Безопасность данных в HR-системах: как защитить информацию о сотрудниках

Руководитель HR-отдела открывает утреннюю почту и видит письмо от службы безопасности: «Обнаружена подозрительная активность — массовое скачивание файлов из кадровой системы в ночное время». Расследование покажет, что увольняющийся рекрутер выгрузил базу кандидатов с контактами, зарплатными ожиданиями и заметками по собеседованиям. Формально он имел к ней доступ — система не разграничивала права между активным специалистом и сотрудником в периоде отработки.

Сценарий не вымышленный. По данным отраслевых исследований, HR-подразделения входят в тройку наиболее уязвимых точек компании с точки зрения утечек данных. Причина проста: HR-системы концентрируют максимум чувствительной информации о каждом сотруднике — от паспортных данных до результатов медицинских обследований. При этом уровень защиты этих систем нередко отстаёт от стандартов, применяемых к финансовым или клиентским данным.

Какие данные хранит HR-система и почему они так ценны

HR-платформа — это централизованное хранилище информации, которую невозможно обезличить без потери смысла. Каждая запись привязана к конкретному человеку, а совокупность записей формирует полный цифровой профиль сотрудника.

Персональные идентификационные данные (PII). ФИО, дата рождения, паспортные данные, СНИЛС, ИНН, адрес регистрации и проживания, контактные телефоны, фотографии. Этого набора достаточно для кражи личности, оформления микрозаймов и других мошеннических действий. Подробнее о категориях персональных данных и обязанностях работодателя — в материале по 152-ФЗ.

Финансовая информация. Оклад, премии, бонусы, история пересмотров зарплаты, банковские реквизиты для перечисления. Утечка зарплатных данных разрушает доверие внутри команды быстрее любого управленческого просчёта.

Медицинские данные. Результаты предварительных и периодических медосмотров, больничные листы, справки об инвалидности, сведения о беременности. Это специальная категория персональных данных с повышенными требованиями к защите.

Данные об эффективности и развитии. Результаты аттестаций, оценки по KPI и OKR, обратная связь от руководителей, индивидуальные планы развития, результаты ассессментов.

Дисциплинарная информация. Выговоры, замечания, результаты служебных расследований, объяснительные записки. Попадание таких сведений в открытый доступ создаёт правовые риски и для компании, и для сотрудника.

Документы кадрового делопроизводства. Трудовые договоры, допсоглашения, приказы, заявления — всё, что компания переводит в электронный формат в рамках кадрового ЭДО. Цифровизация ускоряет процессы, но одновременно расширяет поверхность атаки.

Совокупность этих данных делает HR-систему одной из самых привлекательных целей: здесь есть всё для шантажа, мошенничества и конкурентной разведки.

Ландшафт угроз: откуда приходят риски

Угрозы безопасности HR-данных не сводятся к хакерам в капюшонах. Ландшафт рисков гораздо шире и разнообразнее.

Внешние атаки. Фишинг (поддельные письма от «руководства» или «IT-отдела»), целевые атаки на HR-специалистов (они регулярно получают файлы от незнакомых людей — резюме, дипломы, сертификаты), ransomware (шифрование базы данных с требованием выкупа), эксплуатация уязвимостей в веб-приложениях. HR-отдел — идеальная точка входа для социальной инженерии: открывать вложения от незнакомцев — часть работы рекрутера.

Инсайдерские угрозы. Сотрудники с избыточным доступом, увольняющиеся специалисты, администраторы системы. Инсайдер действует внутри периметра защиты и обладает легитимными учётными данными, что делает обнаружение значительно сложнее. По статистике, инсайдерские инциденты составляют до 60 % всех утечек данных.

Социальная инженерия. Звонки «от имени IT-отдела» с просьбой сообщить пароль, фишинговые формы авторизации, pretexting (злоумышленник представляется новым сотрудником и запрашивает данные коллег). HR-специалисты обрабатывают запросы от множества людей ежедневно — отличить легитимный запрос от мошеннического без специальной подготовки сложно.

Случайная экспозиция. Отправка файла с зарплатами не тому адресату, публикация конфиденциального отчёта в общий канал, незащищённая ссылка на Google-таблицу с персональными данными. Человеческая ошибка — причина примерно 25 % утечек, и она не требует злого умысла.

Уязвимости интеграций. HR-система обменивается данными с бухгалтерией, корпоративным порталом, СКУД, системой обучения. Каждая интеграция — потенциальный канал утечки, если API не защищён должным образом.

Регуляторная рамка: 152-ФЗ и международные стандарты

Правовой каркас определяет минимальный уровень защиты, ниже которого опускаться нельзя.

152-ФЗ «О персональных данных». Основной закон, регулирующий обработку персональных данных в России. Обязывает работодателя-оператора обеспечить конфиденциальность данных, получить согласие на обработку, определить цели и сроки хранения, назначить ответственного, уведомить Роскомнадзор. С 2024 года штрафы за утечки выросли до 18 млн ₽, а повторные нарушения грозят оборотными штрафами до 3 % годовой выручки.

GDPR. Если компания имеет сотрудников или кандидатов из ЕС, обрабатывает данные европейских граждан или использует HR-платформу с серверами в Европе — требования GDPR применяются параллельно. Штрафы до 20 млн евро или 4 % глобальной выручки. На практике это затрагивает международные компании с российскими офисами и российские компании с зарубежными филиалами.

Отраслевые требования. Банковская сфера (требования ЦБ РФ к защите информации), медицина (врачебная тайна и 323-ФЗ), государственный сектор (требования ФСТЭК к информационным системам персональных данных), предприятия КИИ. Отраслевая специфика может существенно ужесточать базовые требования 152-ФЗ.

Комплаенс — не разовое мероприятие, а непрерывный процесс. Отслеживание изменений законодательства, регулярный аудит соответствия и адаптация мер защиты — обязательная часть работы с HR-данными.

Эшелонированная защита: безопасность по слоям

Надёжная защита HR-системы строится по принципу defence in depth — многоуровневой обороны, где каждый слой компенсирует возможный прорыв предыдущего.

Физический уровень. Контроль доступа в серверные помещения (СКУД, видеонаблюдение, журналирование посещений), защита рабочих станций HR-специалистов (блокировка USB-портов, автоматическая блокировка экрана), политика чистого стола. Для облачных решений физическая безопасность обеспечивается провайдером — и это один из пунктов оценки вендора.

Сетевой уровень. Файрволы, системы обнаружения и предотвращения вторжений (IDS/IPS), сегментация сети (HR-система изолирована от общей сети), VPN для удалённого доступа, защита от DDoS. HR-серверы не должны находиться в одном сетевом сегменте с гостевым Wi-Fi или устройствами IoT.

Уровень приложения. Безопасная разработка (OWASP Top 10), регулярное обновление и патчинг, WAF (Web Application Firewall), защита API, валидация входных данных, защита от SQL-инъекций и XSS. Для SaaS-решений безопасность приложения — ответственность вендора, но заказчик должен верифицировать её при выборе платформы.

Уровень данных. Шифрование, контроль доступа, маскирование данных, резервное копирование — подробнее об этом в следующих разделах.

Контроль доступа: RBAC, MFA и принцип минимальных привилегий

Контроль доступа — первая линия обороны данных внутри самой HR-системы.

RBAC (Role-Based Access Control). Каждый пользователь видит только те данные, которые необходимы для его роли. Рекрутер работает с кандидатами, но не видит зарплаты сотрудников. Бухгалтер видит реквизиты и оклады, но не медицинские данные. Руководитель подразделения видит данные своей команды, но не чужих отделов. Правильная настройка ролевой модели — фундамент безопасности, и современные HR-платформы предоставляют гибкую систему ролей и разрешений.

MFA (многофакторная аутентификация). Пароль + второй фактор (SMS, push-уведомление, TOTP-приложение, аппаратный ключ). MFA блокирует до 99 % атак с использованием скомпрометированных паролей. Для HR-системы MFA должна быть обязательной для всех пользователей, без исключений.

Принцип наименьших привилегий (Least Privilege). Пользователь получает минимально необходимый уровень доступа. Права расширяются только при обоснованной необходимости и пересматриваются регулярно. Увольняющийся сотрудник переводится на режим «только чтение» в день подачи заявления, а доступ блокируется в день увольнения — не позже.

Регулярный пересмотр доступа (Access Review). Ежеквартальная проверка: у кого есть доступ, кому он действительно нужен, не осталось ли «призрачных» учётных записей уволенных сотрудников. Автоматизация пересмотра через интеграцию HR-системы с IdP (Identity Provider) снижает нагрузку и исключает человеческий фактор.

Шифрование данных: при хранении и передаче

Шифрование гарантирует, что даже при утечке данных злоумышленник получит бесполезный набор символов.

Шифрование at rest (при хранении). Данные в базе, файлы в хранилище, резервные копии — всё шифруется алгоритмами AES-256 или аналогичными. Ключи шифрования хранятся отдельно от зашифрованных данных (HSM или KMS). Если злоумышленник получает доступ к серверу или резервной копии, без ключей данные остаются нечитаемыми.

Шифрование in transit (при передаче). TLS 1.2+ для всех соединений: браузер — сервер, сервер — база данных, API — интеграции. Устаревшие протоколы (SSL, TLS 1.0/1.1) должны быть отключены. Сертификаты обновляются автоматически, а certificate pinning предотвращает MITM-атаки.

Шифрование отдельных полей. Особо чувствительные данные (номера паспортов, банковские реквизиты, медицинские сведения) шифруются на уровне отдельных полей базы данных — даже администратор БД не видит их в открытом виде.

Аудит и журналирование: кто, что, когда

Audit log (журнал аудита) — незаменимый инструмент для расследования инцидентов и доказательства комплаенса.

Каждое действие в HR-системе фиксируется: вход в систему, просмотр карточки сотрудника, редактирование данных, выгрузка отчётов, изменение прав доступа, массовые операции. Записи содержат: кто (идентификатор пользователя), что (действие), когда (временная метка), откуда (IP-адрес, устройство), результат (успех/отказ).

Журналы должны быть защищены от модификации (append-only, хранение в отдельной системе), храниться не менее срока, определённого регулятором, и быть доступны для анализа с помощью аналитических инструментов. Настройка алертов на аномальные паттерны (массовая выгрузка, вход в нерабочее время, множественные неудачные попытки авторизации) позволяет обнаруживать инциденты в реальном времени, а не постфактум.

Как оценивать безопасность HR-tech вендора

Выбор HR-платформы — это в том числе выбор уровня безопасности. При оценке HR-tech стека безопасность должна быть одним из ключевых критериев.

Сертификации. SOC 2 Type II подтверждает, что провайдер прошёл независимый аудит контролей безопасности, доступности и конфиденциальности. ISO 27001 — международный стандарт управления информационной безопасностью. Наличие сертификаций не гарантирует абсолютную защиту, но свидетельствует о системном подходе и зрелости процессов.

Пентесты (тестирование на проникновение). Запросите у вендора результаты последнего пентеста или отчёт по программе bug bounty. Зрелые провайдеры проводят внешние пентесты минимум раз в год и устраняют критические уязвимости в течение 24–72 часов.

Условия обработки данных (DPA). Data Processing Agreement определяет: где физически хранятся данные (территория РФ — требование 152-ФЗ), кто имеет доступ, как обрабатываются инциденты, условия удаления данных при расторжении договора, ответственность сторон.

SLA по безопасности. Время реагирования на инциденты, uptime, политика уведомления клиентов об утечках, частота обновлений и патчей.

Архитектура мультитенантности. В SaaS-решениях данные разных клиентов логически (а в идеале — физически) изолированы. Уточните, как реализована изоляция: отдельные базы данных, шифрование с индивидуальными ключами, сетевая сегментация.

Облако vs on-premise: что безопаснее

Дискуссия «облако или сервер» не имеет универсального ответа — безопасность зависит от реализации, а не от модели развёртывания.

Облако (SaaS). Провайдер обеспечивает физическую безопасность, патчинг, мониторинг, резервное копирование, DDoS-защиту. Для большинства компаний облачный провайдер обеспечивает более высокий уровень безопасности, чем внутренний IT-отдел — потому что безопасность для него является ключевой компетенцией. Риски: зависимость от вендора, потенциальная экстерриториальность данных, ограниченный контроль над инфраструктурой.

On-premise. Полный контроль над инфраструктурой, данные не покидают периметр компании, возможность выполнить специфические отраслевые требования. Риски: высокие затраты на квалифицированный персонал, необходимость самостоятельно обеспечивать все уровни защиты, более медленное обновление и устранение уязвимостей.

Гибридный вариант. Чувствительные данные (медицинские, финансовые) хранятся на собственных серверах, а операционная часть работает в облаке. Требует сложной архитектуры и грамотной настройки интеграций.

Ключевой вопрос при выборе — не «где расположены серверы», а «какие меры защиты применяются и кто за них отвечает».

План реагирования на инциденты

Инцидент безопасности — вопрос времени, а не вероятности. Разница между катастрофой и контролируемой ситуацией — наличие заранее подготовленного плана.

Фаза обнаружения. Автоматические алерты SIEM-системы, уведомления от вендора, сообщения сотрудников. Чем быстрее обнаружен инцидент — тем меньше ущерб. Среднее время обнаружения утечки в мире — 197 дней; цель — сократить его до часов.

Фаза сдерживания. Изоляция скомпрометированной системы, блокировка учётных записей, отключение интеграций. Задача — остановить распространение, не разрушая доказательную базу.

Фаза расследования. Анализ журналов аудита, определение масштаба утечки, идентификация скомпрометированных данных и затронутых субъектов.

Фаза уведомления. 152-ФЗ обязывает уведомить Роскомнадзор в течение 24 часов с момента обнаружения утечки и предоставить результаты расследования в течение 72 часов. Затронутые сотрудники имеют право знать, какие их данные были скомпрометированы.

Фаза восстановления. Устранение уязвимости, восстановление из резервных копий, сброс паролей, усиление контролей.

Фаза анализа. Post-mortem: что произошло, почему не предотвратили, какие контроли добавить. Без честного разбора ошибок инциденты будут повторяться.

Обучение сотрудников и культура безопасности в HR

Технические меры защищают от внешних атак. От ошибок собственных сотрудников защищает только обучение и культура.

Регулярные тренинги. Квартальные сессии по информационной безопасности для HR-специалистов: распознавание фишинга, правила работы с паролями, безопасная обработка документов, действия при подозрении на инцидент. Формат — практический: имитация фишинговых атак с разбором результатов.

Политики и процедуры. Документированная политика информационной безопасности HR-отдела: классификация данных, правила передачи, использование личных устройств, порядок работы с удалёнкой, правила уничтожения документов. Политика — не формальность, а рабочий инструмент, к которому обращаются при каждом спорном случае.

Культура безопасности. Безопасность — не задача IT-отдела, а ответственность каждого. HR-руководитель подаёт пример: не пересылает персональные данные в мессенджерах, не хранит пароли в записных книжках, не обсуждает зарплаты сотрудников в открытых пространствах. Открытое обсуждение инцидентов (без поиска виноватых) и поощрение за обнаружение уязвимостей формируют среду, в которой безопасность воспринимается как общее дело, а не как ограничение.

Чек-лист: оценка безопасности вашей HR-системы

1. Внедрена ролевая модель доступа (RBAC) с разграничением по должностным обязанностям.
2. Многофакторная аутентификация включена для всех пользователей HR-системы.
3. Данные зашифрованы при хранении (AES-256) и при передаче (TLS 1.2+).
4. Журнал аудита фиксирует все действия и хранится в защищённой среде.
5. Настроены алерты на аномальную активность (массовые выгрузки, вход в нерабочее время).
6. Доступ уволенных сотрудников блокируется в день увольнения или раньше.
7. Пересмотр прав доступа проводится ежеквартально.
8. Вендор HR-системы имеет SOC 2 или ISO 27001, проводит ежегодные пентесты.
9. Подписан DPA с условиями хранения данных на территории РФ.
10. Существует и протестирован план реагирования на инциденты.
11. HR-специалисты проходят тренинги по ИБ минимум раз в квартал.
12. Политика информационной безопасности HR-отдела документирована и актуальна.

Безопасность данных в HR-системах — не разовый проект, а непрерывный процесс. Технологии, регуляторные требования и ландшафт угроз меняются постоянно. Компании, которые инвестируют в многоуровневую защиту, обучение команды и зрелую культуру безопасности, не только снижают риск штрафов и утечек, но и формируют доверие сотрудников — а доверие в 2026 году остаётся одним из самых ценных активов работодателя.