Апелляционный суд отменил штраф РЖД за утечку данных 17 млн строк, сославшись на кибератаку
Девятый арбитражный апелляционный суд отменил штраф в 150 тысяч рублей, назначенный РЖД за утечку персональных данных. Ранее Роскомнадзор обнаружил в открытых Telegram-каналах базу данных сотрудников компании объемом более 17 миллионов строк, после чего суд первой инстанции признал РЖД виновным по ч. 1 ст. 13.11 КоАП РФ.
В апелляции представители РЖД заявили, что утечка стала следствием целенаправленной кибератаки, по факту которой возбуждено уголовное дело. В компании настаивали, что доступ к данным был получен третьими лицами с использованием специализированного ПО, и речь идет не о халатности, а о взломе.
Как отмечает Алексей Лукацкий, бизнес-консультанта по информационной безопасности Positive Technologies, в своем Telegram-канале, ключевым в решении апелляции стал отказ от автоматического приравнивания факта утечки к вине компании. Суд указал, что в административном праве действует презумпция невиновности, и регулятор обязан доказать, какие именно обязательные меры не были реализованы оператором и как это повлияло на утечку. Поскольку было установлено внешнее преступное вмешательство, а расследование уголовного дела о взломе не завершено, делать вывод о вине оператора преждевременно.
«Суд не оправдал утечку. Он просто напомнил, что в России пока нет модели строгой ответственности «утекло — значит виноват», хотя РКН и пытается ее навязать своими действиями. Чтобы оштрафовать, нужно доказать вину, — комментирует эксперт. — РЖД доказывало не позицию «мы не виноваты», а то, что компания приняла все разумные меры».
Вместе с тем Лукацкий обращает внимание, что данное решение не означает, что теперь любую утечку можно списать на хакеров. Если у компании отсутствует модель угроз, не внедрены обязательные меры защиты, нет регламентов и регистрации событий ИБ, ссылка на «внешнюю атаку» не спасет от ответственности.
«В российской судебной практике часто действует логика: «Раз взломали, значит плохо защищали». Апелляция в данном деле развернула систему назад к тому, как и должна работать правовая система, — отмечает эксперт. — Компания обязана быть добросовестной, а не неуязвимой. Это сигнал для бизнеса: зрелость ИБ — это еще и способность доказать, что ты сделал все разумное».
По мнению Лукацкого, данное решение коррелирует с практикой кибериспытаний, когда компания выстраивает защиту в соответствии с моделью нарушителя. Если взлом осуществлен хакерами уровня, превышающего заявленный в модели, и компания предприняла все разумные меры, претензии к ней могут быть неправомерны.
Эксперт также выразил интерес, станет ли эта история устойчивой линией судебной практики или останется единичным кейсом, связанным с именем ответчика.
Ранее SecPost писал о назначении Арбитражным судом Москвы штраф в отношении АО «РЖД» в размере 150 тыс. рублей за нарушение законодательства о персональных данных.
Читайте также
