Что делать при утечке персональных данных: пошаговый план реагирования

Утечка обнаруживается в самый неудобный момент: в пятницу вечером, в выходной, во время отпуска ответственного. И первая ошибка большинства компаний — паника вперемешку с попыткой «по-тихому всё откатить»: удалить подозрительные файлы, перезагрузить сервер, сменить пароли и сделать вид, что ничего не было. Это худший сценарий. Он уничтожает доказательства, не останавливает утечку и не снимает ни одной обязанности перед регулятором.

Правильное реагирование на утечку персональных данных — это последовательность, в которой технические действия идут параллельно с правовыми, а не вместо них. Ниже — пошаговый план: что делать в первые часы, что требует 152-ФЗ (Федеральный закон «О персональных данных»), как провести расследование, устранить последствия и не получить повторную утечку через месяц.

Важная оговорка с первой строки. Кибер Авангард — IT-аутсорсер и NOC (Network Operations Center — центр управления сетью и мониторинга). Мы отвечаем за техническую часть реагирования: обнаружение, фиксацию, изоляцию, расследование, устранение. Юридическую оценку инцидента — квалификацию, расчёт рисков, подготовку уведомлений, общение с регулятором — даёт юрист. Поэтому везде, где речь о правовых последствиях, в тексте стоит пометка «уточнять с юристом», и это не формальность.

Первые часы: обнаружение, фиксация, изоляция

Первые часы определяют всё: и размер ущерба, и качество будущего расследования, и то, останется ли у вас доказательная база для регулятора и для возможного спора. Логика трёх шагов — обнаружить и подтвердить, зафиксировать доказательства, изолировать без разрушения следов.

Шаг 1. Подтвердить, что это действительно утечка

Не каждый алерт — утечка. Сработавший детектор DLP (Data Loss Prevention — система предотвращения утечек данных), всплеск исходящего трафика или жалоба клиента «мне звонят мошенники и называют мой заказ» — это сигналы, которые нужно проверить. Команда реагирования смотрит логи, сопоставляет события и отвечает на вопрос: подтверждается ли несанкционированный доступ к персональным данным или их выгрузка. Зафиксируйте точное время обнаружения — от него пойдёт отсчёт срока уведомления Роскомнадзора.

Шаг 2. Зафиксировать доказательства, не уничтожая следы

Это самый недооценённый шаг. Прежде чем что-либо «чинить», сохраните:

• логи доступа, журналы аутентификации, логи веб-сервера и СУБД (системы управления базами данных) за релевантный период;
• образы дисков или снапшоты затронутых виртуальных машин — снимаются до любых изменений;
• дампы сетевого трафика, если мониторинг их пишет;
• состояние оперативной памяти скомпрометированной машины, если её ещё не выключали (там могут быть ключи и активные сессии атакующего).

Главное правило фиксации: не выключайте и не переустанавливайте систему «чтобы наверняка». Выключение уничтожает память и часть артефактов, переустановка стирает всё. Изоляция — это не уничтожение.

Шаг 3. Изолировать и остановить продолжающуюся утечку

Если данные утекают прямо сейчас (активная сессия атакующего, работающий вредонос, открытый наружу бэкап), утечку нужно остановить — но аккуратно. Отключите скомпрометированную систему от сети (физически или правилом на межсетевом экране), заблокируйте скомпрометированные учётные записи, отзовите токены и ключи. Цель — перекрыть канал, сохранив систему как вещественное доказательство.

Параллельно с техническими шагами собирается команда реагирования: ИТ/NOC, ответственный за обработку персональных данных, руководитель, юрист. И сразу запускается отсчёт: до уведомления Роскомнадзора — 24 часа.

Обязанности по 152-ФЗ: уведомление за 24 и 72 часа

С 30 мая 2025 года вступили в силу поправки, которые ужесточили порядок реагирования на инциденты с персональными данными. Ключевая для технической службы цифра — сроки уведомления Роскомнадзора.

В течение 24 часов с момента выявления инцидента оператор обязан направить в Роскомнадзор предварительное уведомление об утечке. Это первое, «быстрое» сообщение о факте.

В течение 72 часов оператор подаёт итоговый отчёт по результатам внутреннего расследования — с уточнёнными данными об инциденте.

То есть это два отдельных уведомления, а не одно. И первое из них нужно подать в очень короткий срок, когда полной картины ещё нет, — поэтому фиксация времени обнаружения и быстрый сбор первичной фактуры (что произошло, какие системы, предварительный объём) критичны. Точные формы уведомлений, каналы подачи и состав сведений нужно сверять с актуальными требованиями Роскомнадзора на дату инцидента и готовить вместе с юристом.

Что касается ответственности за нарушение требований 152-ФЗ — её квалификация (включая уголовную, статья 272.1 УК РФ за незаконные действия с персональными данными) и расчёт конкретных санкций находятся в зоне юриста. Размеры административных штрафов мы приводим ниже, в разделе FAQ, как факты для понимания масштаба рисков, — но применение к вашему случаю должен подтвердить юрист.

Техническая служба не подаёт уведомления и не оценивает состав правонарушения. Её задача — дать юристу точную, документированную фактуру в темпе, который позволяет уложиться в 24 часа.

Расследование: как утекло и в каком объёме

Пока юрист готовит уведомление, техническая команда отвечает на два вопроса: как произошла утечка и в каком объёме. От второго напрямую зависит квалификация штрафа — поэтому объём считается по фактам, а не «на глаз».

Как утекло — вектор и причина

Типичные векторы, которые проверяет команда:

• компрометация учётной записи (фишинг, подбор пароля, утёкшие в прошлом креды) — отсюда требование к MFA (многофакторной аутентификации);
• эксплуатация уязвимости во внешнем сервисе — веб-приложении, VPN-шлюзе, почтовом сервере;
• незащищённый наружу ресурс: открытая база, бэкап в публичном облаке, тестовый стенд с боевыми данными;
• инсайдер — сотрудник или подрядчик с легитимным доступом;
• цепочка поставок — взлом через стороннего поставщика или интегратора.

Расследование опирается на сохранённые на шаге 2 доказательства: логи, образы, трафик. Цель — восстановить хронологию: когда атакующий получил доступ, что он делал, к каким данным дотянулся.

В каком объёме — сколько и чьих данных

Здесь нельзя ошибаться в сторону «наверное, немного». Команда устанавливает по журналам доступа и выгрузок: какие таблицы и файлы были доступны, что реально выгружено, сколько уникальных субъектов затронуто и какие категории данных ушли — ФИО, контакты, паспортные, платёжные, специальные категории. Эта цифра — субъекты — определяет и квалификацию штрафа, и решение об уведомлении субъектов. Поэтому она должна быть подтверждена данными, а не оценкой.

Устранение и уведомление субъектов

Когда вектор понятен, начинается устранение. Логика — закрыть конкретную причину, а не «усилить безопасность вообще»:

• закрыть использованную уязвимость (патч, переконфигурация, отключение лишнего сервиса);
• сбросить и перевыпустить все скомпрометированные учётные данные, ключи, токены, сессии;
• включить или усилить MFA на затронутых сервисах;
• убрать наружу всё, что не должно смотреть в интернет;
• восстановить системы из заведомо чистого бэкапа, если была компрометация или шифровальщик;
• усилить мониторинг точки входа, чтобы зафиксировать возможный повторный заход атакующего.

Параллельно решается вопрос уведомления субъектов персональных данных — тех людей, чьи данные затронуты. Нужно ли уведомлять, в какой форме и в какие сроки — определяет юрист и комплаенс-служба исходя из требований законодательства и характера инцидента. Техническая роль здесь — предоставить точный список затронутых субъектов и категорий данных, на основе которого принимается решение. Это снова стык: фактуру даёт ИТ, правовое решение принимает юрист.

Профилактика повтора

Повторная утечка — это не только новый инцидент, но и резко более тяжёлая ответственность: за повтор предусмотрен оборотный штраф (процент от годовой выручки). Поэтому после устранения обязателен разбор и план «чтобы не повторилось».

Что входит в профилактику на технической стороне:

• Закрыть класс проблемы, а не один случай. Если утекло через незакрытую уязвимость — нужен регулярный сканер уязвимостей и процесс установки патчей. Если через подобранный пароль — обязательная MFA и парольная политика.
• Проверить периметр целиком. Разовый пентест (тест на проникновение) и регулярный аудит безопасности показывают, нет ли таких же дыр в соседних системах.
• Сегментировать и ограничить доступ. Принцип минимальных привилегий: у каждой учётки только тот доступ, который реально нужен. Чтобы взлом одной точки не открывал всю базу.
• Настроить мониторинг и DLP. Чтобы следующая попытка выгрузки данных породила алерт в NOC за минуты, а не вскрылась через жалобу клиента через месяц.
• Отработать план реагирования на учениях. План, который никто не репетировал, в боевом инциденте работает наполовину.

Организационную и правовую часть профилактики (актуализация политики обработки персональных данных, пересмотр договоров с подрядчиками, обучение сотрудников) ведут ответственный за персональные данные и юрист.

Роль аутсорсера и NOC в реагировании

Чтобы было предельно ясно, где проходит граница ответственности, — таблица.

Что делает IT-аутсорсер и NOC (техническая часть):

• круглосуточный мониторинг и раннее обнаружение инцидента по логам и алертам;
• подтверждение факта утечки и фиксация времени обнаружения;
• сбор и сохранение доказательств без разрушения следов;
• изоляция затронутых систем и остановка продолжающейся утечки;
• техническое расследование: вектор атаки, хронология, объём и состав утёкших данных;
• устранение причины и восстановление систем из чистого состояния;
• передача юристу документированной фактуры в темпе, позволяющем уложиться в 24 часа.

Что остаётся за юристом (правовая часть):

• квалификация инцидента и оценка правовых рисков;
• подготовка и подача уведомлений в Роскомнадзор (24 ч / 72 ч);
• решение об уведомлении субъектов и его форма;
• взаимодействие с регулятором и правоохранительными органами;
• оценка административной и уголовной ответственности.

Кибер Авангард работает в технической части. У нас NOC 24/7, который ловит аномалии до того, как они станут публичными, и команда реагирования, которая умеет фиксировать доказательства и расследовать инцидент, а не просто «перезагрузить и забыть». Юридическую оценку мы оставляем юристу и помогаем ему точной фактурой — без неё ни одно уведомление и ни одна защита не строится.

FAQ

В какой срок нужно уведомить Роскомнадзор об утечке персональных данных?

По 152-ФЗ (с учётом поправок, вступивших в силу с 30 мая 2025 года) — в два этапа: предварительное уведомление в течение 24 часов с момента выявления инцидента и итоговый отчёт по результатам расследования в течение 72 часов. Это два отдельных уведомления. Формы и каналы подачи сверяйте с актуальными требованиями Роскомнадзора на дату инцидента.

Какие штрафы грозят компании за утечку персональных данных в 2026 году?

Для юридических лиц размер административного штрафа зависит от объёма: от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей; от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей; более 100 000 субъектов — от 10 до 15 млн рублей. За повторную утечку — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн рублей. Квалификацию по вашему случаю должен подтвердить юрист.

Есть ли уголовная ответственность за утечку персональных данных?

Да, введена уголовная ответственность за незаконное использование и передачу персональных данных (статья 272.1 УК РФ). Конкретные составы и сроки нужно уточнять с юристом применительно к обстоятельствам инцидента — это вопрос правовой квалификации, а не технического реагирования.

Нужно ли уведомлять самих субъектов персональных данных об утечке?

Обязанность и порядок уведомления субъектов определяет юрист и комплаенс-служба исходя из требований законодательства и характера инцидента. Технический подрядчик и NOC предоставляют точные данные: кто затронут, какие категории и в каком объёме. На этой фактуре строится решение.

Что делать в первую очередь, если обнаружена утечка?

Зафиксировать факт и время обнаружения, сохранить доказательства (логи, образы, дампы трафика) без уничтожения следов, изолировать затронутые системы для остановки утечки, собрать команду реагирования и запустить отсчёт 24-часового срока уведомления. Технические шаги — за ИТ/NOC, юридическая оценка — за юристом.

Чем при утечке помогает IT-аутсорсер или NOC, а что остаётся за юристом?

IT-аутсорсер и NOC: обнаружение и подтверждение по логам, фиксация доказательств, изоляция, расследование вектора и объёма, устранение и восстановление. Юрист: квалификация инцидента, расчёт рисков, уведомления в Роскомнадзор и субъектам, взаимодействие с регулятором. Кибер Авангард работает в технической части и передаёт юристу точную фактуру.

Как понять объём утечки — сколько данных и чьих именно ушло?

По результатам технического расследования: анализ логов доступа и выгрузок, журналов СУБД, исходящего трафика, артефактов в скомпрометированных системах. Цель — установить, что было доступно атакующему, что реально выгружено, сколько уникальных субъектов затронуто и какие категории данных. Эта цифра определяет квалификацию штрафа и решение об уведомлении, поэтому подтверждается фактами.

Вывод

Реагирование на утечку персональных данных — это дисциплина, а не импровизация. Первые часы решают всё: подтвердить, зафиксировать доказательства, изолировать без разрушения следов и сразу запустить отсчёт 24 часов до уведомления Роскомнадзора (и 72 часов до итогового отчёта). Дальше — расследование вектора и точного объёма, устранение причины, решение об уведомлении субъектов и профилактика повтора, чтобы не попасть под оборотный штраф.

Граница простая: техника — на ИТ и NOC, право — на юристе. Кибер Авангард закрывает техническую часть: мониторинг, обнаружение, фиксацию, расследование и устранение, передавая юристу фактуру, на которой строится защита. Если хотите, чтобы инцидент не застал врасплох, — лучше подготовиться заранее: настроить мониторинг, MFA, сканирование уязвимостей и отрепетировать план реагирования до того, как он понадобится в боевом режиме.