Информационная безопасность в ритейле и FMCG: риски, требования и практическая защита данных в 2026 году — Контур.Эгида

Информационная безопасность в ритейле и FMCG: риски, требования и практическая защита данных в 2026 году

29 мая 2026

Кибератака для ритейла может привести к остановке касс, простоям фур, списанию тонн испорченных продуктов. А это пустые полки и потеря выручки. Если вдобавок утекли персональные данные, еще и к штрафам. При этом формальное соблюдение 152-ФЗ или настройка «по чек-листу из интернета» не защищают от реальных атак. В статье разбираем, какие киберугрозы для ритейла критичны в 2026 году и как выстроить защиту, которая работает на практике.

Фотография Даниил Бориславский Даниил Бориславский Заместитель генерального директора по развитию продукта

Информационная безопасность в ритейле: влияние на выручку

Информационная безопасность в ритейле давно перестала быть задачей только защиты персональных данных. В 2026 году это уже вопрос устойчивости бизнеса: насколько быстро компания сможет продолжать продажи, обрабатывать платежи и обслуживать клиентов после потенциальной атаки.

Цифровая трансформация торговли расширяет поверхность атаки. Интернет-магазины, мобильные приложения, программы лояльности, интеграции с маркетплейсами и платежными сервисами — каждая такая система становится возможной точкой входа для злоумышленника. В FMCG-сетях к этому добавляются распределенная инфраструктура и большое количество сотрудников с доступом к системам.

Важно понимать: под угрозой не только данные, но и сами бизнес-процессы. Что в первую очередь становится целью атак:

  • персональные данные покупателей и контрагентов;
  • платежные данные и операции (в контексте PCI DSS требований для ритейла);
  • внутренние системы — кассы, склад, логистика;
  • коммерческие и маркетинговые данные (цены, акции, аналитика).

Но ключевой риск — не сам факт компрометации данных, а последствия для бизнеса.

Инцидент Что происходит Последствия

Утечка базы клиентов

данные попадают к третьим лицам

штрафы по 152-ФЗ, имиджевые риски

Атака на кассы или POS

остановка продаж

прямая потеря выручки

Взлом интернет-магазина

недоступность заказов

потеря выручки в онлайн-канале

Шифрование данных (ransomware)

блокировка систем

простой всей сети

Кроме того, последствия могут быть в виде штрафов со стороны регуляторов. Защита персональных данных в ритейле по 152-ФЗ — это не формальность: проверки Роскомнадзора и новые штрафы за ненадлежащую защиту персональных данных в 2026 году напрямую влияют на финансовый результат. При этом большинство нарушений связано не со «сложными атаками», а с отсутствием системной работы: нет модели угроз, не настроено разграничение прав доступа, отсутствует аудит, не используются нужные ИБ-инструменты.

В результате возникает ситуация: формально требования соблюдены, но кибербезопасность ритейла остается под вопросом.

Именно поэтому сегодня цель ритейла — не просто соответствие требованиям, а обеспечение устойчивости бизнеса: чтобы даже при атаке системы продаж, платежей и обслуживания клиентов продолжали работать или быстро восстанавливались.

Что нужно защищать: ключевые данные и системы ритейла

Когда говорят об информационной безопасности в ритейле, чаще всего имеют в виду защиту персональных данных. На практике зона ответственности шире: в одной инфраструктуре одновременно обрабатываются ПДн, платежная информация, данные адресного хранения, учета и другие критичные для бизнеса операционные данные. Ошибка в любой из этих зон приводит к инциденту.

Персональные данные и клиентские базы

Это основа большинства процессов: от оформления заказа до программ лояльности. В интернет-магазинах и офлайн-точках обрабатываются ФИО, контакты, истории покупок, иногда — поведенческие данные.

Риски здесь двойные:

  • утечка персональных данных в ритейле → штрафы и проверки Роскомнадзора;
  • компрометация базы → потеря клиентов и репутации.

Отдельная проблема — работа с подрядчиками (это может затрагивать, например, маркетинг, работу в CRM, рассылки и так далее), где контроль доступа может оставаться формальным.

Платежные данные и транзакции

Любая работа с картами — это зона требований PCI DSS (Payment Card Industry Data Security Standard). Даже если компания не хранит платежные данные клиентов, она обязана обеспечить безопасность платежных операций и интеграций.

Ключевые риски:

  • перехват данных при передаче;
  • компрометация платежных шлюзов;
  • атаки на POS и сервисы онлайн-оплаты.

Здесь важна не только защита, но и подтвержденное соответствие — без этого невозможна нормальная работа с платежными системами.

Коммерческие и маркетинговые данные

Эта категория данных тоже напрямую влияет на прибыль.

Сюда могут входить:

  • стратегии ценообразования;
  • акции и скидки;
  • аналитика продаж;
  • сегментация клиентов.

Утечка таких данных ударит уже по конкурентоспособности всей компании.

Во всех трех зонах ключевой риск — неконтролируемый доступ к данным. Если в организации нет разграничения прав доступа в розничных ИС и журналирования действий, защита данных покупателей остается формальной.

Основные киберугрозы для ритейла в 2026 году

Киберугрозы развиваются быстрее, чем сами системы защиты. На практике злоумышленникам часто проще атаковать не инфраструктуру «целиком», а конкретные системы и бизнес-процессы: оплату, интернет-заказы, клиентские базы или интеграции с подрядчиками.

Вот несколько примеров «направлений», в которых действуют злоумышленники:

  1. Кража баз и целевые атаки. Торговые сети остаются одной из главных целей: базы клиентов и программы лояльности легко монетизируются. Такие инциденты могут оставаться незамеченными вплоть до момента появления данных в открытом доступе.
  2. Фишинг и атаки через сотрудников. Возможный сценарий компрометации — не взлом системы, а «взлом» человека. Фишинг, поддельные письма от партнеров, компрометация учетных записей — все это позволяет обойти даже хорошо настроенную инфраструктуру.
  3. Ransomware и остановка операций. Атаки с шифрованием данных — один из самых болезненных сценариев для ритейла. Их цель — не украсть данные, а остановить работу.
  4. Уязвимости e-commerce и онлайн-оплаты. Безопасность электронной коммерции — отдельная зона риска. Интернет-магазины, API, интеграции с маркетплейсами и платежными агрегаторами часто становятся точкой входа.

Где чаще всего происходят инциденты

1. Кассы, POS и платежные системы

Это одна из самых уязвимых зон в ритейле. Причина — распределенность и большое количество устройств.

Возможные проблемы:

  • устаревшее ПО на кассах и mPOS;
  • отсутствие контроля целостности;
  • слабое журналирование доступа к платежным данным;
  • единые учетные записи на точках.

2. Интернет-магазины и интеграции

Безопасность электронной коммерции — одна из самых сложных зон: здесь слишком много точек входа.

В зоне риска остаются:

  • формы заказа и личные кабинеты;
  • API и интеграции с CRM, складами, доставкой;
  • платежные агрегаторы и маркетплейсы.

3. Подрядчики и доступы

Один из самых недооцененных рисков. Маркетинговые агентства, разработчики, интеграторы получают доступ к системам, но:

  • доступы выдаются без ограничений по времени;
  • отсутствует контроль действий;
  • учетные записи не отключаются после завершения работ.

Именно через такие каналы происходят многие кибератаки на торговые сети.

Требования: что обязательно по 152-ФЗ, ФСТЭК и PCI DSS

В ритейле требования к информационной безопасности формируются сразу из нескольких источников: законодательства РФ и отраслевых стандартов. Игнорировать их не получится — это вопрос не только соответствия, но и возможности вести бизнес.

152-ФЗ и ИСПДн: что требуется на практике

Любой интернет-магазин или торговая сеть, работающая с персональными данными, подпадает под требования 152-ФЗ. Формально это касается защиты ПДн, фактически — выстраивания всей системы работы с данными.

Базовый набор требований включает:

  • определение и описание процессов сбора и обработки ПДн;
  • разработку локальных нормативных актов (политика, согласия, регламенты);
  • категорирование информационных систем персональных данных (ИСПДн);
  • выбор и внедрение мер защиты под уровень защищенности;
  • уведомление Роскомнадзора об обработке персональных данных.

На практике могут «проваливаться» четыре зоны:

  1. Категорирование ИСПДн — либо не проводится, либо делается формально.
  2. Модель угроз — отсутствует или не отражает реальные риски.
  3. Контроль доступа — права выданы бессистемно, а не по принципу минимальных привилегий.
  4. Документы по обработке персональных данных — отсутствуют, не обновляются или не соответствуют реальным процессам.

Отдельный вопрос — аттестация ИСПДн. Она обязательна не для всех систем, но отсутствие понимания, когда она нужна, — еще одна возможная причина проблем при проверках.

PCI DSS: требования к платежной безопасности

Если компания обрабатывает платежные данные, она подпадает под требования PCI DSS. Это международный стандарт, который регулирует безопасность платежных данных и транзакций.

Ключевые требования PCI DSS для ритейла:

  • защита платежных данных при хранении и передаче;
  • шифрование каналов связи;
  • контроль и журналирование доступа к данным;
  • регулярные проверки и аудит безопасности.

Важно: даже при использовании внешних платежных шлюзов ответственность полностью не снимается. Ритейлер обязан контролировать интеграции и доступы.

Соответствие требованиям — это не «галочка для проверки», а базовый уровень защиты. Но само по себе соответствие не гарантирует безопасность — если технические меры реализованы формально, система остается уязвимой.

Как защищать: базовый набор технических мер

Чтобы кибербезопасность в ритейле действительно была на высоком уровне, технические меры должны закрывать не отдельные требования, а реальные сценарии атак: доступ к данным, их утечку и нарушение работы систем.

Ниже — базовый набор, без которого защита данных покупателей и платежной информации остается декларативной.

Ключевые меры защиты

1. Шифрование данных

Используется для защиты персональных и платежных данных при передаче и хранении. Критично для соответствия 152-ФЗ и PCI DSS, особенно в интернет-магазинах и при работе с платежными шлюзами.

2. Разграничение прав доступа

Это основа безопасности любой системы: сотрудник должен иметь доступ только к тем данным, которые нужны для работы.

Возможная ошибка здесь — избыточные права:

  • кассиры видят больше, чем нужно;
  • менеджеры имеют доступ к базам клиентов;
  • подрядчики получают полный доступ «на время проекта», который не закрывается.

3. Контроль и предотвращение утечек (использование DLP)

DLP-системы позволяют отслеживать и блокировать передачу данных через почту, мессенджеры и внешние носители. Это особенно важно для защиты баз данных клиентов и программ лояльности.

4. Двухфакторная аутентификация (2FA)

Закрывает один из частых сценариев атак — компрометацию учетных записей. Двухфакторная аутентификация обязательна для:

  • администраторов;
  • доступа к критичным системам;
  • удаленного доступа.

Что важно учитывать

Технические меры работают только как система. Отдельно настроенное шифрование или 2FA не спасают, если:

  • нет аудита действий пользователей;
  • не ведется журналирование доступа к персональным данным;
  • отсутствует регулярная проверка настроек.

Именно поэтому в практике ритейла все чаще используется комплексный подход — когда защита строится не из отдельных решений, а как единая система с учетом рисков, требований 152-ФЗ и специфики инфраструктуры.

Процессы и контроль: без них защиту не выстроить

Даже при наличии всех технических мер защиты информационная безопасность торговой компании остается под вопросом, если нет выстроенных процессов. Именно процессы обеспечивают устойчивость системы, а не отдельные инструменты.

Что должно быть в основе

Политика информационной безопасности

Это не формальный документ, а набор правил, по которым работает организация:

  • кто и к чему имеет доступ;
  • как обрабатываются персональные данные;
  • как действовать при инциденте.

Без этого невозможно обеспечить соответствие 152-ФЗ и пройти проверку Роскомнадзора.

Модель угроз и оценка рисков

Позволяют понять, какие киберугрозы в ритейле действительно актуальны для конкретной компании. Без этого защита строится «вслепую» — внедряются меры, которые не закрывают реальные риски.

Обучение сотрудников

Большая часть атак проходит через людей. Даже базовые сценарии — фишинг или передача доступа — закрываются только регулярным обучением и контролем знаний и навыков сотрудников.

Аудит и регулярная проверка

Аудит информационной безопасности в ритейле — это не разовое мероприятие, а постоянный процесс:

  • проверка настроек;
  • контроль соответствия требованиям;
  • выявление уязвимостей.

Именно на этом этапе может обнаружиться, что формально внедренные меры не работают.

В итоге задача ИБ-команды в ритейле — не просто внедрить меры, а обеспечить их постоянную работу. Это требует системного подхода: от построения и обновления модели угроз до регулярного аудита и контроля действий пользователей.

Инциденты и штрафы: что делать при утечке

Утечка данных в ритейле — уже не теоретическая угроза, а подтвержденный отраслевой риск. По данным F6, в первом квартале 2026 года ритейл и интернет-магазины стали лидерами по числу новых публикаций утекших баз данных российских компаний; всего за этот период аналитики зафиксировали 68 новых случаев публикации утечек, а в одной из них в открытый доступ попали сразу 96 млн строк пользовательских данных.

Что делать при утечке: рабочий сценарий

Критическая ошибка — тянуть с реакцией или пытаться «разобраться потом». После изменений в 152-ФЗ требования к уведомлению Роскомнадзора стали жестче: об инциденте с персональными данными необходимо сообщить в течение 24 часов, а результаты внутреннего расследования предоставить в течение 72 часов. Это напрямую влияет на ответственность за утечку персональных данных — и на санкции в случае невыполнения требований регулятора.

Базовый алгоритм реагирования при утечке:

  1. Зафиксировать инцидент. Ограничить доступ, изолировать скомпрометированную систему, остановить утечку.
  2. Понять масштаб. Определить, какие данные затронуты: персональные, платежные, служебные; сколько записей «утекло», какие системы пострадали.
  3. Уведомить регулятора. При утечке ПДн — Роскомнадзор. Важно соблюдать сроки и корректно описывать инцидент.
  4. Провести внутреннее расследование. За счет чего произошел инцидент: ошибка доступа, уязвимость, действия сотрудника.
  5. Закрыть уязвимость и восстановить процессы. Иначе инцидент может повториться.

Штрафы и последствия

Штрафы за утечку персональных данных в ритейле с 2025 года значительно выросли и теперь напрямую зависят от масштаба инцидента.

Ключевые цифры (для юрлиц):

  • базовые нарушения обработки ПДн — 150 000–300 000 ₽, повторно — до 500 000 ₽;
  • отсутствие уведомления Роскомнадзора — 100 000–300 000 ₽;
  • неуведомление об утечке — 1–3 млн ₽.

Штрафы именно за утечки (в зависимости от масштаба):

  • 1 000–10 000 записей — 3–5 млн ₽;
  • 10 000–100 000 записей — 5–10 млн ₽;
  • более 100 000 записей — 10–15 млн ₽.

Дополнительно появились оборотные штрафы — до 3% выручки, если утечка признана масштабной.

На практике при разборе инцидентов внимание уделяется не только самой утечке, но и тому, какие меры защиты были внедрены у оператора персональных данных: есть ли модель угроз, контроль доступа, аудит и актуальные документы по обработке ПДн.

Несмотря на то, что штрафы за утечку персональных данных в ритейле в 2026 году становятся ощутимыми, это не единственный риск. Что еще может действительно ударить по бизнесу:

  • остановка продаж и процессов;
  • потеря клиентской базы;
  • снижение доверия и повторных покупок;
  • дополнительные расходы на восстановление.

Важно: большинство штрафов и санкций — это следствие не самой утечки, а отсутствия должного уровня защиты и реагирования, а также нормативных документов. То есть проблема возникает задолго до инцидента. На практике нарушения во многом схожи:

  • отсутствует корректная политика обработки персональных данных интернет-магазинов;
  • не оформлено или некорректно размещено согласие на обработку персональных данных;
  • нет категорирования ИСПДн или оно формальное;
  • доступ к базе клиентов не ограничен и не контролируется;
  • не ведется журналирование доступа к персональным данным.

Именно такие вещи чаще всего выявляет проверка интернет-магазина Роскомнадзором, а не «сложные атаки».

Как внедрить ИБ в ритейле: краткий план

Возможная ошибка — пытаться выстроить кибербезопасность в ритейле через отдельные инструменты: антивирус, DLP, 2FA или защиту сетевого периметра, без единой системы процессов и контроля. Однако без системного подхода это не работает.

Этап 1. Понять, что происходит с данными

Нужно ответить на базовые вопросы:

  • какие данные обрабатываются;
  • где они хранятся (сайт, CRM, кассы, облака);
  • кто имеет к ним доступ.

Без этого невозможно ни соблюсти требования 152-ФЗ для интернет-магазина, ни выстроить защиту.

Этап 2. Зафиксировать правила

Формируются:

  • политика обработки персональных данных;
  • регламенты доступа;
  • модель угроз в области защиты персональных данных для интернет-магазина;
  • локальные нормативные акты.

Это база для соответствия и для реальной управляемости процессов.

Этап 3. Настроить техническую защиту

На этом этапе внедряются меры:

  • шифрование персональных данных;
  • разграничение прав доступа в системах;
  • двухфакторная аутентификация;
  • DLP-системы для защиты ритейла.

Важно: меры должны соответствовать рискам, а не просто «быть внедрены».

Этап 4. Обучить людей и проверить систему

Даже правильно настроенная система ломается через сотрудников. Поэтому:

  • проводится обучение (фишинг, работа с доступами);
  • проверяются сценарии атак;
  • настраивается контроль действий.

Этап 5. Ввести регулярный аудит

Аудит информационной безопасности ритейла — это постоянный процесс:

  • проверка на соответствие 152-ФЗ;
  • оценка ИБ-рисков в ритейле;
  • актуализация модели угроз;
  • контроль изменений в инфраструктуре.

Ключевая идея здесь в том, что информационная безопасность торговой компании — это не разовый проект, а совокупность процессов. Если после внедрения система не проверяется и не развивается, через несколько месяцев она перестает соответствовать реальным угрозам.

Чек-лист самопроверки

Этот чек-лист — быстрый способ понять, есть ли у вас базовый уровень информационной безопасности в ритейле или защита существует только «на бумаге».

Документы и соответствие требованиям

Проверьте, есть ли и актуальны ли:

  • политика обработки персональных данных;
  • согласие на обработку ПДн (корректно оформлено и размещено);
  • уведомление Роскомнадзора об обработке персональных данных;
  • категорирование ИСПДн и определен уровень защищенности;
  • модель угроз;
  • локальные нормативные акты по доступам и работе с данными и в информационных системах.

Если хотя бы часть отсутствует — при проверке Роскомнадзора это будет прямым нарушением 152-ФЗ.

Техническая защита и доступы

Минимальный уровень, который должен быть реализован:

  • настроено шифрование персональных данных при передаче и хранении;
  • есть разграничение прав доступа в розничных ИС;
  • включена двухфакторная аутентификация для критичных доступов;
  • ведется журналирование доступа к персональным данным;
  • защищены кассовые терминалы и платежные системы;
  • контролируются интеграции с интернет-магазином и внешними сервисами.

Если доступы не ограничены и не контролируются — защита данных покупателей фактически отсутствует.

Процессы и управление

Даже при наличии документов и систем важно, как это работает:

  • сотрудники понимают, как работать с данными и доступами;
  • есть регламент действий при инцидентах;
  • доступы подрядчиков ограничены и регулярно пересматриваются;
  • проводится аудит информационной безопасности ритейла;
  • регулярно проверяется соответствие 152-ФЗ и PCI DSS.

Если процессы не выстроены, защита не масштабируется и не выдерживает реальных атак.

Быстрая самодиагностика

С высокой долей вероятности текущий уровень кибербезопасности в ритейле не соответствует рискам 2026 года, если у вас:

  • доступы выданы «по удобству»;
  • нет регулярного аудита;
  • документы не обновлялись больше года.

Заключение

Киберугрозы в ритейле влияют не только на IT-системы, а на выручку и устойчивость всего бизнеса. Формальное соответствие требованиям не защищает — работает только системный подход: от модели угроз до контроля доступа и регулярного аудита. Если защита не пересматривается и не проверяется, она устаревает быстрее, чем появляются новые атаки.

Фотография Даниил Бориславский Даниил Бориславский Заместитель генерального директора по развитию продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться