За три года в России утекло 4,5 млрд записей персональных данных

В результате утечек данных мировая индустрия лишилась более чем 100 млрд записей персональных данных за три года, из них 4,5 млрд было скомпрометировано в России. Такую статистику приводит экспертно-аналитический центр ГК InfoWatch в исследовании "Утечки информации ограниченного доступа. Мир, 2023-2025 годы". Одновременно с этим существенно выросла доля утечек коммерческой тайны - этот тип данных был обнаружен более чем в трети инцидентов.

Персональные данные по-прежнему остаются самым популярным типом данных, которые обнаруживаются в утекших базах - на них приходится около 74% утечек информации, указывают аналитики ЭАЦ InfoWatch. Всего с 2023 по 2025 годы в мире было украдено и потеряно более 100 млрд записей ПДн, из них около 4,5 млрд в России. Интересно, что по итогам 2025 г. на одну утечку персональных данных в мире пришлось около 5,44 млн записей. Этот показатель вновь вырос, хотя в 2024 г. он снижался. В то же время в России количество записей на одну утечку стабильно растет несколько лет: в 2025 г. утекало в среднем 3,27 млн записей за один инцидент, что на 25,8% больше, чем в 2024 г. и на 44% больше, чем в 2023 г.

"В США и ряде других стран обширные структурированные хранилища данных и агрегаторы Big Data стали формироваться раньше, чем в России, поэтому крупные утечки данных там случаются уже давно. По мере изменения ландшафта киберугроз, насыщения подпольного рынка данных универсальными идентификаторами персональных данных, корректировки тактики хакеров и в силу некоторых других факторов происходят колебания среднего количества утекших данных на один инцидент. В России лишь в последние несколько лет стали стабильно отмечаться утечки огромного количества персональных данных. Несмотря на снижение количества скомпрометированных крупных баз, в которых собрано от 1 млн записей, среднее количество утекающих персональных данных в России стало больше за счет роста утечек информации из сверхкрупных баз, насчитывающих десятки и сотни миллионов записей. Хотя утечки огромных баз не носят регулярного характера, компрометация даже одного подобного хранилища, как правило, серьезно влияет на общую статистику", – объясняет руководитель направления аналитики и спецпроектов ЭАЦ InfoWatch Андрей Арсентьев.

Всего ЭАЦ InfoWatch за 2025 г. зарегистрировал 5985 утечек информации ограниченного доступа из коммерческих компаний, органов власти и государственных организаций по всему миру. Это на 39,6% меньше, чем в 2024 г. и на 51,8% меньше, чем в 2023 г., который пока является рекордным за всю историю ведения реестров ЭАЦ. Причины такого снижение схожи с теми, которые ЭАЦ InfoWatch отмечал в отчете по утечкам данных в России: активная работа правоохранительных органов и переход теневого рынка данных от относительно массовых форумов по продаже данных к полностью закрытым площадкам, культивирующим целевые сделки и индивидуальное обслуживание.

"Многие ресурсы стали более изолированными, со строгой фильтрацией для входа. При этом заинтересованный покупатель не просто видит витрину данных, как раньше, а получает комплексный сервис. Ряд площадок в дарквебе работают как полноценные организации: с отделами маркетинга и выделенными менеджерами, удобными способами оплаты и даже постпродажным обслуживанием", - говорит руководитель направления аналитики и спецпроектов ЭАЦ InfoWatch Андрей Арсентьев.

В 2025 г. несколько снизилась доля инцидентов, к которым привели умышленные действия внутренних нарушителей - с 2,6% от общего числа инцидентов в мире до 1,6%. На фоне общего снижения количества зарегистрированных утечек информации это является весьма позитивным фактором: судя по всему, организации в целом довольно серьезно относятся к противодействию охотникам за корпоративными данными со стороны персонала, совершенствуя системы защиты и проводя организационные мероприятия, говорится в отчете.

В то же время стало утекать больше данных в результате нарушений случайного характера. Доля персональных данных, скомпрометированных в ходе непреднамеренных инцидентов, выросла в несколько раз - с 3% до почти 10%. "Речь прежде всего идет о некорректном использовании облачных хранилищ и порталов для совместной работы (AWS, Mongo DB, GitHub и т.д.), когда менеджеры проектов, системные администраторы и другие категории сотрудников оставляют ПДн и прочие конфиденциальные данные в открытом доступе. Добычей злоумышленников могут стать проектные данные, исходный код, чертежи, финансовая информация, массивы персональных данных", - отмечает Андрей Арсентьев.

В распределении утечек данных в мире по отраслям за 2025 г. произошло несколько важных изменений. Во-первых, снизились доли утечек в таких важных отраслях, как банки и финансы, государственные учреждения, ИТ- и ИБ. Наибольшее количество утечек данных в прошлом году зарегистрировано в промышленности и торговле. И если ритейл регулярно попадает в топ отраслей по утечкам, то промышленность оказывается в нем нечасто.

"Индустриальные компании как носители ценных ноу-хау стали стратегически важными объектами для многих государств, а потеря конфиденциальной информации даже небольшой компанией из этой отрасли может нести серьезные последствия для всей экономики", - указывает Андрей Арсентьев.

Такие изменения стали одной из причин заметного роста доли утечек коммерческой тайны – в прошлом году этот тип данных обнаружился в каждом третьем инциденте (32,3%), говорится в отчете.