Контакты
Подписка 2026

Персональные данные: малый и средний бизнес под прицелом

Людмила Астахова, 02/09/25

Злоумышленники больше не идут напролом в крупные компании, они заходят с фланга через малый и средний бизнес. Утечки, штрафы, незнание закона, иллюзия “мы никому не нужны” – все это делает МСБ не просто уязвимыми, а удобной точкой входа в чужую инфраструктуру

Автор:  Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)

ris1_w-Sep-02-2025-01-47-18-8447-PM

По результатам исследований, в 2024 г., как и годом ранее, сохраняется тенденция роста доли утечек информации из малых организаций: показатель увеличился с 18,1% до 27,8%. При этом большинство инцидентов связано с утечками персональных данных – они составляют 64,8% от общего числа случаев в России. Персональные данные малого и среднего бизнеса все чаще становятся мишенью злоумышленников. Кто виноват и что делать в первую очередь?

Малый и средний бизнес зачастую находится в плену стереотипа: он якобы не интересует злоумышленников, охотящихся за персональными данными. Но, как известно, любые стереотипы рано или поздно рушатся. На глазах исчезает и этот. По статистике, в 2024 г. киберпреступники выкладывали в Интернет данные, утекшие преимущественно от небольших компаний. Объем таких утечек от представителей малого и среднего бизнеса вырос в 4 раза по сравнению с прошлым годом. Как выяснили аналитики Kaspersky Digital Footprint Intelligence, только за I квартал 2024 г. у представителей МСБ утекли 47 млн записей данных (против 12 млн в прошлом году) [1]. По итогам 2024 г. тренд на увеличение количества утечек из малых организаций сохраняется [2].

МСБ страдает сегодня не только от внешних угроз, но все больше – и от внутренних нарушителей, действующих преднамеренно. Анализ данных о внутренних инцидентах показал, что в 2023 г. 71% компаний МСБ сталкивались с попытками слива информации. В большинстве случаев инсайдеры пытались передать вовне финансовую информацию (64%), техническую документацию (50%) и персональные данные клиентов (47%).

МСБ стал привлекателен для злоумышленников

Часто малый и средний бизнес – поставщик или подрядчик крупных организаций, он имеет доступ к персональным данных последних, но защищает их недостаточно. Крупный бизнес в последние годы усилил свою защиту, а вот малые и средние организации не обладают достаточными знаниями и ресурсами для полноценной защиты от киберугроз, что делает их более привлекательными для атакующих [3].

Угрозы ПДн в МСБ усилились неслучайно – злоумышленникам стали очевидны их уязвимости.

Во-первых, малые и средние организации недооценивают опасность угроз обрабатываемым персональным данным ("у нас малый бизнес, кому мы нужны") и не защищают ПДн. В организациях порой нет обученного ответственного за ПДн, а где-то и вовсе имеют лишь смутное представление о персональных данных. Игнорирование проблемы на фоне роста числа утечек ПДн из МСБ, статистические данные о которых приведены выше, – это ошибка, отрыв от реальности, а потому – опасная уязвимость.

Во-вторых, если малые и средние организации все же понимают важность обеспечения безопасности ПДн, они имеют ограниченные ресурсы: не могут позволить себе обучить ответственного за организацию обработки ПДн, обучить ИТ-специалиста основам кибербезопасности (а часто ИТ-специалиста и вовсе нет в штате организации), крайне редко проводят аудит систем безопасности, а о внедрении систем защиты данных нет и речи. После ускоренного перехода на онлайн-сервисы после 2020 г. они не всегда внедряют адекватные меры безопасности. Все это упрощает несанкционированный доступ к информационным системам персональных данных (ИСПДн), и МСБ становится слабым звеном в цепочке партнерства для крупных компаний.

Злоумышленники выбирают цели с оптимальным соотношением затрат и потенциальной выгоды. Низкие затраты на атаку и высокая доходность определяют сегодня тенденцию к смещению фокуса злоумышленников с крупных корпораций на субъекты МСБ. Сегодня вся ИБ-отрасль испытывает острый дефицит специалистов, и уж тем более – специалистов, которые способны организовать обработку ПДн в условиях ограниченных ресурсов МСБ.

В-третьих, малые и средние организации зачастую плохо осведомлены (или недостаточно осведомлены) о требованиях российского законодательства в области ПДн. Между тем, эти требования касаются всех операторов ПДн, в том числе и МСБ. Если они и знают о таких требованиях, то выполняют их часто некорректно. Так, например, результаты проверок Роскомнадзора показали, что наиболее частым нарушением обработки ПДн на сайте является отсутствие размещенного на сайте согласия на обработку ПДн, а также нарушения, связанные с некорректным содержанием размещенных на сайтах политик (ч. 1 ст. 18.1 152–ФЗ) [4]. Причем нарушение правил может быть не только непреднамеренным (от неосведомленности), но и маскироваться под намеренное принятие комплаенс-рисков. Нормы ФЗ–152 "О персональных данных" (ст. 18.1 и ст. 19) имеют множество нюансов, превращающих их практическое применение поистине в науку и искусство. К сожалению, еще не все избавились от заблуждения о тождестве понятий "защита информации" и "техническая защита информации". Защита ПДн в МСБ – это не только программноаппаратные и технические меры, но в большей степени – обязательные организационные меры по требованиям технической защиты ПДн.

Нормативно-правовая база по ПДн стремительно меняется. Так, с 2006 г. в 152–ФЗ "О персональных данных" изменения вносились более тридцати раз. Государственные регуляторы – ФСБ России, ФСТЭК России, Роскомнадзор – постоянно принимают новые нормативные акты, отраслевые министерства и ведомства также вносят свой вклад. Большие дискуссии вызвали нашумевшие изменения, внесенные недавно в Уголовный кодекс РФ, КоАП РФ, Трудовой кодекс РФ. Все эти обновления требуют исполнения. Если не исполняются – это уязвимость и для субъектов, и для операторов ПДн.

Мы проанализировали динамику составов правонарушений в области обработки ПДн и штрафов за эти правонарушения в 2007–2025 гг. – она впечатляет. Если в 2007 г. мы имели дело только с одним составом, то сегодня, в 2025 г., составов уже 18. И если в 2007 г. штраф для руководителя составлял 500–1000 руб., то сегодня эта сумма поднялась до 2 млн руб. Еще более рискует организация: штраф за правонарушение в области ПДн может составить 500 млн руб. Что это за составы? Каковы штрафы за правонарушения в МСБ? Каковы три условия, чтобы получить смягчающие обстоятельства? Неспособность МСБ детально разобраться в составах правонарушений, оценить и минимизировать риски потенциального ущерба за неправильную работу с персональными данными – это серьезная уязвимость для МСБ как оператора.

Как избавиться от таких уязвимостей?

Новая норма сегодня – не ждать, пока грянет гром, а, согласно ст. 22.1 ФЗ–152, назначить ответственного за организацию обработки ПДн в своей организации. Целесообразнее на эту роль выбрать не ИТ-специалиста, а того, кто понимает бизнес-процессы организации и движение ПДн внутри этих процессов. А вот штатного ИТ-специалиста следует назначить ответственным за защиту ПДн, как это рекомендовал операторам персональных данных Роскомнадзор 8 августа 2023 г. [5].

Что дальше? Чтобы не отставать от нормативной базы и новых технологий несанкционированного доступа к защищаемой информации, ответственные за ПДн в организациях МСБ обязаны постоянно обновлять свои компетенции в этой области [6]. Эта обязанность предусмотрена ст. 18.1 п. 6 ФЗ–152 "О персональных данных" как мера, направленная на обеспечение выполнения оператором обязанностей, предусмотренных этим Федеральным законом: "ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников".

Своевременными были бы, конечно, институциональные решения – нормативное закрепление обязательности и периодичности обучения и повышения квалификации, внедрение обязательных краткосрочных курсов по 152–ФЗ для ответственных за ПДн, как это предусмотрено, например, постановлением Правительства РФ № 399. Но пока таких решений нет, требуется обучать их на курсах профессиональной переподготовки или повышения квалификации по ПДн и далее регулярно обновлять их компетенции. Ответственные, в свою очередь, могут обучать сотрудников своих организаций, вовлеченных в процесс обработки ПДн.

Проактивные инвестиции в обучение, как известно, гораздо эффективнее реактивных расходов после инцидентов с утечками ПДн. Но хочется предостеречь МСБ от бесполезных трат и без того ограниченных средств на формальные "корочки". Курсы необходимо выбирать у организаций-лицензиатов, имеющих реальную практику оказания услуг по обработке и защите ПДн, состоящих в перечне организаций, осуществляющих образовательную деятельность, и имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК России. Только они имеют опыт системного подхода к адекватному, персонализированному решению этих задач, в том числе – в условиях ограниченных ресурсов малых и средних организаций с учетом их специфики.

В заключение

Итак, персональные данные в малом и среднем бизнесе становятся все более привлекательной мишенью для злоумышленников. А учитывая игнорирование проблем ПДн в МСБ-организациях, ограниченные ресурсы МСБ и недостаточное внимание к обновлению знаний о меняющихся нормах и технологиях работы с ПДн, – еще и более легкой добычей. МСБ не может сегодня, как раньше, игнорировать вопросы обучения и непрерывного повышения квалификации своих работников, ответственных за организацию обработки ПДн. Это – главный, первоочередной шаг.

Да и регуляторы, и судебная система отнесутся к вам благосклонней, если ваши ответственные за организацию обработки и защиту ПДн будут иметь актуальные знания и умения в области их обработки и защиты.


  1. https://www.dp.ru/a/2024/06/06/hakeri-perekljuchilis-s-bolshogo
  2. https://www.infowatch.ru/analytics/analitika/utechki-informatsii-v-rossii-otchet-za-proshedshiy-god
  3. https://www.dp.ru/a/2024/06/06/hakeri-perekljuchilis-s-bolshogo
  4. https://www.comnews.ru/content/231651/2024-02-20/2024-w08/1008/rossiyskie-sayty-zabyli-pro-politiki-konfidencialnosti
  5. https://rkn.gov.ru/press/news/news74733.htm
  6. https://imoib.ru/institute/news/obuchenie-v-oblasti-personalnyh-dannyh-eto-ne-vre-mennyy-trend-norma-novoy-realnost
Темы:Персональные данныеЖурнал "Информационная безопасность" №3, 2025
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Утечка данных и судебная практика в 2026 году
    Российские компании входят в эпоху реального правоприменения в сфере персональных данных. В 2025 г. шесть организаций получили штрафы за утечки, при этом Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Соотношение говорит само за себя: суды только разгоняются. В 2026 г. накопленная практика начала давать первые устойчивые сигналы о том, как именно суды оценивают вину операторов и когда готовы ее смягчить или вовсе снять. Разбираем четыре ключевых дела и делаем выводы.
  • Эволюция контроля ПДн в организациях
    Людмила Астахова, д.п.н., профессор, заместитель директора по методической и научной работе ООО “Институт мониторинга и оценки информационной безопасности” (Москва)
    Функция контроля обработки персональных данных в организациях Российской Федерации претерпевает системную трансформацию, переходя от формального документального соответствия к интегрированной бизнес-функции. Давайте проанализируем ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
  • ПДн в маркетинге – где проходит черта законности
    Константин Холманов, консультант по персональным данным компании Б-152
    Маркетинг не может жить без данных, поскольку их наличие обеспечивает понимание целевой аудитории, фокуса продукта и слабых сторон. Однако собирая данные через обратную связь, опросы, исследования либо через сам продукт, многие не до конца осознают, что это в первую очередь персональные данные, обработка которых должна обеспечиваться законом. Рассмотрим обработку персональных данных в маркетинге под новым углом.
  • Трансграничная передача данных: алгоритмы соблюдения требований и актуальные риски
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    С момента масштабных изменений в регулировании трансграничной передачи персональных данных (ТПД), вступивших в силу в марте 2022 г., практика применения законодательства претерпела значительную эволюцию. Если на начальном этапе перед операторами стояла задача первичного приведения документов в соответствие с обновленными нормами Федерального закона № 152-ФЗ, то к 2026 г. акцент сместился в сторону фактического исполнения требований и взаимодействия с регулятором в условиях сформировавшейся правоприменительной практики.
  • Аутсорсинг процессов с точки зрения законодательства о персональных данных
    Дарья Грунтович, Аналитик научно-исследовательского отдела "ОКБ САПР"
    Популярность аутсорсинга технологических и бизнес-процессов в России продолжает расти, что неудивительно: этот подход дает компаниям реальные преимущества. Он позволяет оптимизировать бюджет, гибко управляя затратами на инфраструктуру и персонал, получить доступ к узкоспециализированной экспертизе без долгосрочных инвестиций и сконцентрировать внутренние ресурсы на ключевых, профильных задачах, повышая общую эффективность бизнеса.
  • Персональные данные: прогноз на 2026 год
    Если десять лет назад хакеров интересовали только компании-гиганты, в основном в столице и нескольких городах-миллионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкиваются даже индивидуальные предприниматели, самозанятые и просто физические лица.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...