Все течет, и кое-что меняется

Выйти из полноэкранного режима

Развернуть на весь экран

В 2025 году утечки баз данных российских компаний — по-прежнему актуальная киберугроза для бизнеса наряду с атаками вымогателей или кибершпионов. По нашим оценкам, после начала СВО количество атак на российский бизнес, а следовательно, и утечек выросло в разы. Если в 2023 году было выявлено 246 случаев публичных утечек баз данных компаний из России и СНГ, то в прошлом их было уже 455. Еще полтора два-года назад я говорил о том, что количество строк в утекших базах данных уже превысило численность населения России.

Про россиян злоумышленники знают абсолютно все: ФИО, адреса, пароли, даты рождения, паспортные данные, телефонные номера.

При этом утечки — давно уже не вопрос денег. Большинство похищенных баз данных выложены в публичный доступ (в основном в Telegram-каналах), бесплатно для нанесения наибольшего ущерба компаниям и их клиентам.

Ими активно пользуются телефонные мошенники для обзвона своих жертв или при фишинговых атаках.

Меньшую, но наиболее ценную часть утечек злоумышленники не публикуют в открытом доступе — продают или используют в последующих каскадных атаках на крупных игроков коммерческого и государственного секторов. Утечки, несомненно, остаются одной из главных киберугроз для российского бизнеса и касаются абсолютно всех. Более 46% от всех публичных утечек в 2025 году приходится на ритейл и интернет-магазины. 13% — утечки государственного сектора. Кроме того, в зоне риска по-прежнему находятся IT-компании, интернет-сервисы, телеком и образовательные порталы.

Новое законодательное регулирование в области защиты персональных данных следует рассматривать как логичную реакцию на создавшуюся критическую ситуацию. С одной стороны, оно способно устранить формальный подход к ИБ, который до 2022 года был довольно распространен, и в итоге — заставить бизнес пересмотреть подходы к ИБ и внедрить более зрелые процессы. Ожидается, что роль и ответственность CISO (руководителя по ИБ) в компаниях существенно изменится.

После внедрения новых норм должность руководителя информационной безопасности может стать одной из наиболее уязвимых в системе управления рисками.

Проще говоря, расстрельной. Формально именно компания и ее CISO, а не ее ИБ-подрядчик будет считаться ответственным лицом перед регулятором.

С другой стороны, важно учитывать, что санкции вряд ли приведут к снижению количества кибератак. Профессиональные хакерские группы, атакующие отечественные компании извне, не подчиняются российскому законодательству. Если в 2023 году насчитывалось 14 прогосударственных APT-групп, атакующих Россию и СНГ, то в 2024-м их стало в два раза больше — 27. В 2024 году не менее 17 группировок хактивистов атаковали российские и белорусские организации, хотя еще годом ранее их было как минимум 13.

В условиях продолжающегося геополитического конфликта количество кибератак и число хакерских групп будет и дальше расти. Следовательно, регулирование способно сократить последствия инцидентов и повысить готовность компаний к атакам, но не повлияет на мотивацию и активность самих злоумышленников.

В условиях постоянно растущих киберугроз устойчивость бизнеса будет определяться не столько жесткостью санкций, сколько качеством превентивных мер, зрелостью и внутренней культурой управления ИБ-рисками. В этом смысле ужесточение регулирования — это лишь инструмент, а не «волшебная пилюля».

Валерий Баулин, гендиректор компании F6