Дочку «Орион Телекома» наказали предупреждением после утечки данных 4,2 тыс. абонентов — суд не увидел вреда для абонентов

Арбитражный суд Кемеровской области вынес решение по делу телеком-компании «Комлайн», входящей в группу компаний «Орион». Компанию обвиняли в нарушении законодательства в области персональных данных — из-за хакерской атаки в общем доступе оказались ФИО, серии и номера паспортов, даты рождения и адреса абонентов. Общий масштаб утечки в «Комлайн», по подсчетам управления Роскомнадзора по Кемеровской области, составил 4,2 тысячи строк. Компании грозил штраф в размере до 5 млн рублей, но Арбитражный суд вынес наказание в виде предупреждения, следует из судебной документации.

Атака на «Комлайн» произошла в День России, 12 июня 2025 года. В судебной документации фиксируются уведомления от компании в адрес Роскомнадзора касательно атаки. В первом уведомлении «Комлайн» сообщал РКН, что в результате DDoS-атаки неустановленные лица получили доступ к персональным данным абонентов. Позднее, 30 июля, «Комлайн» уведомил РКН, что оператором «был установлен факт того, что ранее скомпрометированные данные были выгружены в открытом доступе».

О результатах судебного разбирательства в отношении «Комлайна» пресс-служба «Орион» писала ещё в середине апреля: из заявления следовало, что «речь шла о потенциальной утечке ПДн». Компания также заявила, что суд вынес предупреждение.

«Было учтено, что компания систематически вкладывает средства в совершенствование системы информационной безопасности и предпринимает существенные меры для защиты своей инфраструктуры», — следовало из заявления компании.

Автор Telegram-канала «Кибервойна» Олег Шакиров обратил внимание, в судебной документации приводится иная оценка уровня защищенности «Комлайна». Из неё следовало, что общество «Комлайн» «крайне пренебрежительно относилось к требованиям информационной безопасности». Также суд заявлял, что в компании не меняли своевременно пароли учетных записей, не деактивировали учётные записи уволенных сотрудников, использовали ПО с критическими уязвимостями и применяли некорректную конфигурацию системы безопасности в ОС. Всё это «создавало угрозу утечки персональных данных большого количества пользователей». 

Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий подчеркнул разницу между официальным заявлением «Ориона» касательно «Комлайна» и оценкой суда.

«Как говорится, почувствуйте разницу. Что сказал суд и как это интерпретировал «Орион-Телеком» у себя на сайте. На что они рассчитывали, когда этот отчет представляли суду? И самое главное, почему они откровенно лукавят у себя на сайте? Думают, что никто текст судебного решения не посмотрит?», — отметил эксперт. 

При выносе решения Арбитражный суд не нашёл в данном случае «причинения вреда жизни и здоровью людей», также отметив, что «Комлайн» относится к субъектам малого и среднего предпринимательства, а правонарушение произошло впервые. Руководствуясь в том числе этим, «Комлайн» получил наказание в виде предупреждения.

Отметим, что в Арбитражном суде сейчас рассматриваются другие дела об утечке персональных данных организаций, входящих в группу компаний «Орион». Разбирательства затронули головную организацию «Орион Телеком» и также входящую в группу «45 КА». Судебные процессы проходят в закрытом режиме.

SecPost обратился в пресс-службу «Орион Телеком» за комментарием. В компании не смогли прояснить, ожидают ли аналогичного решения по другим делам из-за атаки июня 2025 года, а также причин, по которым судебные разбирательства происходят в закрытом формате.

«В связи с тем, что суды еще продолжаются, мы не можем давать полноценные комментарии», — заявили в компании.

Ранее SecPost публиковал интервью с исполнительным директором «Орион Телеком» о кибератаке, которая произошла в июне 2025 года. Как утверждал руководитель, до июня 2025 года компания «не сталкивалась с такими масштабными атаками от слова совсем».