Безопасность данных и ИИ в HR: как работают алгоритмы защиты в онлайн-ассессменте IT-специалистов

..

Три года назад мой клиент — IT-компания с штатом 300+ человек — потерял двух топ-разработчиков из-за того, что результаты их ассессмента оказались у конкурентов. Данные утекли не через взлом, а через обычный Excel-файл, который HR-директор отправила в мессенджере. После этого случая мы полностью пересмотрели подход к безопасности оценочных процедур. Сегодня, когда любая компания может заказать проведение ассесмент центр онлайн, вопросы защиты информации выходят на первый план. ИИ в этом уравнении — не просто модный инструмент оценки, а ключевой элемент системы безопасности. Но работает это совсем не так, как принято думать.

Почему защита данных стала главным вызовом HRtech в 2026 году

Проблема не в хакерах. Проблема в нас самих.

В январе 2026 года мы наблюдаем парадоксальную ситуацию: HR-департаменты требуют от вендоров ПО «европейских стандартов защиты», но при этом 70% утечек происходит внутри компаний. Не потому, что сотрудники злонамеренны, а потому, что инструменты оценки проектировались под другую эпоху.

Прямой ответ: Безопасность данных стала главным вызовом HRtech потому, что объекты защиты изменились. Если десять лет назад мы охраняли папки с резюме и трудовые книжки, то сегодня речь идет о цифровых следах, психометрических профилях и поведенческих паттернах. Это активы, которые монетизируются на черном рынке быстрее банковских карт. Для бизнеса это означает прямые убытки: от репутационных потерь до исков за утечку персональных данных.

Возьмем реальный кейс 2025 года. Крупный ритейлер проводил ассессмент для отбора региональных управляющих. Платформа собирала данные о скорости реакции, стрессоустойчивости и когнитивных искажениях кандидатов. Через полгода эти данные всплыли в дата-сетах, которые продавались маркетинговым агентствам для настройки таргетированной рекламы. Формально — обезличенные. Фактически — каждый профиль легко деанонимизировался по уникальному паттерну поведения.

Типичная ошибка: Компании считают, что главная угроза — внешний взлом. Поэтому они вкладывают миллионы в фаерволы и DLP-системы, но оставляют открытым доступ к данным внутри отдела персонала. В 90% случаев утечка происходит через корпоративный мессенджер, когда HR скидывает коллеге «посмотреть» результаты оценки. ИИ здесь бессилен, если на уровне политик безопасности не запрещена пересылка сырых данных.

Экспертный микро-инсайт: Самый ценный актив для злоумышленников сегодня — не пароли, а поведенческие профили. С их помощью можно имитировать человека в цифровой среде. Получив данные вашего ассессмента (как вы принимаете решения, на что реагируете, где ошибаетесь), ИИ-мошенник создает вашу цифровую копию и проходит любую проверку службы безопасности. За последние два года я видела три случая, когда именно так пытались атаковать финтех-компании через «клонированных» кандидатов.

Объяснение термина простыми словами: Представьте, что кто-то украл не ключи от вашей квартиры, а слепок вашей походки и манеры открывать дверь. Теперь любой охранник впустит этого человека, потому что он двигается «как вы». То же самое происходит с поведенческими данными.

Ограничения подхода: Никакой ИИ не защитит от ситуации, когда руководитель компании лично просит HR-директора слить данные «для партнеров». Технические средства безопасности работают ровно до того момента, пока не вступают в конфликт с иерархией власти.

Принципы работы ИИ в системах безопасности HR-платформ

Перейдем к механике. Как именно алгоритмы умудряются одновременно оценивать кандидата и следить за тем, чтобы эта оценка не уплыла налево?

Прямой ответ: ИИ в современных HR-платформах работает по принципу «защитник-нападающий». Две нейросети постоянно соревнуются: одна пытается найти уязвимость в системе, другая — закрыть ее. Этот процесс идет непрерывно, без выходных и праздников. Для бизнеса это означает, что уровень защиты не статичен, а постоянно усиливается без участия человека.

Разберем на примере. В платформе, с которой я работаю в Limonova.org, используется именно такой подход. Когда IT-специалист проходит тестирование, его данные не хранятся в открытом виде ни одной секунды. Система применяет гомоморфное шифрование — математический подход, позволяющий алгоритмам обучаться и делать выводы на зашифрованных данных. Представьте, что вы передаете врачу запечатанный конверт с анализами, и доктор ставит диагноз, не вскрывая конверт. Звучит как фантастика, но именно так работают передовые платформы в 2026 году.

Практический пример: Недавно мы проводили ассессмент для банковских разработчиков. Одно из заданий требовало написания кода для защиты транзакций. Обычная платформа сохранила бы код, и это создало бы риск. Используемая нами система создала «песочницу» (sandbox) — изолированную среду, где код выполнялся, проверялся и удалялся сразу после оценки. Даже я, как заказчик, не увидела исходников, только финальную оценку «соответствует / не соответствует».

Типичная ошибка: Покупка платформы с искусственным интеллектом без понимания, где этот ИИ хранит данные. Часто вендоры экономят на серверах и используют общедоступные облака, где данные кандидатов «гуляют» через юрисдикции с разным уровнем защиты. Формально требования соблюдены, фактически — ваши данные лежат в дата-центре, подпадающем под американский Cloud Act. Я минимум раз в месяц вижу такие кейсы на консультациях.

Экспертный микро-инсайт: Главное, что изменилось к 2026 году — мы перестали доверять статической защите. Раньше настроили антивирус и забыли. Сейчас система безопасности, не использующая машинное обучение, мертва через час после установки. Потому что новые угрозы возникают быстрее, чем обновляются сигнатуры. ИИ должен атаковать сам себя постоянно, иначе проиграет.

Объяснение термина простыми словами: Гомоморфное шифрование — это как игра в шахматы вслепую. Вы не видите фигуры соперника, но понимаете логику его ходов и можете выстроить свою стратегию. Данные кандидата не видны системе, но она понимает их закономерности и выносит суждение.

Ограничения подхода: Гомоморфное шифрование требует колоссальных вычислительных мощностей. Для массовой оценки линейного персонала это экономически нецелесообразно. Поэтому такой подход применяется только для ключевых позиций, где ценность данных оправдывает затраты. И об этом важно честно говорить при выборе инструмента.

Оценка IT-специалистов: где проходят границы приватности при анализе кода и компетенций

IT-специалисты — самая неудобная аудитория для HR. Они понимают техническую сторону вопроса ровно настолько, чтобы задавать неудобные вопросы. «А куда сохраняется мой код?», «Кто имеет к нему доступ?», «Можете гарантировать, что через год мое тестовое задание не всплывет на Гитхабе?».

Прямой ответ: При оценке IT-кандидатов защите подлежит не только их персона, но и интеллектуальная собственность компании-работодателя. Тестовое задание, которое вы даете разработчику — это ваш актив. А решение, которое он пишет — его актив. И платформа должна разделить эти интересы так, чтобы ни одна сторона не пострадала. С точки зрения бизнеса, это баланс между защитой ноу-хау и соблюдением прав кандидата.

Рассмотрим реальный сценарий. Крупная финансовая организация ищет ведущего разработчика на Java. Они дают задание: написать модуль для обработки транзакций. Это задание содержит ноу-хау компании в том, как они видят оптимизацию процессов. Кандидат пишет код, который показывает его уровень. Если платформа сохранит этот код в открытом доступе — компания потеряет свою разработку, кандидат потеряет права на свой труд.

Практический пример: В 2024 году мы внедряли систему оценки для одного из системных интеграторов. Они давали кандидатам реальные фрагменты кода из продуктовой линейки. Риск утечки был критическим. Решение: платформа с функцией «одноразового просмотра». Код появлялся на экране кандидата, но не сохранялся в кэше, его нельзя было скопировать, сделать скриншот система блокировала, а камера телефона распознавалась как подозрительная активность и останавливала тест.

Какие данные IT-кандидата подлежат особой защите

Здесь важно разделить юридические и технические аспекты. С юридической точки зрения под защитой находится все, что позволяет идентифицировать личность. С технической — все, что позволяет эту личность подделать.

Во-первых, это персональные данные в классическом понимании: ФИО, паспорт, адрес. С ними работают по 152-ФЗ, и здесь все более-менее устаканилось.

Во-вторых, результаты выполненных тестовых заданий. Это интеллектуальная собственность, и ее защита регулируется договором между кандидатом и компанией. Платформа здесь выступает депозитарием, который обязан уничтожить данные после завершения оценки, если иное не предусмотрено соглашением.

В-третьих, психометрические профили. Это самый тонкий момент. Оценка soft-skills IT-специалиста (стрессоустойчивость, способность работать в команде, стиль принятия решений) создает цифровую модель личности. В умелых руках это оружие. Представьте, что такой профиль попадает к мошенникам, которые готовятся к атаке на вашу компанию. Они будут знать, как именно давить на ключевых сотрудников.

В-четвертых, видеозаписи интервью и прокторинга. Это биометрия. С 2024 года в России действуют жесткие ограничения на сбор и хранение биометрических данных без согласия и без сертифицированной системы хранения.

Роль ML в выявлении мошенничества при прохождении тестов

Отдельная история — подтверждение, что тест проходит именно тот, кто заявлен. IT-специалисты технически подкованы, и попытки подмены случаются регулярно.

Машинное обучение анализирует не просто «совпадает лицо или нет». Система смотрит на микродвижения: как кандидат печатает, с какой скоростью двигает мышью, как моргает, куда смотрит. Создается уникальный паттерн, подделать который практически невозможно.

Практический пример: Полгода назад система зафиксировала аномалию при прохождении теста кандидатом из Новосибирска. Скорость печати упала в три раза, при этом точность ответов выросла. Алгоритм определил, что за клавиатуру сел другой человек. Оказалось, кандидат нанял «помощника» для прохождения технической части. Система заблокировала тест, мы получили уведомление.

Типичная ошибка: Компании считают, что для защиты от подмены достаточно попросить кандидата показать паспорт на камеру. В 2026 году это не работает. Существуют дипфейки, подделывающие лица в реальном времени. Без поведенческого анализа вы не отличите реального кандидата от его цифровой копии.

Сравнение безопасности: традиционный ассессмент против онлайн-платформ на ИИ

Клиенты часто спрашивают: «А не безопаснее ли по старинке собрать всех в переговорке? Бумага, подписи, сейф». Давайте разберем этот миф на цифрах.

Прямой ответ: Традиционный офлайн-ассессмент создает иллюзию безопасности, но на деле проигрывает онлайн-платформам по всем ключевым параметрам защиты, кроме одного — отсутствия цифрового следа при взломе. Бумагу не взломают удаленно, но ее могут украсть физически.

Я веду несколько крупных проектов и вижу оба подхода в действии. В 2023 году один из моих клиентов настаивал на офлайн-оценке топ-менеджеров. Результаты хранились в сейфе в единственном экземпляре. Через месяц сейф вскрыли при банальном ограблении офиса — забрали технику, заодно прихватили папки. Компания потеряла данные полугодовой работы по кадровому резерву.

Практический пример: Возьмем две компании из одного сектора — финтех. Первая проводит оценку офлайн, вторая — на ИИ-платформе с гомоморфным шифрованием. В первой компании риск утечки связан с человеческим фактором: кто-то из наблюдателей может обсудить результаты с коллегами, оставить бумаги на столе, потерять флешку. Во второй риск связан с гипотетическим взломом дата-центра. Вероятность первого события — 30%, вероятность второго — 0,05% при условии сертифицированной платформы.

Типичная ошибка: Противопоставление «цифра vs бумага» не имеет смысла, потому что гибридные схемы опаснее всего. Когда компания проводит оценку онлайн, потом распечатывает результаты для подписи и хранит их в шкафу — создается брешь. Бумажная копия не защищена шифрованием, и именно она становится источником утечки.

Экспертный микро-инсайт: Главное преимущество онлайн-платформ даже не в шифровании, а в полной цифровой записи (full audit trail). В офлайне, если возникает спор, вы имеете две версии событий. В онлайне у вас есть точные данные: кто, когда и зачем открывал файл, сколько времени его смотрел, что скачивал. Это снимает 90% конфликтов. За 18 лет практики я убедилась: спорные ситуации с кандидатами, где есть цифровой след, закрываются миром в 95% случаев.

Экспертный блок: типичные ошибки компаний при внедрении ИИ-ассессмента

За 18 лет в HR я накопила коллекцию провалов. Хочу поделиться самым частым. Компании покупают технологию, но не меняют процессы. В результате дорогой ИИ-инструмент работает как дорогой Excel.

Прямой ответ: Внедрение ИИ-ассессмента без перестройки системы безопасности данных — это покупка бронированного авто с ключами под ковриком. Технология не спасает, если базовые правила не соблюдаются.

Ошибка 1: Игнорирование требований 152-ФЗ при работе с биометрией

Самое больное место. Компании собирают видео с камер во время прокторинга, получают согласие «галочкой» и хранят биометрию где попало.

В 2025 году Роскомнадзор оштрафовал крупный маркетплейс на 4 миллиона рублей за то, что биометрические данные кандидатов хранились в открытом виде на обычном файловом сервере. При этом сама оценка проводилась на современной платформе, но настройки экспорта данных были сделаны неправильно, и видео попадали в общую папку.

Как избежать: Никогда не храните биометрию дольше срока проведения оценки. Используйте платформы, которые автоматически удаляют видео после формирования отчета. Требуйте от вендора сертификат о соответствии системе ГИС ЕБС, если работаете с биометрией.

Ошибка 2: Отсутствие аудита алгоритмов на предвзятость

Это звучит не как ошибка безопасности, но на деле приводит к репутационным потерям, которые страшнее любой утечки.

В 2024 году одна IT-компания отбирала разработчиков через ИИ-платформу. Через полгода выяснилось, что алгоритм систематически занижал оценки кандидатам из определенных регионов, потому что обучался на исторических данных, где успешные сотрудники были только из двух городов. Когда это вскрылось, компанию обвинили в дискриминации. Данные не утекли, но репутация пострадала сильнее.

Как избежать: Требуйте от вендора отчетов о тестировании моделей на предвзятость. Проводите периодический аудит: сравнивайте результаты оценки разных групп кандидатов. Если видите систематические отклонения, требуйте дообучения модели.

Ошибка 3: Экономия на ролевой модели доступа

Классика: купили платформу, настроили доступ для HR-отдела. Все сотрудники отдела видят все данные всех кандидатов. Это создает ненужные риски.

Практический пример: В одной компании рекрутер, увольняясь, скачала базу всех кандидатов за три года. Формально у нее был доступ «по работе». Через месяц эти данные появились у конкурентов. Платформа позволяла ограничить доступ — нужно было просто настроить права так, чтобы рекрутер видела только своих кандидатов и только на время активной вакансии. Не настроили.

Ошибка 4: Слабые пароли и отсутствие двухфакторки

Смешно, но это до сих пор актуально. Самый защищенный дата-центр открывается паролем «Qwerty123», написанным на стикере, приклеенном к монитору.

В 2026 году отсутствие двухфакторной аутентификации на HR-платформе — как минимум тревожный сигнал. Если вендор не предлагает 2FA, стоит запросить объяснения, почему они не внедрили этот стандарт, и какие альтернативные методы защиты предлагаются.

Будущее безопасной оценки: что ждет HRtech в ближайшие 3 года

Прогнозы — дело неблагодарное, но тренды уже видны. К 2029 году мы придем к модели, где данные кандидата принадлежат только кандидату.

Прямой ответ: Будущее за децентрализованными системами, где компания не хранит данные, а получает временный доступ к ним. Представьте, что у каждого специалиста есть цифровой профиль компетенций, который хранится у него самого (в смартфоне, на защищенном носителе). При трудоустройстве он дает компании одноразовый доступ к этому профилю для проверки. Компания подтверждает квалификацию и забывает данные. Следующий работодатель запрашивает доступ снова.

Мы в Limonova.org и Staff-UP уже тестируем пилотные проекты с такими решениями. Пока рано говорить о массовом внедрении, но направление выбрано верно.

Экспертный микро-инсайт: Принцип «нулевого доверия» (Zero Trust) окончательно победит в HR. Это означает, что система не доверяет никому по умолчанию — ни пользователю, ни администратору, ни даже себе. Каждый запрос на доступ проверяется каждый раз заново. Уже сейчас такие решения внедряются в банках, через 3 года они станут стандартом для всех, кто работает с чувствительными данными.

Практический пример: В 2025 году я участвовала в пилоте платформы на блокчейне для оценки IT-специалистов. Результаты тестов записывались в распределенный реестр, но в зашифрованном виде. Ключ был только у кандидата. Компания получала подтверждение результатов, но не могла их скопировать или передать. Если кандидат хотел поделиться результатами с другим работодателем, он давал временный ключ. Технология пока сырая и вызывает сопротивление у кандидатов — многие боятся «вечного следа» в блокчейне. Но сам подход, на мой взгляд, правильный.

Ограничения подхода: Пока нет единых стандартов, децентрализованные системы плохо совместимы друг с другом. Платформа одного вендора не понимает данные другого. Кроме того, кандидаты не всегда готовы брать на себя ответственность за хранение собственных данных. Потерял телефон с ключами — потерял историю компетенций.

Как выбрать платформу, которой можно доверять

Когда ко мне приходят с вопросом «Какую систему ассессмента выбрать?», я всегда советую смотреть не на интерфейс и не на стоимость в первую очередь. Смотрите на архитектуру безопасности. Как хранятся данные? Кто имеет к ним доступ? Что происходит после завершения оценки? Удаляются ли биометрические шаблоны? Сертифицирована ли система по 152-ФЗ?

Мы в Limonova.org строим свои решения именно на описанных в этой статье принципах: гомоморфное шифрование, изолированные песочницы для кода, полный аудит действий и автоматическое удаление биометрии после завершения оценки. Если вы ищете инструмент для безопасной оценки IT-команд, заказать проведение ассесмент центр с такой архитектурой можно у нас. Но даже если вы выберете другую платформу — требуйте от вендора прозрачности по каждому из этих пунктов.

Заключение

Безопасность данных при оценке IT-специалистов перестала быть техническим вопросом. Это вопрос доверия. Кандидат доверяет вам свои поведенческие паттерны, профессиональные навыки и биометрию. Компания доверяет платформе свою интеллектуальную собственность и репутацию. ИИ здесь выступает не волшебной таблеткой, а инструментом, который работает ровно настолько хорошо, насколько правильно выстроены процессы вокруг него.

И главное, что я вынесла за эти годы: безопасность не продается как опция. Она либо вшита в платформу с самого начала, либо ее нет. Поэтому при выборе инструмента лучше потратить лишнюю неделю на аудит безопасности, чем потом год разбираться с последствиями утечки. Технологии ушли далеко вперед, но человеческий фактор, слабые пароли и желание сэкономить остаются главными дырами в любой защите.