Защита персональных данных сегодня не просто требование закона, а один из ключевых факторов доверия к бизнесу и государственным сервисам. Утечки информации, взломы баз, ошибки в работе с подрядчиками могут обернуться для компаний серьезными финансовыми и репутационными потерями. Какие угрозы сегодня наиболее актуальны? Что должны учитывать организации при работе с данными клиентов и сотрудников? Об этом продюсеру радио «Business FM Челябинск» Марии Полевщиковой рассказала заместитель министра информационных технологий, связи и цифрового развития Челябинской области Елена Лукашина.
— Какие типичные уязвимости в обработке персональных данных встречаются чаще всего в организациях?
— Федеральным законом о персональных данных определены требования к организациям, которые обрабатывают персональные данные. Прежде всего у них есть обязанности — это подача уведомления в Роскомнадзор о том, что они начали обрабатывать персональные данные, назначение ответственного лица за обработку, принятие различных организационных и технических мер по защите. Главной уязвимостью во всей этой деятельности всегда остается человек. Поэтому самое важное — предотвратить основные проблемы. Они возникают, когда сотрудники не знают или не понимают, что они обрабатывают персональные данные, что необходимо обеспечивать их секретность. Поэтому с человеком нужно работать.
— Разъяснительные беседы надо вести.
— Да.
— Можете ли вы привести примеры реальных инцидентов — утечек, взломов в стране и в регионе за последний год? И, конечно же, какие меры нужно было принять, на ваш взгляд, чтобы избежать этих инцидентов?
— В 2025 году Роскомнадзор официально зафиксировал 118 случаев компрометации баз данных, где было более 52 миллионов записей. Это чуть меньше, чем в 2024 году, когда было 135 случаев. То есть у нас тенденция к снижению. Самая крупная утечка произошла в госсекторе еще в самом начале 2025 года, в январе. Тогда были выкачаны базы Росреестра. Хакеры заявили, что получили доступ к очень большому количеству информации, к 2 миллиардам записей, которые содержали фамилию, имя, отчество, паспортные данные, место проживания, СНИЛС и так далее. Что касается Челябинской области, то у нас не было зафиксировано за указанный период каких-то крупных утечек. Те инциденты, которые мы знаем, не были связаны именно с утечкой персональных данных. Поэтому у нас каких-то масштабных инцидентов не было.
Для предотвращения таких инцидентов, конечно, в первую очередь не нужно собирать избыточные персональные данные, то есть надо минимизировать их количество. Например, если вы работаете с клиентом и для рабочих процессов не нужны место проживания и дата рождения, соответственно, не надо их фиксировать в базах данных на всякий случай, как это иногда бывает. Как уже сказала, у нас самые уязвимые — это сотрудники, поэтому необходимо проводить обучение для работников, доносить до них меры по ответственности за утечку персональных данных. Сейчас могут быть штрафы до полумиллиона рублей. Мне кажется, если такую информацию донести до сотрудника, он задумается 10 раз, прежде чем что-то куда-то сливать. Ну и, конечно же, необходимо обеспечивать безопасность баз данных, исключая к ним свободный доступ особенно тех сотрудников, которым они не нужны в рабочем процессе.
— Какие риски несет в себе использование современных технологий, таких как машинное зрение, искусственный интеллект, потому что сегодня, конечно, они в тренде. Как вообще эти риски минимизировать?
— Действительно, сейчас нейросети часто обучаются на очень больших объемах данных, куда могут попадать в том числе и персональные данные. Очень часто бывает, что и хакеры могут получать несанкционированный доступ к этим данным, какие-то утечки бывают, сливы информации. Кроме того, в некоторых случаях даже данные, переданные в такие сервисы, могут потом случайно всплыть при определенных запросах. Были примеры, когда в чате GPT, если сделать правильно запрос, то можно выкачать какие-то данные по людям. Системы искусственного интеллекта работают как черный ящик, и даже разработчики сами не всегда могут понять и объяснить, как модель принимает решения, так как нейросети самостоятельно формируют алгоритмы в процессе обучения. И это иногда влияет на принятие решений и проверку их справедливости. То есть могут быть какие-то ошибки, предвзятости, особенно в критически важных сферах, таких как медицина, финансы.
Технологии машинного зрения для распознавания лиц могут идентифицировать людей по изображениям и видео, при этом сопоставляя данные даже из открытых источников, соцсетей, государственных баз данных. И тут, конечно, встает вопрос о неприкосновенности частной жизни. То есть, если твои фотографии есть в интернете, можно определить, где ты ходишь, ездишь. Поэтому, чтобы минимизировать риски при использовании искусственного интеллекта в бизнесе, в первую очередь, нужно сократить необходимый объем персональных данных, а в идеале обезличивать набор данных, который направляется в искусственный интеллект.
— Как изменилось законодательство в области обработки персональных данных и на что следует обратить особое внимание?
— В конце 2024 года президент подписал закон, усиливающий ответственность за утечки персональных данных и их незаконный оборот. С мая 2025 года очень сильно повысились штрафы. На граждан — до полмиллиона, на компании — до 5 миллионов за неправильную обработку или за слив информации. В 2025 году ужесточили требования к операторам и усилили ответственность за нарушения. То есть теперь любое лицо, которое собирает или обрабатывает персональные данные, обязано пройти регистрацию в реестре операторов Роскомнадзора. Все данные должны храниться на серверах, расположенных в России. С 1 сентября 2025 года согласие на обработку персональных данных должно оформляться как отдельный документ, а не как пункт, допустим, в пользовательском соглашении, как это раньше делали многие компании. Устанавливается принцип минимизации данных, которые необходимы для конкретной цели обработки.
