mail-nation

Управляем почтой: от домена до конверсий

Новость

Защита бизнеса от утечек персональных данных: план действий

По данным Роскомнадзора, в 2025 году зафиксировано 118 случаев компрометации баз персональных данных — в открытый доступ попало свыше 52 млн записей. За 2025 год и первый квартал 2026 года ведомство получило более 100 тыс. жалоб граждан на обработку ПДн.

Защита бизнеса от утечек персональных данных: план действий

Масштаб и категории данных

Эксперты рынка указывают, что реальные объёмы инцидентов выше официальной статистики. В публичное поле попадают базы с существенными рисками для большого числа субъектов. Критичный срез — имена, телефоны, e-mail, паспортные данные. Обезличенные технические дампы и клиентские базы с контактами дают принципиально разный ущерб. Проверьте, какие категории ПДн обрабатываются в CRM, Helpdesk и почтовых архивах, и сопоставьте с матрицей доступа.

Корневые причины

Бизнес-юрист Нина Сафиуллина перечисляет типовые первопричины инцидентов:

  • BYOD — сотрудники обрабатывают ПДн с личных устройств без MDM и DLP.
  • Передача по незащищённым каналам: SMTP без TLS, файлообменники, личные облака.
  • Отсутствие разграничения прав — избыточные роли, общие учётки.
  • Неотзыв доступов после увольнения — мёртвые аккаунты в LDAP/AD с правами на почтовые ящики и CRM.

Политика обработки ПДн на сайте не защищает базу. Защищают регламенты, матрица доступа, журналирование.

Алгоритм реагирования и контроль на почтовом контуре

При обнаружении утечки:

1. Зафиксируйте обстоятельства: время, категории данных, предполагаемые причины. Немедленно ограничьте несанкционированный доступ.

2. Сохраните доказательную базу: журналы MTA, логи аутентификации IMAP/POP3/SMTP, снапшоты БД, дампы почтовых очередей.

3. Уведомите Роскомнадзор в течение 24 часов с момента выявления признаков утечки. Передайте результаты расследования в течение 72 часов.

4. Оцените риски для субъектов ПДн. При компрометации e-mail — принудительный сброс паролей, ротация API-ключей SMTP, ревизия DKIM/SPF-политик.

5. Проведите ревизию процессов: кто имел доступ, через какие каналы передавались данные, какие устройства участвовали.

После публикации дампа ожидайте:

  • волну фишинга с подделкой отправителя на ваш домен — проверьте политику DMARC, при необходимости ужесточите до p=reject, контролируйте alignment DKIM с SPF;
  • регистрацию look-alike доменов под бренд — мониторьте зоны.ru/.com/.org вокруг бренда;
  • попытки password reset через скомпрометированные связки e-mail+телефон — принудительная MFA и ротация для затронутых учёток.

Журналы MTA, IMAP/POP3-аутентификации и панели управления доменом держите в холодном архиве. При инциденте именно они определят таймлайн компрометации.