Инцидент с персональными данными: что делать бизнесу в первые 24 часа
Когда в компании обнаруживают инцидент с персональными данными, почти всегда начинается хаос. Кто-то срочно зовёт айтишников, кто-то пытается удалить следы, кто-то пишет подрядчику, кто-то говорит “давайте не будем поднимать шум”, а кто-то вообще надеется, что проблема рассосётся сама. Это худший возможный старт.
Первые 24 часа после инцидента часто решают больше, чем последующие недели. Именно в эти часы компания либо превращает кризис в управляемый процесс, либо начинает сама ухудшать свою позицию: теряет следы, путает факты, неверно оценивает масштаб, оставляет активным уязвимый контур и совершает эмоциональные действия вместо осмысленных.

Что считать инцидентом, а что не надо недооценивать
Одна из типовых ошибок бизнеса — думать, что инцидент это только громкая утечка, о которой уже написал Telegram-канал или СМИ. На практике инцидентом с персональными данными может быть гораздо более “тихая” история:
- несанкционированный доступ к CRM;
- ошибочная отправка файла или письма не тому получателю;
- выгрузка базы сотрудником;
- компрометация учётной записи;
- доступ подрядчика к лишнему объёму данных;
- публикация тестовой среды или технической копии;
- потеря ноутбука, телефона или носителя с ПД;
- утечка части базы, даже если она не стала публичной немедленно.
То есть бизнесу опасно ждать “официальной катастрофы”, чтобы признать проблему инцидентом. Очень часто ущерб усиливается именно из-за того, что первые признаки попытались не заметить.
Что нельзя делать в первые часы
Есть несколько действий, которые компании совершают постоянно и почти всегда себе во вред.
Удалять следы раньше фиксации
Очень соблазнительно сразу всё “почистить”. Но если вы сначала уничтожаете логи, переписку, следы доступа и техническую картину, а потом пытаетесь понять масштаб, вы буквально ломаете себе возможность разобраться, что произошло.
Сводить всё только к ИТ-проблеме
Инцидент с персональными данными — это не только вопрос айтишников. Это ещё и вопрос маршрутов данных, роли подрядчиков, документов, управленческих решений и коммуникации внутри компании.
Говорить вовне непроверенные версии
Если в первые часы компания начинает делать громкие выводы без фактуры, она почти всегда закапывает себя глубже. В кризисе важно сначала собрать реальную картину, а уже потом формулировать позицию.
Продолжать работу в том же контуре, если он уже скомпрометирован
Если доступ открыт, уязвимая интеграция активна, учётка не заблокирована, а данные всё ещё утекать могут прямо сейчас, любые рассуждения без фактического ограничения инцидента бессмысленны.
Что делать в первые 24 часа: рабочий маршрут
Шаг 1. Зафиксировать сам факт инцидента
Нужно быстро собрать минимальную опорную фактуру:
- кто заметил проблему;
- когда именно она была замечена;
- в какой системе или процессе это произошло;
- какие первые признаки уже есть;
- какие данные могли быть затронуты.
На этом этапе не нужно притворяться, что всё уже понятно. Важно не полнота, а дисциплина фиксации.
Шаг 2. Ограничить развитие проблемы
Если есть активная уязвимость, лишний доступ, открытая интеграция, скомпрометированная учётка или продолжающаяся выгрузка, её надо останавливать сразу. Иначе компания не управляет инцидентом, а наблюдает, как он продолжается.
Шаг 3. Сохранить техническую и организационную фактуру
Нужно удержать всё, что потом поможет восстановить картину:
- логи;
- время событий;
- перечень систем;
- задействованные учётные записи;
- переписку и первичные сообщения;
- перечень затронутых массивов данных.
Это особенно важно, если в истории участвуют подрядчики или несколько систем одновременно.
Шаг 4. Собрать внутреннюю группу реагирования
Очень вредно, когда инцидент живёт только у одного сотрудника или одного отдела. Внутри компании должны быть подключены те, кто отвечает за:
- технику;
- правовую сторону;
- процесс обработки;
- управленческие решения;
- коммуникацию с руководством.
Шаг 5. Понять, какие именно данные затронуты
Разница между “затронута техническая информация” и “затронута база клиентов, сотрудников, кандидатов или чувствительные данные” радикальна. Пока компания этого не понимает, она не может реально оценить масштаб риска.
Где бизнес ошибается чаще всего
1. Думает, что если база не появилась в паблике, то проблемы нет
Это очень опасная логика. Даже если утечка не стала немедленно публичной, сам факт несанкционированного доступа или вывода данных уже значим.
2. Пытается переложить всё на подрядчика
Если проблема случилась через подрядчика, оператор всё равно не исчезает из уравнения. Наоборот, именно здесь часто всплывают старые слабые места: неясные роли, слабый контроль, избыточные доступы, плохая договорная связка.
3. Не знает, где искать дубли и серые копии
Компания может думать, что пострадала одна система, а в реальности те же данные давно лежат:
- в таблицах;
- в почте;
- в чатах;
- на локальных ноутбуках;
- в резервных копиях;
- у нескольких подрядчиков одновременно.
Что полезно проверить после первичного тушения
Когда первый удар снят, нужно смотреть глубже:
- были ли лишние права доступа раньше;
- кто из подрядчиков касался массива данных;
- соответствует ли документальная модель реальности;
- не живёт ли корень проблемы в сайте, CRM, HR-контуре или маркетинговых связках.
Полезная связка материалов:
- https://152opd.ru/utechki-personalnyh-dannyh-sudebnaya-praktika-i-riski-dlya-biznesa/
- https://152opd.ru/inventarizacziya-personalnyh-dannyh-v-kompanii/
- https://152opd.ru/karta-potokov-personalnyh-dannyh/
- https://152opd.ru/proverka-roskomnadzora-po-personalnym-dannym-k-chemu-gotovitsya-biznesu/
Мини-чеклист для руководителя на первые сутки
- Понять, что именно произошло.
- Остановить продолжение инцидента.
- Сохранить фактуру и следы.
- Собрать ответственных внутри компании.
- Определить категории затронутых данных.
- Проверить маршруты данных и дублирующие точки.
- Не принимать стратегических решений на эмоциях.
Главный вывод
В первые 24 часа после инцидента задача бизнеса не в том, чтобы выглядеть спокойным или “не раздувать” проблему. Задача в том, чтобы быстро превратить хаос в управляемый процесс: зафиксировать факт, ограничить масштаб, сохранить доказательства и понять, что именно реально произошло.
Именно в этот момент становится видно, есть ли у компании система работы с персональными данными, или всё держалось на надежде, что ничего серьёзного не случится.
Если нужен быстрый разбор инцидента без хаотичных действий и самообмана
Начинайте с фактов, маршрутов данных и карты доступа. Обычно именно там и обнаруживается настоящий источник проблемы.
Полезные точки входа: https://152opd.ru/consult/ · https://152opd.ru/audit-sajta-po-152-fz/ · https://152opd.ru/utechki-personalnyh-dannyh-sudebnaya-praktika-i-riski-dlya-biznesa/