Project 101: в России кибератаки чаще, чем раньше, становятся причиной судебных тяжб, но почти никогда не освобождают от санкций

Авторы Telegram-канала Project 101 опубликовали масштабный обзор, посвящённый влиянию кибератак на судебные споры в 2022-2025 годах. Исследование охватывает более 100 разбирательств и раскрывает, как бизнес, юристы и судьи реагируют на сбои в ИТ-системах, утечку персональных данных и прерывание операций. Основное внимание уделено не только правовым последствиям, но и практикам построения защиты в условиях кризисных ситуаций, вызванных вмешательством в цифровую инфраструктуру.

Наибольшее количество дел касалось попыток компаний использовать факт кибервмешательства для снижения объёма санкций по договорам. Причиной обращения в суд становились сбои в работе сервисов, нарушение сроков передачи товаров, срыв коммуникации между сторонами. В теории киберинцидент может быть признан внешним событием, не зависящим от воли участника сделки. Но для этого нужны доказательства. Российская практика показывает: для судов важнее поведение компании, чем характер самой атаки.

Если организация пыталась спасти ситуацию и выполнила часть обязательств другими способами, у неё есть шанс. Если просто сослалась на технический сбой и замолчала, иск почти наверняка будет удовлетворён.

В материалах дел суды последовательно отказываются воспринимать сбои в системах как причину прекращения обязательств. Особенно это заметно в спорах между поставщиками и заказчиками, где контракты не предусматривали особых условий на случай цифрового вмешательства.

Ещё одна группа дел касается персональных данных. В отчёте показано, что ни один суд не признал киберинцидент причиной, снимающей ответственность за утечку.

Даже если компания заявляла о внешнем вторжении, суды интересовались другим — как были выстроены меры защиты, велась ли профилактика, существовала ли стратегия предотвращения. В большинстве случаев организациям вменялась пассивность. Были ситуации, где доступ к данным получали бывшие сотрудники, подрядчики или внешние лица через простейшие уязвимости.

В отчёте отмечены конкретные примеры. Один из провайдеров проиграл спор после того, как суд установил, что системные сбои можно было обойти вручную. В другом деле компания не смогла объяснить, почему резервные каналы связи не использовались при сбое. В случае с крупным онлайн-ресурсом клиент доказал, что утрата доступа к сайту была критична, но суд выяснил, что клиенты могли оформить заказы по телефону и через другие каналы, и иск о компенсации остался без удовлетворения.

В финансовой части, по словам аналитиков, большинство компаний могут рассчитывать на возмещение только прямых расходов — оплату специалистам, покупку оборудования, восстановление систем. Упущенная выгода почти всегда отклоняется судами. Чтобы её подтвердить, нужно показать, что прибыль нельзя было получить никак иначе, кроме как через пострадавший канал. Так, компания, чьи продажи пострадали из-за взлома сайта, не смогла доказать, что звонки в офис не компенсировали потерю заказов. В подобных делах важна аналитика клиентского поведения, статистика обращений и выводы экспертов.

С полной версией отчета можно ознакомиться по этой ссылке.

Авторы: Илья Башкиров и Игорь Линич, Telegram-канал Project 101.