика инцидентов должна осуществляться заблаговременно. Как подчеркивает эксперт, если до инцидента не были выстроены внутренние процессы, распределена ответственность и ограничен доступ к информации, устранить эти недостатки после утечки становится практически невозможно. Готовность к инциденту определяется не количеством документов на сайте, а эффективностью выстроенных в компании процессов обработки и защиты персональных данных.