В 2025 г. шесть компаний получили штрафы за утечки - в 2026 г. штрафов будет больше
Об этом сказано в исследовании InfoWatch (ГК "ИнфоВотч"). Кроме АО "РЖД" и АО "Почты России", которые получили штрафы по 150 тыс. руб. (ст. 13.11 КоАП РФ), штрафы по 75 тыс. руб. получили ООО "Изумруд" и ООО "Медквадрат", а по 60 тыс. руб. - коллекторская компания "Интер-Прайм" и микрофинансовая организация "К". Общая сумма шести штрафов составила 570 тыс. руб.
При этом, по информации InfoWatch, треть штрафов за утечки данных в мире назначены за случайные нарушения. Под случайными нарушениями авторы подразумевают, например, оставление базы данных на незащищенном сервере, некорректное использование функции "скрытая копия" в электронной почте, потерю носителя данных. В мире, по подсчетам InfoWatch, 58,2% штрафов за утечки было назначено из-за кибератаки; 33,2% - из-за внутренних случайных причин; 6,7% - из-за внутренних умышленных причин.
30 мая 2025 г. в России вступил в действие федеральный закон №420, который вводит оборотные штрафы за утечки информации. А с 1 сентября 2025 г. расширены полномочия органов контроля. Проверки теперь могут осуществлять не только Роскомнадзор, но и силовые ведомства, особенно в сферах, связанных с биометрией, идентификацией и обработкой чувствительных данных.
Авторы исследования InfoWatch сделали вывод, что в России по сравнению с миром немного назначенных за утечки ПДн наказаний (в ряде случаев нарушители отделались предупреждениями), а также невысокие размеры штрафов. Но это может измениться. "Даже точечное применение федерального закона №420 серьезно повлияет на операторов данных. Как бывает в судебной практике, прецедент может повлечь лавину наказаний за подобные нарушения", - сказано в выводах исследователей.
Хотя штрафов было вынесено всего шесть, Роскомнадзор (РКН) в 2025 г. зафиксировал 118 случаев компрометации баз персональных данных. При этом в сеть попали более 52 млн записей. По данным ведомства, это меньше, чем в 2024 г.: тогда РКН зафиксировал 135 утечек баз данных, свыше 710 млн записей.
Оштрафовать всего шесть компаний могли по нескольким причинам. Во-первых, закон о штрафах за утечки вступил в силу почти в середине года - 30 мая 2025 г. Утечки, произошедшие до этой даты, подпадали под старые правила, где штрафы были ниже, а некоторые составы нарушений не предусматривались.
Также многие организации скрывают факты утечки или вовремя не уведомляют о них РКН - компании хотят избежать репутационных потерь и штрафов. Кроме того, по словам ведущего консультанта по вопросам ИБ IT TASK (ООО "АйТи Таск") Алексея Романова, в статистику попадают только публичные утечки. В реальности же число продолжает расти, злоумышленники получают несанкционированный доступ к ПДн путем "пробива" через даркнет.
Также привлечение к ответственности за утечки - длительный и сложный процесс. "Это занимает значительное время и включает много действий: обнаружение утечки, расследование, подготовка и направление материалов в суд, судебное производство, - объяснила консультант по ИБ первой категории компании Innostage (ООО "Инностейдж") Карина Белова. - Также регулятор должен доказать вину оператора, в том, что утечка произошла из-за недостаточной защиты данных, что не хватило внутренних мер для защиты ПДн".
Кроме того, Алексей Романов указал на то, что организации могли избежать штрафов через досудебное урегулирование или использование послаблений. "Закон предусматривает возможность снижения штрафа при наличии смягчающих обстоятельств, таких как первое нарушение или принятие защитных мер по минимизации ущерба", - сказал эксперт.
При этом представители ИБ-компаний сошлись на мнении, что в 2026 г. штрафов за утечки будет больше. "Это произойдет не обязательно из-за большого количества утечек, а в силу накопления практики. Кроме того, будут приниматься решения по ранее выявленным эпизодам, особенно по мере того, как суды и регулятор начнут стабильно применять новые подходы к ответственности", - отметила заместитель руководителя департамента консалтинга и аудита ITProtect (АО "Инфозащита") Алена Лукашева. К тому же дела 2025 г. скорее всего еще находятся на стадии рассмотрения.
Опрошенные ComNews эксперты в основном положительно высказались по поводу закона об оборотных штрафах за утечки ПДн. ИБ-интегратор ITProtect уже заметил рост интереса к практическим мерам для снижения инцидентов и последствий, в том числе к внедрению DLP и мониторингу каналов утечек. Об этом ComNews сказала Алена Лукашева.
"Риск существенных штрафов заставляет компании более серьезно подходить к сбору ПДн, проводить аудит процессов хранения и защиты, закладывать бюджеты на ИБ и выстраивать взаимодействие с регулятором. Ключевая ценность закона не столько в наказаниях, сколько в том, что вопрос защиты данных рассматривается уже не только в рамках ИБ-департаментов, а находится в фокусе внимания руководителей. Если штрафы действительно высокие, эти вопросы поднимаются на уровень топ-менеджмента, и решения принимаются системно", - считает руководитель направления развития бизнеса в "Индид" (ООО "Индид") Игорь Тюкачев.
Ведущий инженер CorpSoft24 (АО "Корп Софт") Михаил Сергеев также считает, что закон об оборотных штрафах может стать эффективным. Но сам по себе он не решит проблему утечек полностью, так как треть инцидентов происходит из-за случайных ошибок сотрудников, а не от злого умысла.
"Без обучения персонала и нормальных процессов безопасности штрафы будут лишь наказывать за последствия. В качестве альтернативы или дополнения важно развивать аудит ИБ, обязательное уведомление об утечках и реальную персональную ответственность руководства", - считает Михаил Сергеев.
Бизнес-партнер по кибербезопасности Cloud.ru (ООО "Облачные технологии") Юлия Липатникова также заявила, что проблема случайных нарушений говорит о низкой культуре безопасности и том, что лишь финансовые санкции не решают проблему человеческого фактора.
В дополнение к закону, по ее мнению, нужно предписание регулятора не только уплатить штраф, но и внедрить конкретные меры защиты, провести аудит и обучить сотрудников. Также Юлия Липатникова считает, что нужно официально публиковать информацию об инцидентах для повышения прозрачности и создания репутационных стимулов.
В декабре 2025 г. ComNews сообщал, что каждая восьмая российская компания, обвиняемая в утечке персональных данных, не получала штраф за нее. По словам юристов, это доказывает, что если организация готова к последствиям утечки с точки зрения комплаенса, то штрафа можно избежать.
