Утечка звучит как история про хакеров и корпорации, но в практике малого бизнеса она выглядит буднично: менеджер отправил файл с клиентской базой не в тот чат, подрядчик выложил бэкап в открытый доступ, взломали почту, к которой привязана CRM. С точки зрения закона всё это инциденты с персональными данными, и у оператора с этого момента тикают часы.
Что требует закон: 24 и 72 часа
С момента обнаружения инцидента оператор обязан уведомить Роскомнадзор в течение 24 часов: что произошло, какие данные и какого количества субъектов затронуты, предполагаемые причины и вред, принятые меры и контактное лицо. В течение 72 часов направляется второе уведомление: результаты внутреннего расследования и сведения о виновных, если они установлены.
Сутки это очень мало. За это время нужно понять масштаб, остановить утечку, собрать факты и корректно заполнить уведомление. Компании, которые слышат о 24 часах впервые в момент инцидента, тратят их на панику.
Цена молчания выросла
С 2025 года за утечки действуют серьёзно повышенные штрафы: фиксированные суммы исчисляются миллионами и зависят от объёма утёкших данных, а при повторной утечке штраф становится оборотным: до трёх процентов годовой выручки. Отдельно наказывается само неуведомление РКН. Логика законодателя прозрачна: скрывать инцидент теперь дороже, чем честно о нём сообщить.
Первые 24 часа по шагам
- Зафиксируйте время обнаружения: от него считаются все сроки. Скриншоты, письма, логи.
- Остановите утечку: закройте доступ, смените пароли, отзовите ссылки, изолируйте взломанный сервис.
- Оцените масштаб: какие категории данных, сколько людей, был ли доступ третьих лиц реальным или только возможным.
- Подайте уведомление в РКН через форму на портале. Лучше неполное, но в срок: детали доедут во втором уведомлении.
- Начните внутреннее расследование и документируйте каждый шаг: это основа уведомления на 72-м часу и ваша защита при разбирательстве.
Что сделать до инцидента
Подготовка занимает день, а экономит миллионы. Назначьте ответственного за инциденты и запасного на время отпусков. Напишите короткий регламент на одну страницу: кто кому звонит, кто считает масштаб, кто подаёт уведомление. Проверьте, у кого физически есть доступы к базам и CRM: чем короче список, тем меньше сценариев утечки. И держите под рукой шаблон уведомления: заполнять его в панике с нуля то ещё удовольствие.