Согласно исследованию АО "ИнфоВотч" (ГК "ИнфоВотч") "Россия: утечки информации ограниченного доступа, 2023-2025 гг.", общее количество инцидентов утечек персональных данных в 2025 г. снизилось на 17,8% по сравнению с 2024 г. и составило 739. Количество скомпрометированных записей также снизилось на 21,6% и составило 1,343 млн против 1,714 млн в 2024 г.

"Важно отметить, что в последнее время проявилась тенденция к сокращению количества инцидентов, связанных с утечками данных, в которых известно количество скомпрометированных записей. Так, в 2025 г. только 37% ставших известными фактов об утечках содержат количество скомпрометированных записей, то есть почти в двух третях случаев количество записей остается неизвестным. В первую очередь это относится к объявлениям, извлеченным из архивов закрытых Telegram-каналов и форумов", - говорится в исследовании компании.

Однако исследователи компании отметили резкий рост (+30%) количества инцидентов с неизвестными типами утекших данных. Главная причина, по мнению исследователей InfoWatch заключается в повышении конспирации злоумышленников, все больше сообщений о продаже персональных данных из закрытых хакерских сообществ не содержат деталей. В качестве примера авторы исследования привели утечку на 500 млн записей 2024 г., зафиксированную в 2024 г. и по которой до сих пор нет информации.

"Объем потенциально доступных данных и их ценность не зависит напрямую от размеров предприятия, численности сотрудников, выручки, площади цехов и так далее. Например, при атаке на цепочку поставок малая компания может стать точкой входа в информационные системы глобальной корпорации. С одной стороны, в такой ситуации конкретные учетные данные малой компании не имеют высокой цены или огромного объема, но они становятся ключом к большому массиву данных крупной компании, которые имеют куда большую ценность", - рассказал руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.

Снижение утечек подтвердил директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, (ГК "Солар") Александр Вураско, однако он сделал оговорку, что снижение не значит уменьшение количества атак. По его словам, самые "лучшие" утечки либо не выкладывают на суд широкой публики, либо выкладывают через год-два-три. К тому моменту она теряет актуальность для серьезных группировок и уже отработана.

По словам руководителя по развитию бизнеса по защите данных АО "Позитив Текнолоджис" (Positive Technologies) Виктора Рыжкова, данные InfoWatch совпадают с рыночными трендами. Но он согласился, что снижение числа инцидентов нельзя назвать однозначной победой информационной безопасности.

"С одной стороны, в отчете указано снижение количества зарегистрированных утечек на 17,8%, и авторы сами признают, что в 63% случаев объем похищенных данных неизвестен, а доля инцидентов с неопределенным типом данных выросла почти до 30%. С другой стороны, и сами компании зачастую не спешат рассказывать о фактах утечек - особенно после появления закона об оборотных штрафах, по которому у компаний по-прежнему мало понимания, и они заняли скорее выжидательную позицию", - заметил он.

Виктор Рыжков рассказал, что атаки злоумышленников становятся все более целевыми и тихими. Хакеры предпочитают монетизировать базы через шантаж и точечную продажу, а не выкладывать их в открытый доступ. Он добавил, что снижение количества публичных случаев - результат того, что хактивизм 2022-2024 гг. сменился профессиональным кибершпионажем и коммерческим вымогательством.

"Причинами снижения количества утечек информации может быть как усиление требований к системам защиты информации и контроля за их реализацией, прежде всего в критической информационной инфраструктуре, так и изменение обстановки в так называемом "теневом сегменте". Несмотря на активную деятельность хактивистов, выкладывающих данные в открытые форумы и чаты, основными источниками сообщений об утечках информации для исследователей уже несколько лет остаются площадки по продаже данных в Дарквебе, а также закрытые каналы в мессенджерах", - гласит текст исследования.

При этом его авторы отметили, что правоохранительные органы закрыли многие из ресурсов злоумышленников, а создание и запуск новых форумов и групп требует времени. По словам Михаила Смирнова, не последнюю роль сыграли аресты крупных представителей международной киберпреступности. Он отметил, что действия правоохранительных органов вынуждают злоумышленников быть осмотрительнее: риск получить наказание становится все более реальным даже для опытных участников теневого рынка.

"По мере насыщения рынка незаконно полученных данных многие хакеры делают акцент на точечном похищении информации для обогащения и корректировки существующих баз данных. Помимо этого, правительства различных стран создают юридические и технические барьеры для доступа к площадкам с утекшими данными, вследствие чего возникают ограничения и для исследователей", - говорится в исследовании.

Виктор Рыжков, со ссылкой на исследование Positive Technologies, "Инфраструктура доверия: эволюция защиты теневых форумов и их экономика", рассказал, что в минувшем году черный рынок персональных данных перестал быть барахолкой с базами данных и превратился в высокотехнологическую экосистему с жестким внутренним комплаенсом. По его словам, среди злоумышленников произошел качественный скачок в защите сделок. На хакерских форумах распространены эскроу-сервисы, сложные системы репутации и арбитражи, как следствие случайных сливов и фейковых баз персональных данных стало меньше, а ценность проверенных данных возросла. Продавцы дорожат аккаунтами на форумах, чья цена может достигать тысяч долларов. Также он отметил, что злоумышленники перешли от "распродаж" к целевой монетизации.

"Как верно отмечено в отчете InfoWatch, в 63% случаев объем утечки неизвестен. Это подтверждает наш тренд: злоумышленники уходят от публичных публикаций гигантских дампов к модели "приватных продаж" проверенным покупателям. База данных теперь часто не выставляется на витрину, а предлагается конкретным проверенным покупателям. Вместо продажи самих ПД предлагают аутентификационные данные к корпоративным системам, где эти данные хранятся. Продавцу выгоднее продать, а покупателю проще купить легитимную учетную запись администратора, чтобы самостоятельно выкачивать актуальные данные в течение долгого времени, чем покупать разовую статичную выгрузку данных (дамп)", - рассказал Виктор Рыжков.

Однако по словам Александра Вураско, черный рынок персональных данных существенно не изменился. Он разделил инциденты на известные широкой публике и обсуждаемые только в "узком кругу". Такая же ситуация складывается и с базами утечек: одни хакеры выкладывают базы утечек в общий доступ, другие - продают всем желающим, третьи - лишь проверенным пользователям в одни руки, а есть и те, которые сразу попадают в руки зарубежных спецслужб, минуя ненужную в таких случаях огласку.