Компания «Астерит» подготовила независимое исследование «Утечки в организациях РФ в 2025 году: структура реальных инцидентов, восприятие угроз и эффективность защитных мер». В основу работы легли ответы 1000 действующих ИТ- и ИБ-специалистов, руководителей ИТ/ИБ и ТОП-менеджмента из организаций разных отраслей и размеров инфраструктуры. Опрос проводился с февраля по декабрь 2025 года в пяти федеральных округах РФ: СФО, УрФО, ПФО, СЗФО и ЦФО.

Восприятие угроз и реальная статистика инцидентов

Исследование показывает заметный разрыв между восприятием угроз, реальной статистикой инцидентов и уровнем внедрения защитных инструментов. В рейтинге наиболее опасных способов кибератак респонденты поставили на первые места социальную инженерию — 48%, фишинг — 47% и ошибки персонала — 43% ответивших. Однако в фактической статистике произошедших инцидентов лидируют атаки вредоносных программ — 51%, фишинг — 49% и ошибки персонала — 45% опрашиваемых. Это подтверждает, что пользовательские действия, почтовые каналы и эксплуатация человеческого фактора остаются ключевой зоной риска для российских организаций.

С ростом масштаба ИТ-инфраструктуры меняется и профиль угроз. В организациях размером до 250 ПК заражения вредоносным ПО фиксировали 47% респондентов, а в инфраструктурах свыше 5000 ПК — уже 59%. Фишинг растёт ещё сильнее: с 37% в малом сегменте до 67% в Enterprise-инфраструктурах. Доля инцидентов, связанных с социальной инженерией, также увеличивается: с 21% в организациях до 250 ПК до 40% в сегментах 1000 — 4999 ПК и свыше 5000 ПК.

Практика расследований

Отдельный блок исследования посвящён расследованию инцидентов. В 2025 году 77% респондентов сообщили, что по факту выявленного киберинцидента расследование проводилось, 20% признали, что инцидент не расследовали, ещё 3% указали, что расследование продолжается. При этом эффективность расследований остаётся ограниченной: только в 50% случаев удалось установить и способ атаки, и виновника; в 39% специалисты нашли только «как» произошла атака, но не нашли «кто» за ней стоял; в 11% случаев расследование не дало результата.

Защитные меры: факт и планы

Исследование также фиксирует технологическую неоднородность защитных контуров. Наиболее распространёнными средствами снижения риска утечек стали организационные меры — 79% и шифрование каналов/данных, включая VPN, — 74% опрошенных. Усиленную аутентификацию, IDM и PKI используют 46% респондентов, столько же применяют средства защиты от несанкционированного доступа. NGFW задействуют 38%, DLP — 32%, SIEM — 25%, WAF — 22%, PAM — 21%. При этом класс EDR/XDR-решений применяют только 13%, а MDM-системы — 6%.

В Enterprise-сегменте картина значительно отличается: среди организаций с парком свыше 5000 ПК NGFW используют 78% респондентов, DLP — 69%, SIEM — 60%, WAF — 52%, PAM — 47%, EDR/XDR — 43%. Это показывает, что крупные инфраструктуры быстрее переходят к многослойной модели защиты, включающей мониторинг, корреляцию событий, контроль привилегий и аналитику конечных точек.

В горизонте ближайших 1-2 лет приоритетами заказчиков остаются организационные меры — 36%, SIEM — 33%, NGFW и DLP — по 24%, PAM — 22%, EDR/XDR — 18%. Эти данные позволяют оценить не только текущую зрелость рынка, но и будущую структуру спроса на ИБ-решения.

Роль ИИ в совершенствовании защиты от киберинцидентов

Финальная часть исследования посвящена ожиданиям профессионального ИТ/ИБ-сообщества от использования нейросетевых моделей в корпоративном контуре кибербезопасности. Участники опроса демонстрируют сдержанный оптимизм в отношении потенциала ИИ для снижения рисков утечек. Абсолютное большинство (44%) настаивают на обязательном участии человека в анализе инцидентов, воспринимая искусственный интеллект лишь как усилитель возможностей SOC и служб ИБ. Лишь 21% уверены, что внедрение ИИ однозначно приведёт к существенному снижению рисков, а почти четверть (24%) не ожидают заметного влияния в горизонте 2-3 лет.

Подавляющее большинство (69%) респондентов считают наиболее реалистичным сценарием на ближайшие три года не замену офицера безопасности ИИ, а симбиоз нейросетевых технологий и ИБ-специалистов. Лишь 4% допускают полную замену ИБ-сотрудника системами с ИИ в таком временном горизонте. Отраслевой консенсус смещён в сторону распределения ролей и усиления существующих команд, а не радикальной автоматизации. ИИ воспринимается как драйвер повышения эффективности мониторинга и реагирования, но не как самостоятельный субъект, способный взять на себя управленческие и риск-ориентированные функции.

Полная версия исследования

Полная версия исследования представляет интерес для отраслевых редакций, поскольку содержит детальные срезы по размерам инфраструктур и отраслям: банки, госсектор, энергетика, промышленность, транспорт, здравоохранение, ритейл, образование и другие. В полной работе также доступны таблицы по каналам утечек, расследованиям, планам внедрения различного класса решений (DLP, SIEM, PAM, EDR/XDR, MDM) и отраслевым барьерам.

Источник: