На первый взгляд это может выглядеть как позитивная динамика, однако на практике происходит не снижение активности, а смещение рынка в менее заметные и более контролируемые для злоумышленников каналы. Когда утечки перестают публиковаться открыто, компаниям сложнее отслеживать инциденты через привычный мониторинг упоминаний, и в результате ущерб может обнаруживаться позже, уже после использования украденных данных в атаке. Это особенно опасно для организаций с большим количеством внешних пользователей, партнёрских кабинетов и интеграций, где компрометация одной записи может открыть путь к целой цепочке доступа.
Экспертно важно понимать, что сокращение видимых утечек может быть связано и с ужесточением ответственности, из‑за которого компании и посредники стараются не «светить» инциденты публично. Но для атакующей стороны это только плюс: теневая экономика данных становится более профессиональной, а значит, сроки между компрометацией и монетизацией сокращаются. Для рынка ИБ это означает рост спроса на threat intelligence, мониторинг даркнета и внутренние механизмы раннего обнаружения аномалий.
Что делать бизнесу: Настроить мониторинг закрытых каналов и даркнета, выстроить процессы раннего реагирования на сигналы об утечках, регулярно проверять доступы и пересматривать политику хранения чувствительных данных.
