Более 80% компаний провалили аудит защиты персональных данных
Российский бизнес оказался в парадоксальной ситуации. С одной стороны, компании тратят средства на разработку внутренних политик защиты персональных данных и приобретение дорогостоящего программного обеспечения. С другой стороны, эти меры зачастую не работают.
По итогам аудитов, проведенных в первом квартале 2026 года, выяснилось, что более 80% организаций допустили критические ошибки в защите информации своих клиентов.
Форма есть, защиты нет
Главная проблема, которую выявили эксперты, — это системный формальный подход. Руководители многих компаний подходят к вопросу безопасности как к бюрократической процедуре. В офисе хранятся внушительные стопки регламентов и приказов, которые готовы показать проверяющему. Однако в реальности база с клиентскими данными обрабатывается на обычном офисном компьютере, а файлы с информацией спокойно лежат на диске без какого-либо шифрования. Внешняя видимость защиты при полном отсутствии технической безопасности. Когда регулятор приходит с проверкой, штраф выписывается в тот же день, и аргумент «но у нас есть приказ» не работает.
Три главных провала в безопасности
Исследование и опыт аудита позволили выделить три типичные и самые массовые ошибки, которые допускает бизнес.
Первый провал — документы без дела. В 78% компаний, прошедших проверку, в полном объеме выполнены только требования к бумагам. Организационно-распорядительные документы на месте, а вот реальные средства защиты информации, которые что-то шифруют и блокируют, отсутствуют как класс.
Второй провал — слепые зоны. В 65% случаев аудит выявил, что в перечень информационных систем, обрабатывающих персональные данные, не включены все реально работающие системы. Бухгалтерия, CRM-система, облачные таблицы, которые ведут менеджеры, — эти базы часто остаются вне зоны контроля, а значит, не защищены.
Третий провал. В 80% организаций купленные средства защиты информации либо не соответствуют требованиям регуляторов, либо дублируют друг друга. Антивирус и фаерволл могут конфликтовать, создавая слепые зоны вместо защиты.
Регуляторы сменили тактику
В 2026 году произошло важное изменение в контроле за оборотом персональных данных. Роскомнадзор и прокуратура синхронизировали свои проверки. Теперь инспекция строится по принципу оценки связки «документ-технология».
Проще говоря, недостаточно принести бумажку о назначении ответственного за обработку данных. Нужно показать, что этот ответственный реально выполняет свои функции и что установленные системы блокировки и шифрования действительно работают, а не просто значатся в акте приема-передачи.
Цена ошибки и невнимательности
Последствия формального подхода уже сегодня бьют по кошельку. Штрафы за утечку или необеспечение сохранности персональных данных могут достигать 500 тысяч рублей для юридического лица по статье 13.11 КоАП РФ.
Но финансовое наказание — не единственный риск. Выявленные критические нарушения, как правило, блокируют возможность пройти аттестацию информационной системы. Для компаний, которые работают с гостайной или стремятся получить статус аккредитованной ИТ-организации с налоговыми льготами, это означает прямые экономические потери.
Получается, что бизнес тратит средства, но играет в формальное соответствие. Бумаги на месте, средства защиты установлены, однако данные текут. Регулятор проверяет не наличие чеков и приказов, а реальную работу технических средств. Экономия на полноценном аудите в итоге оборачивается не только более крупными штрафами, но и простоями в работе и потерей репутации. Для исправления ситуации необходимо переходить от создания видимости безопасности к построению реально функционирующей системы защиты.
С уважением к Вашему делу, Ника Виноградова
Источник: Прайм1
