ITRC: утечек данных в США стало больше

Компания ITRC сообщила, что количество утечек данных в США выросло на 5,4%. При этом жертв утечек данных стало меньше почти в пять раз.

Американская организация Центр ресурсов по борьбе с кражей персональных данных (Identity Theft Resource Center, ITRC), которая в этом году отмечает 20-летие работы по анализу утечек данных, выпустила ежегодный отчет о зафиксированных случаях компрометации конфиденциальных данных.

По данным ITRC, в 2025 году зарегистрировано 3322 случая компрометации данных в организациях США. Это на 5,5% больше, чем в 2024 году, когда было отмечено 3152 утечки данных. За пять лет количество утечек данных в США выросло на 79%.

Общее количество пострадавших от утечек данных в американских организациях сократилось почти на 80%: с 1,36 млрд в 2024 году до 278,8 млн в 2025 году. Аналитики объясняют это тем, что злоумышленники перешли от тактики «мега-утечек» к более эффективным, целевым атакам на источники данных. Кроме того, на статистику 2024 года сильно повлияли инциденты в компаниях Ticketmaster (560 млн пострадавших) и UnitedHealth (190 млн пострадавших).

Векторы атак

Согласно исследованию ITRC, почти 80% утечек данных, зарегистрированных в американских организациях в 2025 году, были спровоцированы кибератаками. Около 7% нарушений, приведших к компрометации данных, были вызваны системными и человеческими ошибками. Примерно 2% инцидентов вызвали атаки на физические носители данных. Более 4% утечек данных связаны с атаками на цепочки поставок.

Изменение рисков и новые цели

В 2025 году продолжился рост атак на цепочки поставок. В ITRC отмечают, что за пять лет количество подобных инцидентов увеличилось на 30%. В то же время второй год подряд фиксируется снижение количества атак с использованием вирусов-вымогателей. Это объясняется изменением тактики хакерских группировок: киберпреступники переходят от шифрования данных к их прямой краже.

Чаще всего от утечек данных в 2025 году страдал финансовый сектор США, на который пришлось 22,2% инцидентов, связанных с компрометацией данных. На втором месте сфера здравоохранения с долей 16,1%. Третье место заняла сфера профессиональных услуг (юристы, бухгалтера, консультанты и т.д.). Здесь наблюдался наибольший рост количества атак. В отрасли профуслуг зарегистрировано 14,4% всех утечек данных. За пять лет количество утечек в ней выросло на 162%.

Кризис «без комментариев»

ITRC отмечает тревожную тенденцию: прозрачность утечек данных находится под угрозой. Если еще в 2020 году почти все организации, пострадавшие от компрометации данных, предоставили подробную информацию о причинах инцидентов, то в 2025 году это сделали только 30%. Такая скрытность означает, что потребители и другие организации, подверженные риску, совершенно не осведомлены о том, что произошло, и как они могут защитить себя от подобных атак.

Старые данные по-прежнему опасны

Новая тенденция связана с использованием ранее скомпрометированных данных (Previously Compromised Data, PCD). Хакеры все чаще используют средства ИИ для «переупаковки» старых украденных записей с целью запуска новых атак, направленных, в частности, на кражу учетных данных и создание новых аккаунтов.

Кто платит за утечки информации

Киберриски прочно стали экономической проблемой. Почти 40% малых компаний перекладывают на потребителей свои затраты, связанные с устранением последствий утечки данных. Допустив инцидент, такие компании просто повышают цены на товары и услуги, чтобы компенсировать свои расходы. Тем самым киберриски разрастаются в инфляционную проблему национального масштаба.

Результаты опроса

В рамках 20-летия подготовки отчетов об утечках данных ITRC провел опрос среди 1040 потребителей. Им был задан вопрос: «Получали ли вы уведомление об утечке данных за последние 12 месяцев?». Исследование показало, что утечки данных - это практически повсеместный опыт для потребителей. Около 80% респондентов за последний год получали уведомления об утечках данных. При этом все чаще люди становятся жертвами серийных нарушений. Так, почти 40% опрошенных сообщили, что получали за 12 месяцев от 3 до 5 уведомлений об утечках информации.

Крупнейшие утечки данных

ITRC в своем отчете приводит пять крупнейших случаев компрометации данных в США за 2025 году. Самым разрушительным оказался инцидент на стороне образовательной платформы PowerSchool, в ходе которого, согласно заявлению компании, пострадали 71,9 млн человек. На втором месте по количеству жертв кибератака на телекоммуникационную компанию AT&T, приведшая к утечке данных почти 44 млн человек. На третьем месте страховая компания Aflac, потерявшая персональные данные 22,65 млн клиентов. На четвертой и пятой позициях по количеству пострадавших граждан расположились, соответственно, финансовая организация Prosper Funding (17,6 млн пострадавших) и поставщик бизнес-сервисов Conduent (около 14,8 млн пострадавших).