Российский суд ограничился предупреждением, крупная утечка не привела к штрафу

Арбитражный суд рассмотрел дело об утечке данных с цифровой платформы «Инвестиционные проекты». Инцидент произошёл летом и получил заметный резонанс. Несмотря на масштаб компрометации информации, суд ограничился предупреждением для владельца сервиса, несмотря на новые законы о крупных штрафах за утечки данных.

Платформа агрегирует сведения об инвестиционных инициативах в России и странах Евразийского экономического союза. В середине августа она подверглась атаке со стороны хакерской группировки Cyber Anarchy Squad. Участники объединения заявляли о разрушении части инфраструктуры сервиса и похищении внутренней переписки, а также служебных файлов. Часть материалов позже появилась в открытом доступе.

После атаки ресурс оказался недоступен примерно неделю. Когда работа платформы была восстановлена, администрация провела массовый сброс паролей для всех пользователей системы. Процедура затронула все зарегистрированные аккаунты.

Согласно материалам судебного решения, компания ПКР Аналитика обратилась в правоохранительные органы 15 августа. При этом сам факт утечки обнаружили значительно позже. В документах указано, что компрометацию выявили примерно через 3 недели после взлома. После этого информация была направлена в Роскомнадзор.

В ходе разбирательства установили, что злоумышленники получили несанкционированный доступ к SQL-базе данных сайта. В ней находились сведения о представителях организаций. Среди раскрытых данных были имя, должность, номер телефона и электронная почта. В опубликованном массиве содержались записи примерно о 70 тыс. пользователях.

Подобный объём утечки подпадает под нормы административного законодательства. Поправки, вступившие в силу 30 мая, предусматривают отдельную ответственность за крупные инциденты. Если затронуто от 10 тыс. до 100 тыс. субъектов персональных данных, для компаний установлен штраф от 5 млн до 10 млн рублей.

Но итоговое решение оказалось мягче ожидаемого. Суд признал компанию ПКР Аналитика виновной в допущении утечки информации. Нарушение сочли серьёзным, поэтому освобождение от ответственности не рассматривалось. При этом учли, что подобный инцидент произошёл впервые. По этой причине суд назначил предупреждение вместо денежного штрафа.