С 30 мая 2025 года сильно возросла ответственность за утечку персональных данных. Штрафы для компаний, которые хранят данные клиентов и сотрудников, теперь могут достигать сотен миллионов рублей. Поэтому растёт спрос на специалистов по информационной безопасности. Forbes подсчитал, что уже в июне количество ИБ-вакансий в России за 2025 год выросло на 20%.
Сегодня разберёмся в ситуации как программисты: что такое утечка данных, как различаются потери и чем они могут быть опасны для клиентов и компаний.
Что такое утечка персональных данных
Утечка информации означает, что у кого-то появился доступ к данным, которые должны быть закрыты для всех, у кого нет разрешения соответствующего разрешения.
Если говорить про разработку, то чаще всего это данные клиентов, которые передавали в организации свои документы, номера телефонов, адреса электронной почты и другие вещи, по которым можно установить личность.
Утечка данных бывает не только у программистов. Есть ещё профессиональная тайна: врачебная, государственная, адвокатская, тайна исповеди у священника. Раскрытие этих данных тоже считается утечкой.
Первая IT-работа: 30 откликов — тишина. Знакомо?
Карьерный навигатор Практикума разберёт ваше резюме, проложит маршрут к первому работодателю, подготовит к собеседованиям в 2026 году, а с января начнёт подбирать вакансии именно под вас.
Бесплатно до 15 января!
Чем утечка отличается от потери данных
При утечке информация попадает к людям, к которым попасть была не должна.
А потеря данных может быть какой угодно — например, можно потерять ключ от флешки с биткоинами или данные на жёстком диске или облаке из-за поломки.
Получается так:
- Утечка информации — это когда данные уходят куда-то наружу, к другим людям.
- Потеря — когда владелец данных теряет к ним доступ.
Какие данные считаются персональными
Если по-простому, то это любые личные сведения, к которым запрещён доступ без согласия владельца, то есть несанкционированный.
Персональные данные — широкая категория, в которую попадает всё, что может прямо или косвенно идентифицировать человека. Этот список различаются от страны к стране, но в основном это Ф. И. О., дата рождения, адрес, номер телефона, личные фото и видео, паспортные данные, сведения о доходах. Электронные идентификаторы, такие как IP-адрес или cookie, тоже считаются персональными данными.
Виды конфиденциальной информации, подверженной утечкам
Чаще всего под «конфиденциальными» и «персональными» данными имеют в виду одно и то же. Но иногда конфиденциальными называют что-то такое, что может нанести серьёзный вред владельцу: эти вещи уже не просто позволяют идентифицировать человека, а могут оказать на него давление:
- медицинские данные;
- биометрия;
- политические взгляды;
- сведения о религии;
- генетическая информация.
Нам как разработчикам не так важно глубоко разбираться в видах закрытой информации. Главное, чтобы личные данные не попали к злоумышленникам. Штрафы для бизнеса за утечку данных тоже не делятся на категории в зависимости от типа информации. Поэтому любая компания, которая собирает данные, должна максимально защититься от взлома и утечки конфиденциальных данных.
Пароли и хеши
Серьёзные компании хранят в базах данных не пароли, а хеши.
Хеш — это шифр, который получается после сканирования файла или набора файлов специальной программой. Качественные программы выдают неповторимый хеш на каждый набор файлов. Даже если в длинном тексте заменить всего один символ, хеш поменяется. Но при этом он всегда будет одинаковым, если в данных ничего не менялось.
Как связаны пароли и хеши: при регистрации пользователь придумывает пароль. Система добавляет к этому паролю соль: случайные один или несколько символов. Потом хеширует пароль вместе с солью и записывает результат в базу данных. Когда пользователь хочет войти в свой аккаунт, приложение снова берёт его пароль, добавляет сохранённую соль, хеширует и сравнивает хеши. Если они одинаковые, то и пароли тоже одинаковые, юзера можно авторизовать в системе.
Но если программа для хеширования слабая, хеш можно взломать. А некоторые компании действительно хранят в базах данных пароли в чистом виде. Поэтому использовать один пароль на всех сайтах опасно: если злоумышленник получит один пароль, он сможет авторизоваться и на других ресурсах тоже.
Полезный блок со скидкой
Если вам интересно разбираться со смартфонами, компьютерами и прочими гаджетами и вы хотите научиться создавать софт под них с нуля или тестировать то, что сделали другие, — держите промокод Практикума на любой платный курс: KOD (можно просто на него нажать). Он даст скидку при покупке и позволит сэкономить на обучении.
Бесплатные курсы в Практикуме тоже есть — по всем специальностям и направлениям, начать можно в любой момент, карту привязывать не нужно, если что.
Реальные примеры утечек из жизни
Самые неприятные случаи злонамеренного использования чужих данных связаны с наиболее уязвимыми сферами человеческой жизни: здоровьем, финансами, репутацией.
Поэтому главное, что может сделать человек, чтобы защититься от таких утечек, — не пользоваться сомнительными сервисами. Но иногда это невозможно, например при лечении.
Вот два примера.
Утечка Ashley Madison
В 2015 году хакеры взломали платформу для поиска внебрачных связей Ashley Madison и потребовали прекратить работу сайта. Когда компания отказалась, в открытом доступе разместили в общей сложности 130 гигабайт данных клиентов и сотрудников.
За удаление аккаунтов компания брала деньги. Многие клиенты заплатили, но в итоге всё равно остались в опубликованных базах. После взлома начались массовые вымогательства и скандалы, потому что данными мог пользоваться кто угодно.
Какие выводы можно сделать из этой истории:
- Любая компания, которая получила ваши данные, потенциально владеет ими пожизненно. Даже если кажется, что вы удалили личную информацию, на самом деле это может быть не так.
- Если ваши данные оказались в сети, их могут украсть, даже если они вроде бы защищены. Например, из-за ошибки пароли на сайте неправильно хешировались, и в итоге было взломано 11 млн паролей.
- Чем чувствительнее информация, тем она опаснее. Данные Ashley Madison вызвали много скандалов, увольнений и разводов. Поэтому перед тем, как что-то рассказать про себя кому-то в интернете, нужно несколько раз подумать, кому вы рассказываете и что именно.
Утечка 23andMe
В 2023 году из компании персональной генетики 23andMe украли записи о 7 млн пользователей. Хакеры похитили данные, которые клиенты платформы открывали своим генетическим родственникам: имя, дата и место рождения, фотографии семейных архивов, информацию о членах семьи и генеалогическом древе.
Только после взлома компания ввела обязательную двухфакторную идентификацию. Ещё выяснилось, что пострадали только пользователи, которые разрешили просмотр профиля генетическим родственникам. А взлом профилей происходил через credential stuffing — это использование паролей с других сайтов.
Что тут можно сказать:
- Даже если ваш аккаунт защищён, его могут взломать через связанные аккаунты. В примере с 23andMe это были аккаунты родственников.
- Генетическую и биологическую информацию невозможно (или очень сложно) заменить. Если кредитки и документы можно перевыпустить, то информация, например, о ДНК человека не изменится уже никогда. Получается, что даже компании, которые работают с самым чувствительным типом данных на сегодня, не могут защитить их на 100%. Расследование выявило несколько очевидных дыр в безопасности: кроме отсутствия двухфакторной аутентификации, разрешалось использовать старые пароли, а часть функций была изначально небезопасной.
Что я могу сделать, чтобы мои данные не утекли
Главное правило — делиться только той информацией, которую вам было бы не жалко обнародовать публично. В крайнем случае тем, что вы можете быстро заблокировать к использованию или перевыпустить.
Нужно постараться помнить ещё про несколько вещей.
Ваш пароль могут украсть. Старайтесь везде где можно использовать двухфакторную аутентификацию для входа через дополнительное приложение. И выходите из аккаунта, когда не пользуетесь сервисом.
Не верьте никаким звонкам по поводу денег — аудио, видео, от знакомых или родственников. Голос и аудио можно подделать, информацию о ваших картах и других документах — взломать или найти в интернете в открытом доступе.
Если звонят из банка или госорганов, просите прислать уведомления через официальные приложения и почту или просите перезвонить через несколько дней. За это время вы сможете проверить всё, что вам сказал по телефону собеседник.
Чаще всего информацию крадут из браузера. Что можно сделать для безопасности:
- Не хранить пароли в браузере. Используйте менеджер паролей и двухфакторную аутентификацию.
- Выключить автозаполнение платёжных данных.
- Удалить ненужные расширения, которые могут передавать данные.
Большинство уязвимостей закрывают обновления. Поэтому весь софт нужно регулярно обновлять до последней версии.
Главные причины утечек персональных данных
Единой причины утечки личной информации нет. Но есть несколько основных, которые случаются чаще всего.
1. Человеческий фактор: ошибки сотрудников и инсайдеры
Людей можно обмануть фальшивым письмом или звонком. Информацию можно разгласить ненамеренно из-за ошибки, например случайно отправить письмо или сказать что-то в разговоре. Наконец, сотрудники компании могут намеренно продать данные клиентов.
2. Внешние угрозы: атаки и вредоносное ПО
Хакеры могут намеренно подготовить атаку на уязвимость в программном обеспечении. Чаще всего это проявляется не сразу: в систему внедряется шпионский софт, который постепенно и незаметно собирает информацию. По данным IBM, сейчас на обнаружение и устранение таких программ уходит 257 дней.
3. Технические сбои и неверные настройки систем
Для безопасной работы все сервисы и приложения нужно настроить: разграничить уровни доступа всех пользователей и сотрудников, закрыть видимость неважных для работы данных, подключить мониторинг системы.
Отсутствие шифрования, слабые пароли и устаревшие версии ПО тоже относятся к ошибкам настройки системы в компании.
Есть ещё технические сбои, когда сервисы начинают работать не так, как надо, и могут открыть уязвимости третьим лицам. Чаще всего это происходит из-за увеличенной нагрузки, к которой программы и разработчики оказались не готовы.
Ответственность за утечку персональных данных в РФ
С 2025 года штрафы и ответственность за утечки данных сильно выросли.
Административная ответственность по КоАП (ст. 13.11)
Здесь про обработку или передачу персональных данных без основания и несоблюдение условий закона. Полный текст со всеми штрафами можно прочесть на consultant.ru.
Утечка персональных данных делится на количество взломанных аккаунтов. В зависимости от этого компания может понести ответственность от 1 до 15 миллионов рублей.
Уголовная ответственность по УК РФ (ст. 137, 272, 273)
Уголовная ответственность подразумевает уже не только денежные штрафы, но и лишение свободы.
Наказывается умышленное раскрытие персональных данных без согласия лица и неправомерный доступ к компьютерной информации. Сюда же относится создание, использование или распространение вредоносных программ.
Пример — статья УК РФ 272.1.
Гражданско-правовая и дисциплинарная ответственность
Компании и их сотрудники могут быть привлечены к гражданско-правовой ответственности — компенсации ущерба, штрафам по договору, взысканиям. К дисциплинарной ответственности работники могут быть привлечены по трудовому праву за нарушение правил обработки данных.
Что делать, если произошла утечка конфиденциальной информации?
Для компании и обычного человека порядок действий различается.
Обязанности оператора по 152-ФЗ: уведомление Роскомнадзора
Если компания обнаружила, что чья-то конфиденциальная информация из её баз данных похищена, отвечающие за безопасность сотрудники должны оценить масштаб утечки и уведомить Роскомнадзор и тех, чьи данные попали в чужие руки. После этого в течение 3 суток провести подробное расследование и закрыть уязвимости.
Как себя вести физическому лицу, чьи данные утекли
Если вам стало известно о возможной утечке ваших данных, лучше это проверить.
Например, можно отследить информацию о себе на сервисах Have I Been Pwned и Firefox Monitor, введя адрес электронной почты:
Менеджеры паролей часто умеют отслеживать утечки. Если вы увидели, что какой-то из ваших идентификаторов или паролей есть в сети, его нужно заменить.
Если беспокоитесь за банковские карты, напишите в поддержку банка и узнайте, может ли кто-то получить доступ к счетам без вашего согласия.
Ещё можно обратиться в организацию, где произошла утечка, и попросить подробно объяснить последствия и возможность компенсации.
Что самое главное
Помните, что полной приватности в интернете не существует. Если не хотите, чтобы какую-то информацию о вас украли и выложили в открытый доступ, не делитесь ей ни с кем в сети.
Ещё бороться с утечками и предотвращать их сложно, но можно и нужно. Если вам интересно, как это происходит и что нужно для этого знать, попробуйте курсы Практикума по информационной безопасности. В большинстве наших программ есть бесплатная часть, а ещё можно посмотреть состав курса и узнать всё, чему там учат и что нужно делать после обучения.
Бонус для читателей
Если вам интересно погрузиться в мир ИТ и при этом немного сэкономить, держите наш промокод на курсы Практикума. Он даст вам скидку при оплате, поможет с льготной ипотекой и даст безлимит на маркетплейсах. Ладно, окей, это просто скидка, без остального, но хорошая.
