Проверка страшнее кражи. Российский бизнес боится Роскомнадзора больше, чем хакеров

Проверки Роскомнадзора называют главным риском 77,6% российских компаний — почти в полтора раза чаще, чем реальные утечки данных (57,8%). Такие данные приводит компания Б-152 в исследовании рынка Privacy. Компании боятся не потерять данные, а получить предписание.

При этом уголовная ответственность за утечки перестала быть историей про хакеров. Только за первое полугодие 2025 года зафиксировано 601 случай незаконной обработки персональных данных, возбуждено 313 уголовных дел. В открытом доступе оказались 135 баз данных с 750 миллионами записей россиян. Количество судебных споров по персональным данным за два года выросло на 71% — с 10 256 в 2021 году до 17 497 в 2023-м. Ущерб от кибератак в 2025 году составил 1,5 триллиона рублей при троекратном росте их числа. Максимальное наказание — до шести лет лишения свободы и штрафы до 500 миллионов рублей.

Фигуранты уголовных дел — не взломщики и не торговцы базами. Судебная практика 2022–2025 годов по статье 272.1 УК РФ показывает: под следствие попадают рядовые сотрудники, которые не закрыли доступ к файлам, переслали данные не туда или унесли базу при увольнении. Нередко таких людей назначали ответственными за персональные данные без какого-либо обучения — по принципу «кто-то же должен». 44,4% компаний называют организационный хаос и человеческий фактор главным трендом в регулировании персональных данных. При этом 63,8% компаний называют ужесточение ответственности главным регуляторным трендом, но лишь 37% используют обучение сотрудников как метрику эффективности.

Бюджеты на защиту данных не растут. 41% компаний не выделяют на персональные данные ничего, ещё 37% заморозили расходы на 2026 год. Лишь 19% увеличили затраты в 2025 году. Половина компаний оценивает бюджет на персональные данные в 10% и менее от ИТ-расходов. При этом рынок информационной безопасности в целом растёт на 20–25% в год: компании готовы покупать программное обеспечение, но не выстраивать процессы. 47% называют нехватку денег, ресурсов и кадров главной проблемой при исполнении требований 152-ФЗ, 46% признают тотальное непонимание важности privacy внутри компании, ещё 66% жалуются на противоречивость законодательства.

Результат предсказуем: защита персональных данных во многих компаниях держится не на выстроенных процессах, а на личной инициативе конкретных сотрудников, которым эта задача досталась в дополнение к основным обязанностям. 40,5% компаний фиксируют общий скепсис и цинизм в работе с персональными данными — люди не верят в то, чем занимаются, потому что система не даёт им ни полномочий, ни ресурсов.

С 30 мая 2025 года штрафы за повторные утечки исчисляются миллионами и долями оборота. Но 59,9% компаний по-прежнему оценивают эффективность privacy исключительно через соответствие законодательству. Влияние на репутацию бренда учитывают лишь 12%, на скорость запуска продуктов — 9,5%. У 24% компаний метрик эффективности privacy нет вообще.

Отдельная проблема — подрядчики. 64,3% компаний не отслеживают, что происходит с данными после передачи облачным сервисам, колл-центрам, маркетинговым агентствам и HR-платформам. Договор подписан, но реальная практика безопасности на стороне партнёра остаётся вне контроля.

Технологический разрыв усугубляет положение. Злоумышленники применяют искусственный интеллект для точечного фишинга под конкретного сотрудника, автоматического поиска уязвимостей в корпоративных системах и создания дипфейк-голосовых команд от имени руководителей. Среди распространённых мер защиты со стороны компаний — запрет мессенджеров, антивирус образца 2018 года и расчёт на сознательность персонала. 41,4% компаний называют технические и практические сложности значимым трендом, а 36,6% говорят о практической невозможности выполнить требования регулятора.