Утечки данных в России — не «шумиха», а повседневный риск, который уже бьёт по кошельку и по доверию клиентов. В 2025-м цифры вновь поползли вверх, а ответственность стала жёстче. В статье — свежая статистика, реальные последствия и понятный план действий, чтобы предотвратить инциденты и правильно отработать, если он всё же случился.
Главное в 2025: цифры и тренды
За январь—май 2025 года Роскомнадзор зафиксировал 30 утечек; в сеть попало более 38 млн строк с данными россиян. Это только официальные случаи за пять месяцев, и тренд не выглядит затухающим.
В открытом доступе в первой половине 2025-го обнаружено 154 новые базы российских компаний (ранее не встречались в источниках). Совокупный объём — ≈198,6 млн строк. Больше всего страдает ритейл — около 37% всех новых публикаций.
Отраслевой срез начала года дополняют оценки: за первые четыре месяца 2025-го было >50 крупных утечек, среди скомпрометированного — >21 млн телефонов и 17 млн адресов e-mail; чаще били по логистике и развлекательным сервисам.
Почему утечки происходят
Главный драйвер — внешние атаки. По данным InfoWatch за 2024 год, >80% утечек в России были результатом именно кибератак; около 10% — по вине персонала (инсайдеры, ошибки, халатность). Эти пропорции сохраняются и в текущем году.
К типовым причинам относятся:
фишинг и кража учётных данных;
уязвимости веб-приложений и API;
открытые S3-совместимые хранилища/бэкапы;
слабая сегментация и отсутствие MFA для админ-доступов;
экспорт данных в тест/BI без обезличивания;
DLP и журналирование «для галочки».
Правовые последствия в 2025: что изменилось
С 30 мая 2025 штрафы по 13.11 КоАП РФ значительно выросли и дифференцированы по масштабу и типу данных. Ключевое:
— Неуведомление об обработке ПДн: 100–300 тыс. ₽ (для ИП и компаний).
— Неуведомление РКН об утечке: 1–3 млн ₽.
— Утечка ≥1 000 субъектов (или ≥10 000 идентификаторов): 3–5 млн ₽; ≥10 000 (или ≥100 000 идентификаторов): 5–10 млн ₽; >100 000 (или >1 млн идентификаторов): 10–15 млн ₽.
— Спецкатегории/биометрия: до 15–20 млн ₽.
— Повторная утечка: 1–3% выручки (минимум 20–25 млн ₽, потолок 500 млн ₽). Скидка 50% за быструю оплату к этим составам не применяется.
Оперативные сроки: первичное уведомление РКН об инциденте — в течение 24 часов, результаты внутреннего расследования — в течение 72 часов (астрономических). Эти требования закреплены в 152-ФЗ и разъяснениях профильных ресурсов.
Нарушения и «вилка» штрафов (для юрлиц/ИП)
| Нарушение | Штраф |
|---|---|
| Неуведомление об обработке ПДн | 100 000–300 000 ₽ |
| Неуведомление РКН об утечке | 1–3 млн ₽ |
| Утечка ≥1 000 субъектов / ≥10 000 идентификаторов | 3–5 млн ₽ |
| Утечка ≥10 000 субъектов / ≥100 000 идентификаторов | 5–10 млн ₽ |
| Утечка >100 000 субъектов / >1 млн идентификаторов | 10–15 млн ₽ |
| Повторная утечка | 1–3% годовой выручки (не менее 20–25 млн ₽) |
По данным КонсультантПлюс о поправках к КоАП РФ от 30.11.2024 (в силе с 30.05.2025).
| Нарушение | Штраф |
|---|---|
| Неуведомление об обработке ПДн | 100 000–300 000 ₽ |
| Неуведомление РКН об утечке | 1–3 млн ₽ |
| Утечка ≥1 000 субъектов / ≥10 000 идентификаторов | 3–5 млн ₽ |
| Утечка ≥10 000 субъектов / ≥100 000 идентификаторов | 5–10 млн ₽ |
| Утечка >100 000 субъектов / >1 млн идентификаторов | 10–15 млн ₽ |
| Повторная утечка | 1–3% годовой выручки (не менее 20–25 млн ₽) |
По данным КонсультантПлюс о поправках к КоАП РФ от 30.11.2024 (в силе с 30.05.2025).
Кому и чем грозит утечка (матрица влияния)
| Аудитория | Эффект | Что страдает |
|---|---|---|
| Клиенты | Мошенничество, спам, взломы | LTV, NPS, churn |
| Сотрудники | Фишинг, утрата доверия | HR-бренд, вовлечённость |
| Партнёры | Риски контрагентов, SLA | Доход, штрафы по договорам |
| Регуляторы | Проверки, предписания | Штрафы, ограничения |
| Аудитория | Эффект | Что страдает |
|---|---|---|
| Клиенты | Мошенничество, спам, взломы | LTV, NPS, churn |
| Сотрудники | Фишинг, утрата доверия | HR-бренд, вовлечённость |
| Партнёры | Риски контрагентов, SLA | Доход, штрафы по договорам |
| Регуляторы | Проверки, предписания | Штрафы, ограничения |
Кейсы и события 2025: на что смотреть
Рынок «темнеет»: H1’2025 принёс минимум 154 новых публикации баз; ритейл — самая «больная» отрасль. Это чёткий сигнал укреплять защиту личных кабинетов, корзины и платёжных сценариев.
Медицина и фарма — тоже под огнём: летом отмечались атаки на московские клиники и аптечные сети — утекали персональные и аутентификационные данные. Последнее опасно тем, что открывает путь к повторным компрометациям.
Наконец, официальные релизы РКН показывают: вал утечек не падает, а характер инцидентов смещается к «чистой» публикации сырых дампов на теневых площадках и Telegram-каналах.
Что делать компании: чек-лист реагирования и профилактики
Чек-лист при утечке и на каждый день
- ⏱️ В течение 24 часов — подайте первичное уведомление в РКН. Через 72 часа — отправьте результаты расследования.
- 🔐 Срочно меняйте пароли/ключи, отзывать токены, включать принудительный logout и 2FA для затронутых.
- 🧰 Изолируйте уязвимый контур, ставьте временные WAF-правила, закрывайте публичные бэкапы и тестовые стенды.
- 📣 Прозрачная коммуникация: письмо клиентам с фактами, сроками, рекомендациями (замена пароля, антифишинг).
- 🧾 Проверьте реестр ПДн и уведомление в РКН: актуальные цели, категории, трансграничка, хранение и сроки.
- 🧑🏫 Ежеквартальные фишинг-тренировки и обучение инсайдерам-рискам (DLP-политики, доступ по минимуму).
- 🔎 Логи и телеметрия: централизованный сбор, ретеншн ≥90 дней, алерты на массовые выгрузки и аномалии.
- 🧪 SDLC-контроль: SAST/DAST, секрет-скан, баг-баунти, «красные команды» перед пиками трафика.
- 🔏 Шифрование и обезличивание: отдельные ключи на prod/test, токенизация чувствительных атрибутов.
Заключение
Утечки данных в России — это уже «операционная реальность», а не форс-мажор. В 2025-м выросли и риски, и санкции, поэтому выигрывают те, кто автоматизирует контроль доступа, логирование и реагирование. Первый шаг — привести уведомление в РКН в порядок, закрыть «дыры» в процессах и подготовить план инцидент-респонса с упражнением на 24/72 часа.
Часто задаваемые вопросы
Что сейчас «дороже всего» в штрафах?
Уведомлять нужно всегда?
Можно ли «умолчать», если дамп маленький?
Какие отрасли чаще бьют?
К чему это приводит кроме штрафов?
Калькулятор последствий утечки
- Диапазоны основаны на публичных разъяснениях КоАП РФ (ст. 13.11) с актуальными порогами.
- Окончательное решение принимает суд/орган, учитываются рецидив, характер данных, последствия.
