HR-контур работает с самыми чувствительными данными в компании — паспорта, зарплаты, контакты, карьерные истории людей. При этом к информационной безопасности в HR до сих пор относятся как к «технической рутине».

Вы узнаете, почему это опасное заблуждение, кто реально сливает данные, что изменили новые штрафы и как выстроить защиту, которая работает — на популярные вопросы о безопасности и рисках для ПДн в HR ответила Елена Моисеенкова, Business leader BetaOnline.

Елена: Острее, чем кажется большинству компаний. Мы живём в среде тотальной цифровизации: облачные решения, HR-платформы, автоматизация подбора, AI, интеграции между системами. Данные больше не хранятся «в столе» — они постоянно перемещаются между сервисами, сотрудниками и подрядчиками. Каждое такое перемещение — потенциальная точка риска.

HR-функция работает с максимально чувствительным массивом: анкеты кандидатов, паспортные сведения, контакты, зарплатные ожидания. И цепочка обработки почти всегда многоуровневая. Кандидат оставляет данные на платформе — рекрутер их обрабатывает — подключается нанимающий менеджер — служба безопасности — бухгалтерия — иногда ещё и внешние агентства. Если в процессе участвуют фрилансеры или подрядчики, контур становится ещё более разветвлённым.

Ключевой вопрос — не в том, подписан ли документ о соблюдении 152-ФЗ. Вопрос в другом: управляется ли реально контур доступа? Кто имеет права на просмотр и выгрузку данных? Как фиксируется их передача? Кто несёт персональную ответственность? Это вопросы управленческой зрелости, а не технической грамотности.

По нашей практике, до 70–80% инцидентов связаны с внутренним контуром. Это не всегда злой умысел — чаще человеческий фактор, низкая цифровая гигиена и слабость процессов: пересылка данных не тому адресату, хранение файлов вне корпоративного контура, использование личной почты. Скорость цифровизации опережает зрелость процессов управления персональными данными. Вот в чём настоящая проблема.

Елена: Да, типичная. И, к сожалению, почти всегда предсказуемая задним числом — когда начинаешь разбираться, «красные флаги» были видны заранее.

Как правило, схема выглядит так: рекрутер или ресёрчер с широким доступом к базе кандидатов либо уходит к конкуренту, либо параллельно работает на стороннее агентство. Данные утекают не через взлом систем — через выгрузки в Excel, пересылку в личный мессенджер, копирование в Google-таблицу «для удобства». Никакого сложного инструментария.

Компании обычно реагируют по одному из двух сценариев. Первый — пытаются «залатать дыру» точечно: блокируют конкретного сотрудника, возможно идут в суд. Но без системных изменений история повторяется. Второй сценарий — используют инцидент как повод для реального аудита: пересматривают права доступа, вводят логирование выгрузок, переходят на ролевое разграничение. Вот это уже работает.

Разница между двумя подходами — это разница между пластырем и лечением.

Елена: Важно понимать: для злоумышленников не существует незначительных персональных данных. Даже базовый набор — имя, номер телефона, возраст, гражданство — это уже точка входа.

В цифровой среде фрагменты информации быстро агрегируются. По одному номеру телефона можно собрать дополнительные сведения из открытых источников и прошлых утечек: электронную почту, адрес, ИНН, паспортные данные, профили в соцсетях. Дальше данные используются в связке — для создания убедительного сценария контакта.

HR-данные особенно ценны по нескольким причинам: они актуальны (кандидат находится в поиске и открыт к коммуникации), содержат контактную информацию, отражают карьерный статус и доход, позволяют понять уязвимость человека — смена работы всегда стрессовая ситуация.

На практике это оборачивается финансовым мошенничеством со сценариями «под жертву»: «служба безопасности банка», «ваш новый работодатель», «подтверждение оффера». Персонализация резко повышает доверие. Кражами личности — оформлением кредитов, регистрацией счетов. Вымогательством, если злоумышленники получают доступ к почте или аккаунтам. И масштабированием атак: одна утечка в HR-системе становится частью большей схемы — данные перепродаются, объединяются с другими массивами.

Мошеннические схемы работают не на случайность, а на точную психологическую модель жертвы. И с ростом цифровизации изощрённость этих схем будет только усиливаться.

Елена: Потому что именно они находятся в точке доступа к данным. Технологии могут быть защищены, но доступ к системам, выгрузкам и коммуникациям всё равно осуществляется через человека.

Психологические риски здесь работают не хуже технических уязвимостей. Недооценка последствий — «ничего страшного не случится». Усталость и перегрузка — особенно в HR с большим потоком данных. Конфликт или обида на работодателя. Финансовая уязвимость.

Есть один фактор, о котором принято молчать, — мотивационный. Линейные специалисты по найму обладают доступом к массивам чувствительных данных, при этом уровень их дохода и признания не всегда соразмерен зоне ответственности. Низкая вовлечённость и ощущение недооценённости формируют среду, где возрастает риск несанкционированного использования данных. Речь не только о передаче информации конкурентам — речь об «альтернативных каналах», когда данные уходят через подрядчиков и возвращаются в ту же компанию уже как новый поток.

Сотрудник становится источником проблемы не потому, что люди плохие. Просто система либо допускает избыточный доступ, либо не формирует культуру ответственности. Когда процессы прозрачны, роли определены, мотивация и контроль сбалансированы — доля внутренних инцидентов снижается.

Елена: У нас в целом [прим. ред. на рынке] зачастую отсутствует культура работы с данными — это нужно признать честно. И наиболее уязвимы те, кто имеет массовый ежедневный доступ к данным и работает в высоком темпе.

В первую очередь это рекрутеры и ресёрчеры: большой поток резюме, постоянные выгрузки, пересылка данных менеджерам и подрядчикам. Зачастую всё происходит по неосторожности, а не злому умыслу. Следом идут HR-менеджеры и специалисты по кадровому делопроизводству — у них доступ к расширенным данным сотрудников: паспорта, адреса, зарплаты. Отдельная история — техническая поддержка и администраторы систем: злоупотребление правами или недостаточный контроль действий встречается очень часто.

Но самая сложная категория — подрядчики и фриланс-рекрутеры. Они работают на несколько компаний одновременно, у них нет единого защищённого контура, и контроль со стороны клиента, как правило, минимален. При этом доступ к данным — полный.

Да, красные флаги почти всегда видны заранее. Утечка редко происходит внезапно — ей предшествуют управленческие и поведенческие сигналы.
На поведенческом уровне — это избыточный интерес к данным вне своей зоны задач, частые выгрузки больших массивов без понятной бизнес-цели, работа с чувствительными данными в нерабочее время, демонстративное пренебрежение правилами в духе «так быстрее, все так делают», резкое снижение вовлечённости или признаки конфликта с работодателем.

На процессном уровне — отсутствие проверки благонадёжности на этапе собеседования, нет блока по работе с персональными данными в онбординге, доступы не пересматриваются при смене роли, нет логирования выгрузок.

На культурном уровне — данные хранятся «где удобно», пересылка в личные мессенджеры воспринимается как норма, ответственность за утечку размыта, и сотрудники просто не понимают последствий для себя и компании.

Если хотя бы половина из этого списка совпадает — не нужно ждать инцидента, чтобы начать что-то менять.

Изменения есть, но неравномерные. Крупный бизнес отреагировал достаточно быстро. Компании уровня крупных ритейлеров и маркетплейсов при пересмотре сотрудничества начали детально запрашивать информацию о статусе оператора: где и как хранятся данные, как организована передача, есть ли ролевое разграничение доступа. Для крупного бизнеса штраф — это не только финансовый риск, но и риск публичности, влияющий на капитализацию и доверие клиентов.

Средний бизнес начал интересоваться темой активнее, но чаще на уровне формального соответствия: «нам нужна бумага, что мы всё делаем правильно». Малый бизнес во многом всё ещё живёт в логике «пока не коснулось».

Показательных кейсов привлечения к ответственности пока немного, но они появятся. И тогда картина изменится быстро — как это всегда происходит, когда абстрактный риск становится конкретной историей с именами и суммами.

Штраф заплатить проще. Сумму можно посчитать и заложить в бюджет.
Репутационные потери не считаются так красиво. Кандидаты узнают, что их данные утекли — и перестают доверять компании. Партнёры начинают задавать неудобные вопросы. Клиенты пересматривают отношения. Собственные сотрудники видят, как компания относится к данным — и делают выводы о том, как она относится к людям в целом.
Доверие восстанавливается годами. А иногда — не восстанавливается совсем. Это реальная цена утечки, и она несопоставима ни с какими штрафами.

Мы работаем с персональными данными в промышленных масштабах — массовый подбор, тысячи кандидатов, множество клиентов одновременно. Это сделало вопрос безопасности не просто важным, а критически важным с первых дней.

Начинали с понимания архитектуры рисков: кто имеет доступ к каким данным, как данные перемещаются внутри системы, где узкие места. Построили микросервисную архитектуру с конвейерной обработкой данных — это означает, что данные не хранятся монолитом в одном месте, а обрабатываются изолированными модулями. Компрометация одного модуля не даёт доступа ко всему массиву.

Разработали собственный OpenAPI с несколькими уровнями защиты — это позволяет контролировать все точки взаимодействия с данными. Ввели ролевое разграничение прав, логирование выгрузок, регулярный аудит доступов.

Проводим проверки с привлечением белых хакеров — пентесты. Это неприятный, но очень ценный опыт: они находят то, что ты сам уже перестал замечать, потому что привык. 

Отдельный маркер уровня защиты — с нами работают банки. Банковские службы безопасности проверяют всё: сертификаты, средства защиты, архитектуру хранения, процессы передачи данных. Пройти такую проверку и получить одобрение — это серьёзно.

Начните с аудита — не технического, а процессного. Ответьте на вопросы: кто и к каким данным имеет доступ прямо сейчас? Как данные передаются подрядчикам? Где хранятся выгрузки? Логируется ли это?

Первый уровень — юридический контур. NDA и документы о конфиденциальности с персональной ответственностью, соглашения с подрядчиками с чётким закреплением обязанностей, документирование всех операций с персональными данными. Регулярный аудит соответствия — не разовая акция, а процесс.

Второй уровень — процессный и технический. Работа только в корпоративном защищённом контуре, ролевое разграничение прав, запрет на использование нецелевых сторонних систем, контроль выгрузок.

Третий уровень — работа с людьми. Оценка благонадёжности ещё на этапе подбора, отдельный блок по работе с персональными данными в онбординге, регулярное обучение цифровой гигиене, прозрачная система ответственности. И — прозрачная система мотивации, соразмерная уровню доступа к данным. Это часть безопасности, а не отдельная HR-история.

Технологии — это фундамент. Но устойчивую защиту создаёт управленческая система. Нельзя залатать культуру безопасности антивирусами и инструкциями.

Зависит от масштаба. Если вы небольшая команда — можно начать с ситуативного подключения внешнего специалиста для аудита и настройки процессов. Но базовую ответственность всё равно нужно распределить внутри: кто отвечает за доступы, кто за обучение, кто за взаимодействие с подрядчиками.

Если вы работаете с персональными данными в промышленных объёмах — банки, крупные ритейлеры, агентства массового подбора — выделенный специалист или функция необходима. Это не опция, а базовая гигиена — и она крайне важна.

Вероятно, станет сложнее — несмотря на развитие технологий защиты. Рост AI в HR, удалённая работа, увеличение числа подрядчиков — всё это умножает внутренние риски. AI генерирует убедительные фишинговые письма, имитирует коммуникации HR и кандидатов. Deepfake позволяет подделывать голос и видео. Комбинированные атаки — слияние открытых и утекших данных для создания точных профилей — становятся будничной рутиной для злоумышленников. 

Зрелые компании уже сейчас снижают инциденты через концепцию Zero Trust (нулевое доверие, политика минимума доступа), ролевое разграничение, проактивный мониторинг и регулярные тесты цифровой гигиены.

К чему нужно готовиться российскому бизнесу: регулярное обучение персонала, мониторинг всех каналов передачи данных, интеграция цифровой гигиены в онбординг, формирование культуры персональной ответственности. Это не разовые проекты — это операционная рутина.

Отсутствие утечек в анамнезе — не индикатор безопасности. Это может означать, что вы просто ещё не знаете о них.

Независимо от истории компании, нужно регулярно проводить: проверку процессов передачи данных, включая подрядчиков; аудит ролей и доступов; тесты цифровой гигиены сотрудников; контроль выгрузок и пересылок через личные устройства; стресс-тесты — например, фишинговые кампании внутри компании, чтобы понять реальный уровень готовности команды.

Безопасность должна работать как система, а не походить на систему. Без прозрачных и проверяемых процессов, определённых ролей, персональной ответственности и мотивации сотрудников любой бизнес остаётся уязвимым — даже если кажется, что всё тихо. Тихо — не значит безопасно.