Мессенджеры и личные почты как «серый» канал ПДн: как выявить и закрыть риск

Невидимая утечка, которая уже происходит

Представьте типичный рабочий день менеджера по продажам. Утром он получает из CRM экспорт контактов — 500 строк с именами, телефонами и адресами клиентов — и отправляет файл коллеге в Telegram, чтобы «быстро согласовать». Днём HR-специалист пересылает скан паспорта нового сотрудника на свою личную почту: надо распечатать дома, принтер в офисе сломался. Вечером подрядчик, которому поручили сделать рассылку, запрашивает базу через WhatsApp — «так проще».

Ни один из этих людей не считает себя нарушителем. Они просто работают. Но каждое из этих действий — потенциальное нарушение Федерального закона № 152-ФЗ «О персональных данных», а при определённых условиях и трансграничная передача данных без уведомления Роскомнадзора.

Мессенджеры и личные почтовые ящики — это «серые» каналы передачи персональных данных. Они находятся вне корпоративного периметра безопасности, не логируются штатными системами защиты, не охватываются корпоративными политиками и при этом используются повсеместно. По данным ГК «Солар», основанным на анализе 230 инцидентов ИБ за 2024 год, мессенджеры стали главным каналом инсайдерских утечек — на них приходится 35% всех случаев [1]. Исследование «СёрчИнформ» с более чем 1000 респондентов показало схожую картину: мессенджеры и почта в совокупности задействованы в подавляющем большинстве инцидентов с внутренними нарушителями [2].

Эта статья — для всех, кто обрабатывает персональные данные и хочет понять, насколько реальна угроза «серых» каналов, как её обнаружить и что конкретно делать для её устранения. Материал одинаково актуален для руководителей ИБ-подразделений, юристов по compliance, ИТ-директоров, а также для владельцев малого и среднего бизнеса, которые только начинают выстраивать процессы защиты данных.

Что такое «серый» канал передачи ПДн и почему он опасен

Определение и границы понятия

«Серый» канал передачи персональных данных — это любой способ коммуникации, через который сотрудники передают, хранят или обрабатывают ПДн, но который при этом не входит в официальный реестр систем обработки данных компании, не охвачён техническими мерами защиты и не отражён в политике обработки персональных данных.

Ключевое слово здесь — «неучтённый». Это не обязательно запрещённый канал. Это канал, который просто не попал в поле зрения. Именно поэтому он опасен: компания не знает, что через него идут ПДн, не контролирует этот поток и не может предотвратить или расследовать инцидент.

К серым каналам относятся:

• личные аккаунты в Telegram, WhatsApp, Viber (в том числе с рабочего устройства);
• личные ящики электронной почты (Gmail, Яндекс.Почта, Mail.ru);
• корпоративные мессенджеры, не включённые в систему мониторинга (например, неофициальные рабочие группы в Telegram);
• облачные хранилища личного пользования (Google Drive, Dropbox, личный Яндекс.Диск);
• мессенджеры, используемые для общения с клиентами без надлежащего оформления;
• рабочие группы и чаты подрядчиков в иностранных сервисах.

«Серость» канала — не его принадлежность к конкретной платформе. Серым может стать и корпоративный почтовый ящик, если он не охвачён мониторингом и через него уходят данные за периметр. Но мессенджеры и личные почты образуют наиболее массовую и плохо контролируемую категорию.

Почему мессенджеры и личные почты вне поля зрения ИБ

Первая причина — удобство. Telegram быстрее корпоративного портала. Отправить файл в WhatsApp проще, чем воспользоваться защищённым хранилищем. Сотрудники выбирают минимальное сопротивление — и используют те инструменты, которые уже установлены на телефоне.

Вторая причина — размытая граница рабочего и личного. С распространением дистанционной и гибридной работы граница между рабочими и личными устройствами, каналами и аккаунтами стала крайне размытой. Сотрудник не воспринимает отправку рабочего файла через личный мессенджер как нарушение — для него это просто удобный способ «перекинуть» данные.

Третья причина — отсутствие осведомлённости. Большинство сотрудников не понимают, что является персональными данными в юридическом смысле слова. Им кажется, что ПДн — это только паспорт или медицинские записи. На практике ПДн — это любая информация, позволяющая идентифицировать физическое лицо: имя и телефон клиента, адрес доставки, история покупок, должность и оклад коллеги, IP-адрес пользователя [6].

Четвёртая причина — отсутствие технических барьеров. Корпоративные DLP-системы контролируют периметр сети и корпоративные приложения. Но если сотрудник открывает Telegram в браузере или использует личный телефон, большинство классических DLP-решений это не видят. По данным ГК «Солар», именно поэтому мессенджеры стали лидирующим каналом утечек — они технически труднее всего поддаются мониторингу [1].

Статистика: цифры, которые нельзя игнорировать

Мессенджеры как лидер по инсайдерским утечкам

Данные нескольких независимых исследований дают согласующуюся картину. ГК «Солар» проанализировала 230 реальных инцидентов ИБ за 2024 год и установила: мессенджеры — главный канал инсайдерских утечек, на них приходится 35% всех случаев. Электронная почта (в основном корпоративная) занимает второе место с 23% [1]. Исследование «СёрчИнформ», охватившее более 1000 ИБ-специалистов по всей России, дало немного иные, но принципиально схожие цифры: мессенджеры задействованы в 54% инцидентов с сотрудниками, почта — в 53% [2]. Расхождение объясняется методологией: «Солар» анализировал конкретные пилотные внедрения DLP, «СёрчИнформ» — самооценку специалистов.

Отдельно выделяется категория внешних нарушителей: подрядчиков и внештатных специалистов. Среди этой группы мессенджеры выбираются ещё чаще — в 71% случаев, облака — в 57% [3]. Логика понятна: подрядчик не имеет доступа к корпоративным системам, поэтому использует те каналы, которые у него есть, — личный мессенджер.

В 2024 году 35% утечек данных было связано с мессенджерами, а самым распространённым сценарием стали действия по неосторожности: сотрудник может отсканировать паспорт и отправить его себе в «Избранное» в Telegram, полагая, что это вполне легитимное действие [4].

Telegram занял особое место не только как канал для рабочей переписки, но и как площадка для публикации слитых данных. Основной площадкой для публикации слитых баз окончательно стал Telegram. Количество таких публикаций в мессенджере почти в четыре раза превысило активность на профильных теневых форумах [7].

Личная почта: «тихий» канал с высоким риском

Электронная почта — более привычный и давно изученный вектор утечки, но от этого не менее актуальный. Типичный сценарий, описанный экспертами ГК «Солар»: сотрудник может отсканировать свой паспорт и отправить его на личную почту, полагая, что это не является нарушением [1]. Но передача данных с рабочего компьютера на личный адрес — это передача ПДн за пределы информационной системы оператора. Для Роскомнадзора это означает нарушение 152-ФЗ [7].

Один из распространённых сценариев — использование корпоративной электронной почты для отправки личных документов [5]. Речь идёт не только о собственных документах сотрудника, но и о клиентских данных: выгрузка из CRM, список с адресами доставки, таблица с персональными данными контрагентов, отправленная «себе на всякий случай».

По данным исследования московских компаний, проведённого «СёрчИнформ» в 2024 году, почта стала главным каналом утечек среди штатных сотрудников — 60% инцидентов с этой категорией нарушителей [3]. При этом риск усиливается структурным фактором: личная почта может быть взломана, домашний компьютер — заражён вредоносным ПО, а личное облако — утеряно или доступно третьим лицам [33].

Кто виноват: портрет внутреннего нарушителя

Понять природу нарушителя критически важно для выстраивания правильной защиты. Данные «СёрчИнформ» рисуют следующую картину: чаще всего сотрудники допускают утечки случайно — так считают 41% опрошенных. 21% опрошенных считают, что утечки совершаются умышленно. 38% ответили, что утечки происходят одинаково часто [2].

По данным ГК «Солар», основанным на реальных инцидентах, 82% случаев — следствие ошибок сотрудников, только 18% — умышленные действия [1]. Аналогичные данные приводит Российская газета [4].

Среди виновников инцидентов 73% московских компаний называют рядовых сотрудников, 27% — линейных руководителей. Немного реже инциденты случались по вине руководителей направлений (22%), внештатных специалистов (15%), контрагентов (14%) и топ-менеджеров (10%) [3, 34].

Таксономия внутренних нарушителей включает несколько категорий. Халатный инсайдер действует по незнанию или невнимательности: пересылает рабочие файлы на личную почту для удобства, использует мессенджер для передачи документов, не осознавая нарушения. Нелояльный инсайдер действует намеренно — из мести или корыстных соображений. Скомпрометированный инсайдер сам стал жертвой: злоумышленник получил доступ к его учётной записи или устройству [33].

Чаще всего компании имеют дело с первым типом — и именно поэтому технические меры без просветительской работы неэффективны.

Правовое поле 2025–2026: что изменилось и что грозит

152-ФЗ и новые требования к локализации

Федеральный закон № 152-ФЗ «О персональных данных» — базовый правовой документ, регулирующий обработку персональных данных в России. С 1 июля 2025 года вступила в силу обновлённая редакция части 5 статьи 18 закона, которая ужесточила требования к локализации. Теперь при сборе персональных данных запрещается использовать базы данных, размещённые за пределами России для первичных операций: записи, систематизации, накопления, хранения [25]. Принципиальное изменение по сравнению с прежней редакцией — акцент на первичном сборе: если данные с сайта или формы сразу уходят на иностранные серверы, это нарушение.

Для мессенджеров это означает следующее: если Telegram, WhatsApp или другой иностранный сервис хранит переписку с персональными данными на серверах за пределами России, каждая такая передача потенциально нарушает требование локализации. Роскомнадзор придерживается позиции, что пересылка данных клиента через иностранный мессенджер является трансграничной передачей, требующей предварительного уведомления регулятора [24].

Вместе с тем важна оговорка: в разъяснениях Роскомнадзора от 24 марта 2025 года и Минцифры от 12 мая 2025 года указано, что новая норма не запрещает трансграничную передачу данных, ранее собранных в российских базах [22]. Иными словами, позиция регуляторов не является ультимативным запретом на любое использование иностранных сервисов — но требует тщательного юридического анализа в каждом конкретном случае.

Закон 41-ФЗ: запрет иностранных мессенджеров для ряда организаций

С 1 июня 2025 года в России вступил в силу закон № 41-ФЗ, запрещающий использование иностранных мессенджеров при передаче конфиденциальной информации в ряде государственных и финансовых организаций [31]. Запрет установлен статьёй 15 закона и распространяется на персональное информирование клиентов через следующие сервисы: Telegram, WhatsApp, Viber, Discord, Snapchat, Microsoft Teams, Threema, WeChat [26].

Организации, попадающие под действие закона: государственные органы и их структуры, банки и кредитные организации, операторы связи, владельцы социальных сетей и маркетплейсов. На практике закон затрагивает значительно более широкий круг субъектов, поскольку под «обработку персональных данных» в переписке подпадают уведомления клиентов о записях, подтверждения заказов, ответы на обращения.

Прецеденты уже существуют. В апреле 2025 года один из банков оштрафовали на 200 тысяч рублей за использование WhatsApp при информировании клиента и передаче персональных данных [26].

420-ФЗ: новая шкала штрафов

Федеральный закон № 420-ФЗ от 30 ноября 2024 года, вступивший в силу 30 мая 2025 года, кардинально изменил шкалу административной ответственности за нарушения в сфере персональных данных. Основные изменения применяются к статье 13.11 КоАП РФ.

За утечку персональных данных в зависимости от объёма скомпрометированных записей предусмотрены следующие штрафы для юридических лиц и индивидуальных предпринимателей: при утечке от 1000 до 10 000 записей — от 3 до 5 млн рублей; от 10 000 до 100 000 записей — от 5 до 10 млн рублей; свыше 100 000 записей — от 10 до 15 млн рублей [6]. Повторная крупная утечка влечёт оборотный штраф: от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.

За неуведомление Роскомнадзора о начале обработки ПДн с 30 мая 2025 года штраф для юридических лиц вырос до 100–300 тыс. рублей — ранее он составлял 5 тыс. рублей [6].

Важно понимать, что «утечкой» в смысле этих норм может быть признана не только кража базы данных хакерами, но и несанкционированная передача ПДн через мессенджер или личную почту, если эти действия стали известны регулятору или субъект данных подал жалобу.

Трансграничная передача через мессенджер: когда это нарушение

Согласно статье 3 152-ФЗ, трансграничная передача персональных данных — это передача данных на территорию иностранного государства иностранному физическому или юридическому лицу [23]. Ключевой вопрос: является ли отправка данных клиента через Telegram или Gmail передачей иностранному юридическому лицу?

Роскомнадзор придерживается позиции: да, является. Когда данные клиента попадают на серверы Telegram или Google, формально они передаются иностранной компании — оператору мессенджера или почтового сервиса. Если при этом компания не подала уведомление о трансграничной передаче, это нарушение статьи 12 152-ФЗ [24].

Практическое следствие: даже отправка уведомления «Анна, ваш заказ №123 на имя Ивановой А.А. будет доставлен завтра» через WhatsApp — это обработка персональных данных, требующая правового основания, а при использовании иностранного сервиса — ещё и уведомления РКН о трансграничной передаче [24].

Анатомия серого канала: как данные утекают на практике

Типичные сценарии нарушений

Перечислим наиболее распространённые практические ситуации, которые квалифицируются как обработка ПДн через серые каналы.

Сценарий 1. Пересылка клиентской базы в рабочем чате. Менеджер по продажам, уходя в отпуск, пересылает коллеге выгрузку контактов в Telegram. В файле — имена, телефоны, email-адреса и история покупок 3000 клиентов. Это передача ПДн через неконтролируемый канал без правовых оснований.

Сценарий 2. Документы на личной почте. HR-специалист направляет себе на Gmail трудовые договоры или анкеты с персональными данными, чтобы распечатать или поработать из дома. Данные теперь находятся в системе иностранного оператора без надлежащих мер защиты.

Сценарий 3. Рабочий чат с подрядчиком в иностранном мессенджере. Компания-заказчик создала группу с подрядчиком в WhatsApp для оперативного взаимодействия. В чате регулярно фигурируют персональные данные — имена сотрудников, реквизиты, адреса. Данные фактически передаются иностранному юридическому лицу (Meta/WhatsApp Inc.) без уведомления РКН.

Сценарий 4. Демонстрация экрана с ПДн. Во время видеозвонка сотрудник демонстрирует экран, на котором открыта CRM с данными клиентов. По данным Anti-Malware.ru, этот сценарий выделяется как отдельная категория инцидентов [5].

Сценарий 5. Фотографирование экрана на личный телефон. Исследование «СёрчИнформ» зафиксировало, что 29% опрошенных сообщили о том, что сотрудники крадут данные, фотографируя их на телефон. До сих пор фото на смартфон остаётся одним из самых сложно контролируемых «каналов» утечки [2].

Особая зона риска: подрядчики, фрилансеры и удалённые сотрудники

Внешние исполнители формируют отдельную категорию риска. Они не работают в корпоративной инфраструктуре, не охватываются корпоративными DLP-системами, при этом нередко получают доступ к чувствительным данным: базам клиентов для рассылки, HR-данным для расчёта зарплат, медицинским данным для обработки страховых случаев.

По данным «СёрчИнформ», контрагенты и внештатные специалисты в 71% случаев утечек выбирают для передачи данных именно мессенджеры [3] — очевидно, потому что у них нет другого инструмента. Это создаёт парадоксальную ситуацию: компания официально не разрешает передавать данные через Telegram, но фактически не предоставляет подрядчику никакого другого защищённого способа взаимодействия.

Удалённые сотрудники добавляют в эту картину дополнительный риск: они работают из домашних сетей, используют личные устройства, и для «удобства» часто переключаются на привычные личные каналы коммуникации. Гибридный формат работы стал нормой, но он создаёт новые риски: утечки через личные устройства, незащищённые сети Wi-Fi, мессенджеры [15].

Тёмная зона: данные, которые компания не видит

Понятие «тёмной зоны» в контексте защиты данных (dark data) обозначает персональные данные, о существовании которых сама компания не знает или не контролирует. В корпоративном контексте это, например, копии клиентской базы в личных Telegram-каналах сотрудников, архивы переписки на Gmail уволившихся менеджеров, рабочие таблицы на личных Google Drive подрядчиков.

По данным исследования «Солара», более 40% компаний не успевают своевременно отзывать учётные записи уволенных сотрудников [18]. Это означает, что бывший сотрудник потенциально продолжает иметь доступ к корпоративным данным — и одновременно хранит копии на личных устройствах и аккаунтах, которые компания уже никак не контролирует.

Как обнаружить серые каналы: методы и инструменты

Аудит информационных потоков

Первый шаг к выявлению серых каналов — инвентаризация: компания должна понять, где у неё есть персональные данные и как они перемещаются. Это задача, которую часто называют «картографированием данных» (data mapping).

Практический алгоритм аудита включает несколько этапов.

Этап 1. Инвентаризация источников ПДн. Составьте реестр: какие системы содержат персональные данные (CRM, 1С, почтовые сервисы, HR-системы, файловые хранилища, облака). Для каждой системы определите: какие категории ПДн хранятся, кто имеет доступ, как данные попадают в систему и куда уходят.

Этап 2. Интервью с владельцами процессов. Задайте прямой вопрос руководителям отделов: «Через какие каналы ваши сотрудники передают персональные данные — внутри компании и внешним контрагентам?» Ответы часто удивляют: выясняется, что половина отдела использует Telegram для передачи заявок с данными клиентов.

Этап 3. Технический анализ трафика. Сетевой мониторинг позволяет выявить, к каким ресурсам подключаются сотрудники с рабочих устройств. Пиковая активность к Telegram Web или Gmail в рабочее время — сигнал для дополнительного расследования.

Этап 4. Анализ журналов корпоративных систем. Выгрузки из CRM объёмом в тысячи строк, частые обращения к HR-базам, массовое скачивание файлов с ПДн перед выходными — всё это отклонения от нормального поведения, которые поддаются мониторингу.

DLP-системы: возможности и ограничения

Data Loss Prevention (DLP) — класс систем, предназначенных для мониторинга, контроля и блокировки передачи конфиденциальных данных через различные каналы. На российском рынке представлены решения InfoWatch Traffic Monitor, Solar Dozor, «Гарда DLP», StaffCop Enterprise и другие.

Современные DLP-системы умеют контролировать передачу данных через корпоративную почту, веб-интерфейсы почтовых сервисов, Telegram, WhatsApp (при наличии агента на корпоративном устройстве), съёмные носители, принтеры и облачные хранилища [17]. Ряд решений использует контентный анализ для автоматического обнаружения документов, содержащих ПДн: паспортные данные, номера СНИЛС, банковские реквизиты.

Однако у DLP есть принципиальные ограничения, о которых важно знать.

Первое: DLP работает на корпоративных устройствах. Если сотрудник использует личный смартфон, личный компьютер или личный аккаунт в браузере корпоративного устройства — эффективность DLP существенно снижается.

Второе: DLP не решает задачу инвентаризации. Она фиксирует факт передачи данных, но не даёт ответа на вопрос «где у нас вообще живут ПДн?». Это задача отдельного инструментария.

Третье: мониторинг личной переписки сотрудников без надлежащего правового оформления сам по себе может нарушать законодательство. Контроль личной переписки и некорпоративных каналов без отдельного правового основания является зоной повышенного риска [12]. Перед внедрением DLP необходимо: оформить согласие сотрудников на мониторинг в трудовом договоре или отдельном положении, чётко описать цели мониторинга, уведомить сотрудников об используемых технических средствах.

Технические и организационные меры контроля

Технический арсенал защиты от утечек через серые каналы не ограничивается DLP. Комплексный подход включает следующие элементы.

Управление доступом и принцип минимальных привилегий. Сотрудник должен иметь доступ только к тем данным, которые необходимы для выполнения его обязанностей. Массовая выгрузка базы клиентов для рядового менеджера — аномалия, которая должна требовать явного разрешения.

Многофакторная аутентификация (MFA) на корпоративных системах. Даже если сотрудник пересылает данные через личный мессенджер, он должен иметь ограниченный доступ к источнику этих данных.

Маркировка и классификация документов. Файлы с ПДн должны быть помечены как конфиденциальные. Системы классификации (например, Varonis, ИТ-решения на базе ГОСТ) позволяют автоматически определять документы, содержащие персональные данные.

SIEM-системы и поведенческая аналитика (UEBA). Выявляют аномальное поведение пользователей: массовое скачивание данных, нетипичные обращения к системам ночью или в нерабочие дни.

Корпоративные защищённые мессенджеры. Перевод сотрудников с Telegram и WhatsApp на российские корпоративные платформы (eXpress, VK Teams, Яндекс.Мессенджер, TrueConf) решает проблему трансграничной передачи и позволяет включить корпоративные чаты в периметр DLP-мониторинга [10].

Как правильно уведомить сотрудников

Уведомление сотрудников о мониторинге — не просто юридическая формальность, но и элемент профилактики. Согласно исследованиям, большинство нарушений в этой сфере — неумышленные. Это означает, что грамотно выстроенная осведомлённость (security awareness) снижает число инцидентов эффективнее, чем технические барьеры.

Минимальный набор организационных мер: разработать внутреннюю политику обработки персональных данных с чётким описанием запрещённых каналов; ознакомить всех сотрудников под подпись; включить требования по защите ПДн в трудовые договоры и договоры с подрядчиками; провести обучение с примерами конкретных нарушений; регулярно проводить внутренние проверки соблюдения политик.

Практический чек-лист: 12 шагов к закрытию риска

Ниже — конкретные шаги, которые позволяют системно снизить риск утечки ПДн через мессенджеры и личные почты.

1. Составьте реестр всех систем, содержащих персональные данные. Включите не только «очевидные» системы (CRM, 1С), но и почтовые архивы, облачные хранилища, файловые серверы, рабочие чаты.
2. Определите актуальные каналы коммуникации с клиентами и подрядчиками. Для каждого канала задайте вопрос: передаются ли через него персональные данные? Если да — есть ли правовое основание?
3. Оцените использование иностранных мессенджеров в разрезе закона 41-ФЗ. Относится ли ваша организация к категориям, для которых использование WhatsApp, Telegram и аналогов запрещено при переписке с клиентами?
4. Проведите инвентаризацию корпоративных устройств. Какие приложения-мессенджеры установлены на рабочих смартфонах и компьютерах? Есть ли корпоративная политика по разрешённым приложениям?
5. Введите ограничения на выгрузку данных. Настройте ролевой доступ: возможность экспортировать данные из CRM или базы должна быть предоставлена только конкретным сотрудникам с фиксацией каждой операции.
6. Разработайте и внедрите политику обработки ПДн. Явно укажите: запрещена передача ПДн через личные почтовые ящики и неавторизованные мессенджеры. Укажите разрешённые альтернативы.
7. Подпишите соглашения о конфиденциальности с подрядчиками. Закрепите обязательство не передавать ПДн через неавторизованные каналы; установите ответственность за нарушения.
8. Внедрите или обновите DLP-систему. Настройте политики контроля для мессенджеров и почтовых клиентов. Убедитесь, что система охватывает корпоративные мобильные устройства.
9. Перейдите на российские корпоративные мессенджеры. Для внутренней коммуникации используйте сертифицированные решения с хранением данных на территории РФ; включите их в периметр мониторинга.
10. Настройте процедуру offboarding. При увольнении сотрудника немедленно отзывайте все доступы, в том числе к корпоративным чатам и почтовым ящикам. По данным ГК «Солар», более 40% компаний не делают это своевременно [18].
11. Обучите сотрудников. Проводите ежегодные обучения по основам защиты ПДн с акцентом на конкретные запрещённые сценарии. Используйте реальные примеры из практики регулятора.
12. Выстройте процесс мониторинга и реагирования. Определите: кто отвечает за выявление инцидентов с серыми каналами? Каков порядок действий при обнаружении несанкционированной передачи ПДн? Кто уведомляет Роскомнадзор?

Типичные ошибки и как их избежать

Ошибка 1: «Мы запрещаем — значит, не происходит». Компания включила в политику ИБ запрет на использование личных мессенджеров для рабочих задач, провела ознакомление под подпись — и считает риск закрытым. Практика показывает обратное: запрет без технического контроля и удобной альтернативы не работает. Сотрудники продолжают пользоваться привычными инструментами — просто без осознания нарушения.

Ошибка 2: Фокус только на внешних угрозах. Многие компании выстраивают мощную защиту периметра от внешних атак, упуская из виду, что каждая пятая (19%) утечка данных в компаниях связана именно с внутренними нарушителями [38]. Инсайдерский вектор требует отдельной стратегии.

Ошибка 3: DLP без инвентаризации. Внедрить DLP-систему и считать задачу решённой — распространённая ошибка. DLP контролирует передачу данных, но не отвечает на вопрос: «Какие ПДн у нас вообще есть и где они хранятся?» Без карты данных невозможно понять, что именно нужно защищать.

Ошибка 4: Игнорирование подрядчиков и внештатников. Договор с подрядчиком — это ещё не управление его поведением. Необходимо: зафиксировать запрет на использование неавторизованных каналов в договоре, предоставить безопасный инструмент для обмена данными, включить подрядчика в периметр мониторинга или требовать подтверждения соблюдения норм.

Ошибка 5: Разовый аудит вместо непрерывного мониторинга. ИТ-ландшафт компании постоянно меняется: появляются новые сервисы, интеграции, сотрудники, подрядчики. Разовый аудит устаревает через несколько месяцев. Актуальная картина требует непрерывного обновления.

Ошибка 6: Недооценка регуляторного риска. До 2024 года штрафы за нарушения в сфере ПДн были невысокими, и компании закрывали на них глаза. С введением 420-ФЗ ситуация изменилась кардинально: штрафы выросли на порядок, введена уголовная ответственность, Роскомнадзор наращивает число проверок.

Будущее регулирования: тренды 2026 и далее

Регуляторная среда в сфере защиты персональных данных будет ужесточаться. Можно выделить несколько устойчивых трендов.

Расширение запретов на иностранные мессенджеры. В июле 2025 года президент России поручил правительству до 1 сентября 2025 года подготовить предложения по дополнительным ограничениям на использование иностранного ПО, включая коммуникационные сервисы [20]. Вероятно, в 2026 году круг организаций, которым запрещено использовать иностранные мессенджеры, будет расширен.

Рост числа проверок и штрафов. По данным Роскомнадзора, за 2024 год в России зафиксировано 135 утечек персональных данных [3]. Сам регулятор планомерно наращивает число проверок и уже показал готовность применять максимальные санкции.

Развитие обязательной идентификации пользователей мессенджеров. Закон 41-ФЗ обязывает привязывать корпоративные номера к конкретным сотрудникам через Госуслуги. Это формирует трассируемость коммуникации, что важно как для регулятора, так и для самих компаний.

Рост применения ИИ в DLP и UEBA. Российские вендоры активно внедряют поведенческую аналитику и машинное обучение в системы защиты от утечек. Это позволяет обнаруживать нетипичные сценарии использования мессенджеров даже при отсутствии явных маркеров ПДн в сообщении.

Уголовная ответственность. В рамках ужесточения законодательства введена уголовная ответственность за умышленную утечку персональных данных [6, 8]. Это существенно повышает персональные риски сотрудников и руководителей, которые умышленно передают данные через незащищённые каналы.

Эксперты в сфере compliance прогнозируют, что к концу 2026 года уровень соответствия 152-ФЗ в бизнес-сегменте достигнет 80%, а число крупных утечек сократится минимум на 25% [30]. Однако это оптимистичный сценарий, предполагающий активные действия самих компаний.

Как «Пятый фактор» помогает контролировать серые каналы ПДн

Проблема серых каналов имеет системный корень: компании не знают, где у них живут персональные данные. Без актуальной карты ПДн невозможно понять, что именно уходит через мессенджеры и личные почты, а значит — невозможно ни предотвратить утечку, ни провести расследование, ни подтвердить регулятору соответствие требованиям.

Именно эту задачу решает платформа «Пятый фактор» — on-prem система автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа подключается к базам данных, файловым хранилищам, почтовым серверам, Active Directory/LDAP, CRM, 1С и API — и строит непрерывно обновляемую «карту ПДн»: где и какие данные есть, кто является их владельцем, что изменилось с момента последней проверки.

Принципиальная особенность «Пятого фактора» — подход privacy-by-design. Система работает только с метаданными, структурой и агрегатами: она не хранит и не передаёт сырые значения персональных данных. Это означает, что сама платформа не становится новым источником риска — даже если злоумышленник получит доступ к системе, реальные ПДн клиентов ему недоступны.

В контексте серых каналов «Пятый фактор» решает несколько конкретных задач.

Во-первых, он выявляет ПДн в неочевидных местах. Нередко выясняется, что данные «живут» в системах, о которых ИБ-служба даже не знала: архивных базах, тестовых средах, почтовых архивах. Только зная полную картину, можно понять, какие именно данные находятся под угрозой утечки через мессенджеры.

Во-вторых, платформа отслеживает изменения в реальном времени. Новое поле с ПДн в базе данных, новая интеграция с внешним сервисом, новый источник данных — всё это фиксируется немедленно, не через несколько месяцев при очередном аудите.

В-третьих, «Пятый фактор» сокращает время аудита. Подготовка к проверке Роскомнадзора, которая ранее занимала недели ручной работы, с актуальной картой данных становится в разы быстрее. Это прямое сокращение операционных издержков и рисков, связанных с неготовностью к регуляторному контролю.

Если вы уже выстраиваете систему защиты от утечек через серые каналы, «Пятый фактор» становится фундаментом: без понимания того, где в компании находятся ПДн, все технические меры — DLP, мониторинг, политики — работают вслепую. Узнать больше о платформе можно на сайте 5factor.ru.

Заключение

Мессенджеры и личные почты — это не экзотический вектор атаки. Это повседневная реальность большинства российских компаний. По данным независимых исследований, через эти каналы происходит более половины всех инцидентов с утечкой конфиденциальных данных по вине сотрудников [1, 2]. При этом в 82% случаев за нарушением стоит не злой умысел, а элементарная неосведомлённость и удобство привычных инструментов.

Законодательство 2024–2025 годов существенно изменило ставки. Штрафы выросли до десятков и сотен миллионов рублей, введена уголовная ответственность, регулятор наращивает активность. При этом прямого запрета на использование иностранных мессенджеров нет для всех компаний — но есть обязательные требования к правовому оформлению, уведомлению регулятора и техническим мерам защиты, которые большинство компаний не выполняют.

Закрыть риск серых каналов можно, только действуя системно. Технические меры (DLP, мониторинг трафика, управление доступом) необходимо дополнять организационными (политики, обучение, процедуры offboarding) и инфраструктурными (переход на российские защищённые мессенджеры, предоставление подрядчикам безопасных инструментов взаимодействия).

Что делать прямо сейчас:

1. Провести честный аудит: через какие каналы в вашей компании сегодня передаются персональные данные — официально и фактически.
2. Определить, попадает ли ваша организация под требования 41-ФЗ о запрете иностранных мессенджеров.
3. Оценить полноту реестра систем обработки ПДн: все ли источники учтены?
4. Обновить политики и провести обучение сотрудников с конкретными примерами запрещённых сценариев.
5. Выстроить непрерывный мониторинг — не разовый аудит, а постоянный процесс контроля.

Регуляторный ветер дует в одном направлении: требования будут только ужесточаться. Компании, которые начнут выстраивать системную защиту сейчас, окажутся в существенно лучшем положении, чем те, кто дождётся первой проверки или первого крупного штрафа.

Источники

[1] ГК «Солар»: 35% утечек конфиденциальной информации происходит через мессенджеры — https://rt-solar.ru/events/news/5260/

[2] SearchInform: 48% российских компаний столкнулись с утечками информации по вине сотрудников — https://searchinform.ru/news/company-news/2025/2/20/48-of-russian-companies-have-experienced-information-leaks-caused-by-employees/

[3] SearchInform: Исследование уровня ИБ московских компаний 2024 — https://searchinform.ru/news/company-news/2024/11/22/a-study-of-the-level-of-information-security-in-moscow-companies-in-2024/

[4] Российская газета: Мессенджеры на прицеле — https://rg.ru/2025/02/26/messendzhery-na-pricele.html

[5] Anti-Malware.ru: Треть утечек конфиденциальной информации происходит через мессенджеры — https://www.anti-malware.ru/news/2025-02-20-121598/45334

[6] Хабр/МойСклад: Роскомнадзор ужесточил штрафы за персданные — https://habr.com/ru/companies/moysklad/articles/994568/

[7] Hightech.fm: Объём утечек персональных данных россиян вырос почти на 70% за год — https://hightech.fm/2026/02/04/rus-leak

[8] Intecweb.ru: Закон 41-ФЗ: что меняется в использовании мессенджеров и корпоративной связи — https://intecweb.ru/company/news/novye_pravila_ispolzovaniya_messendzherov/

[9] Comply.ru: Локализация и трансграничная передача персональных данных. Что изменилось с 1 июля 2025 года — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[10] TrueConf: Какие мессенджеры запрещены в России в 2026 году — https://trueconf.ru/blog/reviews/messendzhery-zapreshheny-v-rossii

[12] Falcongaze: DLP-системы: что это такое и как это работает — https://falcongaze.com/ru/pressroom/publications/dlp-sistemy-chto-ehto-takoe-i-kak-ehto-rabotaet.html

[15] Komiinform.ru: Тренды в кибербезопасности: что ждёт DLP-рынок в 2024–2025 — https://komiinform.ru/nt/10043

[17] Anti-Malware.ru: Обзор InfoWatch Traffic Monitor 7.3 — https://www.anti-malware.ru/reviews/InfoWatch-Traffic-Monitor-73

[18] Anti-Malware.ru: В Гарда DLP 6.1.0 улучшили контроль переписки в WhatsApp — https://www.anti-malware.ru/news/2025-02-19-111332/45314

[20] Klerk.ru: Новые ограничения для иностранных мессенджеров и софта — https://www.klerk.ru/blogs/roskom24/654884/

[22] Comply.ru: Локализация и трансграничная передача ПДн с 1 июля 2025 — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac

[23] КонсультантПлюс: Статья 12. Трансграничная передача персональных данных — https://www.consultant.ru/document/cons_doc_LAW_61801/e4ebbe1780de623c7cf32a59ca82a7bb523a25dd/

[24] Callibri: Запрет на использование иностранных мессенджеров с 1 июня 2025 — https://callibri.ru/blog/zapret-inostrannyh-messendzherov

[25] Intecweb.ru: Запрет хранения ПДн на иностранных серверах — https://intecweb.ru/company/news/zapret_khraneniya_pdn_na_inostrannykh_serverakh/

[26] Intecweb.ru: Закон 41-ФЗ: что меняется в использовании мессенджеров — https://intecweb.ru/company/news/novye_pravila_ispolzovaniya_messendzherov/

[30] New-Retail.ru: Защита персональных данных в 2025 — https://new-retail.ru/business/zashchita_personalnykh_dannykh_v_2025_kak_rabotat_s_pd_za_predelami_rossii_v_sootvetstvii_s_152_fz/

[31] eXpress.ms: Запрет на иностранные мессенджеры вступил в силу — https://express.ms/blog/obzory/zapret-na-inostrannye-messendzhery-vstupil-v-silu-kak-teper-obshchatsya-biznesu/

[33] SecurityVision: Сотрудники-инсайдеры в компании — https://www.securityvision.ru/blog/sotrudniki-insaydery-v-kompanii-i-kakie-ugrozy-dlya-bezopasnosti-dannykh-kompanii-oni-nesut/

[34] ICT-online.ru: Почта оказалась излюбленным каналом слива данных среди московских инсайдеров — https://ict-online.ru/news/Pochta-okazalas-izlyublennym-kanalom-sliva-dannykh-sredi-moskovskikh-insaiderov-300621

[38] Известия: Напасть на своих: как сотрудники сливают данные российских компаний — https://iz.ru/1608320/mariia-frolova/napast-na-svoikh-kak-sotrudniki-slivaiut-dannye-rossiiskikh-kompanii

[43] Anti-Malware.ru: 48% российских компаний столкнулись с утечками данных в 2024 году — https://www.anti-malware.ru/news/2025-02-20-121598/45326

[45] ComNews: 35% утечек конфиденциальной информации происходит через мессенджеры — https://www.comnews.ru/content/237885/2025-02-20/2025-w08/1010/35-utechek-konfidencialnoy-informacii-proiskhodit-cherez-messendzhery