X5 увеличила расходы на цифровую безопасность в 2025 году на 22%

Согласно годовому отчету, в 2025 году группа X5 направила на обеспечение цифровой безопасности 1,617 млрд рублей. Это на 22% превышает аналогичные расходы 2024 года, составившие 1,327 млрд рублей.

Кибербезопасность — один из главных рисков

«В 2025 году с учётом усиления контроля и автоматизации в ритейле ожидается смещение рисков в сторону технологических. Повышение автоматизации процессов (кассовые системы, системы учёта, видеонаблюдение) и внедрение ИИ для мониторинга поведения клиентов и предотвращения потерь снижают риски человеческой ошибки и мошенничества, но вместе с тем увеличивают риски, связанные с кибербезопасностью и сбоями систем», — отмечается в отчете.

В X5 напоминают, что в 2025 году был зафиксирован рост успешных кибератак на российские компании (перечисляются «Винлаб», «Аэрофлот», «Лукойл», «Верный» и т. д.), и добавляют, что сама X5 активно внедряет омниканальные технологии, что увеличивает площадь атаки и сложность управления системами, повышая риск сбоев и уязвимостей.

В качестве мер, снижающих риски кибербезопасности, в отчете приводятся следующие: применение всех необходимых регламентов и процедур, инструментов, оборудования и программ для обеспечения конфиденциальности, целостности и доступности информационных активов, усиление команды подразделения кибербезопасности для повышения киберзащищенности компании в текущих условиях.

В 2024 и 2025 годах риски, связанные с кибербезопасностью, в X5 не были реализованы, утверждается в отчетах за соответствующие годы.

Еще одним риском в X5 считают невыявление и непредотвращение случаев нарушения правил, требований и стандартов конфиденциальности, влекущие за собой несанкционированное раскрытие конфиденциальной информации потребителей. В 2025 году существенно увеличили штрафы за нарушения при обработке персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ), отмечается в отчете.

Минимизации этого риска компания достигает через «регулярное информирование руководства и соответствующих комитетов о результатах реализации программ в области конфиденциальности и безопасности данных, совершенствование нормативно-правового контроля на уровне всего бизнеса путём непрерывного анализа внутренних процессов, включающего в себя оценку и мониторинг рисков».

ИБ-приоритеты X5

За кибербезопасность и защиту данных в X5 отвечает департамент информационной безопасности (ДИБ), входящий в блок «Безопасность». Департамент выстраивает систему защиты на основе анализа рисков, требований регуляторов, локальных и международных стандартов, а также лучших отраслевых практик. Ключевые задачи департамента включают: централизованный мониторинг киберугроз и реагирование на инциденты, сопровождение безопасного внедрения новых технологий и ИТ-систем, противодействие мошенничеству в программах лояльности, методологическую поддержку бизнес-процессов, управление проектами в области кибербезопасности, а также развитие криптографических средств и сопровождение собственного аккредитованного удостоверяющего центра.

Основное внимание в 2025 году, согласно отчету, было сфокусировано на взаимодействии с контрагентами и партнёрами, защите персональных данных и управлении рисками при использовании технологий искусственного интеллекта.

Выбор этих направлений связан с технологическими приоритетами — ростом объёмов обрабатываемых данных и расширением использования аналитических и ИИ-решений в операционной деятельности.

В рамках организационной трансформации в 2025 году команда ИБ-департамента обеспечила экспертизу по кибербезопасности на всех ключевых этапах жизненного цикла ИТ-инициатив. Это позволило сократить срок вывода решений на рынок и одновременно снизить остаточный уровень киберрисков при внедрении новых систем и изменении существующей инфраструктуры, отмечается в отчете.

Команда кибербезопасности Х5 выступает инициатором и заказчиком доработок для коммерческих отечественных решений и средств защиты, что позволяет адаптировать их под масштаб и специфику бизнеса. Параллельно ДИБ развивает собственные технологические решения для повышения эффективности процессов мониторинга, анализа инцидентов и управления киберрисками, сказано в отчете.