31 октября 2025 г.

Юлия Андрейцева

Более половины утечек ПДн (персональных данных) происходят по вине сотрудников компаний, причём не только действующих, но и уволенных. Что делать, чтобы минимизировать человеческий фактор, объяснила Юлия Андрейцева, консультант по защите персональных данных в Б-152.

Не виноватые мы

Человек остаётся самым слабым звеном в системе информационной защиты, поэтому злоумышленники очень часто действуют именно через сотрудников, которые об этом, конечно же, даже не предполагают. Примеров социального инжиниринга много. Представьте себе следующие ситуации.

  • Человек видит на почте письмо от «поставщика», переходит по ссылке, вводит данные, которые в итоге отправляются мошенникам.
  • Сотруднику технической службы прилетает заявка в HelpDesk от «нового работника», которому нужно внести изменения в учётку CRM. Он не проверяет, что это за сотрудник такой, а просто выполняет задачу. В результате злоумышленник получает доступ к системе.
  • В мессенджере с аккаунта руководителя приходит ссылка на мероприятие с регистрацией через внутренние системы. Человек логинится, но оказывается, что аккаунт поддельный — злоумышленники получили логин и пароль к рабочим базам.

Случаются и курьёзные ситуации (не для руководителей, конечно), когда сотрудник отправляет отчёт не тому клиенту, оставляет в условном кафе флешку с базой, открывает на чужом компьютере облако, где в открытом доступе хранятся документы.

Я больше так не буду

Бывают «хитрые» сотрудники, которые, поработав в компании и узнав всю «кухню», открывают собственный конкурирующий бизнес, унося с собой базу клиентов. А сами клиенты даже не против, чтобы их данные, по сути, украли — им удобнее взаимодействовать с тем, кто уже знает их потребности.

Кто-то продаёт персональные данные клиентов и коллег, их с удовольствием покупают колл-центры и всевозможные мошенники, в том числе для подделки аккаунтов каршеринга и других сервисов.

А иногда человек даже не получает выгоды, просто сливает информацию, чтобы отомстить руководителю, который мало заплатил или уволил.

Я не знал

Большинство сотрудников, которые продали или слили персональные данные, даже не осознают, что нарушают закон и их могут привлечь по 3 пунктам.

  • Ст 13.11 КоАП РФ за утечку ПДн — до 800 тыс. руб.
  • 272.1 УК РФ за использование ПДн в результате утечки — штраф до 300 тыс. рублей, лишение свободы до 4 лет или принудительные работы на срок до 4 лет.
  • Ч. 2 ст. 272.2 УК РФ за использование специальных категорий ПДн в аналогичных ситуациях — штраф до 700 тыс. рублей, принудительные работы либо лишение свободы на срок до 5 лет.

Об этом нужно говорить с сотрудниками ещё при приёме на работу, чтобы они понимали, чем они рискуют, использовав ПДн в личных целях.

Как за каменной стеной

Крупные компании для защиты ПДн и ценных данных внедряют DLP-системы, которые не позволяют передавать важные данные за пределы информационной среды. Допустим, сотрудник хочет отправить список клиентов с их контактами или паспортными данными. Если он загрузит файл в облачное хранилище, чтобы поделиться ссылкой, или закинет в мессенджер, то действие будет заблокировано.

Система постоянно мониторит действия персонала и фиксирует их в журнале. Всегда можно проверить, что именно делал специалист с документами — когда заходил в систему, какие файлы открывал, что распечатывал или копировал. Если пользователь скачал много файлов, зашёл в систему поздно вечером или подключился из другого города, то DLP-система видит в этом аномалию и направляет сигнал специалистам службы безопасности.

При применении ролевой модели доступа, файлы могут видеть далеко не все сотрудники, а только те, кому они действительно необходимы для выполнения рабочих обязанностей. Например, первая линия техподдержки видит только номер договора, а не паспортные данные и адрес клиентов.

Чтобы ещё усилить защиту, нужна двухфакторная аутентификация. Даже если злоумышленники узнают логин и пароль к системе, то их будет недостаточно для авторизации.

Без бумажки вы букашка

Для максимальной защиты ПДн нужно привлекать юристов, потому что сейчас довольно распространены ситуации, когда нарушения со стороны сотрудника обнаружили, но наказать его или уволить нельзя, потому что не хватает какого-то документа.

Есть реальный юридический кейс, когда сотрудница отправляла конфиденциальные сведения через личную почту, за что её уволили. А суд восстановил её на работе, а работодателя обязал выплатить ей заработную плату за вынужденный прогул с компенсацией морального вреда. Почему? Всё дело в том, что в соглашение о коммерческой тайне оказалось условным, в нём не отражены конкретные данные, которые нельзя разглашать. По сути, сотрудница сказала, что понятия не имела, что так делать нельзя, и оказалась права.

Так что все документы нужны в первую очередь вам, поэтому не используйте шаблоны, а разрабатывайте соглашения, которые защищают ваши интересы. Включайте в них инструкции по работе с ПДн и перечисляйте, что именно к ним относится.

Мягкое увольнение

Если обнаружили утечку по вине сотрудника, главное — не делать резких движений. Нельзя просто «выгнать» человека. Сначала зафиксируйте нарушение, пусть работник напишет объяснительную, а если откажется, составьте акт отказа. Обязательно организуйте расследование инцидента по всем правилам, то есть должна быть комиссия и все полагающиеся документы.

Но даже если увольняете сотрудника по другим причинам, это не повод расслабляться, потому что человек может обидеться и захочет навредить работодателю или подумает, что после ухода на него уже не упадут подозрения. Соответственно, процесс увольнения должен быть структурированный и контролируемый.

  • Проанализируйте корпоративную активность специалиста за последние 2-4 недели: не было ли нетипичных действий. Например, проверьте логи доступа и пропустите рабочий чат через нейросеть.
  • Отзовите права доступа до того, как сообщите об увольнении. Не забудьте забрать пропуск, бейдж и другие идентификаторы, с помощью которых человек может попасть в офис и получить важные данные.
  • Убедитесь, что сотрудник не копировал данные с корпоративных устройств. Подпишите акт приёма-передачи смартфона, ноутбука или других гаджетов.
  • Проведите выходное интервью с протоколом, обсудив ответственность за разглашение конфиденциальной информации

Такой оффбординг должен быть стандартным для всех уходящих сотрудников, чтобы никто из них не подумал, что это только его так не любят или в чём-то подозревают. На первом месте стоит защита бизнес-активов, а сейчас мы живём в мире, где каждая деталь имеет значение.

Источник: Юлия Андрейцева, консультант по защите персональных данных в Б-152