Кибербезопасность в работе с кадрами: как защитить данные кандидатов

Почему кибербезопасность критична для HR

Между подбором персонала и безопасностью персональных данных можно поставить знак равенства. Отдел HR становится не просто центром привлечения талантов, но и хранителем важного цифрового ресурса — персональных данных кандидатов. Игнорирование кибербезопасности в этом контексте — не просто рядовое упущение, а прямая угроза бизнесу. И вот почему.

Ценность данных кандидатов — золотая жила для злоумышленников

Резюме, сопроводительные письма, сканы паспортов, ИНН, дипломов, военных билетов, контактные данные (телефоны, адреса), рекомендации с предыдущих мест работы, результаты психометрических тестов и интервью — все это формирует исчерпывающий цифровой портрет человека. Для киберпреступников это не просто информация, а высоколиквидный товар на черном рынке. Такие данные используются для таких манипуляций:

• Кража личностей: открытие кредитов, оформление документов, совершение мошеннических действий от имени жертвы.
• Фишинг и таргетированные атаки: зная место работы кандидата и его контакты, злоумышленники могут проводить изощренные фишинговые кампании как против самого кандидата, так и против компании, где он сейчас работает или куда устраивался.
• Шантаж и вымогательство: обладание особо чувствительной информацией (например, о смене работы, скрытых обстоятельствах увольнения, результатах проверок) дает почву для шантажа как самого кандидата, так и компании-работодателя.

Проще говоря, база данных кандидатов HR-отдела – это гораздо более богатый и структурированный источник для преступников, чем многие другие корпоративные данные.

Репутационные риски — удар по доверию и бренду работодателя

Утечка персональных данных кандидатов — это катастрофа для репутации. Кандидаты доверяют компании свою самую личную информацию в надежде на трудоустройство. А в итоге попадают в очень сложную и потенциально опасную ситуацию. 

К чему ведет такая утечка с точки зрения репутации:

• Потеря доверия кандидатов: соискатели, чьи данные были скомпрометированы, вряд ли захотят иметь дело с компанией снова. Они поделятся негативным опытом в соцсетях и на отзовиках, где можно почитать об опыте работы.
• Ущерб бренду работодателя: репутация привлекательного и надежного работодателя, которую годами выстраивает HR, может быть разрушена одним инцидентом. В итоге становится сложнее привлекать топ-таланты.
• Подрыв доверия нынешних сотрудников: если компания не может защитить данные кандидатов, сотрудники справедливо задаются вопросом, насколько защищены их персональные и финансовые данные.
• Репутационный ущерб среди партнеров и клиентов: инцидент может стать публичным и подорвать доверие к компании в целом как к бизнесу и контрагенту. 

Юридические и финансовые последствия — санкции и ответственность

Обработка персональных данных строго регулируется законодательством по всему миру. В Евросоюзе штрафы могут достигать 20 млн евро или 4% от годового глобального оборота компании. Нужно строго соблюдать принципы обработки, прав субъектов данных и обязательно уведомлять об утечках в течение 72 часов.

В РФ Федеральный закон № 152-ФЗ "О персональных данных" предусматривает административную ответственность по ст. 13.11 КоАП РФ. Штрафы для юридических лиц могут достигать сотен тысяч рублей, а при повторных нарушениях – миллионов. Роскомнадзор активно и регулярно  проводит проверки.

Помимо штрафов от государственных регуляторов могут быть и другие последствия:

• Судебные иски от пострадавших кандидатов: компенсации морального вреда, убытков, понесенных из-за кражи личности.
• Затраты на расследование инцидента: привлечение специалистов по кибербезопасности, юристов, PR-специалистов.

Кибербезопасность в HR – это не техническая проблема ИТ-отдела, а стратегическая необходимость и прямая ответственность HR-функции. Потеря данных кандидатов несет в себе очень серьезные последствия: от прямых финансовых потерь и судебных исков до невосполнимого урона репутации и доверию, которые являются основой успешного найма. Уникальная уязвимость процесса подбора требует особого внимания и внедрения целенаправленных мер защиты на каждом его этапе.

Как защищать данные кандидатов и сотрудников

В России с 30 мая 2025 года действуют новые правила о персональных данных. Главное — на любое действие, где хоть как-то фигурируют персональные данные, компания должна получать отдельное согласие. Даже так называемые специальные знания, которые иногда используют компании при найме: информация о здоровье, вероисповедании, политических взглядах, судимостях. 

Теперь нельзя хранить данные граждан вне территории Российской Федерации: в облачных сервисах или формах. Закон предусматривает административную ответственность по ст. 13.11 КоАП РФ. Помимо штрафов от государственных регуляторов могут быть и другие последствия: судебные иски от пострадавших кандидатов, затраты на расследование инцидента.

Сбор данных

Минимизация и прозрачность 

Перед открытием вакансии или созданием формы заявки задайте вопрос: какие данные действительно необходимы для оценки кандидата на этом этапе? Крайне редко паспорт, ИНН, адрес прописки нужны на стадии первого отклика. Чем меньше данных собрано, тем меньше ущерб в случае утечки. 

На этапе подачи резюме достаточно ФИО, контактов, опыта работы и образования. Скан паспорта запрашивайте ТОЛЬКО у финалистов после принятия решения о найме и ТОЛЬКО для оформления трудового договора.

Прозрачность и информирование

Разработайте понятную и доступную политику конфиденциальности — или отдельный раздел на сайте карьеры специально для кандидатов. Укажите там: 

• какие данные собираете, 
• для каких целей (отбор, проверка рекомендаций, оформление трудоустройства), 
• как храните (название ATS/облака), 
• как долго храните (сроки для отклоненных/принятых кандидатов), 
• кому передаете (только при необходимости — менеджерам, службе безопасности, если есть), 
• права кандидата (на доступ, исправление, удаление).

Разместите ссылку на политику конфиденциальности внизу каждой формы сбора данных, в письмах-приглашениях, на странице вакансии. 

Явное согласие

Для сбора любых персональных данных используйте механизм активного согласия. Если делаете это через интернет, нужен чекбокс «Я согласен на обработку моих персональных данных», который пользователь должен отметить галочкой. Нельзя делать согласие предотмеченным или условием для обычного просмотра вакансии.

Но есть особые категории данных, с которыми нужно обращать еще осторожнее. К ним относятся: 

• биометрия: фото/видео с камер наблюдения или вебинаров, запись голоса;
• данные о здоровье: справки; 
• справка о судимости; 
• национальность/религиозные убеждения – если критично для должности.

Для таких данных получайте отдельное, явное, письменное (или электронное с подтверждением) согласие, подробно объясните, зачем вам нужны эти данные.

Защищенные каналы сбора

Все формы на карьерном сайте, в автоматических системах (ATS) или на внешних платформах должны использовать защищенное соединение HTTPS: в адресной строке браузера должен быть значок замка. HTTPS шифрует данные при передаче от браузера кандидата к вашему серверу и так не дает злоумышленникам их перехватить.

Хранение данных

Специализированные защищенные системы

Используйте проверенные ATS-системы с сильной репутацией в области безопасности. При выборе запрашивайте отчеты SOC 2 Type II, сертификаты ISO 27001. Для хранения сканов документов используйте надежные корпоративные облачные хранилища с обязательным шифрованием данных на их стороне. Кастомные решения или самодельные базы данных часто работают с уязвимостями. 

Безусловный запрет на локальное хранение

Внедрите и строго контролируйте правило: НИКАКИХ резюме, сканов паспортов, договоров, результатов тестов на локальных жестких дисках, USB-флешках, в личных почтовых ящиках или на рабочем столе в компьютере. ВСЕ документы должны загружаться и храниться ТОЛЬКО в защищенной ATS или утвержденном корпоративном облачном хранилище с настроенным доступом и шифрованием.

Локальные файлы легко потерять, украсть с устройством, заразить вирусом. Контролировать и защищать разрозненные файлы невозможно.

Регулярное резервное копирование

Убедитесь, что ИТ-отдел или облачный провайдер выполняет регулярное автоматическое резервное копирование данных из ATS и хранилищ. Резервные копии должны шифроваться и храниться отдельно от основных систем. Такой процесс защищает от потери данных из-за атак, технических сбоев, ошибок удаления.

Передача данных

Запрет на обычную почту для конфиденциальной информации

Абсолютно недопустимо пересылать сканы паспортов, ИНН, дипломов, медицинских справок, результатов проверок по обычной незашифрованной электронной почте. 

Осторожность с мессенджерами

Избегайте передачи любых персональных данных кандидатов (особенно сканов документов) через публичные мессенджеры. Допустимо ТОЛЬКО в корпоративных защищенных мессенджерах и только если это критично и нет альтернатив, с предварительным согласием кандидата на такой канал передачи.

Удаление данных

Четкая политика хранения

Разработайте и утвердите внутренний регламент. В нем определите:

• сроки хранения данных отклоненных кандидатов (например, 6 месяцев после закрытия вакансий, но не больше срока, установленного законом.
• сроки хранения данных принятых кандидатов (данные переходят в личное дело, сроки хранения определяются трудовым законодательством).

Хранение данных дольше необходимого незаконно и увеличивает окно для потенциальных атак.

Автоматическое удаление

Настройте в системе, где храните данные, автоматические правила удаления по истечении установленного срока (например, через 180 дней после статуса «Отказ» или «Вакансия закрыта»). Используйте аналогичные функции в облачных хранилищах для временных папок.

Обучение и культура безопасности

Регулярный тренинг для HR и рекрутеров

Проводите обязательные тренинги по кибербезопасности для всего HR-отдела не реже 1–2 раз в год. Какие темы нужно обязательно включать в обучение:

1. Актуальные фишинговые схемы — как распознать поддельное письмо от «кандидата» или «руководства».
2. Правила работы с персональными данными.
3. Создание и хранение надежных паролей.
4. Безопасность устройств личных и рабочих устройств.

Защита персональных данных — очень многосторонний и сложный процесс. Важно помнить: если нарушить правила, последствия будут очень серьезными в том числе по закону. В этом смысле определенно работает схема «7 раз проверь — и еще 7 раз проверь».