Каждый россиянин, имеющий номер телефона, электронную почту или банковскую карту, с высокой вероятностью уже оказывался в числе пострадавших от утечки персональных данных - даже не зная об этом. По итогам 2025 года из российских компаний утекло 1,581 миллиарда записей персональных данных. Это больше десяти копий сведений о каждом жителе страны. Масштаб проблемы требует не просто осознания, но и конкретных действий - как от государства, так и от бизнеса.
Масштаб проблемы: что показывает статистика утечек за 2025 год
За 2025 год из российских компаний утекло 1,581 миллиарда записей персональных данных - рост составил более 30% по сравнению с 2024 годом, когда в сеть попали 1,202 миллиарда записей. Эти данные опубликовал экспертно-аналитический центр (ЭАЦ) ГК InfoWatch в исследовании «Россия: утечки информации ограниченного доступа, 2024-2025».
Число зарегистрированных инцидентов при этом изменилось незначительно: в 2024 году ЭАЦ InfoWatch зарегистрировал 592 случая утечек персональных данных (против 569 в 2023 году). Общее число инцидентов с утечкой конфиденциальной информации составило 778 против 786.
Расхождение между стабильным числом инцидентов и резким ростом объема скомпрометированных записей объясняется одним ключевым фактором.
Инцидент на 500 миллионов записей: крупнейшая утечка года
Самый крупный инцидент произошел в январе 2024 года и включал утечку 500 миллионов записей, о чем сообщил Роскомнадзор. Однако подробности этого инцидента регулятор не раскрыл. Один этот случай дал более трети всего годового объема скомпрометированных данных. Отсутствие публичных деталей о его источнике существенно затрудняет оценку реальных последствий для граждан и бизнеса.
Ключевые показатели 2025 года
|
Показатель |
2024 |
2025 |
Изменение |
|
Объем скомпрометированных записей ПДн |
1,202 млрд |
1,581 млрд |
+31,5% |
|
Число инцидентов с ПДн |
569 |
592 |
+4% |
|
Число всех инцидентов с утечкой |
786 |
778 |
-1% |
|
Крупнейший единичный инцидент |
данные требуют уточнения |
500 млн записей |
- |
|
Базы объемом от 1 млн записей |
56 |
31 |
-44,6% |
|
Базы объемом от 10 млн записей |
14 |
9 |
-35,7% |
Источник: ЭАЦ ГК InfoWatch, исследование «Россия: утечки информации ограниченного доступа, 2025-2026»
Какие отрасли лидируют по числу утечек персональных данных
Отраслевое распределение инцидентов дает ответ на вопрос: где данные россиян находятся в наибольшей опасности.
Торговля и ритейл - главный источник угроз
Лидером по числу утечек стала сфера торговли - как классический ритейл, ориентированный на офлайн-продажи, так и онлайн-торговля: маркетплейсы и интернет-магазины. На эту сферу в 2024 году пришлось 27,8% случаев утечек информации в целом и более 35,1% зарегистрированных инцидентов с компрометацией персональных данных.
Аналитики ЭАЦ InfoWatch объясняют это прямо: злоумышленники регулярно атакуют российские интернет-магазины, преимущественно небольшие, пользуясь слабым уровнем информационной безопасности. Небольшой интернет-магазин хранит номера телефонов, адреса, историю заказов и платежные данные сотен тысяч клиентов, при этом нередко не располагает даже базовыми средствами защиты.
В общем распределении утечек данных в России выросла доля промышленности - с 3,7% до 5,5%. Противоположную динамику демонстрируют финансовые компании, госучреждения и IT-сектор: число инцидентов с утечками данных в этих сферах снизилось.
Что именно утекает: типы скомпрометированных данных
Почти треть из всего объема персональных данных составляет аутентификационная информация: пароли и логины, в том числе номера телефонов и адреса электронной почты.
Такие данные представляют особую ценность для злоумышленников: их немедленно используют в атаках типа «подстановка учетных данных» (credential stuffing), когда скомпрометированные пары логин-пароль автоматически проверяются на тысячах сервисов. Человек, использующий один пароль на нескольких платформах, рискует потерять доступ ко всем сразу.
Важные детали: что нужно знать об утечках данных
• Аутентификационные данные (логины, пароли, телефоны, email) составляют около 30% всего объема утечек.
• Почти в половине случаев утечек персональных данных не установлено точное или хотя бы приблизительное количество утекших записей. В 2025 году доля таких инцидентов выросла до 48,3%.
• Крупные базы (свыше 1 млн записей) стали утекать реже, однако суммарный объем скомпрометированных данных продолжает расти.
• Госсектор, финансовые организации и IT-компании в 2024 году улучшили показатели защиты.
• С начала 2026 года Роскомнадзор зафиксировал уже более 52 миллионов новых записей, попавших в сеть.
Чем отличается ситуация в России от мировой: сравнительный анализ
Понять масштаб российских утечек в отрыве от глобального контекста затруднительно.
По итогам 2025 года Россия заняла второе место среди исследуемых стран по количеству инцидентов с компрометацией данных: на российские организации пришлось 8,5% случаев, зарегистрированных в мире. В рейтинге по утечкам персональных данных страна переместилась с седьмого на пятое место.
Общее количество утечек данных в мировом масштабе снижается: в 2025 году зарегистрировано 9 175 утечек информации из государственных организаций и коммерческих компаний - на 25,2% меньше, чем в 2023 году. Россия движется в противоположном направлении: объем скомпрометированных записей растет, тогда как мировые показатели стабилизируются.
Глобальная стоимость инцидентов
В 2024 году средняя стоимость утечки данных для компаний составила почти 5 миллионов долларов - на 10% больше, чем в предыдущем году. Для российского бизнеса эта цифра дополняется новым измерением: с 2025 года государство ввело оборотные штрафы, способные кратно увеличить прямые финансовые потери от одного инцидента.
Экспертная позиция. «Ставшие достоянием общественности данные по количеству скомпрометированных строк с персональными данными в совокупности можно рассматривать лишь как минимальные. Все чаще при крупных утечках не удается установить количество скомпрометированных данных, а масштаб проблемы может быть значительно больше, чем показывает статистика инцидентов» - подчеркивают эксперты ЭАЦ InfoWatch в годовом отчете.
Как российское законодательство изменило ответственность за утечки
2024-2025 годы ознаменовались радикальной трансформацией правовой среды в сфере защиты персональных данных.
Новые штрафы с 30 мая 2025 года
С 30 мая 2025 года вступили в силу положения КоАП РФ, ужесточающие ответственность за нарушения в сфере оборота персональных данных (Федеральный закон от 30 ноября 2024 года № 420-ФЗ). Размер штрафа теперь прямо зависит от масштаба инцидента.
Шкала административных штрафов за утечку персональных данных
|
Масштаб утечки |
Штраф для юридических лиц |
|
Нарушение обязанности уведомить РКН |
1-3 млн руб. |
|
Не менее 1 000 физлиц или 10 000 идентификаторов |
3-5 млн руб. |
|
Не менее 10 000 физлиц или 100 000 идентификаторов |
5-10 млн руб. |
|
Более 100 000 физлиц или 1 млн идентификаторов |
10-15 млн руб. |
|
Данные специальной категории |
10-15 млн руб. |
|
Биометрические данные |
15-20 млн руб. |
|
Повторная утечка |
1-3% годовой выручки (не менее 20 млн руб., макс. 500 млн руб.) |
Источник: КонсультантПлюс, Федеральный закон № 420-ФЗ от 30.11.2024
Кроме того, появилась уголовная ответственность за незаконное использование и распространение персональных данных.
Уголовная ответственность: статья 272.1 УК РФ
Уголовный кодекс РФ с 11 декабря 2024 года дополнен новой статьей 272.1. Данная норма предусматривает уголовную ответственность за использование, передачу, распространение или предоставление доступа к персональным данным, полученным незаконно, а также за сбор или хранение компьютерной информации с персональными данными, если известно, что она получена незаконно.
Максимальная санкция по данной статье - лишение свободы до 10 лет со штрафом до 3 миллионов рублей.
Экспертная позиция. «Введение оборотных штрафов и уголовной ответственности - принципиальный сдвиг в регулировании. Прежде компании фактически могли закладывать в бизнес-модель небольшие фиксированные штрафы. Теперь один инцидент способен нанести урон, сопоставимый с годовой прибылью среднего предприятия» - комментируют специалисты в области информационной безопасности.
Альтернативная точка зрения
Ряд экспертов полагает, что ужесточение санкций само по себе не решает технологическую проблему. Компании малого и среднего бизнеса при высоких штрафах получают стимул скрывать инциденты, а не раскрывать их. Это противоречит самой логике регулирования: без прозрачной отчетности об утечках невозможно выстроить эффективную систему раннего предупреждения. Баланс между жестким наказанием и стимулами к добровольному раскрытию информации пока остается нерешенной задачей для регулятора.
Как использовать данные об утечках для защиты бизнеса
Понимание природы инцидентов позволяет выстроить защиту на основе реальных угроз, а не абстрактных рекомендаций. Для этого нужны конкретные ответы на профессиональные вопросы о защите данных.
Аудит информационной безопасности как первый шаг
Большинство крупных утечек в торговле происходит не через взлом периметра, а через уязвимости в веб-приложениях, незащищенные API и слабую аутентификацию сотрудников. Аудит безопасности бизнес-процессов позволяет выявить конкретные точки риска до того, как ими воспользуется злоумышленник.
Ключевые компоненты аудита включают: анализ прав доступа к базам данных с персональными данными, проверку процедур уведомления Роскомнадзора, оценку технических средств защиты (шифрование, DLP-системы, мониторинг аномалий) и тестирование готовности персонала к инцидентам.
Контроль защищенности информационных систем
В первом полугодии 2024 года зафиксировано 415 случаев компрометации данных - на 10,1% больше, чем в аналогичном периоде 2023 года. Цифра подтверждает: атаки идут непрерывно, а не в виде редких событий. Анализ и контроль защищенности информационных систем обеспечивает непрерывный мониторинг, а не разовую проверку.
Как добиться максимального результата в защите персональных данных
Практика показывает: компании, которые выстраивают защиту персональных данных как системный процесс, а не как реакцию на инциденты, существенно снижают риски. Необходимый минимум включает следующие шаги.
✓ Первый шаг - разграничение доступа к базам данных. Принцип минимальных привилегий означает, что каждый сотрудник получает доступ только к тем данным, которые необходимы для выполнения его функций. Это устраняет основной канал внутренних утечек.
✓ Второй шаг - внедрение DLP-системы (Data Loss Prevention). Программные решения класса DLP контролируют передачу данных по всем каналам: электронная почта, USB-носители, облачные хранилища, мессенджеры. При обнаружении нетипичной активности система блокирует передачу и уведомляет службу безопасности.
✓ Третий шаг - регламент реагирования на инциденты. С 30 мая 2025 года обязательно уведомление Роскомнадзора в установленные сроки. Отсутствие регламента и просрочка уведомления влекут отдельный штраф: от 1 до 3 миллионов рублей.
✓ Четвертый шаг - обучение персонала. По данным исследований, значительная доля утечек связана с действиями сотрудников - как умышленными, так и случайными. Регулярные тренинги по распознаванию фишинга и правилам работы с персональными данными снижают этот риск. Услуги по информационной безопасности для бизнеса охватывают весь спектр этих задач.
✓ Пятый шаг - локализация и шифрование данных. С 1 июля 2025 года вступили в силу ужесточенные требования к локализации хранения персональных данных. Хранение данных российских граждан на серверах за пределами РФ несет как регуляторный риск, так и технический: данные вне российской юрисдикции сложнее защитить и контролировать.
Прогноз и тенденции: что будет с утечками данных в 2026 году
Данные первых месяцев 2026 года дают смешанный сигнал. С одной стороны, по данным надзорной службы, в 2025 году в сеть попало более 52 миллионов записей с персональными данными - это ниже темпов 2024 года. С другой стороны, согласно отчету компании «Еca Про» (входит в ГК «Кросс технолоджис»), общий объем утекших данных в 2025 году превысил 145 миллионов строк. Расхождение между данными Роскомнадзора и независимых аналитиков указывает: реальный масштаб проблемы по-прежнему остается выше официальной статистики.
Среди структурных тенденций выделяются три.
1. Рост доли промышленности и критической инфраструктуры. Доля промышленных предприятий в общем числе утечек растет. Атаки на производственные системы несут двойной риск: компрометация персональных данных сотрудников и клиентов сочетается с угрозой технологическим секретам.
2. Смещение от массовых к целевым атакам. Снижение числа крупных баз данных в открытом доступе при росте суммарного объема означает: злоумышленники чаще продают данные адресно в закрытых каналах, а не публикуют в открытом доступе. Это затрудняет обнаружение утечки для самой организации.
3. Нарастание требований к уведомлению. Новые законодательные нормы обязывают организации сообщать об инцидентах в Роскомнадзор в строго ограниченные сроки. Это создает новый тип риска для компаний, не имеющих автоматизированных систем мониторинга.
Аудит на соответствие требованиям регуляторов: обязанности бизнеса
Законодательство 2024-2025 годов сформировало конкретный перечень обязательных требований для операторов персональных данных. Аудит на соответствие требованиям регуляторов позволяет систематически проверить их выполнение.
Базовый чек-лист соответствия включает: регистрацию в Роскомнадзоре как оператора персональных данных, наличие Политики обработки персональных данных, договоры с контрагентами-операторами, регламент уведомления РКН, технические средства защиты (соответствующие уровню защищенности), журнал инцидентов и документированный порядок реагирования на утечки.
При повторном нарушении оборотный штраф может составить от 1 до 3% годовой выручки, но не менее 20 миллионов рублей. Верхняя планка - 500 миллионов рублей. Для предприятий среднего бизнеса это суммы, сопоставимые с несколькими годами чистой прибыли.
FAQ: часто задаваемые вопросы об утечках данных в России
- Обязана ли компания сообщать своим клиентам о том, что их данные утекли?
Российское законодательство по состоянию на начало 2026 года прямо не обязывает оператора персональных данных уведомлять каждого пострадавшего физического лица. Обязательным является уведомление Роскомнадзора в установленные сроки. Тем не менее добровольное раскрытие информации клиентам считается лучшей практикой и снижает репутационные риски.
- Считается ли утечкой ситуация, когда данные скомпрометированы у подрядчика, а не в самой компании?
Да. Оператор персональных данных несет ответственность за действия своих подрядчиков - третьих лиц, которым переданы данные. Договор с подрядчиком должен содержать четкие требования к защите данных и санкции за нарушения. При утечке через подрядчика ответственность перед регулятором сохраняется у основного оператора.
- Что такое оборотный штраф и как его рассчитывают?
Оборотный штраф применяется при повторной утечке персональных данных. Его размер составляет от 1 до 3% от годовой выручки организации за предшествующий год. Нижняя планка - 20 миллионов рублей, верхняя - 500 миллионов рублей. Для кредитных организаций вместо выручки используется размер собственных средств (капитала), и штраф не превышает 3% от этой суммы. Подробнее здесь.
- Можно ли уменьшить размер штрафа при повторной утечке?
Законодательство предусматривает смягчающие обстоятельства, при одновременном выполнении которых возможно существенное снижение оборотного штрафа. К ним относятся: отсутствие умысла, немедленное уведомление регулятора, наличие задокументированных мер защиты до инцидента и активное содействие расследованию. Точный перечень условий закреплен в статье 4.1 КоАП РФ в редакции Федерального закона № 420-ФЗ.
- Какие данные считаются биометрическими и почему за их утечку штраф выше?
Биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности человека: изображение лица, отпечатки пальцев, сетчатка глаза, голос. Их особый статус обусловлен тем, что такие данные нельзя изменить в отличие от пароля или номера телефона. Компрометация биометрии создает постоянный риск для человека на протяжении всей его жизни. За утечку биометрических данных штраф составляет 15-20 миллионов рублей, за повторную - оборотный штраф не менее 25 миллионов рублей.
- Что происходит с утекшими базами данных после публикации?
Утекшие базы проходят через несколько стадий оборота. Первичная продажа происходит в закрытых каналах даркнета за несколько часов или дней после инцидента. Затем данные дробятся, обогащаются сведениями из других утечек и перепродаются повторно - иногда через месяцы и годы. В итоге скомпрометированные данные могут использоваться для фишинга, вишинга и мошенничества спустя несколько лет после утечки. По этой причине реакция «мои данные утекли год назад, значит, угроза миновала» является ошибочной.
- Распространяются ли новые требования о защите данных на индивидуальных предпринимателей?
Да. Требования Федерального закона № 152-ФЗ «О персональных данных» и Федерального закона № 420-ФЗ распространяются на всех операторов персональных данных, включая индивидуальных предпринимателей. Размеры штрафов для ИП соответствуют штрафам для юридических лиц.
Заключение
Цифра 1,581 миллиарда скомпрометированных записей - это не абстрактная статистика. За ней стоят реальные люди, чьи данные используются для мошенничества, фишинга и социальной инженерии прямо сейчас. Государство ответило на угрозу жестким регуляторным давлением: оборотные штрафы и уголовная ответственность сделали пренебрежение защитой данных экономически неприемлемым. Для бизнеса это означает одно: выстраивать систему защиты персональных данных сегодня дешевле, чем ликвидировать последствия утечки завтра.
Источники, использованные при написании статьи:
- ГК InfoWatch - исследование «Россия: утечки информации ограниченного доступа»
- ГК InfoWatch - отчет «Утечки информации в мире и России »
- CNews - «Количество слитых персональных данных в 2025 г. выросло на треть»
- CNews - «В 2025 году в Сеть утекли более 710 млн записей о россиянах»
- ComNews - «Россия заняла второе место по количеству утечек данных в мире»
- TAdviser - статья «Утечки данных в России» (сводная аналитика)
- Anti-Malware.ru - «В России утекло 1,58 млрд записей персональных данных в 2025 году»
- КонсультантПлюс - «Персональные данные: новые штрафы с 30 мая 2025 года»
- КонсультантПлюс - «С 30 мая 2025 года значительно ужесточена ответственность за нарушения в области персональных данных»
- ГАРАНТ.РУ - «С 30 мая возрастут штрафы за утечку персональных данных и их незаконный оборот»
- Правовест Аудит - «Обработка персональных данных: изменения с 30.05.2025»
- Falcongaze - «Самые громкие утечки данных 2025 года»
1С Продажа и Услуги