Только около половины российских компаний внедрили полный набор средств защиты персональных данных, который требуется законодательством. Такие результаты показал анонимный опрос ИТ-директоров и руководителей по информационной безопасности средних и крупных организаций из разных отраслей. Главная проблема заключается не только в нехватке технических средств защиты, но и в том, что многие компании нерегулярно проверяют, как именно у них обрабатываются и защищаются персональные данные.
Что показал опрос
По данным исследования К2 Кибербезопасность, все необходимые средства защиты персональных данных есть лишь у 51% российских организаций. В обязательный набор входят антивирусная защита, межсетевой экран, средства защиты технологий виртуализации и криптографическая защита информации.
Это означает, что почти половина компаний пока не закрыла базовые технические требования. Для бизнеса такая ситуация опасна не только с точки зрения закона, но и с точки зрения реальной устойчивости к кибератакам. Если персональные данные клиентов, сотрудников или партнёров плохо защищены, риск утечки становится выше.
Персональные данные могут включать фамилии, имена, телефоны, адреса электронной почты, паспортные сведения, данные сотрудников, клиентские анкеты, договоры и другую чувствительную информацию. Потеря таких данных может привести к штрафам, репутационному ущербу и претензиям со стороны клиентов.
Почему документов недостаточно
Интересно, что с документами у компаний ситуация выглядит лучше. Большинство опрошенных организаций заявили, что разработали политику и полный комплект внутренних документов, которые регулируют обработку и защиту персональных данных. Также многие сообщили, что ознакомили сотрудников с этими документами и назначили ответственного за организацию обработки персональных данных.
Но наличие документов само по себе не означает реальной безопасности. Политика обработки персональных данных важна, но она не защищает систему от вредоносных программ, фишинга, взлома учётных записей, утечки баз данных или неправильной настройки доступа.
Главный разрыв возникает между формальным соответствием и практической защитой. Компания может иметь регламенты, приказы и инструкции, но при этом не проводить регулярный аудит, не обновлять средства защиты, не контролировать доступы и не проверять, как данные реально хранятся и передаются.
Проблема регулярного аудита
Одна из самых слабых точек — аудит процессов обработки и защиты персональных данных. По требованиям законодательства его нужно проводить не реже одного раза в три года, но, по данным опроса, так поступают только 34% компаний.
Регулярный аудит нужен для того, чтобы понять, где находятся персональные данные, кто имеет к ним доступ, как они защищены, передаются ли они третьим лицам, используются ли устаревшие системы и нет ли нарушений в процессах обработки. Без такой проверки компания может даже не знать, где именно у неё есть слабые места.
Особенно важен аудит для организаций, где данные обрабатываются в разных системах: CRM, кадровых базах, бухгалтерии, облачных сервисах, маркетинговых платформах, сайтах, мобильных приложениях и службах поддержки. Чем больше таких точек, тем выше вероятность ошибки.
Почему защита персональных данных стала важнее
В последние годы утечки персональных данных стали одной из самых заметных киберугроз. В открытый доступ попадают базы клиентов, номера телефонов, адреса электронной почты, данные заказов и другая информация, которую затем могут использовать мошенники.
Для злоумышленников такие базы ценны, потому что позволяют проводить более точные атаки. Если мошенник знает имя человека, его номер телефона, город, банк, магазин или сервис, которым он пользовался, обман становится убедительнее. Поэтому утечка персональных данных может превращаться в основу для фишинга, телефонного мошенничества и атак социальной инженерии.
Для бизнеса последствия тоже становятся серьёзнее. Компания теряет доверие клиентов, сталкивается с негативной публичностью, проверками и возможными финансовыми санкциями. Поэтому защита персональных данных уже не может быть формальностью только для отчёта перед регулятором.
Ответственность за утечки может усилиться
На момент публикации материала обсуждались законопроекты, которые должны усилить административную и уголовную ответственность за утечки и незаконное использование персональных данных. Предлагалось привязать размер штрафов к объёму утекшей информации.
Если данные потеряны в небольшом объёме, наказание может быть одним, а при массовой утечке — значительно более серьёзным. Такой подход делает защиту персональных данных финансово важной задачей для бизнеса: чем больше база, тем выше потенциальные риски при её компрометации.
Для компаний это означает необходимость заранее приводить системы в порядок. Ждать проверки или инцидента опасно, потому что после утечки исправлять ситуацию гораздо сложнее, чем заранее выстроить защиту.
Что нужно делать компаниям
Первый шаг — понять, какие персональные данные есть у компании и где они хранятся. Это могут быть базы клиентов, сотрудников, кандидатов, подрядчиков, пользователей сайта, участников акций, покупателей и подписчиков. Без такой инвентаризации невозможно выстроить полноценную защиту.
Второй шаг — проверить технические средства защиты. Нужны антивирусы, межсетевые экраны, криптографическая защита, контроль доступа, защита виртуализации, резервное копирование, мониторинг событий и регулярное обновление систем. Точный набор зависит от инфраструктуры и требований законодательства.
Третий шаг — регулярно проводить аудит. Он должен быть не разовым мероприятием, а частью управления информационной безопасностью. По результатам аудита нужно устранять найденные нарушения, обновлять документы, пересматривать права доступа и обучать сотрудников.
Роль сотрудников
Даже сильные технические средства не гарантируют безопасность, если сотрудники не понимают, как обращаться с персональными данными. Ошибка может быть простой: отправить файл не тому адресату, загрузить базу в неподходящий облачный сервис, открыть фишинговое письмо или сохранить документ на личном устройстве.
Поэтому обучение сотрудников должно быть практическим. Люди должны понимать, какие данные считаются персональными, кому их можно передавать, какие каналы допустимы, как распознавать фишинг и что делать при подозрении на утечку.
Назначение ответственного за обработку персональных данных — важная мера, но она не должна оставаться формальностью. У такого человека должны быть полномочия, ресурсы и поддержка руководства, иначе система защиты будет существовать только на бумаге.
Заключение
Исследование К2 Кибербезопасность показало, что только 51% российских компаний внедрили все необходимые средства защиты персональных данных, требуемые законодательством. Ещё более слабым местом оказался регулярный аудит: его не реже одного раза в три года проводят лишь 34% организаций. При этом с документами ситуация лучше: 71% компаний заявили, что подготовили политику и полный набор регламентов по обработке и защите персональных данных.
Главный вывод заключается в том, что формальная документация не заменяет реальную защиту. Бизнесу нужны технические средства, регулярные проверки, контроль доступа, обучение сотрудников, актуальные регламенты и понятный план действий при утечке. В условиях роста кибератак и ужесточения ответственности за потерю персональных данных защита таких сведений становится не бюрократической обязанностью, а важной частью устойчивости компании.