Аудит безопасности на пике спроса: компании готовятся к рекордным штрафам за утечки данных

3 апреля 2025

Эксперты по кибербезопасности компании Angara Security сообщают о значительном увеличении числа запросов на аудит персональных данных (ПДн) со стороны бизнеса. В условиях ужесточения законодательных мер и повышения штрафов за утечки данных, компании стремятся защитить свои данные и избежать финансовых санкций.

Если в ноябре 2024 года компаниям было подано 330 запросов на услуги по защите данных, что к концу месяца возросло до 920. В декабре наблюдался пятикратный рост, что отражает нарастающее беспокойство бизнеса по поводу соблюдения законодательства. «Начало 2025 года ознаменовано повышенным спросом на услуги по защите персональных данных. Ожидается, что новая волна интереса возникнет летом этого года, когда начнутся первые выписывания штрафов», — комментирует Александр Хонин, руководитель отдела консалтинга и аудита в Angara Security.

Россия стабильно входит в Топ-10 стран по числу утечек конфиденциальной информации, что уже стало вопросом государственного значения и угрожает национальной безопасности. По данным Роскомнадзора, в январе-феврале 2025 года зафиксировано 19 случаев распространения в интернете баз данных с более чем 24 миллионами записей. В рамках этих инцидентов уже составлены пять протоколов об административном правонарушении против компаний, допустивших утечки.

30 ноября 2024 года были введены новые поправки в законодательство, которые увеличили размеры штрафов и ввели уголовную ответственность за утечки данных. В конце мая 2025 года вступят в силу изменения в Кодекс об административных нарушениях, которые кратно увеличат штрафы за утечки ПДн и внедрят оборотные штрафы за повторные нарушения. Размер максимального штрафа возрастет с 18 до 500 миллионов рублей, а за повторные утечки предусмотрены штрафы в диапазоне от 1% до 3% годового оборота, при этом минимальная сумма составит 25 миллионов рублей.

Александр Хонин также отмечает, что запросы на аудит и критерии оценки работы компаний в области обработки и защиты ПДн зависят от их зрелости и текущего состояния дел. «Организации проводят аудит процессов обработки и защиты ПДн на соответствие требованиям федерального законодательства, а также на соответствие требованиям Роскомнадзора и других регуляторов», — добавляет он.

«По итогам аудита требуется выстраивать процессы обработки и защиты ПДн с учетом полученных результатов. Это включает в себя формирование требований по безопасности и совершенствование системы защиты», — подчеркивает эксперт.

Тем не менее, важно отметить, что интерес к аудиту может снизиться в отсутствие реальных наказаний. «Если законодатели не начнут применять настоящие санкции, мы вернемся к ситуации, когда защита ПДн не будет восприниматься как важная часть бизнеса», — предостерегает Хонин.

Представитель Angara Security также подчеркивает, что «аудит информационной безопасности – это не волшебная таблетка», которая решит все проблемы. Это лишь индикатор текущего состояния дел в области защиты ПДн. «Рекомендации, выдаваемые по результатам аудита, должны быть выполнены на стороне заказчика. Если они игнорируются, риск успешных атак и попадания под финансовые санкции регуляторов остается высоким», — резюмирует Хонин.