WAF, anti-bot и DDoS-защита: как усилить сайт и не создать новые риски для персональных данных

Полный практический разбор для тех, кто хочет защититься от атак, не нарушив 152-ФЗ

Введение: почему тема актуальна прямо сейчас

Любой сайт сегодня — это мишень. Неважно, это интернет-магазин, корпоративный портал или государственный сервис: атаки на веб-приложения давно перестали быть уделом крупных компаний. Инструменты для атак дешевеют, автоматизируются и продаются как сервис. Порог входа для злоумышленника снизился до минимума.

Параллельно ужесточается регулирование. С 30 мая 2025 года в России действуют оборотные штрафы за утечку персональных данных — до 500 миллионов рублей [14]. Это превращает вопрос безопасности из технического в стратегический: ошибка в архитектуре защиты теперь может стоить бизнесу существенной доли годовой выручки.

На этом фоне компании массово внедряют WAF, подключают anti-bot-сервисы и DDoS-защиту. Инструменты работают. Но мало кто задаётся вопросом: а не создаём ли мы при этом новые риски? Не становится ли наш провайдер защиты — тем, кому мы неосознанно передаём данные миллионов пользователей?

Эта статья — попытка разобраться в технической и правовой стороне вопроса одновременно. Она написана для специалистов по ИБ, разработчиков, руководителей ИТ-отделов и владельцев бизнеса, которые хотят защититься от реальных угроз, не создав при этом новых.

Угрозы, с которыми сталкивается каждый сайт в 2025–2026 годах

DDoS-атаки: цифры, которые говорят сами за себя

DDoS (Distributed Denial of Service) — распределённая атака на отказ в обслуживании — остаётся одним из самых распространённых инструментов киберагрессии. Злоумышленники направляют огромный поток запросов к ресурсу-жертве, исчерпывая пропускную способность канала или вычислительные ресурсы сервера.

Масштаб проблемы в России трудно переоценить. По данным Роскомнадзора, за период с июня 2024 по июнь 2025 года число DDoS-атак на российскую информационную инфраструктуру удвоилось. Мощность достигает 1 ТБ/с, а длительность отдельных инцидентов — до четырёх суток [7]. За весь 2025 год зафиксировано более 21 тысячи атак против примерно 10 тысяч в 2024-м — рост около 100% [8].

Аналитики StormWall фиксируют похожие цифры: в 2025 году количество DDoS-атак в России выросло в 1,8 раза по сравнению с 2024-м [6]. Ещё ранее, по итогам 2024 года, число атак в стране увеличилось на 45% год к году [5].

Ключевые отраслевые цели — телеком (34% всех атак в 2025 году), финансы (21%) и ритейл (16%) [6]. Банковский сектор особенно страдает в периоды выборов, праздничных распродаж и при геополитическом обострении. Важная тенденция: в 2025 году доля многовекторных атак выросла до 52% от всех зафиксированных инцидентов против 25% в 2024-м [23]. Злоумышленники комбинируют атаки на разных уровнях сетевой модели OSI — L3, L4 и L7 — одновременно, что делает защиту существенно сложнее.

Отдельно стоит выделить взрывной рост так называемых зондирующих атак: в 2025 году их стало в 5300 раз больше, чем в 2024-м. Они длятся до 15 минут и служат для разведки инфраструктуры жертвы перед основным ударом [23]. Это означает, что даже короткая «попытка» DDoS — уже не шум, а предвестник серьёзного инцидента.

Боты захватили интернет

Параллельно с ростом DDoS идёт качественное изменение бот-трафика. В 2025 году компания Imperva опубликовала 12-й ежегодный Bad Bot Report с тревожным заголовком: впервые за десять лет автоматизированный трафик превысил человеческий и составил 51% всего интернет-трафика за 2024 год. Из этого объёма 37% — вредоносные боты [12].

Российская картина не отличается от глобальной. По данным Anti-Malware.ru, в Q2 2025 года среднемесячное количество паразитных обращений к клиентам российских анти-бот-сервисов выросло на 43% по сравнению с 2024-м. Финтех, онлайн-ретейл и телеком получили 59,3% всей вредоносной бот-активности [11].

Чем опасны вредоносные боты:

1. Credential stuffing — перебор похищенных пар логин/пароль для захвата чужих аккаунтов. По данным Imperva, число атак на захват аккаунтов (ATO) выросло на 40% за год [72].
2. Парсинг и конкурентная разведка — автоматический сбор цен, контента и данных о товарах в пользу конкурентов.
3. Клик-фрод — накрутка показателей рекламы, которая снижает эффективность маркетинга.
4. DDoS уровня приложений (L7) — имитация легитимных запросов для перегрузки бизнес-логики.
5. Скрейпинг API — кража данных через программные интерфейсы. В 2024 году 44% продвинутых бот-атак были направлены именно на API [12].

Особую тревогу вызывает роль генеративного ИИ в развитии бот-технологий. AI-инструменты значительно снижают порог входа для злоумышленников: теперь даже технически неподготовленный человек может запустить изощрённую бот-атаку, используя готовые сервисы класса Bots-as-a-Service [73].

Атаки на уязвимости приложений: OWASP Top 10 и API

Третий вектор угроз — прямые атаки на уязвимости в коде и архитектуре веб-приложений. Международная некоммерческая организация OWASP (Open Web Application Security Project) ежегодно обновляет список десяти наиболее критичных рисков для веб-приложений. В версии OWASP Top 10 2025 года в числе главных угроз остаются SQL-инъекции, межсайтовый скриптинг (XSS), небезопасная десериализация, нарушение контроля доступа и уязвимости типа Server-Side Request Forgery (SSRF) [17].

Важный тренд — смещение угроз в сторону API. По данным Akamai, в 2024 году с атаками на API столкнулись 84% опрошенных компаний против 78% годом ранее [3]. Современные веб-приложения построены на сотнях API-эндпоинтов, каждый из которых является потенциальной точкой входа для злоумышленника.

Что такое WAF и как он работает

Web Application Firewall (WAF) — межсетевой экран прикладного уровня, который анализирует HTTP/HTTPS-трафик между пользователем и веб-приложением и фильтрует вредоносные запросы на основе правил, сигнатур и поведенческих моделей [10].

Ключевое отличие WAF от обычного сетевого межсетевого экрана: обычный фаервол работает на уровне портов и IP-адресов, пропуская любой трафик на порт 443 (HTTPS) как легитимный. WAF «заглядывает внутрь» каждого запроса — он понимает логику веб-приложения и фильтрует сами данные [47]. Если в поле формы обнаружен фрагмент SQL-кода или в URL — подозрительный скрипт, WAF заблокирует такой запрос ещё до того, как он достигнет приложения.

Три поколения защиты: WAF — WAAP — AI-WAF

Технология прошла несколько эволюционных стадий.

Первое поколение — классические WAF на основе сигнатур и правил. Они сопоставляют запросы с базой известных атак (SQL-инъекции, XSS и т.д.) и блокируют совпадения. Это надёжно против известных угроз, но бессильно против атак нулевого дня.

Второе поколение — WAAP (Web Application and API Protection). Этот термин ввёл Gartner для описания защиты современных CI/CD-ориентированных приложений, где традиционного WAF уже недостаточно. WAAP добавляет защиту API, расширенный анализ поведения ботов, управление правилами в реальном времени и интеграцию с DevSecOps-процессами [10]. Именно к этому классу относится большинство современных коммерческих решений.

Третье поколение — AI-расширенные WAF, использующие машинное обучение для построения поведенческих профилей легитимных пользователей и выявления аномалий. Такие системы самообучаются и способны обнаруживать атаки, против которых ещё не созданы сигнатуры [6].

Режимы развёртывания: облако, on-premise, гибрид

Выбор архитектуры развёртывания — не только технический, но и стратегический вопрос, напрямую влияющий на риски передачи персональных данных.

1. Облачный WAF (Cloud WAF, SaaS-модель). Трафик перенаправляется на инфраструктуру провайдера, где анализируется и очищается, после чего пересылается на реальный сервер. Преимущества — быстрое подключение (часто достаточно изменить DNS-записи), масштабируемость, отсутствие затрат на оборудование. Недостаток — весь трафик, включая пользовательские данные, проходит через сторонние серверы.
2. On-premise WAF (аппаратный или программный). Устройство или ПО размещается в собственной инфраструктуре компании. Данные не покидают периметр, что упрощает соответствие требованиям 152-ФЗ. Требует квалифицированного персонала для настройки и поддержки.
3. Гибридная модель. On-premise WAF для критичных приложений с облачным анти-DDoS на периметре.
4. Встроенный WAF в CDN или хостинг-провайдера. Удобен для малого бизнеса, но аналогичен облачной модели с точки зрения передачи данных.

SSL-инспекция: необходимость и риск одновременно

Практически весь современный трафик зашифрован по HTTPS. Это создаёт парадокс для WAF: чтобы анализировать содержимое запросов, система должна расшифровать трафик, проверить его и зашифровать обратно. Этот процесс называется SSL-инспекцией или TLS-терминацией [45].

Техническая схема: WAF выступает посредником (man-in-the-middle) между пользователем и сервером. Он завершает SSL-сессию со стороны пользователя, расшифровывает данные, применяет правила, заново шифрует и передаёт на сервер [42].

Это означает, что WAF в процессе SSL-инспекции получает доступ ко всему содержимому HTTPS-трафика: паролям из форм входа, номерам карт, адресам, медицинским данным — всему, что пользователь передаёт через защищённое соединение. Для облачного WAF это всё проходит через серверы стороннего провайдера.

Дополнительный технический риск SSL-инспекции: если закрытый ключ сервера (необходимый для расшифровки) будет скомпрометирован, злоумышленник сможет расшифровать не только текущий, но и ранее перехваченный трафик [42].

Anti-bot системы: как отличить человека от машины

Классификация ботов и методы их обнаружения

Не все боты вредоносны. Поисковые роботы Яндекса и Google, мониторинговые сервисы, платёжные системы — всё это полезные боты. Задача anti-bot системы — точно разграничить их от вредоносных программ, не создавая помех легитимным пользователям.

По уровню сложности боты делятся на три категории:

1. Простые боты — используют базовые HTTP-библиотеки без JavaScript. Легко обнаруживаются по заголовкам User-Agent, отсутствию cookies и поведенческим аномалиям. По данным Imperva, в 2024 году простые атаки составили 45% всех бот-атак против 40% в 2023-м — рост обусловлен доступностью AI-инструментов для начинающих злоумышленников [74].
2. Умеренные боты — эмулируют браузер с поддержкой JavaScript, но не имитируют реальное поведение человека.
3. Продвинутые боты — используют реальные браузерные движки (Puppeteer, Playwright, Selenium), имитируют движения мыши, случайные паузы, типичные для человека шаблоны навигации. Для обхода блокировок применяют резидентные прокси: 21% всех бот-атак в 2024 году использовали прокси через провайдеров интернета, что делает источник неотличимым от обычного пользователя [73].

CAPTCHA, JS-challenge и fingerprinting

Защита от ботов строится на нескольких взаимодополняющих методах.

1. CAPTCHA — тест, который легко проходит человек и сложно — бот. Современные решения (hCaptcha, «невидимые» CAPTCHA) работают в фоновом режиме, не беспокоя пользователя. Слабая сторона: сервисы решения CAPTCHA с использованием живых людей делают их преодолимыми за небольшую плату.
2. JS Challenge — при первом обращении браузер получает JavaScript-задачу, которую должен выполнить. Боты без полноценного движка не справляются. Это один из самых эффективных и незаметных для пользователя методов.
3. Fingerprinting (снятие цифрового отпечатка) — анализ уникальных характеристик браузера: версия, плагины, разрешение экрана, характеристики GPU, особенности рендеринга шрифтов. Продвинутый метод — анализ JA3/JA3S fingerprints TLS-соединений, который позволяет идентифицировать конкретные HTTP-библиотеки даже при смене IP-адреса [20].
4. Поведенческий анализ — отслеживание паттернов движения мыши, скорости заполнения форм, последовательности переходов по странице. Машинное обучение строит профиль типичного пользователя и выявляет отклонения.
5. Анализ репутации IP — сверка с базами данных известных бот-сетей, выходных узлов Tor, серверов хостинг-провайдеров.

Скрытая опасность: как средства защиты сами создают риски передачи данных

Облачный WAF и персональные данные: что видит провайдер

Когда компания подключает облачный WAF, она меняет маршрут трафика: теперь он идёт не напрямую к серверу, а через инфраструктуру провайдера защиты. В процессе SSL-инспекции провайдер получает доступ к содержимому всех HTTPS-запросов в расшифрованном виде.

Что это означает на практике: если пользователь заполняет на вашем сайте форму с именем, адресом, телефоном или номером карты — всё это проходит через серверы стороннего сервиса. Провайдер WAF технически имеет доступ к персональным данным ваших пользователей, даже если в договоре прописано, что он их не хранит и не обрабатывает в своих целях.

С юридической точки зрения сам факт доступа стороннего сервиса к персональным данным является их обработкой третьим лицом в смысле 152-ФЗ [16].

152-ФЗ и третьи лица: когда защита становится нарушением

Статья 7 Федерального закона №152-ФЗ «О персональных данных» обязывает всех, кто получил доступ к персональным данным, не раскрывать их третьим лицам и не распространять без согласия субъекта персональных данных [19]. Статья 6, часть 3 того же закона устанавливает: оператор персональных данных вправе поручить обработку данных другому лицу — но исключительно с согласия субъекта и на основании договора поручения.

Что это означает для WAF-провайдера:

1. Любой SaaS-сервис, cloud-WAF или anti-bot-система, через которую проходит трафик с персональными данными, формально является лицом, которому поручена обработка ПДн.
2. С этим лицом необходимо заключить договор поручения (или оферту, явно содержащую необходимые условия), который включает: перечень обрабатываемых данных, цели и объём обработки, обязательства по конфиденциальности, меры по защите данных и условия уничтожения [16].
3. Если такой договор не заключён, а облачный провайдер получает доступ к ПДн — это нарушение статьи 7 152-ФЗ, которое при проверке или инциденте станет основанием для штрафа.

Практически это означает: перед подключением любого облачного WAF или anti-bot-сервиса необходимо изучить его договор/оферту на предмет наличия всех условий, предусмотренных ч. 3 ст. 6 152-ФЗ. Если эти условия отсутствуют — либо требовать их включения, либо выбирать on-premise решение.

Дополнительная сложность: отдельные статьи 152-ФЗ требуют, чтобы передача персональных данных третьим лицам была отражена в политике конфиденциальности сайта с указанием правового основания, цели и состава передаваемых данных [37]. Если вы используете облачный WAF и не указали его в политике — это ещё одно нарушение.

Новые штрафы с 30 мая 2025 года

Актуальность правового риска резко возросла после вступления в силу Федерального закона №420-ФЗ от 30 ноября 2024 года. С 30 мая 2025 года в России действует новая редакция статьи 13.11 КоАП РФ с принципиально иными санкциями [14]:

1. Утечка персональных данных 1 000–10 000 человек: для юридических лиц — от 3 до 5 млн рублей (ранее максимум — 700 тыс. рублей).
2. Утечка данных 10 000–100 000 человек: для юридических лиц — от 5 до 10 млн рублей.
3. Утечка данных более 100 000 человек: для юридических лиц — от 10 до 15 млн рублей.
4. Повторная утечка любой категории ПДн: оборотный штраф от 1% до 3% годовой выручки, минимум 20 млн рублей, максимум 500 млн рублей [55].
5. Утечка специальных категорий ПДн (медицинские, биометрические данные): от 10 до 20 млн рублей за биометрию и от 10 до 15 млн рублей за специальные категории [54].
6. Непредставление уведомления Роскомнадзору об утечке: от 1 до 3 млн рублей для юридических лиц [56].

При этом оборотные штрафы применяются не только при прямой утечке данных от хакерской атаки, но и при любом неправомерном доступе третьих лиц — в том числе через сторонний сервис, которому не был оформлен договор поручения.

Отечественный рынок WAF: импортозамещение в действии

Уход западных вендоров с российского рынка после 2022 года стал серьёзным вызовом для рынка WAF. До этого значительная доля сегмента приходилась на продукты компаний F5, Imperva, Cloudflare и других западных поставщиков, которые ограничили или прекратили работу в России. Рынок отреагировал активным развитием отечественных решений [2].

Ключевые российские решения

Сегодня на российском рынке доступно несколько зрелых WAF-продуктов:

1. PT Application Firewall (Positive Technologies) — одно из старейших отечественных WAF-решений, внесённое в реестр российского ПО в 2016 году. Поддерживает защиту по OWASP Top 10 и WASC, включает модули анализа исходного кода (P-Code), антивирусного сканирования загружаемых файлов (M-Scan) и клиентскую защиту через WAF.js [7].
2. Гарда WAF 3.0 (ГК «Гарда») — решение класса WAAP, вышедшее в 2024 году. Поставляется как в облачном, так и в on-premise-варианте. Объединяет наработки нескольких ранее поглощённых компаний, включая Weblock [3].
3. Solar WAF (ГК «Солар», «Ростелеком») — облачный WAF-сервис с тарификацией по количеству запросов в секунду. Использовался для защиты инфраструктуры Восточного экономического форума [9].
4. PT Application Firewall на платформе Nubes/Selectel — облачные варианты на основе решения Positive Technologies, доступные для быстрого подключения без собственной инфраструктуры.
5. WAF МТС Web Services (MWS) и Т1 Cloud — облачные WAF от крупных телеком-операторов.

Требования ФСТЭК и сертификация

Для организаций, работающих с государственными информационными системами (ГИС) и объектами критической информационной инфраструктуры (КИИ), использование WAF с сертификатом ФСТЭК является обязательным условием. Приказ ФСТЭК №17 описывает требования к ГИС; Приказ №21 — к системам обработки персональных данных [50].

Ключевые требования приказа ФСТЭК №21, которые обосновывают необходимость WAF:

1. УПД.3 — управление информационными потоками между устройствами и сегментами информационной системы.
2. ЗИС.17 — сегментирование информационной системы и обеспечение защиты периметров.
3. ЗИС.23 — защита периметра при взаимодействии с иными системами и сетями [43].

Для расшифровки HTTPS-трафика в сертифицированной схеме TLS-сертификат терминируется на сертифицированном виртуальном или аппаратном межсетевом экране, а к приложению приходит уже очищенный HTTP-трафик [43].

Как правильно выбрать и внедрить защиту

Чек-лист выбора WAF

1. Определите состав трафика: проходят ли через WAF формы с персональными данными, платёжные данные, медицинская информация? Если да — приоритет on-premise или гибридной схеме.
2. Проверьте регуляторные требования: если вы работаете с ГИС, КИИ или ИСПДн высоких уровней защищённости — нужен сертифицированный ФСТЭК WAF.
3. Для облачного WAF — изучите договор/оферту: содержит ли он условия договора поручения по ч. 3 ст. 6 152-ФЗ? Включите провайдера в политику конфиденциальности.
4. Оцените качество фильтрации: уточните, поддерживает ли решение OWASP Top 10, API Security, правила для вашего стека (PHP, Python, Java и т.д.). Наличие режима обучения (learning mode) обязательно для минимизации ложных срабатываний.
5. Проверьте наличие anti-bot функциональности: встроена ли защита от ботов или нужен отдельный модуль/сервис?
6. Уточните схему SSL-инспекции: где хранятся ключи? Кто имеет к ним доступ?
7. Оцените производительность: WAF-сервис не должен добавлять значимую задержку. Для высоконагруженных сервисов важна задержка до 5–10 мс.
8. Убедитесь в наличии API для интеграции с SIEM/SOC и возможности автоматического обновления правил.

Типичные ошибки при внедрении

1. Включение WAF сразу в режим блокировки без периода обучения. Результат — блокировка легитимного трафика и остановка бизнес-процессов. Правильный подход: начать с режима мониторинга, собрать логи, настроить белые списки, только потом переключить в режим блокировки.
2. Игнорирование API-эндпоинтов. Многие WAF-проекты настраиваются только на защиту веб-интерфейса, оставляя API без правил. Атаки на API составляли 44% продвинутых бот-атак в 2024 году [12].
3. Недонастройка правил под конкретное приложение. Стандартные OWASP-правила часто дают высокий процент ложных срабатываний в приложениях с нестандартными параметрами запросов.
4. Отсутствие регулярного обновления правил и сигнатур. ModSecurity, на котором основаны многие WAF, достиг конца жизненного цикла в июле 2024 года [65]. Без перехода на актуальную базу правил OWASP CRS v4 защита деградирует.
5. Забытый договор поручения с провайдером облачного WAF. Эта ошибка из технической зоны незаметно переходит в правовую и становится основанием для штрафа при проверке.

Комплексный подход: WAF + anti-bot + DDoS-защита

WAF, anti-bot-система и DDoS-защита решают разные задачи и не заменяют друг друга:

1. DDoS-защита (L3/L4) — фильтрует паразитный трафик на уровне сети и транспорта, до достижения сервера. Необходима для противодействия объёмным атакам.
2. WAF — анализирует прикладной уровень (L7), фильтрует вредоносные HTTP-запросы, защищает от эксплуатации уязвимостей приложения.
3. Anti-bot-система — определяет природу источника трафика (человек или автомат), независимо от того, является ли запрос технически вредоносным. Продвинутый бот может формировать валидные с точки зрения WAF запросы.

Типовая архитектура для среднего бизнеса в России: CDN или анти-DDoS на периметре → WAF (облачный или on-premise в зависимости от типа данных) → балансировщик нагрузки → серверы приложений. Anti-bot либо встроен в WAF, либо работает как отдельный модуль перед ним.

Персональные данные как слепое пятно периметровой защиты

Парадокс современной корпоративной безопасности: компании тратят значительные бюджеты на WAF, DDoS-защиту и anti-bot-системы, но при этом часто не знают, где именно в их IT-инфраструктуре хранятся персональные данные. Особенно это актуально для крупных организаций с многолетней историей: базы данных разрастаются, появляются новые сервисы, интеграции с подрядчиками, поля в формах.

Когда WAF-провайдер или анти-бот-сервис получает доступ к трафику, никто точно не знает, какой объём персональных данных он «видит» — потому что полной картины нет ни у кого.

Эта проблема выходит за рамки WAF: даже если все средства периметровой защиты правильно развёрнуты, остаётся вопрос — а что происходит с ПДн внутри инфраструктуры? Где они хранятся? Кто ещё имеет к ним доступ? Какие новые поля появились в базах за последние полгода? Если на эти вопросы нет ответов, то и оценить реальный риск передачи данных через WAF невозможно.

Именно здесь возникает потребность в инструментах автоматической инвентаризации и контроля персональных данных — не как замены WAF, а как необходимого дополнения к нему.

Тренды и будущее

Несколько направлений, которые будут определять рынок WAF и защиты от автоматизированных угроз в ближайшие 2–3 года:

1. AI против AI. Атакующие используют AI для создания более изощрённых ботов и поиска уязвимостей [73]. Защитники отвечают AI-WAF с динамическими моделями поведения. Это гонка вооружений, в которой побеждает тот, кто быстрее адаптируется.
2. Смещение к WAAP и API-first защите. По мере того как бизнес переходит на микросервисную архитектуру, традиционный WAF теряет эффективность. Будущее — за комплексными платформами защиты API и веб-приложений с единой точкой управления [3].
3. Рост зондирующих атак. Взрывной рост коротких разведывательных DDoS в 2025 году (×5300 к 2024-му) [23] означает, что в будущем атаки будут ещё более целевыми и сложными для обнаружения.
4. Ужесточение регулирования. Тренд на повышение штрафов и расширение ответственности за персональные данные продолжится. После введения оборотных штрафов в России в 2025 году вопрос правомерности передачи данных через WAF-провайдеров станет предметом проверок со стороны Роскомнадзора.
5. Развитие отечественного рынка. Российские вендоры WAF активно развивают продукты в отсутствие западной конкуренции. Ожидается появление более зрелых on-premise и гибридных решений с поддержкой современного API-фокусированного подхода.
6. Многовекторные атаки требуют многоуровневой защиты. Рост доли многовекторных атак с 25% в 2024-м до 52% в 2025-м [23] означает: ни одно единственное решение не закроет все угрозы. Интеграция WAF с SIEM, EDR и системами threat intelligence станет стандартной практикой.

Заключение: что делать дальше

Подведём итоги практического характера.

WAF, anti-bot-системы и DDoS-защита — не опциональные дополнения, а базовые элементы инфраструктуры для любого сайта, работающего с пользовательскими данными. Статистика атак 2024–2025 годов не оставляет иллюзий: угрозы реальны, автоматизированы и нарастают.

Вместе с тем внедрение этих инструментов — особенно в облачной модели — создаёт правовые риски, которые в условиях новых штрафов 2025 года игнорировать опасно. Каждый провайдер, через инфраструктуру которого проходит расшифрованный HTTPS-трафик с персональными данными, является обработчиком ПДн по смыслу 152-ФЗ и требует договора поручения.

Практические шаги:

1. Провести аудит текущей архитектуры: какие средства защиты используются, через какие из них проходит расшифрованный трафик, какие ПДн в нём содержатся.
2. Проверить договоры со всеми провайдерами облачных WAF и anti-bot-сервисов на соответствие требованиям ч. 3 ст. 6 152-ФЗ.
3. Обновить политику конфиденциальности сайта с указанием всех третьих лиц, получающих доступ к данным пользователей.
4. Для чувствительных данных (медицинские, финансовые, биометрические) рассмотреть on-premise или сертифицированные ФСТЭК решения.
5. Настроить WAF поэтапно: сначала режим мониторинга, затем — блокировки.
6. Выстроить инвентаризацию персональных данных: знать, где они находятся, чтобы понимать, через какие точки защиты они проходят.

Пятый фактор: контроль над персональными данными как основа безопасной архитектуры защиты

Описанная выше проблема — незнание того, где именно в инфраструктуре хранятся персональные данные — решаема. Именно с этой задачей работает платформа Пятый фактор.

Это on-premise решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, файловых хранилищах, почте, Active Directory/LDAP, CRM, 1С, API. Ключевая особенность — работа исключительно с метаданными, структурой и агрегатами без передачи и хранения самих «сырых» ПДн. Это делает платформу безопасной с точки зрения конфиденциальности: она сама не становится источником риска.

Как это связано с темой WAF и DDoS-защиты? Напрямую. Прежде чем выбирать архитектуру WAF, необходимо ответить на вопрос: какие именно персональные данные проходят через точку фильтрации трафика? Пятый фактор даёт живую карту ПДн — где они находятся, кто является владельцем, что изменилось в последнее время. Это позволяет:

1. Обоснованно выбрать между облачным и on-premise WAF на основе реального состава данных, а не предположений.
2. Точно сформулировать состав ПДн в договоре поручения с WAF-провайдером.
3. Своевременно обнаружить, что в новой форме сайта или в новом API-эндпоинте появились поля с персональными данными — до того, как это станет нарушением при проверке.

В условиях, когда повторная утечка грозит оборотным штрафом до 500 миллионов рублей, непрерывный контроль над персональными данными — это не дополнительный слой бюрократии, а часть системы управления рисками.

Источники

[1] Обзор рынка WAF 2024, Anti-Malware.ru — https://www.anti-malware.ru/analytics/Market_Analysis/Web-Application-Firewall-2024

[2] Обзор рынка WAF 2024 (то же издание) — https://www.anti-malware.ru/analytics/Market_Analysis/Web-Application-Firewall-2024

[3] Обзор Гарда WAF 3.0, Anti-Malware.ru — https://www.anti-malware.ru/reviews/Garda-WAF-3

[4] WAF, Onlanta — https://onlanta.ru/press/blog/web-application-firewall-waf-kompleksnaya-zashhita-veb-prilozhenij-ot-atak/

[5] DDoS 2024 годовой отчёт, StormWall — https://stormwall.pro/resources/blog/ddos-2024-godovoj-otchet

[6] DDoS-атаки в России выросли в 1,8 раза, CNews — https://safe.cnews.ru/news/line/2026-01-16_v_2025_gkolichestvo_ddos-atak

[7] Число DDoS-атак удвоилось, CNews/Роскомнадзор — https://www.cnews.ru/news/top/2025-07-02_chislo_ddos-atak_na_informatsionnaya

[8] DDoS в 2025 году выросли в 2 раза, Коммерсантъ — https://www.kommersant.ru/doc/8361344

[9] Solar WAF, ГК «Солар» — https://rt-solar.ru/services/waf/

[10] Файрвол веб-приложений, Википедия — https://ru.wikipedia.org/wiki/%D0%A4%D0%B0%D0%B9%D1%80%D0%B2%D0%BE%D0%BB_%D0%B2%D0%B5%D0%B1-%D0%BF%D1%80%D0%B8%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9

[11] Обзор рынка Bot Protection, Anti-Malware.ru — https://www.anti-malware.ru/analytics/Market_Analysis/Bot-Protection

[12] 2025 Imperva Bad Bot Report — https://www.imperva.com/resources/resource-library/reports/2025-bad-bot-report/

[13] DDoS тенденции 2024, DDoS-Guard — https://ddos-guard.ru/blog/tendentsii-ddos-atak-2024

[14] Новые штрафы за ПДн, КонсультантПлюс — https://www.consultant.ru/legalnews/28492/

[15] Ответственность по 152-ФЗ, Selectel — https://selectel.ru/blog/responsibility-152-fz/

[16] Согласие на передачу ПДн третьим лицам, b-152.ru — https://b-152.ru/otdelnoe-soglasie-na-peredachu-pdn

[17] OWASP Top Ten — https://owasp.org/www-project-top-ten/

[18] Best WAF Solutions 2024-2025, Open-AppSec — https://www.openappsec.io/post/best-waf-solutions-in-2024-2025-real-world-comparison

[19] Статья 7 152-ФЗ, КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/a15bab6050028753706f22c32fe60627a7be79f9/

[20] Защита от ботов методы, Luxup — https://luxupnetwork.com/blog/site-monetization-bots/

[21] DDoS-атаки в России (TAdviser) — https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:DDoS-%D0%B0%D1%82%D0%B0%D0%BA%D0%B8_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8

[22] DDoS 2024, Qrator Blog — https://blog.qrator.net/ru/ddos-boty-i-bgp-incidenty-v-2024-godu-statistika-i_210/

[23] DDoS-атаки в России 2025, TAdviser — https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:DDoS-%D0%B0%D1%82%D0%B0%D0%BA%D0%B8_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8

[24] Россия под ударом: DDoS +60% H1 2025, CNews — https://www.cnews.ru/news/top/2025-07-08_chislo_ddos-atak_na_rossijskie

[25] Отчёт Solar MSS о DDoS 2024 — https://rt-solar.ru/analytics/reports/5364/

[26] Расшифровка SSL, Jet.info — https://www.jetinfo.ru/zaschita-ot-kiberatak-rasshifrovka-ssl/

[27] Сертифицированный WAF, Selectel/Habr — https://habr.com/ru/companies/selectel/articles/862372/

[28] HTTPS Inspection, TS Solution — https://tssolution.ru/blog/https-inspection

[29] Что такое WAF, King Servers — https://kingservers.com/blog/waf-zashchita-veb-prilozhenij-ot-atak/

[30] WAF полный гид, Infra-Tech Blog — https://blog.infra-tech.ru/waf-chto-takoe/

[31] Штрафы за ПДн 2025, Правовест Аудит — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/

[32] Штрафы за ПДн с 30 мая 2025, КонсультантПлюс (ФЗ №420-ФЗ) — https://www.consultant.ru/document/cons_doc_LAW_490308/

[33] Штрафы за ПДн 2026, data-sec.ru — https://data-sec.ru/personal-data/fines/

[34] AI Bots 2025 Imperva, Thales — https://cpl.thalesgroup.com/about-us/newsroom/2025-imperva-bad-bot-report-ai-internet-traffic

[35] 2025 Imperva Bad Bot Report PDF — https://www.imperva.com/resources/wp-content/uploads/sites/6/reports/2025-Bad-Bot-Report.pdf