Утечки данных в России: 1,581 млрд скомпрометированных записей

Утечки данных в России: 1,581 млрд скомпрометированных записей
5 марта 2026

Каждый россиянин, имеющий номер телефона, электронную почту или банковскую карту, с высокой вероятностью уже оказывался в числе пострадавших от утечки персональных данных - даже не зная об этом. По итогам 2025 года из российских компаний утекло 1,581 миллиарда записей персональных данных. Это больше десяти копий сведений о каждом жителе страны. Масштаб проблемы требует не просто осознания, но и конкретных действий - как от государства, так и от бизнеса.


Масштаб проблемы: что показывает статистика утечек за 2025 год

За 2025 год из российских компаний утекло 1,581 миллиарда записей персональных данных - рост составил более 30% по сравнению с 2024 годом, когда в сеть попали 1,202 миллиарда записей. Эти данные опубликовал экспертно-аналитический центр (ЭАЦ) ГК InfoWatch в исследовании «Россия: утечки информации ограниченного доступа, 2024-2025».

Число зарегистрированных инцидентов при этом изменилось незначительно: в 2024 году ЭАЦ InfoWatch зарегистрировал 592 случая утечек персональных данных (против 569 в 2023 году). Общее число инцидентов с утечкой конфиденциальной информации составило 778 против 786.

Расхождение между стабильным числом инцидентов и резким ростом объема скомпрометированных записей объясняется одним ключевым фактором.


Инцидент на 500 миллионов записей: крупнейшая утечка года

Самый крупный инцидент произошел в январе 2024 года и включал утечку 500 миллионов записей, о чем сообщил Роскомнадзор. Однако подробности этого инцидента регулятор не раскрыл. Один этот случай дал более трети всего годового объема скомпрометированных данных. Отсутствие публичных деталей о его источнике существенно затрудняет оценку реальных последствий для граждан и бизнеса.


Ключевые показатели 2025 года

Показатель

2024

2025

Изменение

Объем скомпрометированных записей ПДн

1,202 млрд

1,581 млрд

+31,5%

Число инцидентов с ПДн

569

592

+4%

Число всех инцидентов с утечкой

786

778

-1%

Крупнейший единичный инцидент

данные требуют уточнения

500 млн записей

-

Базы объемом от 1 млн записей

56

31

-44,6%

Базы объемом от 10 млн записей

14

9

-35,7%


Источник: ЭАЦ ГК InfoWatch, исследование «Россия: утечки информации ограниченного доступа, 2025-2026»



Какие отрасли лидируют по числу утечек персональных данных

Отраслевое распределение инцидентов дает ответ на вопрос: где данные россиян находятся в наибольшей опасности.


Торговля и ритейл - главный источник угроз

Лидером по числу утечек стала сфера торговли - как классический ритейл, ориентированный на офлайн-продажи, так и онлайн-торговля: маркетплейсы и интернет-магазины. На эту сферу в 2024 году пришлось 27,8% случаев утечек информации в целом и более 35,1% зарегистрированных инцидентов с компрометацией персональных данных.

Аналитики ЭАЦ InfoWatch объясняют это прямо: злоумышленники регулярно атакуют российские интернет-магазины, преимущественно небольшие, пользуясь слабым уровнем информационной безопасности. Небольшой интернет-магазин хранит номера телефонов, адреса, историю заказов и платежные данные сотен тысяч клиентов, при этом нередко не располагает даже базовыми средствами защиты.

В общем распределении утечек данных в России выросла доля промышленности - с 3,7% до 5,5%. Противоположную динамику демонстрируют финансовые компании, госучреждения и IT-сектор: число инцидентов с утечками данных в этих сферах снизилось.


Что именно утекает: типы скомпрометированных данных

Почти треть из всего объема персональных данных составляет аутентификационная информация: пароли и логины, в том числе номера телефонов и адреса электронной почты.

Такие данные представляют особую ценность для злоумышленников: их немедленно используют в атаках типа «подстановка учетных данных» (credential stuffing), когда скомпрометированные пары логин-пароль автоматически проверяются на тысячах сервисов. Человек, использующий один пароль на нескольких платформах, рискует потерять доступ ко всем сразу.


Важные детали: что нужно знать об утечках данных


• Аутентификационные данные (логины, пароли, телефоны, email) составляют около 30% всего объема утечек.

• Почти в половине случаев утечек персональных данных не установлено точное или хотя бы приблизительное количество утекших записей. В 2025 году доля таких инцидентов выросла до 48,3%.

• Крупные базы (свыше 1 млн записей) стали утекать реже, однако суммарный объем скомпрометированных данных продолжает расти.

• Госсектор, финансовые организации и IT-компании в 2024 году улучшили показатели защиты.

• С начала 2026 года Роскомнадзор зафиксировал уже более 52 миллионов новых записей, попавших в сеть.


Чем отличается ситуация в России от мировой: сравнительный анализ

Понять масштаб российских утечек в отрыве от глобального контекста затруднительно.

По итогам 2025 года Россия заняла второе место среди исследуемых стран по количеству инцидентов с компрометацией данных: на российские организации пришлось 8,5% случаев, зарегистрированных в мире. В рейтинге по утечкам персональных данных страна переместилась с седьмого на пятое место.

Общее количество утечек данных в мировом масштабе снижается: в 2025 году зарегистрировано 9 175 утечек информации из государственных организаций и коммерческих компаний - на 25,2% меньше, чем в 2023 году. Россия движется в противоположном направлении: объем скомпрометированных записей растет, тогда как мировые показатели стабилизируются.


Глобальная стоимость инцидентов

В 2024 году средняя стоимость утечки данных для компаний составила почти 5 миллионов долларов - на 10% больше, чем в предыдущем году. Для российского бизнеса эта цифра дополняется новым измерением: с 2025 года государство ввело оборотные штрафы, способные кратно увеличить прямые финансовые потери от одного инцидента.


Экспертная позиция. «Ставшие достоянием общественности данные по количеству скомпрометированных строк с персональными данными в совокупности можно рассматривать лишь как минимальные. Все чаще при крупных утечках не удается установить количество скомпрометированных данных, а масштаб проблемы может быть значительно больше, чем показывает статистика инцидентов» - подчеркивают эксперты ЭАЦ InfoWatch в годовом отчете.



Как российское законодательство изменило ответственность за утечки

2024-2025 годы ознаменовались радикальной трансформацией правовой среды в сфере защиты персональных данных.


Новые штрафы с 30 мая 2025 года

С 30 мая 2025 года вступили в силу положения КоАП РФ, ужесточающие ответственность за нарушения в сфере оборота персональных данных (Федеральный закон от 30 ноября 2024 года № 420-ФЗ). Размер штрафа теперь прямо зависит от масштаба инцидента.


Шкала административных штрафов за утечку персональных данных


Масштаб утечки

Штраф для юридических лиц

Нарушение обязанности уведомить РКН

1-3 млн руб.

Не менее 1 000 физлиц или 10 000 идентификаторов

3-5 млн руб.

Не менее 10 000 физлиц или 100 000 идентификаторов

5-10 млн руб.

Более 100 000 физлиц или 1 млн идентификаторов

10-15 млн руб.

Данные специальной категории

10-15 млн руб.

Биометрические данные

15-20 млн руб.

Повторная утечка

1-3% годовой выручки 

(не менее 20 млн руб., макс. 500 млн руб.)

Источник: КонсультантПлюс, Федеральный закон № 420-ФЗ от 30.11.2024


Кроме того, появилась уголовная ответственность за незаконное использование и распространение персональных данных.


Уголовная ответственность: статья 272.1 УК РФ

Уголовный кодекс РФ с 11 декабря 2024 года дополнен новой статьей 272.1. Данная норма предусматривает уголовную ответственность за использование, передачу, распространение или предоставление доступа к персональным данным, полученным незаконно, а также за сбор или хранение компьютерной информации с персональными данными, если известно, что она получена незаконно.

Максимальная санкция по данной статье - лишение свободы до 10 лет со штрафом до 3 миллионов рублей.



Экспертная позиция. «Введение оборотных штрафов и уголовной ответственности - принципиальный сдвиг в регулировании. Прежде компании фактически могли закладывать в бизнес-модель небольшие фиксированные штрафы. Теперь один инцидент способен нанести урон, сопоставимый с годовой прибылью среднего предприятия» - комментируют специалисты в области информационной безопасности.



Альтернативная точка зрения

Ряд экспертов полагает, что ужесточение санкций само по себе не решает технологическую проблему. Компании малого и среднего бизнеса при высоких штрафах получают стимул скрывать инциденты, а не раскрывать их. Это противоречит самой логике регулирования: без прозрачной отчетности об утечках невозможно выстроить эффективную систему раннего предупреждения. Баланс между жестким наказанием и стимулами к добровольному раскрытию информации пока остается нерешенной задачей для регулятора.


Как использовать данные об утечках для защиты бизнеса

Понимание природы инцидентов позволяет выстроить защиту на основе реальных угроз, а не абстрактных рекомендаций. Для этого нужны конкретные ответы на профессиональные вопросы о защите данных.


Аудит информационной безопасности как первый шаг

Большинство крупных утечек в торговле происходит не через взлом периметра, а через уязвимости в веб-приложениях, незащищенные API и слабую аутентификацию сотрудников. Аудит безопасности бизнес-процессов позволяет выявить конкретные точки риска до того, как ими воспользуется злоумышленник.

Ключевые компоненты аудита включают: анализ прав доступа к базам данных с персональными данными, проверку процедур уведомления Роскомнадзора, оценку технических средств защиты (шифрование, DLP-системы, мониторинг аномалий) и тестирование готовности персонала к инцидентам.


Контроль защищенности информационных систем

В первом полугодии 2024 года зафиксировано 415 случаев компрометации данных - на 10,1% больше, чем в аналогичном периоде 2023 года. Цифра подтверждает: атаки идут непрерывно, а не в виде редких событий. Анализ и контроль защищенности информационных систем обеспечивает непрерывный мониторинг, а не разовую проверку.


Как добиться максимального результата в защите персональных данных

Практика показывает: компании, которые выстраивают защиту персональных данных как системный процесс, а не как реакцию на инциденты, существенно снижают риски. Необходимый минимум включает следующие шаги.

✓ Первый шаг - разграничение доступа к базам данных. Принцип минимальных привилегий означает, что каждый сотрудник получает доступ только к тем данным, которые необходимы для выполнения его функций. Это устраняет основной канал внутренних утечек.

✓ Второй шаг - внедрение DLP-системы (Data Loss Prevention). Программные решения класса DLP контролируют передачу данных по всем каналам: электронная почта, USB-носители, облачные хранилища, мессенджеры. При обнаружении нетипичной активности система блокирует передачу и уведомляет службу безопасности.

Третий шаг - регламент реагирования на инциденты. С 30 мая 2025 года обязательно уведомление Роскомнадзора в установленные сроки. Отсутствие регламента и просрочка уведомления влекут отдельный штраф: от 1 до 3 миллионов рублей.

Четвертый шаг - обучение персонала. По данным исследований, значительная доля утечек связана с действиями сотрудников - как умышленными, так и случайными. Регулярные тренинги по распознаванию фишинга и правилам работы с персональными данными снижают этот риск. Услуги по информационной безопасности для бизнеса охватывают весь спектр этих задач.

✓ Пятый шаг - локализация и шифрование данных. С 1 июля 2025 года вступили в силу ужесточенные требования к локализации хранения персональных данных. Хранение данных российских граждан на серверах за пределами РФ несет как регуляторный риск, так и технический: данные вне российской юрисдикции сложнее защитить и контролировать.


Прогноз и тенденции: что будет с утечками данных в 2026 году

Данные первых месяцев 2026 года дают смешанный сигнал. С одной стороны, по данным надзорной службы, в 2025 году в сеть попало более 52 миллионов записей с персональными данными - это ниже темпов 2024 года. С другой стороны, согласно отчету компании «Еca Про» (входит в ГК «Кросс технолоджис»), общий объем утекших данных в 2025 году превысил 145 миллионов строк. Расхождение между данными Роскомнадзора и независимых аналитиков указывает: реальный масштаб проблемы по-прежнему остается выше официальной статистики.

Среди структурных тенденций выделяются три.

1. Рост доли промышленности и критической инфраструктуры. Доля промышленных предприятий в общем числе утечек растет. Атаки на производственные системы несут двойной риск: компрометация персональных данных сотрудников и клиентов сочетается с угрозой технологическим секретам.

2. Смещение от массовых к целевым атакам. Снижение числа крупных баз данных в открытом доступе при росте суммарного объема означает: злоумышленники чаще продают данные адресно в закрытых каналах, а не публикуют в открытом доступе. Это затрудняет обнаружение утечки для самой организации.

3. Нарастание требований к уведомлению. Новые законодательные нормы обязывают организации сообщать об инцидентах в Роскомнадзор в строго ограниченные сроки. Это создает новый тип риска для компаний, не имеющих автоматизированных систем мониторинга.


Аудит на соответствие требованиям регуляторов: обязанности бизнеса

Законодательство 2024-2025 годов сформировало конкретный перечень обязательных требований для операторов персональных данных. Аудит на соответствие требованиям регуляторов позволяет систематически проверить их выполнение.

Базовый чек-лист соответствия включает: регистрацию в Роскомнадзоре как оператора персональных данных, наличие Политики обработки персональных данных, договоры с контрагентами-операторами, регламент уведомления РКН, технические средства защиты (соответствующие уровню защищенности), журнал инцидентов и документированный порядок реагирования на утечки.

При повторном нарушении оборотный штраф может составить от 1 до 3% годовой выручки, но не менее 20 миллионов рублей. Верхняя планка - 500 миллионов рублей. Для предприятий среднего бизнеса это суммы, сопоставимые с несколькими годами чистой прибыли.


FAQ: часто задаваемые вопросы об утечках данных в России


- Обязана ли компания сообщать своим клиентам о том, что их данные утекли?

Российское законодательство по состоянию на начало 2026 года прямо не обязывает оператора персональных данных уведомлять каждого пострадавшего физического лица. Обязательным является уведомление Роскомнадзора в установленные сроки. Тем не менее добровольное раскрытие информации клиентам считается лучшей практикой и снижает репутационные риски.


- Считается ли утечкой ситуация, когда данные скомпрометированы у подрядчика, а не в самой компании? 

Да. Оператор персональных данных несет ответственность за действия своих подрядчиков - третьих лиц, которым переданы данные. Договор с подрядчиком должен содержать четкие требования к защите данных и санкции за нарушения. При утечке через подрядчика ответственность перед регулятором сохраняется у основного оператора.

- Что такое оборотный штраф и как его рассчитывают? 

Оборотный штраф применяется при повторной утечке персональных данных. Его размер составляет от 1 до 3% от годовой выручки организации за предшествующий год. Нижняя планка - 20 миллионов рублей, верхняя - 500 миллионов рублей. Для кредитных организаций вместо выручки используется размер собственных средств (капитала), и штраф не превышает 3% от этой суммы. Подробнее здесь.


- Можно ли уменьшить размер штрафа при повторной утечке? 

Законодательство предусматривает смягчающие обстоятельства, при одновременном выполнении которых возможно существенное снижение оборотного штрафа. К ним относятся: отсутствие умысла, немедленное уведомление регулятора, наличие задокументированных мер защиты до инцидента и активное содействие расследованию. Точный перечень условий закреплен в статье 4.1 КоАП РФ в редакции Федерального закона № 420-ФЗ.


- Какие данные считаются биометрическими и почему за их утечку штраф выше? 

Биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности человека: изображение лица, отпечатки пальцев, сетчатка глаза, голос. Их особый статус обусловлен тем, что такие данные нельзя изменить в отличие от пароля или номера телефона. Компрометация биометрии создает постоянный риск для человека на протяжении всей его жизни. За утечку биометрических данных штраф составляет 15-20 миллионов рублей, за повторную - оборотный штраф не менее 25 миллионов рублей.


- Что происходит с утекшими базами данных после публикации? 

Утекшие базы проходят через несколько стадий оборота. Первичная продажа происходит в закрытых каналах даркнета за несколько часов или дней после инцидента. Затем данные дробятся, обогащаются сведениями из других утечек и перепродаются повторно - иногда через месяцы и годы. В итоге скомпрометированные данные могут использоваться для фишинга, вишинга и мошенничества спустя несколько лет после утечки. По этой причине реакция «мои данные утекли год назад, значит, угроза миновала» является ошибочной.


- Распространяются ли новые требования о защите данных на индивидуальных предпринимателей? 

Да. Требования Федерального закона № 152-ФЗ «О персональных данных» и Федерального закона № 420-ФЗ распространяются на всех операторов персональных данных, включая индивидуальных предпринимателей. Размеры штрафов для ИП соответствуют штрафам для юридических лиц.


Заключение

Цифра 1,581 миллиарда скомпрометированных записей - это не абстрактная статистика. За ней стоят реальные люди, чьи данные используются для мошенничества, фишинга и социальной инженерии прямо сейчас. Государство ответило на угрозу жестким регуляторным давлением: оборотные штрафы и уголовная ответственность сделали пренебрежение защитой данных экономически неприемлемым. Для бизнеса это означает одно: выстраивать систему защиты персональных данных сегодня дешевле, чем ликвидировать последствия утечки завтра.


 Источники, использованные при написании статьи:

  1. ГК InfoWatch - исследование «Россия: утечки информации ограниченного доступа»
  2. ГК InfoWatch - отчет «Утечки информации в мире и России »
  3. CNews - «Количество слитых персональных данных в 2025 г. выросло на треть»
  4. CNews - «В 2025 году в Сеть утекли более 710 млн записей о россиянах»
  5. ComNews - «Россия заняла второе место по количеству утечек данных в мире»
  6. TAdviser - статья «Утечки данных в России» (сводная аналитика)
  7. Anti-Malware.ru - «В России утекло 1,58 млрд записей персональных данных в 2025 году»
  8. КонсультантПлюс - «Персональные данные: новые штрафы с 30 мая 2025 года»
  9. КонсультантПлюс - «С 30 мая 2025 года значительно ужесточена ответственность за нарушения в области персональных данных»
  10. ГАРАНТ.РУ - «С 30 мая возрастут штрафы за утечку персональных данных и их незаконный оборот»
  11. Правовест Аудит - «Обработка персональных данных: изменения с 30.05.2025»
  12. Falcongaze - «Самые громкие утечки данных 2025 года»