Мировые штрафы за утечки данных достигли рекордных сумм в 2025 году
3 мин
23
Группа компаний InfoWatch изучила статистику штрафов за утечки персональных данных в 2025 году. В мире выявили 208 случаев назначения административных взысканий организациям, 6 штрафов получили российские компании.
73% всех штрафов назначили за нарушения GDPR в странах Европейского союза и Великобритании, а средняя сумма взыскания составила 1,16 млн долларов. 80% взысканий не превысили 100 тыс. долларов. Только 10,5% штрафов составили более $1 млн.
Крупнейший штраф получила компания TikTok. Ирландская комиссия IDPC назначила платформе взыскание 620 млн долларов за неправомерную передачу персональных данных европейских пользователей в Китай. Компанию обязали остановить эту практику в течение шести месяцев.
На втором месте — сингапурская компания Marina Bay Sands со штрафом 97 млн долларов. Утечка затронула более 6 млн посетителей. Данные появились в продаже в даркнете. Третье место заняла немецкая Vodafone со штрафом 34 млн долларов. Британской Capita назначили взыскание в 18,8 млн долларов. Во время кибератаки весной 2023 года хакеры получили доступ к данным 6 млн человек. Компания отреагировала на взлом за 58 часов вместо положенного 1 часа.
По количеству штрафов лидирует Испания с 48 взысканиями, Румыния — на втором месте с 45 штрафами, США заняли третье место с 25 случаями, Россия с 6 штрафами заняла восьмое место.
В США средняя сумма штрафа составила 1,1 млн долларов. Это почти в два раза больше, чем в Евросоюзе. Американский телеком Comcast выплатит 1,5 млн долларов за утечку данных 237 тыс. клиентов. Чаще всего штрафные санкции получали финансовые организации. На них пришлось 23,6% всех штрафов. Медицинские организации заняли второе место с 12,5% случаев. ИТ- и ИБ-компании получили 8,2% взысканий.
В отчёте сказано, что 58% штрафов связаны с кибератаками. Каждый третий штраф назначен за случайные нарушения, что составило 33,2% от общего числа. К таким относится оставление базы на незащищённом сервере или неправильная отправка почты. Внутренние умышленные нарушения составили 6,7% случаев. 85% компрометаций произошли по сетевому каналу. Электронная почта стала источником 5,8% инцидентов. Съёмные носители стали причиной 3,4% утечек.
В России общая сумма штрафов составила 570 тыс. рублей. РЖД и «Почта России» получили взыскания по 150 тыс. рублей каждая. В Сети появилась база РЖД на 17 млн строк с данными сотрудников. Компания заявила, что атаки не зафиксированы, но не доказала принятие всех мер защиты. ООО «Изумруд» и «Медквадрат» заплатили по 75 тыс. рублей. Коллекторская компания «Интер-Прайм» и микрофинансовая организация «К» получили по 60 тыс. рублей.
На Россию приходится 2,9% от общего числа мировых штрафов. Суммы отечественных взысканий существенно отличаются от западных в меньшую сторону. Несмотря на внушительное количество штрафов, власти применяют эту меру осторожно. На фоне тысяч ежегодных инцидентов количество реальных санкций измеряется сотнями. Правоприменительная практика будет развиваться, и количество штрафов может существенно возрасти.
