.PNG)
В 2024-2025 годах количество утечек корпоративных данных в России выросло на 60%. По данным DLBI, в открытый доступ попали записи более чем 400 млн аккаунтов российских пользователей. При этом средняя компания узнаёт о своей утечке через 197 дней — почти 7 месяцев, за которые украденные данные успевают разойтись по даркнету, быть использованы для фишинга и социальной инженерии.
Проблему обычно обнаруживает не сама компания, а третьи лица: журналисты, Telegram-каналы, клиенты или Роскомнадзор. К этому моменту ущерб уже нанесён, а штрафы неизбежны. Эта статья поможет проверить утечку проактивно и выстроить систему раннего обнаружения.
+60%
Рост утечек
в 2024-2025 годах
197
Дней
среднее время обнаружения
400М+
Аккаунтов
утекли в РФ за 2024-2025
15М ₽
Макс. штраф
за утечку ПДн (разовый)
15 способов проверить утечку данных компании
Ни один из этих способов не является исчерпывающим — используйте их в комбинации для максимального покрытия. Бесплатные инструменты дают базовое понимание, но для полноценного мониторинга нужны профессиональные сервисы.
1. Have I Been Pwned (haveibeenpwned.com)
Бесплатный сервис Троя Ханта, содержащий более 13 млрд записей из публичных утечек. Проверяет email-адреса: введите корпоративные адреса (особенно admin@, info@, бухгалтерия, руководство) и посмотрите, в каких базах они фигурируют. Для компании доступна функция Domain Search — проверка всех адресов на вашем домене.
2. Мониторинг даркнета и Telegram-каналов (DLBI)
Сервис Data Leakage & Breach Intelligence (DLBI, t.me/dataleak) — крупнейший русскоязычный агрегатор утечек. Публикует информацию о новых базах в течение часов после их появления. Для компаний доступен платный мониторинг по домену, ИНН и наименованию — уведомление приходит автоматически при обнаружении данных.
3. Google Alerts и Яндекс-оповещения
Настройте оповещения на: название компании + «утечка», домен компании + «база данных», ИНН + «персональные данные», email-адреса руководства. Метод не покрывает даркнет, но обнаруживает обсуждения утечек на форумах, в СМИ и социальных сетях.
4. Hudson Rock (cavalier.hudsonrock.com)
Сервис мониторинга инфостилеров (Raccoon, Vidar, RedLine). Проверяет, были ли учётные записи сотрудников вашей компании украдены вредоносным ПО с их рабочих или домашних компьютеров. Показывает: логины, пароли, cookies, данные автозаполнения. Бесплатный поиск по домену.
5. Threat Intelligence платформы
Профессиональные платформы (Kaspersky Threat Intelligence, Group-IB Threat Intelligence, BI.ZONE ThreatVision) обеспечивают непрерывный мониторинг: даркнет-форумы, Telegram-каналы, пастебины, торренты. Автоматическое уведомление при обнаружении данных вашей компании. Стоимость — от 100 000 ₽/год.
Минимальный набор для проверки прямо сейчас
2Признаки утечки, которую вы не заметили
Утечка данных не всегда сопровождается очевидными симптомами. Вот 6 косвенных признаков, которые указывают на компрометацию данных — даже если вы не нашли свою компанию в публичных базах.
Рост фишинговых атак на сотрудников
Если сотрудники стали получать целевые фишинговые письма с упоминанием внутренних проектов, имён коллег или деталей бизнес-процессов — скорее всего, утекла внутренняя переписка или адресная книга.
Клиенты жалуются на мошеннические звонки
Звонящие знают имена менеджеров, номера договоров, суммы сделок — данные, доступные только из вашей CRM или 1С. Это прямой признак утечки клиентской базы.
Несанкционированный доступ к учётным записям
Уведомления о входе в корпоративные сервисы из необычных локаций или устройств. Особенно тревожно, если пароли не менялись — значит, утечка затронула актуальные учётные данные.
Появление вашей компании в рейтингах утечек
СМИ, Telegram-каналы (DLBI, in4security) или ИБ-сообщество публикуют информацию об утечке. Зачастую компания узнаёт об этом последней — когда данные уже распространены.
Необъяснимый исходящий трафик
Большие объёмы данных, уходящие на внешние IP в нерабочее время. Особенно подозрительно: трафик на облачные хранилища (Mega, Google Drive), торрент-протокол, DNS-туннелирование.
Запросы от Роскомнадзора
Если РКН инициирует проверку без вашего уведомления — значит, информация об утечке поступила из внешних источников. В этом случае штраф за неуведомление добавляется к штрафу за саму утечку.
3Что делать если обнаружили утечку
Обнаружение утечки — начало работы, а не повод для паники. Чёткий алгоритм действий минимизирует ущерб и штрафные санкции.
Первые 2 часа: оцените масштаб
Определите: какие данные утекли (ПДн, коммерческая тайна, учётные записи), сколько записей затронуто, когда произошла утечка, какой вектор (взлом, инсайдер, ошибка конфигурации). Эта информация нужна для уведомления регуляторов.
В течение 24 часов: уведомите Роскомнадзор
Подайте предварительное уведомление через портал pd.rkn.gov.ru. Укажите: категории ПДн, предполагаемое количество субъектов, обстоятельства обнаружения, принятые меры. Неуведомление — отдельный штраф до 3 млн рублей.
В течение 72 часов: завершите расследование
Подайте результаты внутреннего расследования в Роскомнадзор: причина утечки, точный объём данных, принятые меры по устранению, план по предотвращению повторения. Привлеките IR-команду для технического расследования.
Параллельно: смените скомпрометированные учётные данные
Сбросьте пароли всех учётных записей, фигурирующих в утечке. Отзовите API-ключи, токены, сертификаты. Если утекли данные клиентов — уведомите их о необходимости сменить пароли в ваших сервисах.
В течение 2 недель: устраните причину
Закройте вектор утечки: исправьте уязвимость, уволите инсайдера, настройте контроль доступа. Внедрите мониторинг для предотвращения повторения. Подготовьте документацию для возможной проверки РКН.
Критический срок — 24 часа
4Штрафы за утечку персональных данных в 2025-2026
С 30 мая 2025 года вступили в силу оборотные штрафы за утечки ПДн. Размеры значительно выросли по сравнению с предыдущими нормами.
| Нарушение | Первичное | Повторное |
|---|---|---|
| Утечка ПДн 1 000 — 10 000 субъектов | 3 — 5 млн ₽ | 1-3% выручки (мин. 20 млн ₽) |
| Утечка ПДн 10 000 — 100 000 субъектов | 5 — 10 млн ₽ | 1-3% выручки (мин. 25 млн ₽) |
| Утечка ПДн более 100 000 субъектов | 10 — 15 млн ₽ | 1-3% выручки (мин. 25 млн, макс. 500 млн ₽) |
| Утечка спецкатегорий ПДн (биометрия, здоровье) | До 15 млн ₽ | 1-3% выручки (мин. 25 млн, макс. 500 млн ₽) |
| Неуведомление Роскомнадзора об утечке | До 3 млн ₽ | До 6 млн ₽ |
Подробнее о требованиях 152-ФЗ и обязанностях оператора — в нашей статье Персональные данные и 152-ФЗ: обязанности компании.
Смягчающие обстоятельства
5Как SOC предотвращает утечки данных
SOC обнаруживает и предотвращает утечки на трёх уровнях: сетевом, на конечных точках и на уровне пользовательского поведения. Комплексный подход сокращает время обнаружения утечки с 197 дней до менее чем 1 часа.
DLP-мониторинг (предотвращение утечек)
SOC контролирует каналы передачи данных: электронная почта, мессенджеры, облачные хранилища, USB-носители, печать. При обнаружении передачи конфиденциальных данных — автоматическая блокировка и уведомление аналитика.
SIEM-корреляция и UEBA
Анализ поведения пользователей (User and Entity Behavior Analytics) выявляет аномалии: массовое копирование файлов, доступ к данным вне рабочего графика, обращения к необычным базам данных. SIEM коррелирует события из множества источников для обнаружения сложных сценариев утечки.
Мониторинг даркнета и Threat Intelligence
Аналитики SOC отслеживают появление данных компании в даркнете, на хакерских форумах, в Telegram-каналах. При обнаружении — немедленное уведомление с рекомендациями по реагированию и оценкой масштаба утечки.
Контроль привилегированного доступа (PAM)
Мониторинг действий администраторов и привилегированных пользователей, которые имеют доступ к критичным данным. Запись сессий, контроль команд, алерты на подозрительные действия — снижают риск инсайдерской утечки.
<1ч
Обнаружение
утечки с SOC-мониторингом
197
Дней без SOC
среднее время обнаружения
24/7
DLP-контроль
всех каналов передачи
93%
Утечек
предотвращаются на ранней стадии
Частые вопросы
Как бесплатно проверить, утекли ли данные моей компании?▼
Используйте три бесплатных инструмента: haveibeenpwned.com (проверка email-адресов на вашем домене), cavalier.hudsonrock.com (проверка на компрометацию инфостилерами), Telegram-канал @dataleak (поиск по названию компании). Также настройте Google Alerts на сочетание «название компании + утечка». Для полноценного мониторинга потребуются платные Threat Intelligence платформы.
Что делать если данные компании нашлись в утечке?▼
Немедленно: сбросьте скомпрометированные пароли, отзовите API-ключи и токены. В течение 24 часов: уведомите Роскомнадзор (если утекли ПДн). В течение 72 часов: завершите расследование и подайте результаты. Параллельно: уведомите клиентов, установите источник утечки, устраните причину. Привлеките IR-команду для технического расследования.
Можно ли удалить свои данные из даркнета?▼
Практически невозможно. После публикации данные копируются, перепродаются и объединяются с другими базами. Единственная эффективная стратегия — сделать утечённые данные бесполезными: сменить пароли, отозвать токены, перевыпустить сертификаты, уведомить контрагентов о смене реквизитов. Для персональных данных клиентов — уведомить их о необходимости дополнительной осторожности.
Как часто нужно проверять компанию на утечки?▼
Ручная проверка — минимум раз в месяц. Но ручной мониторинг всегда запаздывает: утечка может быть опубликована и использована задолго до следующей проверки. Оптимальный вариант — автоматический непрерывный мониторинг через SOC или Threat Intelligence платформу, который уведомляет в реальном времени. Стоимость автоматического мониторинга — от 100 000 ₽/год, что несопоставимо с потенциальными штрафами.
Обязан ли я уведомлять клиентов об утечке их данных?▼
Федеральный закон № 152-ФЗ требует уведомить Роскомнадзор, но не содержит прямого требования уведомлять субъектов ПДн. Однако: РКН может обязать вас это сделать по итогам проверки, договоры с клиентами могут содержать такое обязательство, и своевременное уведомление клиентов рассматривается как смягчающее обстоятельство при определении штрафа. С репутационной точки зрения — уведомление повышает доверие.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Елисеев
Специалист по информационной безопасности
С 2024 года специализируется на комплексных аудитах ИБ. Реализованные проекты: защита персональных данных в МФЦ МО, безопасность в банковской сфере, соответствие требованиям 152-ФЗ.