Ольга Соловьева
Персональные данные граждан регулярно попадают в открытый доступ. Фото Vecteezy
В России уже действуют новые штрафы для компаний за утечку персональных данных клиентов. Аналитики IT-рынка ожидают, что новые санкции подтолкнут компании активнее инвестировать в свою защиту. Ранее организациям было либо проще заплатить штраф, либо скрыть утечку данных. По ожиданиям экспертов, первые оборотные штрафы будут назначаться в 2026 году, пока же текущие санкции против компаний за утечки оказываются в несколько сотен раз ниже тех, что действуют в за рубежом.
Кибератаки в России при этом продолжают нарастать. По данным Аналитического центра кибербезопасности компании «Газинформсервис», только по итогам первого полугодия 2025 года три четверти всех утекших данных, или почти 190 млн записей, были актуальными на момент взлома менее месяца.
Основной мишенью атак остается госсектор и инфраструктурные компании – на них пришлось 92% от всего объема скомпрометированной информации.
В целом за 2025 год в открытый доступ попало более 767 млн записей с персональными данными россиян, что на 67% больше, чем годом ранее, следовало из отчета подразделения киберразведки компании F6. При этом масштабы каждой утечки стали больше, хотя общее число инцидентов снизилось: 250 против 455 в 2024 году.
В конце прошлого года председатель думского комитета по информационной политике, информационным технологиям и связи Сергей Боярский сообщал, что количество утечек персональных баз в России сократилось в 13 раз, а общее количество зарегистрированных преступлений в этой сфере упало на 25%.
И хотя число утечек сократилось, сумма выкупа за украденные данные за год выросла примерно вдвое. По данным F6, в 2025 году был поставлен рекорд по сумме выкупа для зашифрованной компании, который достиг 500 млн руб. на момент атаки. Для сравнения: годом ранее рекорд по сумме запрошенного выкупа составлял 240 млн руб.
Эксперты ранее приходили к выводу, что снижение числа утечек – не показатель стабилизации ситуации, а скорее наоборот. Ужесточение законодательства для наказания компаний, у которых похищены данные, в целом привело к обратному эффекту – сокрытию фактов потери данных (см. «НГ» от 16.12.25).
Ситуацию, вероятно, должны исправить новые штрафы. Так, с конца мая прошлого года в РФ было ужесточено законодательство для компаний за утечки персональных данных. Теперь действуют поправки, вводящие для компаний оборотные штрафы, их размер может достигать 3% от годовой выручки, а в случае повторного нарушения максимальная сумма ограничена 500 млн руб.
Вероятно, новые санкции должны мотивировать компании активнее вкладывать в киберзащиту. Прежние суммы штрафов скорее всего к этому не слишком располагали.
Так, по итогам прошлого года в РФ было выписано только шесть штрафов за утечки персональных данных на общую сумму 570 тыс. руб., сообщали в компании InfoWatch. На Россию по сравнению с другими странами, таким образом, приходится только около 3% штрафов, выписанных в 2025 году за утечки, приходили к выводу аналитики.
«То есть средняя сумма штрафа составила 95 тыс. руб. В то же время общая сумма штрафов за утечки данных в мире составила более 850 млн долл. Средняя сумма штрафа – около 4,26 млн долл.», – рассказывали исследователи. Впрочем, в этом расчете учтен штраф в отношении европейского офиса TikTok на сумму в 620 млн долл. Без него средняя сумма штрафа в мире составила бы 1,16 млн долл.
За утечку данных ранее был оштрафован и Минтруд. Сам инцидент произошел в ноябре 2023 года. В августе 2024 года Минтруду присудили штраф в размере 100 тыс. руб. А в конце января этого года Верховный суд России окончательно признал ведомство виновным в нарушении законодательства в области персональных данных.
При этом далеко не каждая компания в итоге получала штраф за утечку. В декабре прошлого года управляющий партнер юридической компании Comply Артем Дмитриев отмечал, что каждая восьмая российская компания, обвиняемая в утечке персональных данных, не получала штраф за нее.
По оценкам экспертов, суммарные потери компаний от новых штрафов теперь могут достигнуть 7 млрд руб. Ранее в компании InfoWatch средний ущерб российских компаний от одной утечки информации оценивали в 11,5 млн руб.
Эффективность оборотных штрафов, как считает руководитель отдела по развитию бизнеса компании «Индид» Игорь Тюкачев, можно будет оценить только через несколько лет, когда сформируется устойчивая практика применения. Осенью прошлого года глава Минцифры Максут Шадаев заявлял, что в России пока ни разу не применялись оборотные штрафы за утечку персональных данных.
Тем не менее эксперты полагают, что инвестировать в защиту своих данных компаниям все равно будет дешевле, чем сталкиваться с последствиями ущерба даже от одной успешной атаки. Затраты на кибербезопасность могут составить от 7 до 200 млн руб. в год, сообщает руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис» Сергей Полунин. «Это не средний чек, а отражение реальной вилки: можно начинать с open-source решений и постепенно наращивать защиту, а можно сразу внедрять дорогостоящие коммерческие комплексы. Важно, что даже минимальные, но грамотные вложения существенно снижают риски», – уточняет он.
Потенциальные потери компании, по мнению участников рынка, выше и не ограничиваются только штрафами регулятора. В полную стоимость инцидента аналитики предлагают также включать затраты на восстановление работы систем, которые в среднем занимают 10 дней, судебные издержки от пострадавших клиентов, а также репутационный ущерб, оцениваемый примерно в 1,5% годового дохода. «Для крупного бизнеса, такого как ретейл, совокупный ущерб может превысить уже 1 млрд руб., что способно полностью нивелировать годовую прибыль», – рассуждает Сергей Полунин.
Ранее для многих компаний платить штрафы за утечки было финансово выгоднее, чем развивать систему информационной безопасности для предотвращения таких утечек, замечает руководитель сервиса Smart Business Alert Сергей Трухачев. Кроме того, продолжает он, информация о штрафах для компаний за утечки данных появляется, но, как правило, эпизодически и по резонансным случаям.
В других странах подход к ответственности за утечки выстроен иначе. К примеру, в Евросоюзе действует Генеральный регламент о защите персональных данных (GDPR), обязательный документ, который распространяется на всех участников объединения. «GDPR – одно из самых строгих законодательств в области защиты данных в мире. Штрафы за утечки здесь гораздо выше, чем в России», – говорит Сергей Трухачев.
По словам инженера-аналитика компании «Газинформсервис» Екатерины Едемской, ключевое отличие западных моделей – акцент на уведомлении пользователей. «Компании обязаны сообщать о взломе пострадавшим в короткие сроки, что создает репутационное давление. В России же фокус сделан на административной ответственности перед государством, а не на защите прав граждан напрямую», – подчеркивает она.
Россия сделала ставку на тотальный контроль и скорость реакции, а Европа – на публичное расследование и доказательство технической несостоятельности, соглашается технический директор компании «Стахановец» Сергей Щербаков. «Недавний кейс во Франции – оператора Free оштрафовали на 42 млн евро. Важно понимать: не просто за утечку 24 млн записей, а за то, что у компании был слабый VPN и отсутствовал мониторинг. Европейский регулятор потратил годы на расследование, чтобы юридически безупречно подтвердить – компания пренебрегала базовыми настройками защиты. Российский подход жестче, у нас презумпция вины. Если утечка произошла – значит, это уже халатность», – подчеркивает эксперт.
Введение новых штрафов способствует повышению уровня ответственности организаций в части защиты информации, ожидает коммерческий директор компании «Код безопасности» Федор Дбар. На текущий момент штрафные санкции остаются практически единственным действенным инструментом воздействия на компании в данном вопросе, добавляет он.
По мнению же руководителя центра консалтинга Angara Security Александра Хонина, ситуация с утечками данных пока не изменилась. «Можно говорить о некотором снижении их числа, что связано в том числе с усилиями, которые прилагают компании из сферы безопасности. Однако утверждать, что штрафы как-то повлияли на ситуацию, пока не приходится», – говорит он. По словам эксперта, отсутствие реальных взысканий и в целом значимых прецедентов заметно охладило обстановку. «Громких кейсов мы с вами не найдем – в основном речь пока идет о небольших суммах, которые не пугают бизнес и уж тем более не оказывают на него ощутимого влияния», – сообщает Хонин.
Гендиректор компании «Сократ» Альмир Янборисов полагает, что первые оборотные штрафы мы увидим в 2026 году. «И тогда станет понятно, насколько суды готовы применять 3% от выручки, а не останавливаться на нижней планке в 20 млн руб.», – подчеркивает он.
