Спасибо, что вы с нами!
Ошибки сотрудников остаются главным фактором утечек. В 2024 году более 1,5 млрд записей персональных данных оказались в открытом доступе, и почти каждый пятый инцидент случился по вине людей внутри компании.
Классическая картина: письмо «от банка» с просьбой подтвердить вход, загрузка файла «от партнёра» или фото конфиденциального документа в чат коллеги. Не злой умысел, а недостаток культуры и привычек безопасности. Разбираемся с командой экспертов «Потока», как HR может обезопасить бизнес в этом вопросе.
Рост утечек данных: тревожные цифры
- Почти каждый пятый инцидент по утечке персональных данных (18,5 %) происходит по вине сотрудников или руководства.
- Более половины (51 %) утечек конфиденциальной информации связаны с сотрудниками, включая 15 % — с уволившимися, и лишь 13 % — с внешними злоумышленниками.
- В 2024 году 48 % российских компаний столкнулись с утечками по вине сотрудников из-за ошибок и незнания правил кибергигиены
- Топовые каналы утечек: мессенджеры (54 %), электронная почта (53 %), USB-накопители/диски (34 %), а также фото данных на мобильный (29 %).
Компания «Поток» во всех своих продуктах считает важным принципом — безопасность данных. Это значит, что мы:
- соблюдаем 152-ФЗ — о хранении персональных данных;
- храним информацию на территории РФ;
- не раскрываем данные пользователей и результаты оценки в анонимных опросах;
- наши продукты входят в Единый реестр российского ПО.
Почему кибербезопасность актуальна для HR в 2025 и 2026 году
Компания | Ошибки персонала |
Samsung | Инженеры Samsung пользовались ChatGPT для быстрого исправления ошибок в исходном коде, и «слили» чат-боту закрытые данные, включая заметки с внутренних совещаний и данные, связанные с производством и доходностью компании. |
Онлайн-казино 1Win | Выгрузка CRM ушла «налево». Злоумышленники в том числе рассылали вирусы сотрудникам для получения паролей от серверов. |
РЖД | Произошла утечка данных программы лояльности "РЖД Бонус". В открытый доступ попали персональные данные более 1,36 миллиона пользователей, при этом источником стала халатность сотрудника по менеджменту веб-сайтов (возможно на аутсорсе) |
Ростелеком (через подрядчика) | Утечка 154 тыс. e-mail и 101 тыс. телефонов. Инцидент произошёл у подрядчика, обрабатывающего данные. Есть предположение, что причина – «человеческий фактор»: сотрудники партнёрской компании не обеспечили защиту выгрузки. |
Ключевой вывод: это не атаки уровня спецслужб, а элементарные проколы персонала и партнёров.
«Кибербезопасность — это задача ИТ. Причем тут HR?»
Пока ИТ-директора настраивают фаерволы, HR работает с людьми. Но именно люди — слабое звено. Поэтому вопрос «а причём тут HR?» на самом деле стоит читать наоборот: «а кто ещё, кроме HR?»
Ключевой вывод: технические меры (фаервол, DLP) — важны, но кибербезопасность начинается с поведения, а поведение формирует HR.
Чек-лист для HR – проверь уровень киберграмотности
Чтобы тема кибербезопасности перестала быть «побочной», HR-директорам стоит задать себе и бизнесу вопросы стратегического уровня:
- Адаптация
- Есть ли у нас блок кибергигиены в программе адаптации?
- Получает ли новый сотрудник «цифровую памятку» в первый день?
- Кто в компании отвечает за объяснение правил работы с корпоративными данными?
- Есть ли у нас блок кибергигиены в программе адаптации?
- Культура и поведение
- Считается ли «нормой» у нас отправлять документы в личный WhatsApp?
- Как мы реагируем на ошибки сотрудников: учим или наказываем?
- Есть ли регулярные кампании, которые делают безопасность частью культуры, а не разовой акцией?
- Управление рисками
- Сколько утечек у нас было в прошлом году — и сколько из них связаны с людьми?
- Считаем ли мы эти данные в HR-отчётности так же, как текучесть или вовлечённость
- Понимаем ли мы, какой ущерб утечка данных может нанести бренду работодателя?
- Сколько утечек у нас было в прошлом году — и сколько из них связаны с людьми?
- Взаимодействие HR и ИТ
- Есть ли у HR и ИТ совместный план действий по киберустойчивости?
- Кто отвечает за обучение сотрудников кибербезу: ИТ или HR?
- Есть ли у нас единый язык, чтобы объяснять угрозы без технического перегруза?
- Есть ли у HR и ИТ совместный план действий по киберустойчивости?
- Роль HR как лидера изменений
- Готов ли HR взять на себя инициативу по запуску дней киберграмотности
- Есть ли у HR-отдела KPI, связанные с безопасностью
- Станет ли HR драйвером изменений, или снова «передаст ответственность в ИТ»?
Я, как и многие гендиректоры российских компаний, столкнулся с мошеннической схемой. Злоумышленники в Telegram создают фальшивый аккаунт, выдающий себя за CEO компании, воспользовавшись тем, что имя и должность легко найти на сайте. Дальше мошенники пишут текущим и бывшим сотрудникам с неожиданными и пугающими сообщениями ближе к концу рабочего дня — когда критическое мышление сотрудников снижается от усталости. Однако обман «не прокатит» – все сотрудники «Потока» знают правила безопасности, секретный пароль и распространенные схемы разводов, которые мы разбираем вместе с юристами публично на всю компанию.
Выводы: как HR не допустить утечки персональных данных сотрудников?
- Пересоберите онбординг: добавьте блок «цифровой гигиены» в адаптацию новых сотрудников.
- Проведите симуляцию фишинга: это дешевле штрафов и эффективнее любых лекций.
- Запустите кампанию вовлечённости: квизы, чек-листы, короткие рассылки «миф или факт».
- Организуйте открытый вебинар: ИТ-специалист + HR объясняют простым языком, как не стать причиной утечки.
- Внедрите внутреннюю отчётность: отслеживайте и анализируйте инциденты, фиксируйте «слабые места» и закрывайте их обучением.
2025 год делает HR не только хранителем культуры, но и одним из ключевых защитников бизнеса. Фаервол может остановить хакера, но он не остановит сотрудника, который пересылает клиентскую базу в личный мессенджер.
Текст подготовила Виктория Чернышева, PR-директор HRTech-компании «Поток»
Текст опубликовала Анна Александрова, главный редактор блога «Поток»
Материал выпущен в августе 2025 года
Предыдущая статьяСпасибо, что вы с нами!
