Алексей Дрозд, 12/08/25
Заместитель главы Роскомнадзора предложил [1] крупным компаниям предоставить свои ресурсы для обработки и защиты персональных данных у малого бизнеса. Инициативу эксперт обосновал тем, что МСП часто не уделяют достаточного внимания информационной безопасности и взаимодействию с регулятором. По его мнению, крупному бизнесу хватит ресурсов, чтобы хранить и защищать данные других предприятий. Давайте разберемся, насколько актуально предложение регулятора и какая реальная помощь в защите от утечек доступна малому и среднему бизнесу.
Автор: Алексей Дрозд, начальник отдела безопасности "СёрчИнформ"
Большие проблемы малого бизнеса
От 20% до 59% малых предприятий считают ключевым и самым уязвимым ИТ-активом сведения в CRM и базах контрагентов [2]. Основная угроза этой информации – внутренние ИБ-инциденты. 78% МСП предприятий столкнулись с ними [3]. Эти нарушения влекут за собой риски, критичные для малого бизнеса.
МСП в B2C-сегменте стремятся к расширению базы клиентов: создают программы лояльности и клиентоцентричные сервисы. Инцидент с данными из такой базы угрожает правам граждан: информация о людях – основное "топливо" для кибермошенников. Поэтому утечки у B2C-компаний значительно подрывают доверие к бизнесу.
Если малая или средняя компания – подрядчик другой организации, то ИБ-инцидент в ней угрожает данным контрагента. При этом возникает и риск атаки на него через цепочку поставок. Заказчики знают об этом и в 60% случаев считают нужным учитывать при выборе подрядчика его уровень ИБ [4].
Для малых компаний особую угрозу несут и новые штрафы за инциденты ИБ. Даже для крупного предприятия сумма в 3–15 млн руб. за утечку – серьезная потеря, не говоря уже об 1%–3% выручки. В малом бизнесе штраф даже за первый инцидент может составить большую долю оборота. Так что утечка ПДн для малой компании связана с риском банкротства [5].
Компаниям МСП не хватает средств, ресурсов и людей, чтобы обеспечить безопасность персональных данных. Они могут храниться и на одном сервере с другими файлами, и в облаке, и на компьютерах сотрудников. А так как бюджет сильно ограничен, то из ИБ-средств в лучшем случае есть антивирус и файрвол. О такой ситуации с вложениями в защиту заявляют от 64% до 82% МСП. ИБ-службы нет или ее задачи лежат на непрофильных сотрудниках в 68% МСП.
Выход есть?
В этой ситуации адекватным решением становится защита ПДн с помощью внешних подрядчиков. Существует два варианта такого взаимодействия.
Первый – локализация ПДн на ресурсах другой организации – обработчика. Это формат, который предложил эксперт Роскомнадзора. Однако у такого механизма есть серьезный недостаток: оператор персональных данных теряет контроль над ними. Эти файлы хранятся, обрабатываются и защищаются по правилам подрядчика и могут быть использованы им. Любой инцидент в инфраструктуре обработчика нарушает процессы работы с данными у его клиентов, а задержка с выполнением их требований и запросов чревата для них штрафами.
К тому же ЦОДы и облачные сервисы – излюбленная мишень хакеров. Чем крупнее подрядчик, тем выше риск атаки на него. И так один инцидент ставит под угрозу множество клиентов.
Ответственность перед гражданами все равно несет изначальный оператор персональных данных. Репутационные риски, компенсация морального вреда, проверка регулятора ложатся на него. Поэтому даже небольшие компании часто предпочитают хранить ПДн у себя.
Другой вариант услуг для повышения защищенности персональных данных – аутсорсинг информационной безопасности. В этом случае данные остаются на ресурсах оператора. Провайдер ИБ-аутсорсинга подключает ИБ-средства к инфраструктуре заказчика. С их помощью он отслеживает опасные события, выявляет нарушения и риски, сообщает о них и предотвращает инциденты.
В таком формате подрядчик работает по задачам заказчика, согласовывает с ним действия и предоставляет отчетность. Оператор персональных данных обеспечивает их защиту, не меняя своих бизнес-процессов. Провайдеры ИБ-аутсорсинга – сами, как правило, небольшие компании и не могут пренебрегать интересами клиентов. А поскольку персональные данные от операторов не аккумулируются у подрядчика, риск утечки на его стороне минимизируется.
Соответствие этих услуг нормативным требованиям и компетенции провайдеров ИБ-аутсорсинга подтверждается лицензиями на техническую защиту информации, сертификатами ФСТЭК России для применяемых ИБ-средств, данными исследований [6].
Выводы
Способ защиты персональных данных, не подвергающий их риску, не требующий изменения бизнес-процессов и дополнительных затрат на собственную ИБ, уже существует. Это фактически кооперация МСП для решения ИБ-задач, которая учитывает интересы операторов персональных данных и сохраняет за ними контроль за обрабатываемой информацией.
ИБ-аутсорсинг зарекомендовал себя как эффективный и доступный способ защиты информации. 23% государственных и частных организаций уже используют или планируют использовать эту услугу [7]. Отказ от локализации данных у провайдера, использование доверенных ИБ-решений и поддержка ИБ-вендоров повышают его популярность.
- https://ib-bank.ru/bisjournal/news/22044
- https://asi.ru/library/main/198679/
- https://searchinform.ru/news/company-news/2025/5/21/sideways-firms-kickbacks-and-data-theft-sme-owners-told-how-employees-harm/
- https://searchinform.ru/blog/2025/2/17/they-meet-with-information-security-companies-choose-counterparties-based-on-their-information-security-level/
- https://www.forbes.ru/tekhnologii/508702-malyj-biznes-predupredil-o-bankrotstvah-iz-za-strafov-za-utecku-personal-nyh-dannyh
- https://searchinform.ru/uploads/sites/1/2025/02/globalnoe-issledovanie-2024.pdf
- https://searchinform.ru/survey/global-2024/
