В России суд назначил первый штраф по новым правилам за утечку клиентских данных

Российский суд впервые применил ужесточённые санкции за утечку персональной информации. Детская онлайн-школа «Ukids» получила штраф в размере 400 тыс. рублей после публикации базы клиентов. Новые нормы ответственности начали действовать 30 мая прошлого года. До этого большинство дел рассматривалось по старым правилам, где наказание обычно составляло около 60 тыс. рублей.

Инцидент связан с CRM-платформой «Битрикс24», через которую сотрудники школы работали с заявками, продажами и внутренними процессами. Злоумышленник получил доступ к данным системы, после чего база появилась в открытом доступе на Umbrella Forum. Через день о появлении архива сообщили аналитики канала True OSINT.

Согласно судебному документу опубликованный файл содержал около 500 тыс. строк с персональной информацией. В базе находились фамилии и имена клиентов, номера телефонов, адреса электронной почты и служебные комментарии из CRM. В этих записях фиксировались этапы взаимодействия с пользователями, например отметки о прохождении бесплатных курсов или статусах обработки заявок.

Компания обнаружила инцидент через 3 дня после публикации архива и 24 июня уведомила Роскомнадзор. При этом на своих ресурсах организация об утечке так и не сообщила.

Осенью регулятор начал административное расследование. По запросу ведомства школа передала дополнительные сведения о работе CRM-системы. В базе хранилось от 300 тыс. до 500 тыс. клиентских записей и более 900 профилей исполнителей. Платформа применялась для обработки заявок, управления продажами и координации внутренних процессов.

В ноябре представители Роскомнадзора провели проверку. Специалисты сопоставили данные из опубликованного архива с информацией в CRM. Совпадение подтвердилось, после чего принадлежность базы компании была признана установленной.

По действующим нормам штраф для организаций за утечку данных более чем 100 тыс. человек начинается от 10 млн рублей. Тем не менее суд назначил значительно меньшую сумму. Причина в том, что компания числится в реестре МСП как микропредприятие. Суд применил правило, позволяющее назначить наказание по нормам для должностных лиц. Минимальный размер такого штрафа составляет 400 тыс. рублей. Именно эту сумму и назначил суд.

В «1С-Битрикс» прокмментировали эту ситуацию:

«По нашему опыту, данные чаще всего крадут из-за простых ошибок пользователей: не включают 2FA, ставят везде одинаковые пароли, не меняют их, игнорируют средства защиты информации и неправильно настраивают доступы. Классическая схема — хакеры используют базы ранее слитых паролей от других сервисов, подставляют в атакуемую систему и при совпадении легко входят в нее.

Подобные утечки не связаны с ошибками самой платформы. Компания предоставляет все необходимые инструменты защиты. Рекомендуем обязательно использовать 2FA и другие встроенные меры», — Леонид Плетнев, бизнес-партнер по информационной безопасности в «1С-Битрикс».