3 признака того, что ваши данные уже проданы: уроки великих утечек 2025 года

В 2025 году регуляторы по всему миру показали, что готовы наказывать компании за утечки данных не на словах, а на миллионы долларов, и суммы штрафов продолжают расти. Несмотря на то что с момента запуска GDPR прошло уже 7 лет и только в Европе с 2018 года было выписано штрафов более чем на 6 млрд долларов, надзорные органы остаются крайне активными, а громкие дела по-прежнему сотрясают рынок и бьют по репутации брендов.

По оценке IBM, за последний год почти треть компаний в мире столкнулась с санкциями за нарушения, связанные с утечками данных. Самыми дорогими такие инциденты остаются в США, но крупнейшие штрафы по-прежнему выписываются в рамках европейского регулирования, где регуляторы особенно пристально смотрят на трансграничную передачу данных и базовую «кибергигиену».

Самым заметным случаем стал штраф для TikTok: ирландский регулятор обязал компанию заплатить 530 млн евро за передачу персональных данных европейских пользователей в Китай. В материалах дела указывалось, что TikTok уверял надзорный орган, будто данные европейцев не хранятся в КНР, однако позднее выяснилось, что это утверждение было неверным, а оценка рисков со стороны компании не позволяла гарантировать уровень защиты, сопоставимый с GDPR. TikTok уже заявил о намерении обжаловать решение.

В Германии под санкции попал Vodafone: оператор заплатил штрафы за два эпизода — один был связан с недостаточным контролем работы подрядчиков, другой, более крупный, с проблемами в аутентификации клиентов в сервисах MyVodafone и на горячей линии, что, по версии регулятора, открывало путь к несанкционированному доступу к eSIM-профилям. Компания заявила, что устранила нарушения и прекратила сотрудничество с проблемными агентствами.

В Великобритании крупный штраф получила аутсорсинговая группа Capita — 14 млн фунтов за последствия атаки вымогателей в 2023 году, затронувшей почти семь миллионов конечных клиентов, включая участников сотен пенсионных фондов. Надзорный орган перечислял целую цепочку ошибок — от недостатков в мониторинге и реагировании до проблем, которые позволяли злоумышленникам развивать атаку внутри инфраструктуры. Capita решила не подавать апелляцию, хотя сумма штрафа была снижена по сравнению с первоначально обсуждавшейся.

Польша в этом году стала одной из самых активных стран по числу резонансных дел. Государственная почтовая служба Poczta Polska получила штраф после истории с так называемыми «почтовыми выборами» 2020 года: регулятор счёл, что персональные данные избирателей были переданы и обработаны без должного правового основания. В числе утёкших данных упоминались имена, адреса и национальные идентификаторы PESEL.

Там же был оштрафован ING Bank Śląski: по версии регулятора, банк сканировал документы клиентов и потенциальных клиентов без достаточного обоснования с точки зрения требований минимизации данных и законности обработки. Ещё один громкий польский кейс — штраф для McDonald's Polska после утечки данных сотрудников из-за неверной конфигурации сервера; отдельно отмечалось, что как контролёр данных компания должна была убедиться в наличии адекватных организационных и технических мер защиты.

Италия, в свою очередь, нацелилась на рынок ИИ-сервисов. Регулятор потребовал от американской компании Luka, разработчика чат-бота Replika, выплатить 5 млн евро, заявив о проблемах с получением согласия на обработку персональных и поведенческих данных, «непрозрачных» уведомлениях о приватности и отсутствии внятной проверки возраста. Параллельно продолжается отдельное расследование о правомерности операций по обучению и обработке данных.

В сфере здравоохранения и критической инфраструктуры внимание снова привлекла атака вымогателей на поставщика ИТ-решений для британской NHS — компанию Advanced. После инцидента 2022 года, который привёл к утечке данных и длительным сбоям, включая затяжные проблемы у сервисов вроде NHS 111, регулятор утвердил штраф в 3,1 млн фунтов. В публичных материалах также описывались версии проникновения — включая компрометацию учётной записи без MFA и использование RDP, а среди претензий назывались слабые места в патч-менеджменте и управлении уязвимостями.

Наконец, британский ICO оштрафовал 23andMe после кибератаки 2023 года. По версии регулятора, злоумышленники начали с credential stuffing, а затем смогли получить доступ к данным других пользователей через функцию DNA Relatives; в перечне упоминались как обычные данные профиля, так и чувствительная информация. ICO указал на недостатки мониторинга, реагирования и защиты процесса аутентификации, включая отсутствие обязательной многофакторной защиты.

В сумме эти истории показывают, что штрафы за утечки и нарушения правил обработки данных всё чаще становятся не разовой «карой», а инструментом, который заставляет бизнес пересматривать практики безопасности и управления персональными данными. И 2025 год ясно дал понять: регуляторы готовы повышать ставки там, где компании годами откладывали исправления.