67% компаний избегают публичных высказываний о произошедших инцидентах с утечкой данных
Эксперты «СёрчИнформ» – российского разработчика средств защиты данных – проанализировали ситуацию с утечками информации в отечественных компаниях за первое полугодие 2023. В частности, исследовали, как компании реагируют на утечки и сколько организаций уведомляет Роскомнадзор об инциденте.
По подсчетам компании «СёрчИнформ» на конец июня произошло 103* утечки. Чаще всего инциденты с конфиденциальными данными происходят в компаниях ритейла – более четверти от всех случаев. Каждый 12-й инцидент приходится на финансовые и ИТ-компании (в том числе те, что обслуживают государственных и около государственных заказчиков). Остальные утечки были выявлены в организациях сферы образования, общественного питания, промышленности, строительства, здравоохранения и других отраслей, чьи инциденты по количеству не превысили 2%. Вместе с персональными данными утекали исходные коды проектов, внутренняя документация, техническая информация, медицинские сведения, корпоративные адреса электронной почты и т.п. 88% утечек происходит в коммерческих организациях, 11% – в государственных, 1% – в НКО.
Подавляющее большинство организаций предпочитают воздержаться от комментариев в СМИ или публичных извинений на своем сайте или в блогах – это 67%. Полностью избежать комментариев чаще получается у малых компаний, чье имя еще не стало «брендом». Прямо подтвердить утечку в СМИ решила каждая 11 компания. Еще 7% компаний подтвердили утечку, но с оговорками о том, что утечка старая, была вызвана сторонним сервисом или содержала некритичные данные. Полностью отрицали утечку 5%, а 2% не смотря на отрицательный ответ СМИ, передали информацию об инциденте в Роскомнадзор.
После инцидентов организации восстанавливают работу сервисов, проводят проверку всех систем безопасности, при необходимости сбрасывают все пароли в системе, меняют ключи от серверов и сервисов, которые могли быть скомпрометированы, расследуют утечку и отправляют данные в Роскомнадзор. Публично о проверке компаний Роскомнадзор заявлял 23 раза, из них как минимум 5 организаций не уведомили ведомство об инциденте. За свежие утечки в первом полугодии были оштрафованы 3 компании. Все штрафы не вышли за пределы 60 тыс. рублей – это самая нижняя планка, от которой начинается наказание за утечку ПДн.
«На ситуацию с утечками сильно повлиял мораторий на проверки предприятий и предпринимателей. Компании, в которых хранятся огромные массивы клиентских данных: сфера услуг, локальный ритейл, микрофинансовые организации – это малый и средний бизнес. До них «руки» Роскомнадзора и раньше не всегда доходили, а с учетом запрета, за эти полгода и вовсе не было полномочий проверять компании.
В вопросе количества штрафов и их суммы я согласна с мнением депутата Александра Хинштейна. Штрафов и не должно быть много, они не источник наполнения бюджета, а превентивная мера и мотивация для руководителя компании задуматься о защите данных. Уже известен размер оборотных штрафов, их верхний предел составит 500 млн рублей. Сумма значительная, но это не единственная выплата, которая может грозить компаниям. После масштабной утечки в «Яндекс.Еда» начала развиваться судебная практика – некоторые пользователи подают исковые заявления в суд. Таких прецендентов пока не много, так как размеры компенсаций невысокие, есть сложности с оценкой «доказательств из интернета», но эту тенденцию нельзя сбрасывать со счетов. Даже компенсация в размере 5000 рублей при утечке более 100 тыс. строк и оплата потенциального штрафа могут равняться сумме, которая вполне сопоставима с бюджетом на покупку защитных решений, а у кого-то и превышает его», – поделилась Ольга Минаева, GR-директор «СёрчИнформ».
Громких инцидентов с исковыми заявлениями против операторов персональных данных в первом полугодии 2023 не было – ни одна компания не получила иск от клиентов, чьи данные были скомпрометированы.
* Данные были собраны из открытых источников: СМИ и Телеграм-каналов (@dataleak, @data1eaks, @in4security, @intosecurity). «СёрчИнформ» не исключает, что некоторые клиентские базы могли содержать не полностью уникальные данные и быть скомпилированы из других баз.
Теги:
похожие материалы
Исследователи назвали ключевые тенденции кибератак и угроз на 2026 год
Аналитики компании Positive Technologies представили обзор основных тенденций в области киберугроз, которые, по их оценке, будут формировать ландшафт атак в 2026 году.
Новая волна автоматизированных атак взламывает конфигурации FortiGate через SSO-входы
Специалисты по кибербезопасности зафиксировали активную кампанию злоумышленников, нацеленную на устройства Fortinet FortiGate - популярные корпоративные фаерволы.
Новый вредонос для macOS совмещает кражу данных и атаки на криптокошельки
Специалисты по кибербезопасности выявили новую вредоносную кампанию, нацеленную на пользователей macOS, в рамках которой злоумышленники одновременно похищают пользовательские данные и атакуют приложения для работы с аппаратными криптокошельками.
40% российских компании автоматизируют бизнес-процессы с помощью ИИ
По данным исследования СберАналитики и Сбер Бизнес Софт в области автоматизации бизнес-процессов в российских компаниях итогам 2025 года, чаще всего в компаниях автоматизируют документооборот и обработку заявок (70%), бухгалтерию и финансовый учёт (55%), HR-процессы (34%), стратегическое планирование (34%) и поддержку клиентов (30%).
Каждую шестую уязвимость в приложениях знакомств назвали критической
Аналитики по кибербезопасности выявили серьёзную проблему с безопасностью популярных приложений для знакомств - примерно 17 % обнаруженных уязвимостей признаны критическими, что может привести к утечкам личных данных и компрометации аккаунтов пользователей.
Ограничения VPN в России выросли на фоне растущего спроса на обход блокировок
В России количество VPN-сервисов, заблокированных регуляторами, продолжает расти: к середине января 2026 года доступ к 439 сервисам обхода блокировок оказался ограничен, что на 70% больше, чем три месяца назад.
«Код Безопасности» и Компания «Актив» провели успешные тесты на совместимость ПАК «Соболь» c устройствами Рутокен
Компания «Актив», российский производитель и разработчик программно-аппаратных средств защиты информации, и российский разработчик средств защиты информации «Код Безопасности» подтвердили совместимость своих решений: USB-токенов и смарт-карт Рутокен ЭЦП 3.
Около 50 000 сайтов WordPress оказались под угрозой полного захвата из-за критической уязвимости плагина
Около 50 000 сайтов на базе WordPress остаются уязвимыми к полному захвату из-за критической ошибки в популярном плагине Advanced Custom Fields: Extended (ACF Extended).
На конкурсе Pwn2Own Automotive нашли десятки уязвимостей в системах Tesla
В Токио на первом дне конкурса по автомобильной безопасности Pwn2Own Automotive 2026 команда исследователей успешно продемонстрировала эксплуатацию 37 ранее неизвестных уязвимостей в различных автомобильных компонентах, включая систему развлекательной электроники Tesla.
Apple превратит Siri в полноценного ИИ чат-бота в новых версиях iOS и macOS
Apple готовит масштабное обновление голосового помощника Siri, которое должно превратить его в полноценного ИИ чат-бота, встроенного в экосистему iPhone, iPad и Mac.