Исследование "Утечки в организациях РФ в 2025 году: структура реальных инцидентов, восприятие киберугроз и эффективность защитных мер"
ЦЕЛЬ ИССЛЕДОВАНИЯ
Настоящее исследование проведено компанией «Астерит» с целью выявления реальной картины утечек данных в российских организациях по итогам 2025 года, а также оценки разрыва между воспринимаемыми угрозами и фактическими мерами защиты, предпринимаемыми бизнесом. Ключевая задача работы – на основе обратной связи от 1000 реальных действующих ИТ- и ИБ-сотрудников определить наиболее критичные векторы атак, эффективность текущих расследований и степень влияния законодательных инициатив на сокращение инцидентов. Дополнительным фокусом анализа стало исследование практических барьеров, препятствующих выстраиванию надежной защиты, и оценка реального спроса на технологии искусственного интеллекта как инструмента замещения роли специалиста ИБ в системах кибербезопасности.
МЕТОДОЛОГИЯ, ОПИСАНИЕ ВЫБОРКИ И ЦЕЛЕВОЙ АУДИТОРИИ
Исследование проводилось с февраля по декабрь 2025 года методом анкетирования респондентов – представителей ИТ и ИБ, а также руководителей организаций различных секторов экономики нескольких регионов РФ.
Анкетирование проводилось среди участников собственных офлайн- и онлайн-мероприятий «Астерит».
Размер выборки - 1000 человек.
Целевая аудитория - руководители и специалисты ИТ / ИБ, ТОП-менеджеры и собственники предприятий.
География целевой аудитории - 5 федеральных округов РФ:
- Сибирский ФО – 183 респондента (18%)
- Уральский ФО – 334 респондента (33%)
- Приволжский ФО – 228 респондентов (23%)
- Северо-Западный ФО – 170 респондентов (17%)
- Центральный ФО – 49 респондентов (5%)
- Другие регионы – 36 респондентов (4%)
Состав целевой аудитории:
- ИТ/ИБ-специалисты – 500 чел. (50%)
- ИТ/ИБ-руководители – 454 чел. (45%)
- Руководители/собственники – 17 чел. (2%)
- Прочие – 29 чел. (3%)

Рис. 1 - Состав выборки респондентов исследования по роли в организации
Сегментация организаций по размеру ИТ-инфраструктуры (количество ПК):

Рис. 2 - Состав выборки респондентов по размеру ИТ-инфраструктуры
1. САМЫЙ ОПАСНЫЙ СПОСОБ КИБЕРАТАКИ
Самый опасный способ кибератаки: мнение специалистов
Согласно опросу, респонденты исследования самыми опасными способами кибератак считают методы, эксплуатирующие человеческий фактор. Лидирующие позиции заняли социальная инженерия (48%), фишинг (47%) и ошибки персонала (43%). Руководители и специалисты ИТ и ИБ воспринимают наиболее критичным сценарием не сложный технический эксплойт, а хорошо спланированную комбинацию из этих трёх векторов, часто с последующим использованием вредоносного ПО или целевой атаки.

Рис. 3 - Рейтинг способов кибератак по уровню воспринимаемой опасности
Зависимость от размера ИТ-инфраструктуры
С ростом размера организации акценты у опрашиваемых смещаются. В крупнейших предприятиях (свыше 5000 ПК) доля считающих социальную инженерию главной угрозой достигает 60% (против 44% в малом сегменте до 250 ПК). Крупные структуры также чаще выделяют целевые APT атаки (до 36% опрашиваемых) и инсайдерские действия (до 29%). Напротив, в небольших организациях доминирует фокус на массовых векторах, таких как вредоносные программы (до 45%) и DDoS атаках (почти до 30% опрошенных).
Отраслевые закономерности
В финансовом и банковском секторах наряду с социальной инженерией (48% и 57% опрошенных соответсвенно) и фишингом (43% и 55%) высоко оценивают опасность от APT-атаки (43% и 52%). В высокотехнологичных, научных и R&D компаниях третье место занимают инсайдерские действия и ошибки персонала (до 47% опрошенных). В добывающей, нефтегазовой и энергетической отраслях социальная инженерия достигает 61-67%, фишинг - 33-44%, а ошибки персонала - до 50% опрошенных. Для госсектора, образования, здравоохранения и ЖКХ тройка лидеров стабильна: социальная инженерия, фишинг, ошибки персонала (от 39% до 46%). В ритейле и медийных компаниях социальная инженерия набирает до 80%, а в строительстве и на транспорте на первый план по опосаности выходит фишинг (47% и 70%).
2. КИБЕРИНЦИДЕНТЫ: ЧТО РЕАЛЬНО ПРОИСХОДИТ В ИНФРАСТРУКТУРАХ РОССИЙСКИХ ОРГАНИЗАЦИЙ
Киберинциденты, с которыми организации уже столкнулись, лучше всего демонстрируют реальный уровень угроз и эффективность действующей системы защиты. Если в предыдущей главе речь шла о субъективном восприятии самых опасных векторов атак, то здесь в фокусе – фактическая статистика произошедших событий. Такой срез позволяет сопоставить ожидания и реальность: какие сценарии действительно материализуются в инциденты, а какие пока остаются в зоне теоретических рисков.
Анализ полученных ответов показывает, какие типы инцидентов стали для респондентов «рутинной» частью операционной деятельности, а какие по‑прежнему остаются редкими, но потенциально критичными эпизодами. Для заказчиков и интеграторов это важная основа для пересмотра приоритетов: от распределения бюджета на средства защиты до планирования проектов по мониторингу и реагированию. В итоге статистика инцидентов превращается в практический ориентир, по которому можно судить о реальной эффективности архитектуры безопасности и управлении человеческим фактором.

Рис. 4 - Рейтинг наиболее распространенных ИБ-инцидентов в инфраструктурах организаций РФ
Согласно ответам респондентов, наиболее часто в профессиональной деятельности организации сталкивались с инцидентами, связанными с атакой вредоносных программам (51%), фишингом (49%) и ошибками персонала (45%). Существенная доля респондентов также указывает на случаи социальной инженерии (31%) и DDoS‑атак (25%), что фиксирует эти векторы как уже состоявшуюся, а не гипотетическую угрозу. При этом целевые APT‑атаки, XSS/SQL‑инъекции, инсайдерские действия, брутфорс‑атаки и кража носителей информации встречаются заметно реже (от 4% до 12%), оставаясь скорее «точечными» сценариями по сравнению с массовыми заражениями и почтовыми атаками.
Фактически картина инцидентов подтверждает ранее выявленную доминанту человеческого фактора и почтовых каналов: большинство реально произошедших событий так или иначе связано с действиями пользователей (запуск вредоносного ПО, переход по фишинговой ссылке, ошибка при работе с данными). DDoS‑атаки занимают отдельную нишу как заметный, но менее массовый сценарий, чаще затрагивающий сервисы, ориентированные на внешний трафик. Относительно низкая доля зафиксированных APT, инсайдерских инцидентов и атак на веб‑приложения может объясняться как их меньшей частотой, так и ограниченной видимостью – отсутствие развитых средств мониторинга и расследования приводит к тому, что часть сложных атак остаётся за пределами отчетной статистики.
Зависимость от размера ИТ-инфраструктуры
При анализе в разрезе размера ИТ-инфраструктуры выявлена чёткая закономерность: доли атак вредоносных программ и фишинга растут по мере укрупнения организаций - с 47% и 37% в сегменте до 250 ПК до 59% и 67% в инфраструктурах свыше 5000 ПК соответственно. В крупных и Enterprise-инфраструктурах заметно возрастает доля инцидентов, связанных с социальной инженерией (с 21% до 40%) и DDoS-атаками (с 21% до 31-38%), что отражает как бо́льшую зависимость крупного бизнеса от внешних сервисов, так и лучшую наблюдаемость событий. Ошибки персонала остаются высокими во всех сегментах (40-52%), достигая пика в диапазоне 500-999 ПК (52%), тогда как XSS/SQL-инъекции невысоки (3–12%) и заметнее проявляются в среднекрупных организациях.
Отраслевые закономерности
Отраслевой срез также демонстрирует значимые различия. В банковском секторе лидируют социальная инженерия (71%) и DDoS-атаки (71%), тогда как вредоносные программы и фишинг фиксируются реже (по 29%), а целевые APT-атаки и кражи носителей отсутствуют вовсе. В финансовом секторе (небанковские организации) на первый план выходят социальная инженерия (59%), фишинг (55%) и вредоносные программы (48%). В потребительском секторе максимального значения достигают ошибки персонала (68%). Для госсектора, образования, здравоохранения и ЖКХ характерна устойчивая тройка лидеров (вредоносные программы, фишинг, ошибки персонала) при крайне низкой доле сложных целевых атак (как правило, не более 10%). В химической и энергетической отраслях, несмотря на критическую важность инфраструктуры, основной массив инцидентов также связан с массовыми почтовыми кампаниями и человеческим фактором на рабочих местах.
3. ПРАКТИКИ РАССЛЕДОВАНИЯ КИБЕРИНЦИДЕНТОВ В РОССИЙСКИХ ОРГАНИЗАЦИЯХ
По данным опроса, в 2025 году расследование по факту выявленного киберинцидента проводилось в 77% российских организаций. Еще 3% респондентов сообщили, что разбор продолжается, и лишь 20% признали, что инциденты остались без формального анализа. Это свидетельствует о том, что в большинстве компаний процесс расследования уже внедрен в стандарт реагирования и не является разовой активностью «когда есть ресурсы».

Рис. 5 - Расследование выявленных инцидентов в 2025 году
Сравнение с 2024 годом показывает устойчивую практику: год назад анализ инцидентов стартовал в 79% случаев, И без разбора оставался 21%. С учётом незавершённых процедур рынок сохраняет планку около 80% расследуемых инцидентов. При этом пятая часть организаций, не проводящих пост-инцидентный анализ, остаётся зоной риска: без ретроспективного анализа они не получают обратной связи о слабых местах и рискуют повторять схожие сценарии атак.
Зависимость от размера ИТ-инфраструктуры
Чем крупнее ИТ-инфраструктура, тем выше доля расследуемых инцидентов. В компаниях до 250 ПК расследование проводится в 65% случаев, в сегменте 500-999 ПК - уже в 83%, а в Enterprise (>5000 ПК) - в 88%. Доля нерасследованных инцидентов снижается с 30% в малых организациях до 5% в крупнейших. У самых больших заказчиков заметно чаще встречаются длительные расследования (7% против 3-5% в других сегментах), что связано со сложными многоэпизодными кейсами.
Отраслевые закономерности
Наиболее пристальное отношение к разбору инцидентов демонстрируют банковский (100% расследований), нефтегазовый (92%) и финансовый секторы (90%). Высокий уровень зрелости также в машиностроении, ЖКХ, науке и энергетике (от 81% до 86%). В то же время в горнодобывающей и строительной отраслях расследуется лишь 67% инцидентов, а треть остаётся без анализа. Схожие провалы наблюдаются в госсекторе, химической промышленности, потребительском секторе и здравоохранении, где доля неразобранных кейсов достигает 26 - 28%. Медийная отрасль выделяется тем, что 20% инцидентов находятся в статусе «расследование продолжается» при полном отсутствии кейсов без разбора.
4. ИДЕНТИФИКАЦИЯ НАРУШИТЕЛЕЙ И СЦЕНАРИЕВ АТАК ПРИ РАССЛЕДОВАНИИ ИНЦИДЕНТОВ
Согласно результатам опроса, лишь в половине случаев (50%) расследование выявленных киберинцидентов оказывается полностью результативным: специалистам удаётся установить и способ атаки, и конкретного виновника. В 39% инцидентов восстанавливается только технический сценарий («как» произошла атака), но без идентификации нарушителя. Ещё в 11% кейсов не удаётся выяснить ни механику атаки, ни личность злоумышленника — такие инциденты фактически остаются без ключевых выводов, что ограничивает возможность точечной настройки защиты.

Рис. 6 - Эффективность расследований инцидентов в 2025 году
Зависимость от размера ИТ-инфраструктуры
Эффективность расследований закономерно растёт с увеличением инфраструктуры: среди организаций с числом ПК до 250 полный ответ («как» и «кто») получают 42%, в сегменте 250-499 ПК - 54%, при 500-999 ПК - 55%, а в крупнейших Enterprise-инфраструктурах (свыше 5000 ПК) - 59%. Доля полностью безрезультатных расследований при этом снижается с 15% в малом сегменте до 4% в крупнейшем. Однако во всех сегментах сохраняется значительная «серая зона» (от 33% до 43%), где восстанавливают лишь технический сценарий без атрибуции нарушителя.
Отраслевые закономерности
Лидерами по доле полноценно раскрытых инцидентов стали банковский сектор (71%), ЖКХ (68%), научные организации (67%), металлургия (65%) и транспорт (63%). Высокие показатели также у потребительского сегмента (59%) и строительства (53%). Аутсайдеры - медийный сектор (только 20% нашли и «как», и «кто», при 80% без идентификации нарушителя), ритейл (39%), химическая отрасль (39%), образование (40%) и здравоохранение (44%). В госсекторе и финансовой отрасли доля полноценных расследований сопоставима (44 - 45%), но в финансах выше доля кейсов с восстановлением механики атаки (только «как» - 48%), а в госсекторе - выше доля полностью провальных расследований. (14%).
Динамика 2024 - 2025 годов
Сравнение результатов опроса в 2025 с ответами в 2024 году показывает заметный прогресс: доля расследований, в которых установлены и способ атаки, и виновник, выросла с 47% до 50%. Одновременно сократилась доля кейсов, где найден только технический сценарий, - с 42% до 39%. При этом процент полностью безрезультатных расследований практически не изменился (10% в 2024 году против 11% в 2025-м), что свидетельствует о сохранении ядра сложных или плохо наблюдаемых инцидентов, но в целом подтверждает постепенное укрепление практик атрибуции и пост-инцидентного анализа в российских организациях.

Рис. 7 - Качество расследования киберинцидентов в 2024 - 2025 годах
5. ВОСПРИЯТИЕ КРИТИЧНОСТИ УТЕЧЕК ДАННЫХ В РОССИЙСКИХ ОРГАНИЗАЦИЯХ
Анализ ответов участников исследования показал, что для подавляющего большинства российских компаний утечка данных находится в зоне стратегических рисков. Две трети респондентов (64%) оценивают потенциальную утечку как «критичную, но не смертельную» и еще 11% считают её фатальной, угрожающей существованию бизнеса, а 21% характеризуют последствия как «неприятные». Лишь 3% уверены, что утечка останется почти незамеченной, и только 1% заявили, что им «безразлично, нечего красть». Таким образом, индифферентное отношение к утечкам становится маргинальным, а защита данных — одним из ключевых драйверов развития корпоративной кибербезопасности.

Рис. 8 - Степень критичности утечки данных
Зависимость от размера ИТ-инфраструктуры
Рассматривая ответы в разрезе принадлежности респондентов к разным размерам ИТ-инфраструктуры оказалось, что оценка «критично, но не смертельно» лидирует во всех сегментах, однако её доля меняется: от 57% в компаниях до 250 ПК до максимума 70% в группе 500-999 ПК, после чего снижается до 62% в крупнейших инфраструктурах (свыше 5000 ПК). При этом доля ответов «фатально для организации» растёт с 8% в малых компаниях до 12 - 16% в средних сегментах (500-4999 ПК), а затем немного снижается до 15% в Enterprise. Характерно, что вариант «безразлично, нечего красть» практически исчезает, начиная с группы 500-999 ПК. Такая динамика объясняется тем, что с ростом бизнеса организации лучше понимают масштаб ущерба, но крупные игроки чаще воспринимают утечку как «очень болезненную», а не однозначно фатальную, в отличие от средних компаний.

Рис. 9 - Восприятие критичности утечек данных в организациях разного размера
Отраслевые закономерности
Отраслевые различия также существенны. Максимальная доля ответов «фатально для организации» и «критично, но не смертельно» зафиксирована в банковском (29% и 57% соответственно), финансовом (13% и 57%), медийном (20% и 60%) и высокотехнологичном секторах (13% и 66%), где варианты «почти никто не заметит» практически не встречаются. В госсекторе, промышленности, транспорте и энергетике доминирует оценка «критично, но не смертельно», а фатальные сценарии упоминаются реже - для этих отраслей более критичны простои и нарушения технологических процессов. Наименее драматичную оценку дают образование, ЖКХ и часть потребительского сегмента: здесь выше доля ответов «неприятно» и «почти никто не заметит», что отражает меньшую насыщенность чувствительными данными и более низкий уровень зрелости в оценке долгосрочных последствий.
6. ОЖИДАНИЯ РЫНКА ОТ УЖЕСТОЧЕНИЯ ОТВЕТСТВЕННОСТИ ЗА УТЕЧКИ ДАННЫХ
Согласно опросу ИТ/ИБ-специалистов российских организаций, мнения о влиянии ужесточения законодательной ответственности на число утечек данных разделились практически поровну: 43% респондентов уверены, что количество инцидентов «безусловно сократится», тогда как 45% полагают, что это «не повлияет на количество» утечек. Лишь 12% ожидают продолжения роста даже на фоне ужесточения санкций. Рынок не воспринимает законодательные меры как достаточный самостоятельный инструмент снижения инцидентов - почти половина специалистов считает, что корень проблемы лежит в области процессов, технологий и человеческого фактора. Эффект от ужесточения, по мнению участников, будет существенным только при сочетании с развитием внутренних практик информационной безопасности.

Рис. 10 - Влияние ужесточения ответсвенности на количество утечек данных
Зависимость от размера ИТ-инфраструктуры
По мере роста масштаба ИТ-инфраструктуры скепсис относительно влияния ужесточения ответственности заметно усиливается. В сегментах до 250 и 250-499 ПК доля верящих в сокращение утечек составляет по 46%, а убеждённых в отсутствии эффекта - 44%. В группах 500-999 и 1000-4999 ПК ситуация разворачивается: уже 45 - 46% считают, что ужесточение не изменит частоту утечек, а доля оптимистов снижается до 42 - 41%. В крупнейших Enterprise-инфраструктурах (более 5000 ПК) скептицизм максимален: 51% не ожидают эффекта, лишь 32% верят в сокращение, при этом здесь самая высокая доля тех, кто прогнозирует дальнейший рост утечек (18% против 10 - 13% в остальных сегментах).

Рис. 11 - Влияние ужесточения ответсвенности на количество утечек данных в разных сегментах респондентов
Отраслевые закономерности
Ожидания сильно различаются и по отраслям. Наиболее оптимистичны финансовый сектор (57% уверены в сокращении утечек), государственные структуры (53%), образование (52%), здравоохранение (47%) и медийные компании (60%). В промышленности и инфраструктурных сегментах преобладает скепсис: в нефтегазовом секторе 75% респондентов считают, что ужесточение не повлияет на количество утечек, в банковском и ЖКХ такого мнения придерживаются 57%, в ритейле и металлургии - 54 - 56%, в потребительском сегменте и машиностроении - около 50%. Отдельно выделяются горнодобывающая отрасль и химия: здесь большинство ожидают не только отсутствия эффекта, но и дальнейшего роста числа утечек (56% и 27% соответственно).
7. НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ КАНАЛЫ УТЕЧКИ ДАННЫХ
Респонденты исследования считают главными каналами утечки конфиденциальной информации электронную почту (54%) и интернет‑каналы в широком смысле (52%). На втором уровне значимости находятся конечные устройства сотрудников (37%) и смартфоны (36%), что отражает рост мобильности и смешение рабочих и личных сценариев. Третьим заметным каналом названы съёмные носители (33%), тогда как бумажные носители (17%), фото/видео‑устройства (14%) и носители резервного копирования (5%) воспринимаются как менее массовые. Таким образом, доминируют пользовательские и сетевые каналы, тесно связанные с человеческим фактором.

Рис. 12 - Каналы утечки конфиденциальной информации глазами респондентов
Каналы утечек данных: взгляд заказчиков из разных сегментов
В малых организациях (до 250 ПК) почта и интернет находятся на одном уровне (по 52%). В диапазонах 250-499 и 500-999 ПК электронная почта уже лидирует (57 - 58%) при несколько меньшей роли интернет‑канала (51 - 47%). В крупных инфраструктурах (1000-4999 ПК) интернет выходит на первое место (51% против 49% у почты), а в сегменте свыше 5000 ПК его доминирование максимально: 66% респондентов считают интернет основным каналом утечки при 55% у электронной почты. Одновременно по мере роста инфраструктуры конечные устройства, смартфоны и съёмные носители воспринимаются всё более значимыми (их доли колеблются в пределах 31 - 42%, а в крупнейших Enterprise‑организациях составляют 34% и 31% соответственно). Бумажные носители и резервные копии остаются на периферии во всех сегментах (15 - 20% и 3 - 8%).
Каналы утечек данных: взгляд заказчиков из разных отраслей
Почти во всех отраслях электронная почта и интернет остаются ключевыми каналами, но их значимость различается. В банковском секторе интернет выделяется как доминирующий (100% респондентов), а фото/видео‑устройства также очень существенны (86%). В медийных компаниях 80% называют интернет, 60% – электронную почту, смартфоны и конечные устройства, 40% – фото‑видеоустройства. В традиционных отраслях (госсектор, образование, здравоохранение, промышленность, транспорт, энергетика) интернет и почта набирают 40 - 58% и 44 - 66% соответственно, при этом заметны конечные устройства (26 - 47%) и смартфоны (27 - 48%). В добывающих и нефтегазовых компаниях особенно выделяются электронная почта (67 - 78%) и съёмные носители (до 44%), тогда как интернет как канал утечки оценивается низко (17 - 33%). В потребительском секторе и финансах помимо почты и интернета респонденты явно выделяют смартфоны (46 - 48%), что отражает размытость границ между корпоративной и личной средой.
8. ИНСТРУМЕНТЫ СНИЖЕНИЯ РИСКА УТЕЧКИ ДАННЫХ В РОССИЙСКИХ ОРГАНИЗАЦИЯХ
В предыдущих разделах исследования были рассмотрены восприятие критичности утечек и доминирующие каналы компрометации данных. Логичным продолжением становится анализ реальных мер и технологий, которые компании уже применяют для снижения этих рисков, а также выяснение приоритетов в выстраивании защиты. Это позволяет оценить фактический уровень зрелости практик предотвращения утечек и понять, насколько используемый стек решений соответствует заявленным угрозам.
Согласно опросу, ключевыми средствами снижения риска утечек для российских организаций остаются организационные меры (79%) и шифрование каналов и данных, включая VPN-решения (74%). Существенная часть респондентов также делает ставку на усиленную аутентификацию, IDM (46%), классические СЗИ от НСД (46%), а также сетевой периметр (NGFW - 38%). DLP-системы для контроля контента и каналов передачи данных применяют 32% компаний, SIEM-системы - 25%, WAF - 22%, PAM - 21%. Менее распространены EDR/XDR-средства (13%) и решения класса MDM (6%). В целом выбор респондентов демонстрирует приоритет базовой «гигиены» – организационных практик, шифрования и классического периметра.

Рис. 13 - Рейтинг применяемых инструментов защиты от утечек информации
Применяемые инструменты защиты от утечек информации в организациях разных сегментов
В малом и среднем сегментах (до 500 ПК) основу защиты формируют организационные меры и шифрование (73 - 82% и 70 - 74% соответственно), тогда как доля DLP не превышает 29%, SIEM - 16%, WAF - 17%, PAM - 15%, EDR/XDR - 11%. В больших инфраструктурах (500-4999 ПК) при сопоставимом уровне оргмер и шифрования существенно растёт применение NGFW (39 - 48%), DLP (38 - 43%), SIEM (23 - 45%), WAF (23 - 31%), PAM (18 - 30%), EDR/XDR (до 19%). В крупнейших Enterprise-инфраструктурах (свыше 5000 ПК) помимо оргмер и шифрования (по 83%) подавляющее большинство задействует NGFW (78%), DLP (69%) и SIEM (60%), и даже относительно нишевые технологии - WAF (52%), PAM (47%), EDR/XDR-решения (43%) - выходят на высокие значения.
Инструменты защиты от утечек информации в организациях разных секторов экономики
Практически во всех отраслях фундаментом защиты выступают организационные меры и шифрование (60 - 90%). Максимальные значения - в банковском (83% и 100%), химическом (72% и 88%), транспортном (89% и 73%) и финансовом отраслях (80% и 73%). Банки и медийные компании лидируют по насыщенности DLP и SIEM-систем: в банковском секторе защиту от утечек (DLP) применяют 100% респондентов, SIEM - 50%, EDR/XDR - 33%; в медиасекторе 80% внедрили NGFW, 60% - DLP, 40% - PAM, SIEM и WAF. Металлургия, машиностроение, энергетика и финансы также демонстрируют высокий уровень технологической зрелости (DLP, SIEM, NGFW у 36 - 57%, PAM и EDR/XDR у 13 - 38%). В отраслях с ограниченными ресурсами (ЖКХ, образование, потребительский сегмент) использование DLP составляет лишь 5 - 39%, SIEM - 12 - 26%, а PAM/EDR/XDR обычно не выше 20%. Нефтегазовый сектор выделяется акцентом на аутентификацию/IDM (64%), DLP (55%) и аномально высокой долей MDM (27%).
9. ПЛАНЫ ВНЕДРЕНИЯ ИНСТРУМЕНТОВ ЗАЩИТЫ ОТ УТЕЧЕК ИНФОРМАЦИИ В ПЕРСПЕКТИВЕ 1 - 2 ЛЕТ
Согласно данным, полученным в текущей главе исследования, в горизонте ближайших 1 - 2 лет безусловным лидером среди планируемых мер предотвращения утечек становятся организационные инструменты (36% респондентов). Компании намерены пересматривать организационно-распорядительные документы, регламенты обработки данных, матрицы доступа и модели угроз, чтобы соответствовать ужесточающемуся законодательству и меняющейся ИТ‑инфраструктуре. Организационные меры превращаются в «склеивающий» слой, без которого инвестиции в технические средства не дают ожидаемого эффекта.
Второе место по приоритету занимает внедрение или развитие SIEM‑систем (33%), что отражает стремление компаний повысить качество мониторинга событий информационной безопасности за счёт централизации и корреляции логов. Также в планах у значительной доли организаций - развитие сетевой и периметровой защиты (NGFW - 24%, DLP - 24%), внедрение PAM‑решений (22%) и средств поведенческой аналитики на конечных точках (EDR/XDR - 18%). Менее востребованы пока WAF (11%) и MDM (9%), которые остаются в зоне точечных инициатив. Но стоит отметить, что системы централизованного управления мобильными устройствами (MDM) планируют внедрить в 1,5 раза больше респондентов относительно количества тех, кто уже их использует (9% относительно 6%).

Рис. 14 - Приоритетные технологии и меры предотвращения утечек данных в горизонте 1 - 2 лет
Планы заказчиков разных сегментов по внедрению мер защиты от утечек конфиденциальной информации в перспективе 1 - 2 лет
При анализе планов в разрезе размера ИТ‑инфраструктуры выявляется закономерность: значимость организационных мер тем выше, чем меньше компания. В сегменте до 250 ПК их выбирают 43% респондентов, тогда как среди организаций с инфраструктурой более 5000 ПК - лишь 28%. Малые компании таким образом компенсируют дефицит зрелых технических средств и компетенций, тогда как крупные игроки больше полагаются на разветвлённый технологический стек.
С ростом размера инфраструктуры заметно возрастает интерес к SIEM и EDR/XDR решениям: в группе более 5000 ПК эти показатели достигают 36% и 32% против 24% и 12% в сегменте до 250 ПК. Для PAM-систем максимум планов зафиксирован в диапазоне 1000 - 4999 ПК (33%), тогда как в малых организациях - только 15%. Решения класса WAF и MDM востребованы преимущественно в крупных инфраструктурах (свыше 5000 ПК - 17% и 15% соответственно), тогда как в сегменте до 250 ПК они составляют лишь 6% и 8%. При этом NGFW, шифрование/VPN и средства защиты от НСД демонстрируют стабильный уровень между сегментами, воспринимаясь как «гигиенический минимум».
Планы заказчиков различных отраслей экономики по внедрению мер защиты от утечек в перспективе 1 - 2 лет
Отраслевой разрез демонстрирует яркие акценты. В нефтегазовом секторе организационные меры планируют 67% респондентов, а PAM - 44%, при этом шифрование/VPN, аутентификация и WAF не входят в приоритеты (0%). Банковский сектор фокусируется на EDR/XDR (50%), а также на PAM и оргмерах (по 33%), не планируя развивать аутентификацию и средства от НСД. В ЖКХ лидирует SIEM (52%), а также DLP и организационные меры (по 33%). Медийные компании выделяются высокими значениями сразу по нескольким технологиям: шифрование/VPN, NGFW, EDR/XDR и WAF набирают по 50%, столько же - оргмеры.
Среди других отраслей: в госсекторе на первом месте организационные меры (47%), за ними следуют NGFW (26%) и SIEM (25%); в машиностроении - SIEM (41%) и PAM (31%); в научных организациях - SIEM и NGFW (по 41%) при почти полном отсутствии планов по MDM (0%) и низком интересе к EDR/XDR (4%). Образование делает ставку на организационные меры (45%) и SIEM (32%), ритейл - на организационные меры (40%), аутентификацию, NGFW и SIEM (по 28%), а также WAF (26%). В энергетике приоритет отдан PAM (37%) и EDR/XDR (29%) при низких значениях по шифрованию/VPN и NGFW (по 8%), что характерно для критической инфраструктуры с развитыми АСУ ТП.
10. ГОТОВНОСТЬ ИТ/ИБ‑БЮДЖЕТОВ К ЗАДАЧАМ УКРЕПЛЕНИЯ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
В предыдущей главе респонденты обозначили приоритетные направления развития ИБ-ландшафта на ближайшие 1 - 2 года: от усиления защиты периметра до внедрения продвинутых средств мониторинга и аналитики инцидентов. Однако любые технологические планы упираются в ресурсные ограничения, поэтому логичным шагом исследования стала оценка того, насколько текущие бюджеты соответствуют заявленным задачам по укреплению киберзащиты и снижению рисков утечек конфиденциальных данных.
Согласно результатам опроса, лишь 31% российских организаций считают текущий уровень ИТ/ИБ-бюджета достаточным для минимизации рисков утечек. При этом совокупное большинство - 69% респондентов - указывают на необходимость увеличения финансирования в той или иной степени. 21% выступают за рост бюджета до 20%, ещё 21% - за увеличение на 21 - 50%, а 27% (14% + 13%) говорят о потребности в росте более чем на 50%, вплоть до двукратного и выше. Это подчёркивает системный характер нехватки финансовых ресурсов для противодействия утечкам данных.

Рис. 15 - Оценка достаточности ИТ/ИБ‑бюджета для снижения рисков утечек данных
Посегментный анализ достаточности ИТ/ИБ‑бюджета для снижения рисков утечек данных
Посегментный анализ по размеру ИТ-инфраструктуры выявил заметную закономерность: чем крупнее организация, тем выше доля тех, кто считает бюджет недостаточным и требует существенного роста затрат. Наиболее комфортно с текущими бюджетами чувствуют себя компании с инфраструктурой 500-999 ПК - 42% опрошенных в этом сегменте назвали финансирование достаточным, что заметно выше среднерыночного уровня. Для сравнения, среди компаний с числом ПК до 250 таковых 38%, а в сегментах 1000-4999 и более 5000 ПК - лишь по 21%.
Наиболее выраженный запрос на значимое увеличение бюджета (от 51% и выше) фиксируется у крупных заказчиков (1000-4999 ПК) и больших Enterprise-инфраструктур (более 5000 ПК): здесь суммарно 39% и 26% респондентов соответственно ожидают роста финансирования от 51% до свыше 100%. В группе компаний с более чем 5000 ПК особенно высока доля ожидающих увеличения бюджета до 1,5 раз - 54% представителей этого сегмента. Исключением выглядит диапазон 500-999 ПК, где одновременно максимальна доля довольных бюджетом и умерен запрос на резкое наращивание.
Анализ достаточности ИТ/ИБ‑бюджета для снижения рисков утечек данных по отраслям экономики
Отраслевой анализ также демонстрирует сильное расслоение. Уверенными лидерами по достаточности финансирования стали медийные компании (67% считают бюджет достаточным), транспортный сектор (50%), потребительские (46%) и строительные (45%) компании, а также ЖКХ, финансовый и ритейл-сегменты (38 - 42%). С другой стороны, наиболее острый дефицит бюджетов зафиксирован в образовательном секторе: лишь 8% представителей этой отрасли довольны текущим уровнем, тогда как 42% ожидают увеличения на 21 - 50%, а ещё 16% - на 51% и более.
Схожая картина наблюдается в государственном секторе (только 19% считают бюджет достаточным, 23% ожидают роста на 51 - 100% и 19% - на более чем 100%) и в горнодобывающей отрасли (14% удовлетворены, 57% совокупно ожидают увеличения на 21 - 50% и более). Высокотехнологический, металлургический, машиностроительный, химический и энергетический секторы демонстрируют смешанную картину: от 26% до 38% респондентов считают бюджет достаточным, однако заметные доли (22 - 31%) ожидают увеличения на 21 - 50% или на 51% и более, что говорит о потребности в дополнительной волне инвестиций в продвинутые средства защиты.
11. БАРЬЕРЫ ПРИ ПОСТРОЕНИИ ЭФФЕКТИВНОЙ ЗАЩИТЫ ОТ УТЕЧЕК В ОРГАНИЗАЦИЯХ РФ
Ранее были рассмотрены оценки респондентов относительно достаточности ИТ‑ и ИБ‑бюджетов для реализации проектов по защите информации. Нехватка финансирования, по их мнению, напрямую ограничивает модернизацию контуров кибербезопасности. Однако, как показал дальнейший опрос, дефицит бюджета редко выступает единственным сдерживающим фактором. Для целостного понимания ситуации исследование выявило иные барьеры - организационные, кадровые, регуляторные и технологические, - которые мешают компаниям выстраивать эффективную защиту от утечек.
По итогам опроса ключевым барьером названа нехватка кадров (52% респондентов), что подтверждает системную проблему рынка: организации даже при наличии бюджетов не успевают закрывать вакансии по ИБ. Практически сопоставим по значимости барьер нехватки ИТ/ИБ‑бюджетов (50%). На третьем месте - нехватка компетенций (33%). Также существенными оказались непонимание рисков топ‑менеджментом (27%), административные барьеры (24%), нехватка технических мощностей (23%) и сосредоточение бюджета в головной/вышестоящей организации (15%). Минимальное влияние имеют неумение обосновать проекты руководству (5%) и законодательные ограничения (3%).

Рис. 16 - Структура барьеров на пути к построению системы предотвращения утечек
Барьеры в разных сегментах организаций
Анализ по сегментам размера инфраструктуры показывает, что в малых и небольших организациях (до 250 ПК и 250-499 ПК) главным стоп‑фактором является дефицит бюджета - его доля выше, чем нехватки кадров. Это объясняется ограниченным общим финансовым ресурсом, где ИБ конкурирует с базовыми ИТ‑ и бизнес‑задачами, а кадровый дефицит частично компенсируется меньшей сложностью инфраструктуры.
Начиная с сегмента 500-999 ПК и далее картина меняется: на первый план выходит нехватка кадров, которая опережает бюджетные ограничения и усиливается с ростом числа рабочих станций. Средние и крупные инфраструктуры характеризуются распределенными площадками, большим количеством систем и повышенными требованиями к непрерывному мониторингу, что резко увеличивает потребность в квалифицированных специалистах. Даже при сопоставимых бюджетах организации сталкиваются с тем, что кадровый дефицит становится главным «узким горлом».
Барьеры в разных отраслях
Разбивка по отраслям показывает, что нехватка кадров остается самым значимым барьером, но её выраженность сильно варьирует. В химическом, транспортном, ритейле, энергетике и высокотехнологичном секторах доля респондентов, испытывающих дефицит специалистов, превышает 55 - 65%. В то же время в горнодобывающем и строительном сегментах этот фактор отмечен лишь третью или меньшей долей участников. По барьеру нехватки бюджетов сказано в предыдущей главе.
В ряде отраслей усиливается роль управленческих факторов. В потребительском секторе и нефтегазе высок уровень непонимания рисков топ‑менеджментом (45 - 58%), что говорит о разрыве между восприятием бизнес‑рисков и реальной сложностью защиты данных. В банковском и финансовом секторах понимание рисков руководством выше, но сохраняются высокие значения по нехватке кадров и бюджета, отражая хронический разрыв между регуляторными требованиями и доступными ресурсами. В энергетике, здравоохранении и образовании заметны барьеры нехватки компетенций, технических мощностей и зависимость от бюджета головной организации, ограничивающие локальные команды ИБ в инициативности.
12. ОЖИДАНИЯ РЫНКА ОТ ИИ В ЗАДАЧАХ ПРЕДОТВРАЩЕНИЯ УТЕЧЕК ДАННЫХ
В предыдущих главах исследования были подробно рассмотрены организационные и технологические подходы, позволяющие компаниям системно сокращать количество утечек данных и повышать управляемость инцидентами. Логичным продолжением стал анализ того, насколько отечественный рынок связывает дальнейшее снижение рисков именно с внедрением систем искусственного интеллекта в контур кибербезопасности. В данном разделе представлены оценки ИТ‑ и ИБ‑специалистов из российских организаций относительно способности ИИ существенно уменьшить вероятность утечек в реальных условиях эксплуатации корпоративных систем.
Обобщённые ответы респондентов демонстрируют сдержанный оптимизм: абсолютное большинство (44%) считает, что даже при внедрении ИИ ключевым остаётся обязательное участие человека в анализе инцидентов и принятии решений. Лишь каждый пятый (21%) уверен, что искусственный интеллект однозначно приведёт к существенному снижению рисков утечек. Ещё 24% полагают, что в ближайшие 2–3 года заметного влияния не будет, 12% указывают на нехватку бюджета для приобретения таких решений, а 4% воспринимают ИИ в кибербезопасности как «маркетинг и хайп». Таким образом, рынок видит в ИИ прежде всего вспомогательное звено, усиливающее возможности SOC и служб ИБ, но не самостоятельный защитный контур.

Рис. 17 - Снизит ли риски утечек внедрение искусственного интеллекта в безопасность?
Мнение представителей организаций разного масштаба о вероятности снижения утечек за счет внедрения ИИ в безопасность
При анализе ответов в зависимости от масштаба ИТ‑инфраструктуры выявляется чёткая закономерность: во всех сегментах (от малых компаний до крупнейших Enterprise с числом ПК более 5000) доминирует установка на необходимость участия человека – от 42 - 44% до 46% соответственно. При этом доля убеждённых сторонников ИИ, которые считают, что он «безусловно» снизит риски, постепенно растёт с 19% в организациях до 499 ПК до 24 - 25% в сегментах 1000-4999 и более 5000 ПК, что указывает на более высокий технологический опыт крупных игроков.
Одновременно в наиболее масштабных инфраструктурах заметно снижается доля респондентов, ссылающихся на нехватку бюджета для закупки средств ИБ с ИИ: с 12 - 16% в малых и средних сегментах до 5 - 10% в крупных. Интересно, что скепсис относительно краткосрочного эффекта («в ближайшие 2-3 года – нет») чуть выше в средних и крупных компаниях (26 - 28% против 21 - 25% в мелких). Крупные организации более трезво оценивают временной лаг между внедрением ИИ и реальным снижением утечек, осознавая необходимость длительной настройки, адаптации нейросетевых моделей и выстраивания совместной работы аналитиков.
Позиция заказчиков разных отраслей экономики по эффективности внедрения ИИ для сокращения утечек
Отраслевой разрез также показывает значимые различия. В консервативных, зарегулированных сегментах (банковский, финансовый, химический, энергетический, машиностроительный) доля ответов о необходимости участия человека достигает 46 - 57%, а уровень безусловной веры в ИИ умеренный (примерно 19 - 23%). Напротив, в горнодобывающем секторе, ЖКХ, транспортном, потребительском сегменте и ритейле уверенность в потенциале ИИ существенно снизить утечки доходит до 25 - 33% респондентов, при этом здесь же фиксируются более высокие значения по варианту «в ближайшие 2-3 года – нет» (до 33 - 35%).
Некоторые отрасли демонстрируют поляризованные мнения. В медийном секторе одновременно высоки доли тех, кто считает участие человека обязательным (40%), и тех, кто не верит в краткосрочный эффект ИИ (40%), при том что безусловно в снижение рисков верят только 20% опрошенных. В нефтегазовом и строительном сегментах заметно выше доля респондентов, воспринимающих ИИ как «хайп» или недоступный по бюджету вариант (до 25% в нефтегазе и до 13% по каждому из двух скептических вариантов в строительстве). В целом ожидания от ИИ в кибербезопасности зависят от регуляторного давления, цифровой зрелости и доступности компетенций: чем структурированнее контур ИБ, тем прагматичнее оценка и сильнее акцент на роли человека.
13. ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ И ОФИЦЕР БЕЗОПАСНОСТИ: ГОРИЗОНТЫ ТРЁХЛЕТНЕЙ ПЕРСПЕКТИВЫ
Участники исследования не верят в полную замену офицера безопасности системами с искусственным интеллектом в ближайшие три года. Подавляющее большинство (69%) считают наиболее реалистичным и эффективным именно симбиоз решений на базе нейросетевых технологий и ИБ-специалистов, а не радикальную автоматизацию функций безопасности. Лишь 4% опрошенных допускают, что в трёхлетней перспективе ИИ сможет полностью заменить сотрудника информационной безопасности. При этом 18% респондентов полагают, что трёх лет недостаточно для столь радикальных изменений, а 9% занимают жёстко скептическую позицию, называя ИИ на текущем этапе преимущественно маркетинговым концептом. Таким образом, отраслевой консенсус смещён в сторону совместной работы человека и интеллектуальных систем.

Рис. 18 - Возможна ли замена офицера безопасности киберсистемами с ИИ в ближайшие 3 года?
Мнение представителей организаций разного масштаба о вероятности замены офицера безопасности системами с ИИ в перспективе 3 лет
Во всех сегментах организаций по размеру ИТ-инфраструктуры доминирует убеждённость в эффективности симбиоза (65 - 71%), достигая максимума в группе 1000-4999 ПК (71%). Наиболее заметное отличие — в сегменте 500-999 ПК, где доля респондентов, считающих, что «3 года - мало», заметно выше (23% против 16 - 18% в других группах). При этом жёсткий скепсис («ИИ - это маркетинг») несколько выше в малых и средних сегментах (7 - 10%), а оптимизм («Конечно ДА!») остаётся маргинальным, немного чаще встречаясь у самых малых и самых крупных организаций (5% против 3% в среднем).
Позиция заказчиков разных отраслей экономики по вероятности замены офицера безопасности системами с ИИ в перспективе 3 лет
Наиболее яркие отличия наблюдаются в высокотехнологичном секторе и ритейле, где зафиксированы самые высокие показатели жёсткого отрицания (69% и 71% соответственно) при крайне низкой доле сторонников симбиоза (9% и 6%). Аномально высокий оптимизм («Конечно ДА!») демонстрируют медийный сектор (20%) и ЖКХ (17%). В нефтегазовой, металлургической, строительной и химической отраслях сочетаются повышенный скепсис и относительно высокая доля симбиоза, что отражает консервативную позицию по замене человека ИИ при признании ценности автоматизации как вспомогательного инструмента.
ВЫВОДЫ
Проведённое исследование, основанное на опросе 1000 ИТ- и ИБ-специалистов и руководителей из пяти федеральных округов РФ, показывает общую картину состояния защиты от утечек данных в российских организациях по итогам 2025 года. Ключевой вывод исследования - сохраняется разрыв между воспринимаемыми угрозами и фактическими мерами защиты, а также между ожиданиями от регуляторных и технологических инструментов и реальной практикой инцидент-менеджмента.
1. Восприятие угроз vs реальная инцидентность: доминирование человеческого фактора. Наиболее опасными сценариями кибератак респонденты считают социальную инженерию, фишинг и ошибки персонала, а в реальных инцидентах также доминируют вредоносное ПО, фишинг и ошибки персонала. При этом при росте размера ИТ-инфраструктуры усиливается внимание к социальной инженерии, APT и инсайдерским сценариям.
2. Практики расследования: формализация без прогресса в глубине. Расследование киберинцидентов стало нормой для большинства организаций, но каждое пятое предприятие ограничивается только локализацией последствий без анализа причин. Полностью результативными становятся лишь 50% расследований, а каждое десятое не даёт ни понимания механики атаки, ни установления нарушителя.
3. Утечки данных: каналы и степень восприятия риска. Утечка данных большинством респондентов воспринимается как критичный, но не смертельный риск, при этом полностью безразличное отношение почти отсутствует. Основными каналами утечек названы электронная почта, интернет-каналы, конечные устройства сотрудников, смартфоны и съёмные носители.
4. Защитные меры: фундаментом остаются организационные меры и шифрование, а продвинутые инструменты в меньшинстве. В защите от утечек чаще всего используются организационные меры и шифрование каналов и данных, включая VPN. Более продвинутые инструменты мониторинга и аналитики, такие как SIEM, WAF, PAM, EDR/XDR и MDM, распространены заметно меньше.
5. Барьеры эффективной кибербезопасности: в «клещах» кадров и финансирования. Почти 70% респондентов указывают на необходимость увеличения ИТ/ИБ-бюджетов, а ключевыми барьерами названы нехватка кадров и дефицит бюджетов. Дополнительно сдерживают развитие защиты нехватка компетенций и непонимание рисков со стороны топ-менеджмента.
6. Регуляторные ожидания: скепсис в крупном бизнесе. Рынок разделился в оценке влияния ужесточения ответственности за утечки: часть ожидает снижения инцидентов, почти столько же не видит влияния. В крупных и Enterprise-организациях скепсис усиливается, и одни лишь штрафы и формальные требования не воспринимаются как достаточный инструмент.
7. Роль искусственного интеллекта: сдержанный оптимизм и симбиоз, а не замена. Большинство респондентов считают, что ИИ должен использоваться только вместе с человеком и усиливать возможности SOC и ИБ-служб. Наиболее реалистичным сценарием на ближайшие три года считается симбиоз нейросетевых технологий и ИБ-специалистов, а не замена сотрудника.
Общая картина: организации осознают критичность утечек данных и доминирование человеческих векторов атак, но сталкиваются с дефицитом кадров, бюджетов и компетенций. Практика расследований уже стала стандартом, однако качественный результат достигается лишь в половине случаев. Регуляторные ужесточения воспринимаются со скепсисом, а ИИ рассматривается скорее как усилитель работы специалистов, чем как их замена.
ПОЛНАЯ ВЕРСИЯ ИССЛЕДОВАНИЯ
С полной версией исследования «Утечки в организациях РФ в 2025 году: структура реальных инцидентов, восприятие угроз и эффективность защитных мер» вы можете ознакомиться по ссылке>>>
Полная версия содержит детальные срезы по размерам инфраструктур и отраслям участников исследования: банки, госсектор, энергетика, промышленность, транспорт, здравоохранение, ритейл, образование и другие. В полной работе также доступны таблицы по каналам утечек, расследованиям, планам внедрения различного класса решений (DLP, SIEM, PAM, EDR/XDR, MDM), отраслевым барьерам и др.
Комментарии наших экспертов и инфографику по данному исследованию можно запросить в отделе маркетинга "Астерит", написав нам: marketing@asterit.ru
О КОМПАНИИ "АСТЕРИТ"
«Астерит» – федеральный интегратор систем информационной безопасности и инфраструктурных решений с Центром компетенций в Екатеринбурге и офисами в Москве, Санкт-Петербурге и Новосибирске.
25 лет «Астерит» защищает и приводит в соответствие с действующим законодательством информационные системы и ИТ-инфраструктуры любой топологии и сложности. Заказчиками интегратора являются предприятия и организации практически всех сфер бизнеса и многие государственные структуры на всей территории Российской Федерации.
«Астерит» обладает лицензиями ФСТЭК России и ФСБ России, имеет в своей структуре подразделения, реализующие проекты по информационной безопасности, техническую поддержку и комплекс необходимых консалтинговых услуг.
Колоссальный опыт, широкие технические компетенции, системы менеджмента качества ГОСТ Р ИСО 9001 и управления информационной безопасностью ИСО/МЭК 27001-2021, высокие партнерские статусы ведущих производителей – всё это позволяет решать задачи заказчиков оптимально, качественно и в срок.

© 2026 ООО «Астерит». Все права защищены.
При использовании информации из данного исследования ссылка на «Астерит» обязательна.
г. Екатеринбург, 620027, ул. Луначарского, 36
Тел.: +7 (343) 3-706-708
E-mail: