Утечки данных в российских организациях: фишинг, вирусы и ошибки сотрудников остаются главными причинами инцидентов

Сегодня в 07:38

© Сгенерировано ИИ

Компания «Астерит» представила независимое исследование «Утечки в организациях РФ в 2025 году: структура реальных инцидентов, восприятие угроз и эффективность защитных мер». В опросе приняли участие 1000 представителей российских организаций: ИТ- и ИБ-руководители, специалисты ИТ/ИБ, топ-менеджеры и представители компаний из разных отраслей экономики.

Опрос проводился с февраля по декабрь 2025 года в пяти федеральных округах России: Сибирском, Уральском, Приволжском, Северо-Западном и Центральном. В исследовании рассмотрены реальные киберинциденты, отношение компаний к угрозе утечек, наиболее распространенные каналы вывода данных, практики расследования инцидентов, используемые средства защиты и ожидания рынка от применения искусственного интеллекта в ИБ.

По данным исследования, для большинства российских организаций утечка данных уже стала серьезной угрозой, а не рядовой технической проблемой. 64% респондентов считают, что такая ситуация будет для компании «критичной, но не смертельной». Еще 11% называют утечку фатальной, то есть способной поставить под угрозу существование бизнеса. Только 3% полагают, что утечку «почти никто не заметит», и лишь 1% ответили, что в их организации «нечего красть».

Такая оценка показывает, что тема защиты данных постепенно переходит из технической плоскости в управленческую. Утечка может означать не только потерю файлов или клиентской базы, но и репутационный ущерб, юридические последствия, регуляторные риски, остановку процессов и снижение доверия со стороны клиентов, партнеров и государства.

С чем чаще всего сталкиваются компании

Наиболее распространенными инцидентами в российских организациях остаются атаки вредоносных программ, фишинг и ошибки персонала. О заражениях вредоносным ПО сообщили 51% респондентов. С фишингом сталкивались 49% участников опроса. Ошибки сотрудников отметили 45%.

Также 31% респондентов сообщили о случаях социальной инженерии, когда злоумышленники обманывают сотрудников, клиентов или партнеров, чтобы получить доступ к данным или деньгам. DDoS-атаки отметили 25% участников исследования.

Менее часто респонденты называли целевые атаки, инсайдерские действия, XSS/SQL-инъекции, брутфорс и кражу носителей информации. Однако это не означает, что такие сценарии неопасны. Скорее, они либо происходят реже, либо хуже фиксируются в организациях без развитого мониторинга и формального расследования инцидентов.

Полученные данные подтверждают: значительная часть инцидентов по-прежнему связана с повседневной работой сотрудников. Пользователь может открыть зараженный файл, перейти по ссылке из фишингового письма, ошибиться при отправке документа, использовать небезопасный канал передачи информации или нарушить внутренний регламент.

Человеческий фактор остается главным источником риска

Респонденты считают наиболее опасными именно те атаки, которые используют человеческий фактор. На первом месте социальная инженерия — 48%. На втором фишинг — 47%. На третьем ошибки персонала — 43%.

Такое распределение показывает, что специалисты ИТ и ИБ хорошо понимают реальную природу многих инцидентов. Даже если в компании установлены технические средства защиты, сотрудник все равно может стать точкой входа для злоумышленника.

Социальная инженерия сегодня не ограничивается простыми звонками или массовыми рассылками. Злоумышленники могут использовать информацию из открытых источников, подделывать деловую переписку, обращаться от имени руководителя, партнера, заказчика или службы поддержки. Фишинг также становится более точным: письма и сообщения всё чаще имитируют реальные рабочие процессы и привычные сценарии коммуникации.

Ошибки персонала — отдельная проблема. Они могут быть связаны не только с невнимательностью, но и с перегрузкой сотрудников, сложными регламентами, отсутствием понятной классификации данных, неправильной настройкой прав доступа или слабым контролем каналов передачи информации.

Через какие каналы чаще всего утекают данные

По мнению участников исследования, наиболее распространенным каналом утечки конфиденциальной информации остается электронная почта. Ее назвали 54% респондентов. Почти столько же, 52%, указали интернет-каналы.

Далее идут конечные устройства сотрудников — ПК и ноутбуки. Их отметили 37% участников опроса. Смартфоны назвали 36%, съемные носители — 33%.

Бумажные документы считают значимым каналом утечки 17% респондентов, фото- и видеоустройства — 14%, носители резервного копирования — 5%.

Эти данные хорошо показывают, что утечки чаще всего происходят не через один конкретный «опасный» канал, а через обычную рабочую среду. Данные передаются по почте, загружаются в интернет-сервисы, хранятся на рабочих станциях, открываются на мобильных устройствах, копируются на флешки и пересылаются между сотрудниками.

Поэтому защита от утечек не может ограничиваться только периметром сети. Компании приходится контролировать почту, веб-каналы, конечные устройства, мобильный контур, съемные носители, права доступа и действия пользователей.

Инциденты расследуют, но не всегда успешно

Большинство организаций проводят расследование после выявленного киберинцидента. Об этом сообщили 77% респондентов. 20% признали, что инцидент не расследовали, еще 3% указали, что расследование продолжается.

При этом не каждое расследование дает полную картину. Только в 50% случаев удалось установить и способ атаки, и виновника. В 39% случаев специалисты поняли, как произошла атака, но не смогли определить, кто за ней стоял. В 11% случаев расследование не дало результата.

Это важный показатель зрелости ИБ-процессов. Сам факт расследования еще не означает, что организация получила достаточно данных для предотвращения повторного инцидента. Если компания не понимает точку входа, цепочку действий атакующего и слабое место в процессах, риск повторения остается высоким.

Причины могут быть разными: недостаточное логирование, отсутствие централизованного мониторинга, нехватка специалистов, слабая корреляция событий, позднее обнаружение атаки или отсутствие практики полноценного пост-инцидентного анализа.

Какие меры защиты используют организации

Российские организации стараются снижать риски утечек, но чаще всего используют базовые меры. 79% респондентов назвали организационные меры: регламенты, инструкции и правила работы с данными. 74% используют шифрование каналов или данных.

Усиленную аутентификацию, IDM и PKI применяют 46% участников исследования. Столько же используют средства защиты от несанкционированного доступа.

NGFW задействуют 38% респондентов, DLP-системы — 32%, SIEM — 25%. WAF применяют 22%, PAM — 21%, EDR/XDR — 13%, MDM — 6%.

Такая структура показывает, что многие компании уже закрывают базовые требования, но специализированные инструменты защиты данных и мониторинга пока распространены неравномерно. Особенно заметен разрыв между распространенностью мобильных устройств как канала утечки и низким уровнем применения MDM. Смартфоны называют значимым каналом 36% респондентов, а решения для управления мобильными устройствами используют только 6%.

Похожая ситуация видна и по расследованиям. Если только в половине случаев удается установить и способ атаки, и виновника, значит, организациям потребуется развивать мониторинг, накопление событий, аналитику и практики реагирования.

Что компании планируют внедрять

В горизонте ближайших одного-двух лет компании планируют развивать как организационные, так и технические меры защиты. На первом месте снова находятся организационные меры — их назвали 36% респондентов. Это означает, что компании продолжают пересматривать регламенты, политики доступа, инструкции, модели угроз и правила обработки данных.

На втором месте SIEM-системы — 33%. Это показывает рост интереса к централизованному мониторингу событий ИБ и повышению качества реагирования на инциденты.

NGFW и DLP планируют внедрять или развивать по 24% участников опроса. PAM-решения входят в планы 22% респондентов. EDR/XDR — 18%. Аутентификацию, IDM и PKI, а также средства защиты от НСД отметили по 16%. Шифрование и VPN — 15%, WAF — 11%, MDM — 9%.

Эти планы говорят о постепенном переходе от отдельных защитных мер к более комплексной архитектуре. Компании понимают, что защита от утечек требует не только регламентов и шифрования, но и мониторинга, управления привилегированным доступом, контроля конечных точек, анализа событий и защиты каналов передачи данных.

Бюджеты остаются недостаточными для большинства

Только 31% респондентов считают текущий ИТ/ИБ-бюджет достаточным для минимизации рисков утечек конфиденциальных данных. Остальные говорят о необходимости увеличения финансирования.

21% считают, что бюджет нужно увеличить до 20%. Еще 21% говорят о росте на 21–50%. 14% считают необходимым увеличение на 51–100%. 13% говорят о потребности в росте более чем на 100%.

В сумме 69% участников исследования указывают на необходимость увеличить финансирование в той или иной степени. Это означает, что большая часть организаций видит разрыв между текущим уровнем угроз и доступными ресурсами.

Защита от утечек требует не только покупки средств ИБ. Нужны внедрение, настройка, интеграция с существующей инфраструктурой, обучение сотрудников, сопровождение, расследование инцидентов и постоянный контроль. Всё это требует бюджета и специалистов.

Что мешает построить эффективную защиту

Главным барьером при построении защиты от утечек респонденты назвали нехватку кадров. Этот фактор отметили 52% участников исследования. На втором месте нехватка ИТ/ИБ-бюджетов — 50%. На третьем нехватка компетенций — 33%.

Также 27% указали на непонимание рисков со стороны топ-менеджмента, 24% — на административные барьеры, 23% — на нехватку технических мощностей. Бюджет, сосредоточенный в головной организации, назвали 15%. Неумение обосновать проекты руководству отметили 5%, законодательные ограничения — 3%.

Эти данные показывают, что проблема защиты от утечек не сводится к отсутствию конкретного продукта. Компаниям не хватает людей, компетенций, финансирования и организационной скорости. Даже если средство защиты закуплено, его нужно правильно настроить, встроить в процессы и обеспечить постоянную эксплуатацию.

Отдельная проблема — коммуникация с руководством. Если топ-менеджмент не понимает последствия утечек, ИБ-проекты остаются в конкуренции с другими расходами и часто откладываются. При этом исследование показывает, что сами организации уже считают утечки серьезной угрозой. Значит, задача ИБ-служб — переводить технические риски на язык бизнеса: простой, ущерб, штрафы, репутация, потеря клиентов и снижение доверия.

Законодательное давление не воспринимается как самостоятельное решение

Мнения респондентов о влиянии ужесточения ответственности за утечки разделились почти поровну. 43% считают, что при усилении законодательного давления количество утечек безусловно сократится. 45% полагают, что это не повлияет на количество инцидентов. 12% ожидают, что число утечек продолжит расти.

Такая картина говорит о том, что рынок не считает законодательные меры достаточными сами по себе. Ответственность может повысить дисциплину, усилить внимание руководства и ускорить внедрение защитных мер. Но она не заменяет технологий, процессов, обучения сотрудников и контроля доступа.

Специалисты видят, что причины утечек часто находятся внутри самой организации: в ошибках сотрудников, недостаточном контроле каналов, слабом мониторинге, нехватке кадров и технических ограничениях. Поэтому снижение числа инцидентов возможно только при сочетании регуляторного давления с реальным развитием ИБ-процессов.

ИИ рассматривают как помощника специалиста

Отдельно исследование рассматривает отношение к искусственному интеллекту в кибербезопасности. Большинство респондентов не верят, что ИИ сможет полностью заменить специалистов в ближайшее время.

69% считают, что в ближайшие три года наиболее эффективной будет совместная работа искусственного интеллекта и специалиста по информационной безопасности. Только 4% допускают полную замену офицера безопасности ИИ в этот срок.

Это показывает сдержанный и практичный подход рынка. ИИ может помогать в анализе событий, поиске аномалий, обработке больших массивов данных, снижении нагрузки на аналитиков и ускорении реакции на инциденты. Но принятие решений, оценка контекста, расследование сложных случаев и выбор мер реагирования пока остаются за человеком.

Для заказчиков важны не громкие заявления о наличии ИИ, а измеримый результат: сокращение времени анализа, снижение числа ложных срабатываний, более точная приоритизация событий и понятная интеграция в существующие процессы ИБ.

Итоги исследования

Исследование «Астерит» показывает, что российские организации уже воспринимают утечки данных как серьезный риск, но уровень защиты пока остается неоднородным. Наиболее распространенные инциденты связаны с вредоносным ПО, фишингом и ошибками персонала. Самыми опасными респонденты считают социальную инженерию, фишинг и человеческий фактор.

Почта, интернет-каналы, рабочие устройства, смартфоны и съемные носители остаются основными направлениями контроля. Большинство организаций расследуют инциденты, но только половина расследований позволяет установить и способ атаки, и виновника. В защите доминируют организационные меры и шифрование, тогда как DLP, SIEM, PAM, EDR/XDR и MDM внедрены не во всех компаниях.

Основные ограничения — нехватка кадров, бюджетов и компетенций. Поэтому дальнейшее снижение числа утечек будет зависеть не только от новых технологий, но и от того, насколько компании смогут выстроить процессы, повысить зрелость расследований, усилить контроль каналов передачи данных и донести риски до руководства.

Источник: исследование компании «Астерит» «Утечки в организациях РФ в 2025 году: структура реальных инцидентов, восприятие угроз и эффективность защитных мер».

Читайте также: Обзор кибератак и уязвимостей за май 2026