К2 Кибербезопасность и К2 Cloud (группа К2Тех) провели анонимное исследование среди более чем 120 специалистов по ИТ и ИБ из средних и крупных российских организаций, чтобы оценить уровень готовности к требованиям закона №152-ФЗ о защите персональных данных.
Результаты оказались тревожными: лишь около 30% респондентов подтвердили, что их компании полностью соблюдают нормативы — включая актуализацию внутренней документации, регулярные проверки процессов обработки ПДн и внедрение инструментов обезличивания.
Среди участников, которые пока не соответствуют требованиям, 39% сообщили, что уже сформировали план приведения инфраструктуры в соответствие и находятся в процессе модернизации. Однако 31% признали, что не понимают, с чего начать, или не располагают ресурсами для выполнения требований. Специалисты К2 подчеркивают: это указывает на системную проблему. С учетом текущего уровня киберугроз исполнение законодательства — лишь минимальная планка, а эффективная защита данных должна включать подготовленную инфраструктуру, современные средства защиты, круглосуточный мониторинг, профессиональную команду и регулярные аудиты.
Дополнительным фактором риска становятся изменения в законодательстве: с вступлением поправок к 152-ФЗ бизнесу запрещено хранить и обрабатывать ПДн граждан РФ на зарубежных облачных ресурсах. Тем не менее 44% опрошенных признались, что продолжают использовать иностранные облачные сервисы (Google, Office 365, зарубежные CRM и др.). Такой подход создает правовые угрозы и операционные риски, включая неконтролируемую трансграничную передачу данных. Согласно позиции экспертов К2, при размещении информации на серверах за пределами РФ компания фактически теряет контроль над обработкой данных и зависима от политики зарубежного провайдера, что может привести к нарушениям и штрафам. Поэтому переход на отечественные сертифицированные решения становится необходимым элементом стратегической киберустойчивости.
Еще один важный вывод исследования: только 54% участников учитывают сертификацию ФСТЭК при выборе средств защиты. Между тем использование сертифицированных СЗИ является прямым требованием для организаций из сфер ГИС и КИИ — то есть для ключевых отраслей, включая энергетику, транспорт, телеком, финансы, медицину и образование. Компании, которые формально не обязаны применять сертифицированные решения, должны быть готовы самостоятельно подтверждать соответствие требованиям законодательства.