Представьте ситуацию: утром в понедельник вы обнаруживаете, что база ваших клиентов продается в Telegram-канале или в открытом доступе на форуме. В этот момент у бизнеса есть ровно 24 часа, чтобы минимизировать юридические, репутационные и финансовые потери.
Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем план действий при инциденте утечки данных. Этот план должен быть «настольной книгой» для любого бизнеса, работающего с данными.
1. Фиксация инцидента
Не пытайтесь «замести следы» — это самая большая ошибка. Роскомнадзор (РКН) всё равно узнает об утечке.
Если вы уничтожите технические следы, потом будет намного сложнее:
- провести внутреннее расследование;
- определить источник утечки;
- доказать, что компания предпринимала меры защиты;
- объяснить ситуацию регулятору.
Что делать: Соберите техническую комиссию (IT-директор (иное руководство), системный администратор, юрист, при необходимости иные специалисты).
Задача:
1) Ограничить распространение инцидента и ограничить доступ к скомпрометированным системам без уничтожения данных расследования;
2) Зафиксировать:
- какие именно данные утекли,
- как это произошло (брешь в коде, кража паролей, инсайдер),
- какой объем данных скомпрометирован.
Важно: Сделайте скриншоты или нотариальную фиксацию страницы, где опубликованы ваши данные. Это понадобится для доказательства в суде или следствии.
2. Уведомление РКН
Согласно ФЗ-152, вы обязаны уведомить Роскомнадзор об инциденте:
- В течение 24 часов: Первичное уведомление о факте утечки (описание характера инцидента и предполагаемые причины).
- В течение 72 часов: Результаты внутреннего расследования, информация о принятых мерах и виновных лицах (если они установлены).
Совет: Не тяните. Самостоятельное уведомление — это смягчающее обстоятельство. Утаивание инцидента — это отягчающее.
3. Техническая изоляция
Пока юристы готовят документы, IT-отдел должен:
- Отключить скомпрометированный сервер или закрыть уязвимость (заплатку в коде).
- Сменить все доступы (пароли, API-ключи, токены).
- Проверить, не осталось ли «бэкдоров» (дополнительных путей доступа для хакеров).
4. Коммуникации: Что говорить клиентам?
Самая частая ошибка — молчать до последнего. Клиенты всё равно узнают из новостей, и доверие будет подорвано безвозвратно.
- Прозрачность: Подготовьте короткое, честное сообщение: «Произошел инцидент, мы обнаружили уязвимость, уже устранили её, данные в безопасности, мы усиливаем защиту».
- Никакого вранья: Не говорите «мы вас взломали», если данные утекли из-за того, что пароль был 123456. Люди чувствуют ложь.
5. Анализ вины и ответственность
Будьте готовы к проверке РКН. Регулятор будет смотреть на следующее:
- Аттестация: Были ли предприняты меры защиты? (Если у вас была «дырявая» защита, штраф будет выше).
- Локализация: Хранились ли данные в РФ?
- Реакция: Вы сами сообщили об утечке или вас «поймали за руку»?
Чек-лист: Что должно быть в «антикризисной папке» компании уже сегодня?
- Регламент реагирования на инциденты: Документ, где прописано, кто звонит в РКН, кто закрывает сервер, кто пишет пресс-релиз.
- Контакты юриста: Человек, который знает, как общаться с регулятором.
- Актуальные логи: Вы должны знать, кто заходил в базу и что скачивал. Если логов нет — доказать свою невиновность почти невозможно.
Заключение
Утечка данных в 2026 году — это не «конец света», а серьезный тест на зрелость бизнеса. Компании, которые умеют быстро признавать ошибки и устранять их, выживают. Компании, которые прячут голову в песок, получают максимальные штрафы и теряют репутацию.
P.S. У вас нет регламента действий на случай утечки? Вы не уверены, сможете ли доказать регулятору, что «сделали всё возможное» для защиты данных? Напишите на kartashovdmitriyi@yandex.ru — помогу разработать регламент реагирования на инциденты и провести аудит вашей инфраструктуры, чтобы «дыр» в защите стало в разы меньше.