Вчера я выступила с очередной лекцией в рамках «Киберкурса» — практического курса по кибербезопасности для руководителей и специалистов финансовых организаций, которое проводит Банк России. Тема выступления — «Утечки конфиденциальной информации из финансовой и банковской среды». В своем выступлении я опиралась на данные и статистику, которые готовит экспертно-аналитический центр (ЭАЦ) InfoWatch.
Группа компаний InfoWatch собирает статистику по утечкам данных с 2007 года. Компания фиксирует и анализирует все публичные инциденты по всему миру, включая Россию. Инциденты классифицируются по источникам, причинам, типам утекших данных, каналам утечки и другим параметрам. В статистику попадают только те случаи, которые стали достоянием общественности.
Ситуация с утечками данных в финансовой сфере
Основными источниками утечек в финансовой среде являются банки и страховые компании. Динамика за последние годы показывает относительную стабильность: доли этих двух секторов незначительно колеблются, но остаются преобладающими. При этом в России доля утечек именно из банков почти вдвое превышает аналогичный показатель по страховым компаниям, тогда как в мире эти сектора находятся примерно на одном уровне.
Что касается типов утекающих данных, то здесь ситуация в России и в мире схожа. Статистика за 2023 год демонстрирует то, что значительную часть составляют персональные данные. Однако в последнее время аналитики InfoWatch изменили подход к учету: если раньше один инцидент, в котором утекло несколько типов данных (например, персональные данные и платежная информация), учитывался в нескольких категориях, то теперь такие случаи выделяются в отдельную категорию — множественные утечки. Это позволяет получить более четкую картину. Так, в 2023 году в России 5% инцидентов были множественными, а в мире — 2,5%. Тревожной тенденцией стало то, что в 2024 году доля множественных утечек в мире возросла почти до 14%. Это свидетельствует об увеличении числа сложных злонамеренных атак, поскольку случайным образом несколько типов данных одновременно утечь практически не могут. В России этот показатель также вырос до 7,5%.
Причины утечек данных
Абсолютное большинство утечек данных в последние годы носят умышленный характер. Если в 2023 году в России и в мире на долю неумышленных инцидентов приходился примерно 1%, то по данным за 2024 год в России таких случаев не зафиксировано вовсе. Это говорит о том, что абсолютное большинство утечек — это целенаправленное хищение информации злоумышленниками.
Такое хищение имеет, как правило, злонамеренный характер. Под злонамеренностью утечки понимается любое целенаправленное действие по хищению информации, отличное от случайной ошибки сотрудника. За последние годы соотношение утечек данных сместилось с 60% случайных и 40% злонамеренных утечек до 99% злонамеренных.
Важным трендом являются усиление атак не на сами банки, которые усилили защиту, а на их цепочки поставок — на гораздо менее защищенных партнеров и вендоров. Ответственность перед клиентом в любом случае несет банк, поэтому ему необходимо устанавливать высокие стандарты безопасности для своих контрагентов и ограничивать их доступ к своей ИТ-инфраструктуре.
Предварительные данные за 9 месяцев 2025 года лишь подтверждают актуальность проблемы: в России утекло 3,6 миллиона записей персональных данных, а в мире — 3 миллиарда, что сравнимо с данными всего прошлого года. При этом структура типов утекающих данных претерпела изменения: доля персональных данных снизилась, а вот доля смешанных утечек радикально выросла — как в России, так и в мире она приблизилась к 24%. Это указывает на тренд комплексных атак, когда злоумышленники, получив доступ к системе, выгружают все доступные данные единовременно. Такой сценарий говорит о наличии незакрытых уязвимостей и о том, что финансовые организации пока не в полной мере научились противостоять таким скоординированным вторжениям.
Примеры утечек данных в финансовой среде
Для наглядности можно привести несколько примеров. Так, в 2025 году в Австралии злоумышленники выложили в сеть данные клиентов сразу четырех крупных банков одновременно. Такой подход — атака на несколько организаций с последующей одновременной публикацией данных — преследует цель создания максимального медийного резонанса и демонстрации силы, что стало заметным трендом в киберпреступности.
Другой пример из России — утечка банковской тайны, по которой было возбуждено уголовное дело за неправомерное воздействие на критическую информационную инфраструктуру (КИИ), к которой по действующему законодательству относятся и банки.
Украденные данные не всегда публикуются открыто. Зачастую злоумышленники используют их самостоятельно. Для публикации обычно используется даркнет (dark web) — либо с целью перепродажи, либо для демонстрации «успеха».
Утечки и мошенничество
Утечки данных в финансовой среде напрямую связаны с мошенничеством. Именно украденные данные являются основой для краж денежных средств у россиян, например, через телефонное мошенничество. Схемы обмана постоянно эволюционируют. Например, популярная схема — «служба доставки», где мошенники, представляясь курьерами, заставляют жертву взаимодействовать с фишинговым Telegram-ботом. Также активизировались схемы, связанные с налоговыми декларациями, хищением через NFC-платежи, дипфейками (когда злоумышленники используют поддельные видео- или аудиозаписи знакомых для вымогательства денег, в том числе, в Telegram), а также мошенничество под видом «старших по дому» или установщиков домофонов.
Статистика МВД только за одну неделю сентября 2025 показывает, что наибольшее число мошенничеств совершается через продажу несуществующих товаров и услуг, в то время как доля фишинга снизилась, что может говорить о повышении бдительности людей. Стандартная схема мошенников включает несколько этапов: сбор данных о жертве, сегментацию целевых групп, подготовку индивидуального сценария обмана, выход на связь через call-центры и, в случае успеха, вывод средств. Общие суммы ущерба исчисляются сотнями миллиардов рублей ежегодно.
Защита компаний финансовой сферы от утечек
Компаниям из финансовой сферы необходимо внедрять комплекс технических средств. Однако использование большого количества разрозненных систем защиты может создавать сложности в управлении и анализе информации. Поэтому критически важной становится их интеграция в единую платформу, например, через Security Operations Center (SOC) или системы управления информационной безопасностью. Это позволяет создать единую точку контроля и повысить эффективность обнаружения и реагирования на инциденты.
Сам процесс защиты должен начинаться с построения модели угроз, выбора и пилотного внедрения технических средств, разработки внутренних регламентов и решения сопутствующих юридических вопросов.
Очень важно внедрение безопасных практик разработки ПО (DevSecOps). Однако в отечественной финансовой сфере этот подход сталкивается с трудностями из-за значительного удорожания, поэтому этот процесс идет постепенно.
Выводы
Изучив ситуацию с утечками данных в финансовой среде, можно сделать вывод, что после резкого роста утечек в 2022 году в России банки предприняли значительные усилия по усилению защиты. Это привело к снижению количества инцидентов в 2023-2024 годах. В мире же рост продолжился, хотя и с некоторым замедлением. Это доказывает, что меры защиты работают, но проблему пока не удается решить полностью.
Второй вывод — случайные утечки практически сошли на нет, уступив место целенаправленному хищению.
И третий вывод — злоумышленники все чаще придают своим атакам медийный эффект, чтобы сеять панику и оказывать давление на организации и их клиентов.
Проблема утечек конфиденциальной информации в финансовой сфере остается острой. Несмотря на принимаемые меры, злоумышленники постоянно совершенствуют свои методы, делая ставку на комплексные атаки, медийный эффект и эксплуатацию человеческого фактора. Эффективная защита требует от компаний комплексного, интегрированного подхода, постоянного мониторинга угроз и повышения осведомленности как сотрудников, так и клиентов.