Почему подрядчик — это зона риска
Подрядчик в контуре обработки персональных данных всегда представляет потенциальную угрозу. Не потому, что он обязательно нарушитель, а потому что контроль над его действиями у оператора затруднен. Риски возрастают в моменты, когда данные передаются за пределы внутренней инфраструктуры компании: формально бизнес по-прежнему отвечает за их безопасность, но фактически теряет над ними контроль.
Причины таких рисков многослойны. Во-первых, это слабый уровень зрелости ИБ-процессов у самого подрядчика, особенно если речь идёт о малом бизнесе или фрилансерах.
Во-вторых, оператор часто ограничивается устной договоренностью или шаблонным договором, не учитывающим требования 152-ФЗ.
В-третьих, нет механизма обратной связи: оператор не знает, как именно работает подрядчик, где хранятся данные, кто к ним имеет доступ и каким образом они уничтожаются.
Показательно, что большинство серьезных инцидентов последних лет так или иначе связаны с внешними исполнителями. И вот почему:
1. Незащищенные файлы и каналы передачи
Часто подрядчик получает от заказчика массив персональных данных, например, клиентскую базу или список сотрудников, и работает с ним в наиболее привычной и, увы, наименее безопасной форме.
Таблица Excel с персональной информацией пересылается по электронной почте, сохраняется на рабочем столе без пароля, отправляется по запросу в мессенджере. В таких случаях ни о каком шифровании, журналировании доступа или ограничении прав речь не идёт.
Но самое опасное — оператор зачастую даже не задаёт вопросов: где будет храниться база? Кто получит к ней доступ? Какие меры защиты будут применяться?
Если сотрудник подрядчика уволился, а копия базы осталась у него, данные уходят в неконтролируемую зону. При этом никакого акта передачи, шифрования или уничтожения нет — а значит, виновным снова становится оператор.
Когда речь идёт о технических подрядчиках — например, ИТ-поддержке или интеграторах — особенно распространена практика копирования данных на внешний диск или флешку «для удобства». Операторы не видят в этом угрозы, пока один из таких носителей не оказывается утерянным, украденным или скопированным без ведома заказчика.
2. Использование съёмных носителей и удобных решений
Многие подрядчики используют зарубежные облачные сервисы: от CRM и систем аналитики до облаков хранения и рассылок. Чаще всего без уведомления заказчика и без соблюдения требований о локализации данных.
Так, при использовании Google Analytics или Amazon CloudWatch персональные данные могут автоматически попадать на сервера, расположенные за границей. Даже если эти данные логируются как часть технической информации (например, IP-адрес, e-mail или номер телефона), оператор обязан это учитывать и предотвращать нарушение закона о локализации. Если же контроль отсутствует, юридические и финансовые последствия будут именно для оператора.
3. Нарушения локализации в облачных системах
Во всех этих примерах суть одна: оператор передал данные, но не сформулировал условия и границы работы с ними. Подрядчик действует по своему усмотрению — не потому что он злоумышленник, а потому что ему никто не объяснил правила. И когда случается утечка, именно оператор остаётся один на один с регулятором.
По закону 152‑ФЗ, привлечение третьих лиц к обработке возможно только в рамках поручения и при соблюдении всех требований: технических, организационных и правовых. Подрядчик в этом случае не самостоятельный игрок, а продолжение оператора. И если контроль ослаблен, вся система становится уязвимой.
Ещё один часто упускаемый риск — доступ подрядчика к общей корпоративной среде: почтовым ящикам, файлам в облаке, чатам, в которых содержатся документы с ПДн. Например, служба поддержки сайта может иметь полный доступ к почте support@company.ru, где хранятся обращения клиентов, договоры, резюме. Если при этом доступ не ограничен, журналирование не ведётся, а процедура смены паролей отсутствует — оператор теряет контроль, а регулятор — основания считать такую обработку законной.
4. Неограниченный доступ к корпоративной информации