2026 год стал переломным для владельцев сайтов: оборотные штрафы за утечки достигают 500 млн рублей, а халатность грозит уже уголовной ответственностью. Разбираем главные риски и меры защиты.
Что изменилось в 2026 году
Штрафы за утечку персональных данных в 2026 году:
- 1 000 – 10 000 субъектов — 3–5 млн ₽
- 10 000 – 100 000 субъектов — 5–10 млн ₽
- Более 100 000 субъектов — 10–15 млн ₽
- Повторная утечка — 1–3% годовой выручки (от 20 млн до 500 млн ₽)
Уголовная ответственность (ст. 272.1 УК РФ)
- До 4 лет — за обычные утечки
- До 6 лет — при отягчающих обстоятельствах
- До 10 лет — при особо тяжких последствиях
Новые требования
- Согласие на обработку ПДн — отдельный документ (с 1 сентября 2025)
- Уведомление РКН об утечке — 24 часа, подробный отчет — 72 часа
- Все данные россиян — только на серверах в РФ
Главные угрозы 2026
- Боты с ИИ — автономные атаки, успешность взломов выросла на 30–50%
- Атаки на API — 40% MCP-серверов содержат уязвимости
- Harvest now, decrypt later — кража данных сегодня ради расшифровки завтра
- DDoS на кеширующую инфраструктуру — новый тип атак, против которого бессильны стандартные защиты
Чек-лист: что обязательно внедрить
Правовой минимум
- Зарегистрироваться в реестре операторов РКН
- Разработать документы:
- Политика обработки ПДн (в открытом доступе)
- Отдельная форма согласия на обработку
- Приказы о назначении ответственных
- Локальные акты о работе с данными
- Документы о неразглашении для сотрудников
- Подготовить сценарий реагирования на утечку (кто, когда, как уведомляет РКН за 24 часа)
Технический минимум
- HTTPS + HSTS — обязательно
- Content Security Policy (CSP) — защита от инъекций
- Защита от XSS и CSRF
- HttpOnly и Secure куки (не хранить токены в localStorage)
- Subresource Integrity (SRI) для внешних скриптов
- Регулярное обновление и аудит зависимостей
- WAF + Anti-DDoS (лучше WAAP)
- Rate limiting для API
Как проверяют и штрафуют
С 1 сентября 2025 года РКН использует автоматизированные системы анализа, которые дистанционно выявляют:
- использование зарубежных серверов
- отсутствие политики ПДн на сайте
- неправильный сбор согласий
2026 год — год массовых проверок. В первую очередь смотрят:
- наличие в реестре операторов
- локализацию данных в РФ
- корректность согласий
- реальную защиту данных (не только документы)
Цифры и риски
Средняя стоимость утечки в мире — $4.44 млн. Для российского среднего бизнеса штраф 10–15 млн ₽ — угроза выживанию.
Последствия утечки:
- потеря контрактов и тендеров
- отказ банков в обслуживании
- внеплановые проверки
- репутационный ущерб (59% клиентов уходят)
Что сделать прямо сейчас
Сценарий реагирования на инцидент с четкими сроками
Аудит — оценить объем данных, найти теневые API
Регистрация в реестре операторов
Локализация данных на серверах в РФ
Обновление документов под новые требования
Внедрение техмер защиты — WAF, CSP, обновления
Полезные ссылки:
Канал в телеграмм — https://t.me/+-BsUnghNcJ81OGYy
Наш канал на Youtube — https://youtube.com/@traff058
Telegram Паблик — https://t.me/+R2NG4GVGqS4yOTky
Паблик в VK — https://vk.com/traff_agency
Инстаграм TRAFF — https://www.instagram.com/traff_agency
Блог на vc.ru — https://vc.ru/u/2452449-studiya-razrabotki-saitov-traff
Сервисы, которыми пользуемся мы: хостинг Beget — https://beget.com/p1898855
