Можно ли экономить на цифровой безопасности в 2026 году?
Чем оборачивается «пока обойдёмся» — в цифрах и последствиях
Каждый раз, когда в компании урезают бюджет на безопасность, кто-то произносит фразу: «ну у нас же ничего не случалось». Это самый дорогой аргумент в корпоративной практике. Дорогой — потому что платить по нему приходится не сразу, а внезапно и сразу много.
В 2026 году этот разговор стал ещё менее удобным. Цифры за прошлый год вышли, и они не утешительные
В 2026 году этот разговор стал ещё менее удобным. Цифры за прошлый год вышли, и они не утешительные
767 миллионов строк. Это не опечатка
В 2025 году аналитики F6 зафиксировали 250 публичных утечек баз данных российских компаний. Звучит даже лучше, чем в 2024-м — тогда было 455. Прогресс, казалось бы.
Но объём украденных данных вырос в полтора раза и достиг 767 миллионов строк. Из них 156 миллионов — это пароли. Не абстрактные «данные», а конкретные связки логин-пароль от корпоративных систем, личных кабинетов, почты, CRM.
И вот что важно понять про механику этих утечек: большинство из них публиковались в открытом доступе бесплатно. Не для продажи. Для максимального ущерба. Злоумышленники давно поняли, что репутационный удар по компании ценнее разового выкупа — особенно когда российские компании в большинстве своём отказываются платить.
Параллельно число кибератак на бизнес выросло на 42% — до 22 тысяч инцидентов за год. 47% из них оказались успешными. Каждая четвёртая атака привела к серьёзным последствиям. Средний выкуп за расшифровку данных — от 4 до 40 миллионов рублей.
Это не страшилки из пресс-релизов. Это операционная реальность 2025 года.
Но объём украденных данных вырос в полтора раза и достиг 767 миллионов строк. Из них 156 миллионов — это пароли. Не абстрактные «данные», а конкретные связки логин-пароль от корпоративных систем, личных кабинетов, почты, CRM.
И вот что важно понять про механику этих утечек: большинство из них публиковались в открытом доступе бесплатно. Не для продажи. Для максимального ущерба. Злоумышленники давно поняли, что репутационный удар по компании ценнее разового выкупа — особенно когда российские компании в большинстве своём отказываются платить.
Параллельно число кибератак на бизнес выросло на 42% — до 22 тысяч инцидентов за год. 47% из них оказались успешными. Каждая четвёртая атака привела к серьёзным последствиям. Средний выкуп за расшифровку данных — от 4 до 40 миллионов рублей.
Это не страшилки из пресс-релизов. Это операционная реальность 2025 года.
Государство тоже сделало выводы
С 30 мая 2025 года в России действуют новые штрафы за утечки персональных данных — и они принципиально другие по масштабу.
Раньше компания, допустившая утечку, могла отделаться штрафом в 60–100 тысяч рублей. Теперь первичный инцидент обходится от 3 до 15 миллионов — в зависимости от количества затронутых записей. А за повторную утечку введены оборотные штрафы: от 1 до 3% годовой выручки, минимум 20 миллионов, максимум 500 миллионов рублей.
Дополнительно с декабря 2024 года действует новая статья УК РФ 272.1 — уголовная ответственность за незаконное распространение персональных данных, повлёкшее тяжкие последствия.
Государство посчитало, что мягкие штрафы не работают. И судя по цифрам утечек — было право.
Раньше компания, допустившая утечку, могла отделаться штрафом в 60–100 тысяч рублей. Теперь первичный инцидент обходится от 3 до 15 миллионов — в зависимости от количества затронутых записей. А за повторную утечку введены оборотные штрафы: от 1 до 3% годовой выручки, минимум 20 миллионов, максимум 500 миллионов рублей.
Дополнительно с декабря 2024 года действует новая статья УК РФ 272.1 — уголовная ответственность за незаконное распространение персональных данных, повлёкшее тяжкие последствия.
Государство посчитало, что мягкие штрафы не работают. И судя по цифрам утечек — было право.
Три вещи, которые компании говорят себе перед инцидентом
«Мы небольшие, мы никому не интересны»
Это было актуально лет десять назад, когда атаки требовали ресурсов и целеполагания. Сегодня атаки автоматизированы, а небольшие компании интересны именно потому, что защищены хуже. Через них заходят к крупным подрядчикам и клиентам. В 2025 году ритейл занял второе место по количеству утечек — 37% всех инцидентов. Малый бизнес давно в прицеле.
«У нас пароли есть — и ладно»
156 миллионов строк с паролями утекло в 2025 году. Пароль в Excel, в Telegram-чате команды или в голове одного сисадмина — это не система безопасности. Это точка отказа, о которой вы не узнаете до тех пор, пока она не сработает.
«Это дорого, потом разберёмся»
Средний ущерб от одной утечки — 11,5 миллиона рублей по оценке InfoWatch. Максимальный — свыше 41 миллиона. Корпоративный менеджер паролей для команды из 50 человек стоит в разы меньше. Это не сравнение цен — это сравнение рисков.
Это было актуально лет десять назад, когда атаки требовали ресурсов и целеполагания. Сегодня атаки автоматизированы, а небольшие компании интересны именно потому, что защищены хуже. Через них заходят к крупным подрядчикам и клиентам. В 2025 году ритейл занял второе место по количеству утечек — 37% всех инцидентов. Малый бизнес давно в прицеле.
«У нас пароли есть — и ладно»
156 миллионов строк с паролями утекло в 2025 году. Пароль в Excel, в Telegram-чате команды или в голове одного сисадмина — это не система безопасности. Это точка отказа, о которой вы не узнаете до тех пор, пока она не сработает.
«Это дорого, потом разберёмся»
Средний ущерб от одной утечки — 11,5 миллиона рублей по оценке InfoWatch. Максимальный — свыше 41 миллиона. Корпоративный менеджер паролей для команды из 50 человек стоит в разы меньше. Это не сравнение цен — это сравнение рисков.
Что на самом деле теряют компании
Исследование InfoWatch совместно с группой ЦИРКОН зафиксировало, куда конкретно уходят деньги после инцидента.
Сорванные сделки и аудит ИБ — до 5 миллионов рублей по каждому направлению. Причём сорванные сделки — это самые незаметные потери: партнёр просто не перезванивает, клиент уходит к конкуренту, никто не объясняет причин. Вы даже не всегда знаете, что это последствие инцидента.
Восстановление инфраструктуры, расследование, юридические расходы — всё это накапливается поверх.
И вот цифра, которая говорит о многом: каждая пятая компания, пережившая утечку, вообще не считала убытки. Ещё 39% сделали только общую оценку. То есть больше половины пострадавших компаний не знают, сколько им это стоило — и, значит, продолжают принимать решение об ИБ-бюджете вслепую.
Сорванные сделки и аудит ИБ — до 5 миллионов рублей по каждому направлению. Причём сорванные сделки — это самые незаметные потери: партнёр просто не перезванивает, клиент уходит к конкуренту, никто не объясняет причин. Вы даже не всегда знаете, что это последствие инцидента.
Восстановление инфраструктуры, расследование, юридические расходы — всё это накапливается поверх.
И вот цифра, которая говорит о многом: каждая пятая компания, пережившая утечку, вообще не считала убытки. Ещё 39% сделали только общую оценку. То есть больше половины пострадавших компаний не знают, сколько им это стоило — и, значит, продолжают принимать решение об ИБ-бюджете вслепую.
Про пароли — отдельно и серьёзно
Парольная безопасность в большинстве компаний выглядит примерно одинаково: общий файл где-то в облаке, пара записок на мониторе, пересылка в мессенджере «на всякий случай». Уволившийся сотрудник технически имеет доступ к корпоративным сервисам ещё несколько месяцев после ухода — просто потому что никто не поменял пароли вовремя.
Это не выдумка. Это описание того, как устроено управление паролями в компаниях без специализированного инструмента.
Централизованный менеджер паролей решает это системно: один источник правды, разграничение доступа, журнал событий, отзыв доступа в один клик при увольнении сотрудника. И это не сложный enterprise-проект на полгода — это то, что разворачивается за день и начинает работать сразу.
При этом в 2025 году только 10% корпоративных систем поддерживали современную многофакторную аутентификацию. Остальные 90% держатся на паролях — зачастую слабых и хранящихся небезопасно.
Это не выдумка. Это описание того, как устроено управление паролями в компаниях без специализированного инструмента.
Централизованный менеджер паролей решает это системно: один источник правды, разграничение доступа, журнал событий, отзыв доступа в один клик при увольнении сотрудника. И это не сложный enterprise-проект на полгода — это то, что разворачивается за день и начинает работать сразу.
При этом в 2025 году только 10% корпоративных систем поддерживали современную многофакторную аутентификацию. Остальные 90% держатся на паролях — зачастую слабых и хранящихся небезопасно.
Итог, который неудобен, но честен
Экономить на цифровой безопасности — можно. Это законно, это распространено и это выглядит как рациональное решение до определённого момента.
Проблема в том, что этот момент наступает без предупреждения и обходится значительно дороже, чем всё, на чём удалось сэкономить.
Вопрос уже не в том, стоит ли тратить деньги на защиту. Вопрос в том, готова ли компания к счёту, который однажды придёт вместо этих трат.
Проблема в том, что этот момент наступает без предупреждения и обходится значительно дороже, чем всё, на чём удалось сэкономить.
Вопрос уже не в том, стоит ли тратить деньги на защиту. Вопрос в том, готова ли компания к счёту, который однажды придёт вместо этих трат.
Начните с самого очевидного
Оставьте заявку на подключение BearPass — российского корпоративного менеджера паролей для бизнеса. Бесплатно до 5 пользователей, без скрытых платежей, с поддержкой шифрования AES-256 и ГОСТ, интеграцией с LDAP и SSO. Входит в реестр российского ПО.
