«Орион Телеком» избежал штрафа за утечку данных полумиллиона абонентов после атаки BO Team
Арбитражный суд Иркутской области вынес предупреждение оператору «Орион Телеком» за утечку персональных данных полумиллиона абонентов. Инцидент произошёл в июне 2025 года после атаки украинской группировки BO Team, которая опубликовала файл с похищенными данными. Это уже второе дело в группе «Орион», где суд назначает предупреждение — ранее аналогичное наказание получила дочерняя компания «Комлайн» за утечку 4,2 тыс. записей.
Арбитражный суд Иркутской области рассмотрел иск Роскомнадзора к оператору «Орион Телеком» из-за нарушения законодательства в сфере персональных данных — в июне 2025 года провайдер стал жертвой атаки BO Team, были похищены данные полумиллиона абонентов. «Орион Телекому» грозил штраф до десяти миллионов рублей, но суд назначил провайдеру наказание в виде предупреждения, следует из резолютивной части решения.
Атака на «Орион Телеком» произошла в июне 2025 года, её ущерб оценивали в 66 млн руб. Всё началось с DDoS-атаки в День России — из-за этого интернета лишились клиенты компании сразу в нескольких регионах. Как рассказал SecPost в интервью исполнительный директор «Орион Телекома» Денис Якунин, атаке предшествовала глубокая предварительная подготовка — и на День России пришлась кульминация. По словам Якунина, при июньской атаке «инфраструктура была отформатирована».
Ответственность за атаку взяла на себя украинская группировка BO Team. Хакеры опубликовали файл, в котором якобы были персональные данные почти полумиллиона клиентов оператора. «Орион Телеком» также публиковал уведомление о «возможной утечке персональных данных в результате кибератаки».
Роскомнадзор считал, что «Орион Телеком» повинен в нарушении согласно части 13 статьи 13.11 КоАП РФ. В этой части рассматриваются дела об утечках персональных данных в отношении от 10 тыс. до 100 тыс. субъектов либо от 100 тыс. до 1 млн идентификаторов. Компании грозил штраф в размере от 5 млн до 10 млн руб.
Арбитражный суд удовлетворил заявленное РКН требование — и назначил наказание в виде предупреждения.
Отметим, что при публикации файла, якобы содержащего утечки, BO Team «передала пас» Роскомнадзору, напомнив о повышенных штрафах за утечку персональных данных, которые начали действовать с 30 мая 2025 года.
SecPost писал, что ранее было вынесено решение касательно дочерней компании «Орион Телекома» — «Комлайн». Она также пострадала из-за атаки — в открытом доступе оказались данные 4,2 тыс. абонентов. Суд также выбрал наказание для компании в виде предупреждения.
Почти половина утечек персональных данных в России (44% за 2023–2025 годы) не повлекла штрафов для компаний, писал SecPost. Суды, как правило, ограничивались предупреждениями. Но с декабря 2025 года дела о нарушениях ПДн перешли от арбитражей к мировым судьям — юристы прогнозируют ужесточение практики.
