Из-за роста штрафов за утечку персональных данных увеличатся объемы шантажа компаний хакерами
Изображение: recraft
В 2026 году рынок может столкнуться с новой волной кибершантажа. Эксперты связывают это с увеличением штрафов за утечки персональных данных. Чем выше финансовые санкции со стороны государства, тем активнее злоумышленники используют этот фактор как инструмент давления.
По данным Positive Technologies, 76% всей информации, похищенной у финансовых организаций, приходится на персональные данные клиентов. Доля сведений о банковских картах составляет лишь 12%. Это указывает на смещение фокуса атакующих — базы с личной информацией становятся более удобным инструментом для вымогательства, чем классическая кража платёжных реквизитов, сообщает «Коммерсант».
В исследовании компании говорится о появлении гибридных группировок. Часть хактивистов, ранее ограничивавшихся политическими атаками, начала применять модели монетизации, характерные для традиционных кибервымогателей. Они сопровождают атаки идеологической риторикой, параллельно шифруют инфраструктуру, копируют массивы данных и требуют оплату за восстановление доступа или отказ от публикации информации.
Аналитики считают этот тренд особенно опасным, поскольку организации демонстрируют готовность идти на уступки. Перевод выкупа воспринимается как быстрый способ снизить репутационные и финансовые потери. На практике подобные действия лишь усиливают интерес злоумышленников к выбранной тактике.
В Positive Technologies прогнозируют рост случаев шантажа в 2026 году. С 30 мая 2025 года в России значительно увеличены штрафы за нарушения в сфере защиты персональных данных. Максимальные суммы исчисляются миллионами рублей. Этот фактор становится дополнительным рычагом давления — атакующие могут прямо намекать на последствия раскрытия инцидента.
Под ударом прежде всего оказывается малый и средний бизнес. Ограниченные бюджеты на информационную безопасность и высокая чувствительность к репутационным рискам повышают вероятность уступок. Сочетание технических слабостей и страха публичного скандала формирует благоприятную среду для вымогательства.
Отдельное внимание в исследовании уделено импортозамещению. Переход на отечественные ИТ-решения часто происходит в ускоренном режиме. При этом аудит защищённости и анализ архитектуры могут быть проведены формально или сжато по срокам. Наличие уязвимостей нулевого дня или утечек исходного кода упрощает задачу атакующим.
В Информзащита сообщают, что официально в 2025 году в России зафиксировано около 120 утечек персональных данных. По оценкам участников рынка, реальное число инцидентов в несколько раз выше. Значительная часть случаев не становится публичной, поскольку компании предпочитают урегулировать ситуацию без огласки.
Алина Ледяева, эксперт компании StopPhish, заявила в комментарии для CISOCLUB: «Рост штрафов в 2025 году привел к тому, что государство дало хакерам готовый «прайс-лист» для шантажа. Теперь злоумышленникам проще апеллировать к КоАП, чем доказывать репутационный ущерб. Для бизнеса выплата выкупа кажется быстрым выходом, но на деле это попытка тушить пожар бензином.
При этом источник большинства инцидентов предсказуем. По нашей практике, 9 из 10 инцидентов начинаются с фишинга и социальной инженерии. Скрывая утечку и поощряя вымогателей деньгами, компания не решает проблему, а лишь покупает статус сговорчивой жертвы, гарантируя себе повторные атаки.
В условиях жесткого давления и импортозамещения спасением станет только переход от бумажной безопасности к реальной. Это не только шифрование баз и внедрение DLP-систем, но и непрерывное обучение и тренировки персонала. Без этих мер любые штрафы остаются лишь дополнительным рычагом в руках преступников».
Игорь Сухарев, Межсетевой экран ИКС, заявил в комментарии для CISOCLUB: «Считаю, что такой сценарий вполне реалистичен. Ужесточение требований регуляторов является благодатной почвой для киберпреступников. Вместе с ростом штрафов повышаются ставки хакеров. Стремясь скрыть инцидент, некоторые компании могут пойти на сделку с хакерами, однако этот шаг не является гарантией, что компанию не привлекут к ответственности. А принимая во внимание размер новых штрафов за неуведомление Роскомнадзора об утечке персональных данных, риск того не стоит. Именно поэтому важно сосредоточиться на проверке безопасности и укреплении ИТ-периметра, не дожидаясь штрафов или шантажа».
Анна Шарлай, старший аналитик по кибербезопасности в K2 Кибербезопасность: «В прошлом году мы провели анонимный опрос 120+ ИТ- и ИБ-специалистов российских компаний и только 30% из них заявили, что их организации соответствуют требованиям №152-ФЗ. Это сигнализирует о масштабной проблеме, т.к. при текущем уровне киберугроз предписания законодательства — это база. Для практической же кибербезопасности данных бизнесу необходим еще более комплексный подход: подготовленная ИТ-инфраструктура, актуальные СЗИ, круглосуточный мониторинг и реагирование на инциденты, команда опытных специалистов, регулярные аудиты и кибериспытания».
Андрей Кузнецов, генеральный директор ООО «РуБэкап» (входит в «Группу Астра»):
«Да, действительно рост кибершантажа в 2026 году возможен. В финансовом секторе, например, большинство украденных данных — персональные, а объем утечек оценивается в сотни миллионов записей ежегодно. С 2025 года в России значительно увеличились штрафы за утечку данных. Хакеры используют страх компаний перед этими санкциями и репутационными потерями, предлагая «выкуп» вместо публичного слива данных или жалоб в регулятор».
Тимур Джафаров, руководитель направления по сетевой безопасности холдинга «Цикада»: «Попытка договориться с вымогателем — это сделка с заведомо проигрышным исходом, где юридические и финансовые риски кратно превышают даже самые суровые штрафы за утечку данных. Помимо отсутствия гарантий, компаниям грозит риск блокировок счетов по 115-ФЗ и прямой уголовной ответственности за финансирование терроризма, учитывая политизированность атак. Именно поэтому, несмотря на растущее давление со стороны регуляторов, мы не прогнозируем массовой готовности бизнеса идти на уступки преступникам — цена такой ошибки слишком высока, чтобы рисковать будущим всей организации».
Андрей Мишуков, операционный директор iTPROTECT: «В целом мы можем подтвердить этот тренд, а также своеобразный парадокс, который сейчас сложился на рынке: большие оборотные штрафы, которые Роскомнадзор потенциально может назначить юрлицу за утечку персональных данных, повышают аппетиты хакеров при требованиях выкупа. При оборотном штрафе в условные 500 миллионов платеж хакеру в 100 миллионов может показаться выгодной сделкой.
Разумеется, это заблуждение. Обычно мошенники берут деньги за то, чтобы базы не попали в открытый доступ, а потом всё равно продают информацию. Это позволяет им кратно увеличить прибыль от мошеннических операций. Поэтому повторяем вечный совет: не платите шантажистам. Намного выгоднее проработать систему защиты с грамотным интегратором , вложить эти же самые деньги в безопасность и не беспокоиться о том, что бизнес может в любой момент упасть или будет взломан.
Вторая важная деталь: персональные данные сейчас становятся идеальной целью для похищения с целью последующего шантажа. В отличие от банковской карты, которую сейчас можно заблокировать и за несколько минут перевыпустить через мобильное приложение, персональные данные поменять гораздо сложнее. Для этого придётся менять паспорт или другой документ, который попал в утечку. Большинство компаний понимают разницу между утечкой номеров карт и сливом персональных данных или закрытой бизнес-информации.
Наконец, можем подтвердить, что политически-ориентированные группировки, по всей видимости, действительно начинают зарабатывать стандартными схемами кибермошенничества. Политические лозунги становятся простым прикрытием корыстных интересов. Отправленные злоумышленникам деньги не гарантирует сохранность украденных данных».
