39 миллионов записей всего за полгода — таков неутешительный итог первых шести месяцев 2025 года по утечке персональных данных в свободный доступ в Интернете согласно статистике Роскомнадзора. Цифры шокируют и заставляют задуматься: где же на самом деле безопаснее хранить персональные данные? В собственном серверном шкафу или доверившись профессиональному облачному провайдеру?
Страх перед облаками часто рождается из-за непонимания законодательства. Реальность такова: российский закон не запрещает хранить персональные данные в облаке. Он запрещает безответственность. Давайте расставим запятые правильно.
Страх перед облаками часто рождается из-за непонимания законодательства. Реальность такова: российский закон не запрещает хранить персональные данные в облаке. Он запрещает безответственность. Давайте расставим запятые правильно.
Законодательная основа: что говорит 152-ФЗ?
Обработка персональных данных в России регулируется Федеральным законом №152-ФЗ. Его главное требование к хранению — локализация. Это означает, что серверы и дата-центры, где физически находятся ваши данные, должны быть расположены на территории Российской Федерации.
Контроль за соблюдением этих норм осуществляют два ключевых регулятора:
Роскомнадзор — следит за законностью обработки и выполнения требований 152-ФЗ.
ФСТЭК России — устанавливает и проверяет технические требования к защите информации.
Контроль за соблюдением этих норм осуществляют два ключевых регулятора:
Роскомнадзор — следит за законностью обработки и выполнения требований 152-ФЗ.
ФСТЭК России — устанавливает и проверяет технические требования к защите информации.
Вывод: выбрать можно любого облачного провайдера, но его дата-центры обязаны быть в России.
Почему утечки все еще происходят? Реальная проблема не в «облаке»
Нарушение 152-ФЗ грозит, к примеру, должностным лицам компаний штрафами до 6 млн рублей (КоАП РФ, ст. 13.11, п.8). Но главный удар — по репутации. После утечки клиенты уйдут к более надежным конкурентам. Новая статистика утечек выявляет главную причину проблем: чаще всего к компрометации данных ведет несоблюдение компаниями требований законодательства в сфере безопасности.
Проще говоря, проблема не в технологии хранения (облако vs свои серверы), а в человеческом факторе и неправильно выстроенных процессах:
Облако здесь — лишь инструмент. Его можно настроить как максимально безопасно, так и крайне небрежно.
Проще говоря, проблема не в технологии хранения (облако vs свои серверы), а в человеческом факторе и неправильно выстроенных процессах:
- Неправильная настройка прав доступа к данным в облаке.
- Отсутствие шифрования критичной информации.
- Использование устаревшего ПО с известными уязвимостями.
- Пренебрежение регулярным аудитом безопасности.
Облако здесь — лишь инструмент. Его можно настроить как максимально безопасно, так и крайне небрежно.
Как безопасно хранить ПДн в облаке: краткий чек-лист
Неправильный облачный провайдер — ваша ответственность: по закону, оператор персональных данных (ваша компания) несет полную ответственность перед клиентами и государством. Если провайдер скомпрометирует данные, отвечать всё равно вам. Посмотрите подробно зоны ответственности – вашу, как оператора персональных данных, и провайдера облака:
Зоны ответственности оператора персональных данных (заказчика) и провайдера облака при работе с ПДн
Если вы рассматриваете облачное решение, убедитесь, что ваш провайдер и ваши внутренние политики соответствуют этим пунктам:
1.Подтвердите локализацию: убедитесь, что провайдер гарантирует хранение данных исключительно в российских дата-центрах.
2.Проверьте сертификаты: идеальный вариант — облако с аттестатом ФСТЭК УЗ-2 и К-2 или выше, что подтверждает соответствие инфраструктуры провайдера строгим требованиям регулятора.
3.Обратите внимание на шифрование: данные должны шифроваться при передаче (по TLS) и желательно – на стороне хранения. Спрашивайте, где и как хранятся ключи шифрования.
4.Настройте управление доступом: реализуйте политику наименьших привилегий и используйте двухфакторную аутентификацию.
5.Настройте резервное копирование: убедитесь, что провайдер обеспечивает защиту данных не только от сбоев, но и от ransomware-атак, которые целятся в бэкапы.
2.Проверьте сертификаты: идеальный вариант — облако с аттестатом ФСТЭК УЗ-2 и К-2 или выше, что подтверждает соответствие инфраструктуры провайдера строгим требованиям регулятора.
3.Обратите внимание на шифрование: данные должны шифроваться при передаче (по TLS) и желательно – на стороне хранения. Спрашивайте, где и как хранятся ключи шифрования.
4.Настройте управление доступом: реализуйте политику наименьших привилегий и используйте двухфакторную аутентификацию.
5.Настройте резервное копирование: убедитесь, что провайдер обеспечивает защиту данных не только от сбоев, но и от ransomware-атак, которые целятся в бэкапы.
Вердикт для бизнеса: так хранить или нет?
Персональные данные – хранить, нельзя отказаться от конкурентных преимуществ, гибкости и реальной экономии, которые дают современные облачные технологии.
Персональные данные – хранить нельзя, отказаться от непроверенных провайдеров, сомнительных соглашений и надежды на «авось пронесет».
Для бизнеса, который хочет расти и минимизировать риски, ответ однозначен: хранить в облаке не только можно, но и нужно. Но только в том, которое прошло строгую проверку на соответствие 152-ФЗ. Это не просто ИТ-задача, это стратегическое решение на стыке технологий, права и безопасности. Выбирайте того, кто дает не просто «виртуальный сервер», а гарантии и юридическую чистоту.
Персональные данные – хранить нельзя, отказаться от непроверенных провайдеров, сомнительных соглашений и надежды на «авось пронесет».
Для бизнеса, который хочет расти и минимизировать риски, ответ однозначен: хранить в облаке не только можно, но и нужно. Но только в том, которое прошло строгую проверку на соответствие 152-ФЗ. Это не просто ИТ-задача, это стратегическое решение на стыке технологий, права и безопасности. Выбирайте того, кто дает не просто «виртуальный сервер», а гарантии и юридическую чистоту.