Защита бизнеса от утечек персональных данных: план действий
По данным Роскомнадзора, в 2025 году зафиксировано 118 случаев компрометации баз персональных данных — в открытый доступ попало свыше 52 млн записей. За 2025 год и первый квартал 2026 года ведомство получило более 100 тыс. жалоб граждан на обработку ПДн.

Масштаб и категории данных
Эксперты рынка указывают, что реальные объёмы инцидентов выше официальной статистики. В публичное поле попадают базы с существенными рисками для большого числа субъектов. Критичный срез — имена, телефоны, e-mail, паспортные данные. Обезличенные технические дампы и клиентские базы с контактами дают принципиально разный ущерб. Проверьте, какие категории ПДн обрабатываются в CRM, Helpdesk и почтовых архивах, и сопоставьте с матрицей доступа.
Корневые причины
Бизнес-юрист Нина Сафиуллина перечисляет типовые первопричины инцидентов:
- BYOD — сотрудники обрабатывают ПДн с личных устройств без MDM и DLP.
- Передача по незащищённым каналам: SMTP без TLS, файлообменники, личные облака.
- Отсутствие разграничения прав — избыточные роли, общие учётки.
- Неотзыв доступов после увольнения — мёртвые аккаунты в LDAP/AD с правами на почтовые ящики и CRM.
Политика обработки ПДн на сайте не защищает базу. Защищают регламенты, матрица доступа, журналирование.
Алгоритм реагирования и контроль на почтовом контуре
При обнаружении утечки:
1. Зафиксируйте обстоятельства: время, категории данных, предполагаемые причины. Немедленно ограничьте несанкционированный доступ.
2. Сохраните доказательную базу: журналы MTA, логи аутентификации IMAP/POP3/SMTP, снапшоты БД, дампы почтовых очередей.
3. Уведомите Роскомнадзор в течение 24 часов с момента выявления признаков утечки. Передайте результаты расследования в течение 72 часов.
4. Оцените риски для субъектов ПДн. При компрометации e-mail — принудительный сброс паролей, ротация API-ключей SMTP, ревизия DKIM/SPF-политик.
5. Проведите ревизию процессов: кто имел доступ, через какие каналы передавались данные, какие устройства участвовали.
После публикации дампа ожидайте:
- волну фишинга с подделкой отправителя на ваш домен — проверьте политику DMARC, при необходимости ужесточите до p=reject, контролируйте alignment DKIM с SPF;
- регистрацию look-alike доменов под бренд — мониторьте зоны.ru/.com/.org вокруг бренда;
- попытки password reset через скомпрометированные связки e-mail+телефон — принудительная MFA и ротация для затронутых учёток.
Журналы MTA, IMAP/POP3-аутентификации и панели управления доменом держите в холодном архиве. При инциденте именно они определят таймлайн компрометации.