Могут ли следователи изъять сервер, который стоит в ЦОД в другом городе?

Да, могут — если ЦОД находится в России. Следователь направляет поручение в нужный регион, и местные коллеги проводят изъятие. Физическое расстояние не защищает. Юрисдикция защищает: сервер в европейском ЦОД (Германия, Чехия) требует официального запроса по MLAT, что занимает месяцы.

Защищает ли шифрование данные при изъятии сервера?

Полное шифрование диска (FDE) защищает данные, если сервер был выключен в момент изъятия или немедленно после него. Если сервер изъят во включённом состоянии, данные могут быть скопированы прямо из RAM или с дешифрованных разделов. Шифрование — необходимая, но не единственная мера.

Как долго возвращают изъятые серверы?

По закону — в разумный срок, на практике — от нескольких месяцев до нескольких лет. После снятия образа данных возврат "железа" возможен, но не гарантирован. Если оборудование признано вещественным доказательством — может не вернуться никогда.

Защита данныхБезопасностьЮридическое

Изъятие серверов: что произойдёт с вашими данными и как защититься заранее

8 мая 2025 · 12 мин чтения · System Networks

Обыск с изъятием серверов — это не только про уголовные дела. Это трудовые споры, налоговые проверки, конкурентные войны, корпоративные конфликты. В 2024 году количество выемок в российских компаниях выросло на 40%. Если это случится у вас — у вас будет от 30 минут до нескольких часов. Что делать, знаете?

Что происходит при изъятии: хронология

0–30 мин

Следователь прибывает с постановлением об обыске или выемке. Ваши сотрудники обязаны пустить. Попытка отказа — уголовная ответственность.

30 мин – 4 ч

Технические специалисты следствия снимают образы дисков с работающих машин или изымают оборудование физически. Если сервер зашифрован и выключен — снять образ на месте не удастся.

4–24 ч

Оборудование вывозится в экспертное учреждение. Вы получаете протокол изъятия. Данные уже недоступны.

1–6 месяцев

Криминалистическая экспертиза. Попытки расшифровать данные, восстановить удалённое, найти нужные файлы.

Неопределённо

Возврат оборудования — если дело закрыто или оборудование не признано вещдоком. Нередко не возвращают годами.

Что изымают, а что нет

Изымают

×Серверы и рабочие станции целиком
×Системные блоки и жёсткие диски
×Ноутбуки сотрудников
×Телефоны (при определённых обстоятельствах)
×USB-накопители и внешние диски
×Сетевое оборудование (иногда)
×Резервные копии на физических носителях

Не изымают (как правило)

✓Данные в облаке (без отдельного запроса)
✓Серверы в иностранных ЦОД
✓Данные у операторов связи (без спец. запроса)
✓Зашифрованные данные без ключа
✓Аппаратные HSM (в большинстве случаев)
✓Оборудование третьих лиц
✓Данные, к которым нет физического доступа

⚠️ Важный нюанс

Следователь может направить запрос к иностранным провайдерам или ЦОД — но это долго (месяцы при наличии MLAT-соглашения) и не всегда результативно. Российские ЦОД и облачные провайдеры обязаны сотрудничать со следствием немедленно.

Комплекс мер защиты: что реально работает

🏛

Физическая изоляция данных

Колокация в ЕС

Сервер в Германии или Чехии находится вне российской юрисдикции. Изъятие требует MLAT-запроса (месяцы) и согласия иностранных властей. Для операционных систем с чувствительными данными — наиболее надёжная защита.

Колокация в Франкфурте и Праге →

Гибридная модель

Операционные данные — в Москве (скорость, 152-ФЗ). Критичные архивы и резервные копии — в ЕС. При изъятии российских серверов европейский сегмент остаётся нетронутым.

🔐

Шифрование

Full Disk Encryption (FDE)

BitLocker (Windows Server), dm-crypt/LUKS (Linux). При выключенном сервере данные физически недоступны без ключа. Критично: сервер должен выключиться ДО того, как следователи получат к нему физический доступ.

Шифрование на уровне приложений

Даже если следователи получат дамп БД — данные зашифрованы на уровне приложения. Без ключей шифрования файлы бесполезны. Ключи хранятся отдельно (HSM, внешний сервис).

Аварийное удаление ключей

Процедура: при тревожном сигнале ключи шифрования удаляются автоматически или по команде. Без ключей зашифрованные данные не восстановимы никакой криминалистикой. Требует отработки сценариев и юридической проверки.

💾

Резервное копирование и DR

Горячий резерв в другой юрисдикции

Зеркало или актуальная реплика данных в европейском ЦОД. При изъятии российского сервера — переключаетесь на резерв за минуты. Бизнес продолжает работать.

Резервная инфраструктура в ЕС →

Версионирование и immutable backups

Резервные копии в неизменяемом хранилище с retention policy. Даже если изъяли основной сервер — у вас есть данные за последний час/день.

📋

Организационные меры

Регламент действий при обыске

Сотрудники должны знать: немедленно вызвать юриста, не препятствовать следователям, фиксировать всё на видео (это законно), требовать копию протокола изъятия.

Юридическое сопровождение ИБ →

Минимизация данных на серверах

Принцип: на сервере хранится только то, что нужно прямо сейчас. Архивы, старые данные, завершённые проекты — в зашифрованном offline-хранилище или в ЕС-ЦОД.

Сколько стоит простой при изъятии

Считается просто: умножьте выручку компании в день на предполагаемое количество дней без доступа к данным. Если ваши данные живут только на российских серверах без резервной копии в другой юрисдикции — это может быть 30, 60, 90 дней.

Выручка компании	30 дней простоя	90 дней простоя
10 млн ₽/мес	10 млн ₽	30 млн ₽
50 млн ₽/мес	50 млн ₽	150 млн ₽
200 млн ₽/мес	200 млн ₽	600 млн ₽

Стоимость превентивной защиты — колокация резервной копии в ЕС + шифрование + DR-план — обычно составляет 1–3% от потенциального ущерба. Это самая дешёвая страховка, которую вы можете купить.

Минимальный план защиты: с чего начать

01
Аудит: где физически хранятся ваши критичные данные прямо сейчас
Запросите у ИТ-отдела реестр всех систем и хранилищ. Отдельно — где резервные копии.
02
Включить шифрование на всех серверах
BitLocker или dm-crypt/LUKS. Минимум 2–3 дня работы специалиста. Ключи — отдельно от сервера.
03
Настроить репликацию критичных данных в ЕС-ЦОД
Начните с самого ценного: БД клиентов, финансовые данные, исходный код.
04
Написать регламент действий сотрудников при обыске
1 страница А4. Вызов юриста, видеосъёмка, требование протокола. Провести инструктаж.
05
Проверить DR-план: как быстро восстановитесь
Протестируйте восстановление из резервной копии. Цель — менее 4 часов RTO.

Защита данных

Колокация в ЕС: Франкфурт и Прага →

Европейская юрисдикция · GDPR · защита от MLAT-запросов

Аудит и защита данных

Аудит ИБ и подготовка к инцидентам →

Пентест · DR-план · 152-ФЗ · от 120 000 ₽

Частые вопросы

Могут ли следователи изъять сервер в ЦОД в другом городе?

Да, в российском ЦОД — могут. Следователь направляет поручение, и коллеги из другого региона проводят изъятие. Физическое расстояние в пределах РФ не защищает. Защищает юрисдикция: сервер в ЕС требует MLAT-запроса (месяцы).

Защищает ли шифрование при изъятии?

Да, если сервер выключен в момент изъятия. Если включён — данные могут быть скопированы из памяти или с расшифрованных разделов. Шифрование + автоматическое выключение по тревожному сигналу — работающая связка.

Как долго могут не возвращать изъятое оборудование?

Законодательно — разумный срок. На практике — от нескольких месяцев до нескольких лет. Нередко оборудование признают вещественным доказательством и не возвращают вообще. Именно поэтому резервная копия в другой юрисдикции — не опция, а необходимость.

Можно ли снять образ диска в присутствии следователя и оставить себе?

Это возможно, но зависит от доброй воли следователя и правовой позиции вашего адвоката. Лучше не рассчитывать на это — готовьте резервные копии заранее.