Как защита данных работает на устойчивость бизнеса

С 30 мая 2025 г. штраф за массовую утечку персональных данных доходит до 15 млн руб., повторное нарушение — до 3% годовой выручки, минимум 20–25 млн руб. Параллельно введена ст. 272.1 УК РФ: за незаконное использование и передачу персональных данных предусмотрена уголовная ответственность. До этой даты потолок составлял 500 тыс. руб. — сумму, которую крупный бизнес списывал на операционные расходы.

Годами стратегия «дешевле заплатить штраф» оставалась рабочей. Сейчас оборотные штрафы считаются по году, а часть ответственности — личная, на уровне руководителя компании. Защита данных перешла из категории расходов на соблюдение требований в категорию решений об устойчивости бизнеса.

Параллельно с ужесточением закона растет уровень угроз: атаки на веб-ресурсы и серверную инфраструктуру, социальная инженерия, использование ИИ злоумышленниками. По данным Positive Technologies, около половины успешных атак приводят к утечке конфиденциальной информации, еще около 40% — к нарушению основной деятельности. Прямые финансовые потери и юридические издержки — лишь верхушка. Дальше идут отток клиентов, обесценивание бренда и остановка процессов — именно эти последствия определяют судьбу компании после инцидента.

У бизнеса два способа закрыть техническую часть 152-ФЗ. Первый — построить периметр защиты самостоятельно: сертифицированные средства, специалисты нужной квалификации, аттестация системы, регулярные обновления и аудиты. Максимум контроля, но капитальные затраты и постоянные операционные расходы.

Второй — разместить информационную систему персональных данных (ИСПДн) в аттестованной облачной инфраструктуре провайдера. Капитальные затраты заменяются операционными, аттестация облака уже пройдена. Важная оговорка: аттестация распространяется на инфраструктуру провайдера, поэтому каждый владелец ИСПДн все равно проходит собственную оценку соответствия — но с аттестованным облаком эта процедура заметно проще. Вместе с базовой защитой в модель входят антивирус, NGFW-файрвол, защита от DDoS, мониторинг и регламентированные процессы реагирования на инциденты.

Вопрос для бизнеса звучит уже не «как соответствовать 152-ФЗ», а «как встроить защиту данных в процессы, чтобы она не отставала от изменений». Компании, которая выстраивает защиту заранее, не приходится искать решение в авральном режиме в момент инцидента — а именно это сегодня обходится бизнесу дороже всего.