Как ОАО «РЖД» оспорило решение Роскомнадзора в апелляции: административная ответственность за утечку ПДн

Девятый арбитражный апелляционный суд вынес знаковое постановление, отменив штраф Роскомнадзора в отношении ОАО «РЖД». Несмотря на публикацию базы данных объемом 17 млн строк, компании удалось доказать в суде, что утечка стала следствием целенаправленной хакерской атаки, а не халатности оператора. Суд признал меры защиты компании достаточными, а выводы регулятора — преждевременными. Кибер Медиа разбирает, станет ли этот кейс «золотым стандартом» защиты для бизнеса.

Содержание

1. Судебный разворот
2. Хакерская атака как юридический фактор
3. Стандарт «добросовестного оператора»
4. Публичность или конфиденциальность
5. Внешнеполитический контекст
6. Последствия для рынка

Судебный разворот

В российском правовом поле дела об утечках ПДн долгое время напоминали игру в одни ворота. Логика регулятора и судов первой инстанции обычно была линейной: если данные оказались в публичном доступе, значит, оператор не обеспечил их сохранность и виновен. Однако недавнее постановление Девятого арбитражного апелляционного суда по делу № А40-263206/25 в отношении ОАО «РЖД» создало важный прецедент, который заставляет по-новому взглянуть на баланс ответственности между бизнесом и государством.

Редакция «Кибер Медиа» направила запрос в ОАО «РЖД» с просьбой прокомментировать судебное решение. На момент публикации ответ от компании не поступил.

Началось всё со стандартной процедуры. После появления в сети информации о компрометации данных, Роскомнадзор провел проверку, по итогам которой был составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ. Ведомство пришло к выводу, что компания допустила неправомерный доступ к информации, что привело к распространению ПДн миллионов пользователей.

Суд первой инстанции поддержал позицию регулятора. Аргументы строились на том, что сам факт утечки является достаточным доказательством неисполнения обязанностей по защите информации. Компании был назначен административный штраф, а инцидент пополнил статистику успешных взысканий за несоблюдение требований 152-ФЗ.

Настоящая сенсация произошла в апелляции. Суд не просто формально пересмотрел материалы, а детально погрузился в контекст ИБ-инцидента. Ключевым фактором стало то, что апелляционная инстанция разделила понятия «факт утечки» и «виновное бездействие».

Штраф был отменен по нескольким причинам:

• Наличие состава преступления. Суд учел наличие возбужденного дела по ст. 272 УК РФ. Если имел место неправомерный доступ извне, это подтверждает внешнее воздействие, а не халатность сотрудников.
• Презумпция добросовестности. РЖД доказали наличие комплексной системы ИБ, соответствующей требованиям ФСТЭК и ФСБ. Суд подчеркнул: закон требует от компании добросовестности, а не «абсолютной непробиваемости», которая технически невозможна.
• Недоказанность вины. В апелляции указано, что Роскомнадзор не конкретизировал, какие именно настройки или регламенты отсутствовали. «Преждевременные выводы» ведомства не стали достаточным основанием для наказания.

Для ИБ-директоров этот кейс — четкий сигнал: наличие аттестованных систем, оперативное взаимодействие с правоохранительными органами и фиксация попыток взлома теперь становятся не просто «бумажной безопасностью», а реальным инструментом защиты компании в суде.

Хакерская атака как юридический фактор

В деле РЖД апелляционный суд применил логику, которую ИБ-директора обсуждали годами: если замок взломан профессиональным грабителем, это не всегда означает, что хозяин дома оставил дверь открытой. Суд детально проанализировал взаимосвязь между административным правонарушением и уголовным преступлением, создав важный прецедент для отрасли.

Ключевым аргументом в защите компании стало наличие возбужденного уголовного дела по ст. 272 УК РФ. В материалах дела это фигурирует как подтверждение того, что:

• имело место целенаправленное внешнее вмешательство;
• действия злоумышленников были направлены именно на обход защитных барьеров;
• инцидент рассматривается как следствие противоправных действий 3-х лиц, что переводит ситуацию из плоскости простой ошибки оператора в плоскость преступления, совершенного против него.

Вопрос о том, станет ли возбуждение уголовного дела весомым аргументом для бизнеса в спорах с регулятором, остается одной из самых обсуждаемых тем. С одной стороны, это позволяет компании доказать факт атаки и наличие внешнего умысла. С другой — само по себе заявление в полицию не снимает ответственности, если не подтверждено, что оператор со своей стороны принял все необходимые меры защиты.

Виктория Меньшова

Консультант по информационной безопасности, «КИТ»

При возбуждении уголовного дела по факту хакерской атаки возможно выстраивание аргументов против административной ответственности для пострадавшей организации. Во внимание также принимаются доказательства, которые бы наглядно показывали, что организация сделала все от себя зависящее, чтобы не допустить данный инцидент.

Важным фактом в этом деле стало то, что ОАО «РЖД» направило в НКЦКИ ФСБ России информацию об инциденте и подало заявление в ДЧ ГУ МВД России. Совокупность фактов, показывающих реализацию мер по безопасности, а также фактов предоставления информации в НКЦКИ ФСБ России и в ДЧ ГУ МВД России подтолкнуло суд к вынесению решения в пользу ОАО «РЖД».

Согласно ч. 2 ст. 2.1 КОаП РФ, юридическое лицо признается виновным, если будет установлено, что у него имелась возможность для соблюдения правил и норм, но данным лицом не были приняты все зависящие от него меры по их соблюдению. Важно помнить, что не всегда наличие возбужденного уголовного дела, связанного с неправомерным доступом хакеров, может являться аргументом для решения об отсутствии административного правонарушения.

В любом случае все будет зависеть от обстоятельств дела, а также от самих организаций, которые должны быть готовы предоставить все необходимые доказательства.

Подтверждение факта атаки через официальные каналы меняет и процессуальные сроки. Признание выводов регулятора «преждевременными» до окончания расследования уголовного дела вносит коррективы в привычный порядок привлечения к ответственности. Поскольку поиск «неустановленных лиц» в киберпространстве может занимать значительное время, возникает юридическая дискуссия о сроках давности и возможности приостановки административных дел.

Артем Евсеев

Советник практики интеллектуальной собственности ЮК ЭБР

Такой риск действительно есть, но, на мой взгляд, он не является высоким. Если суды начнут массово говорить, что до завершения уголовного дела рано делать выводы о вине оператора, это может заметно затянуть рассмотрение административных дел об утечках. Для бизнеса это, конечно, удобно как линия защиты, но для правоприменения в целом — спорная логика. Иначе можно прийти к ситуации, когда вопрос об ответственности будет надолго зависать только потому, что следствие еще не установило конкретных исполнителей атаки. Именно поэтому я бы не рассматривал этот вариант как модель для всех будущих споров.

Такой подход обеспечивает более глубокое изучение обстоятельств инцидента, однако ставит перед рынком вопрос о том, как это повлияет на оперативность принятия мер по защите данных в будущем и на общую судебную практику по аналогичным кейсам.

Стандарт «добросовестного оператора»

Признание того, что компания приняла «все зависящие от нее меры», переводит дискуссию из плоскости «кто виноват» в плоскость «чем докажете». Для ИБ-департамента это означает, что любая внедренная система теперь должна иметь «юридический след», который можно предъявить в суде как доказательство осмотрительности.

Кейс показывает, что для защиты интересов компании в суде недостаточно просто сослаться на наличие антивируса. Формируется понимание того, какой набор инструментов и документов помогает подтвердить реальную работу системы защиты.

Александра Чельдинова

Аналитик направления аудитов и соответствия требованиям ИБ УЦСБ

В рамках судебного разбирательства необходимо доказать применение необходимых и достаточных мер по обеспечению защиты персональных данных. Для этого следует предоставить исчерпывающие доказательства реализации мер по защите персональных данных до их утечки и действий компании по минимизации масштаба последствий после ее обнаружения:

1. Документирование выбора мер по защите информации. Операторам следует вести четкую, актуальную и документально подтвержденную историю проведения мероприятий и внедрения мер по защите ПДн.
2. Оценка вероятности кибератаки. Необходимо разработать модель угроз информационной безопасности, описывающую актуальные угрозы и потенциальных нарушителей.
3. Оценка уровня защищенности информационной системы персональных данных. Данный документ позволит определить границы возможностей безопасности и выполнение требований по защите персональных данных.
4. Оценка вреда субъектам персональных данных в случае утечки ПДн. До наступления утечки ПДн оператору необходимо провести оценку вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ.
5. Материалы внутреннего расследования. Для демонстрации характера и метода атаки необходимо подтвердить проведение внутреннего расследования, продемонстрировать действия по локализации и минимизации последствий инцидента.
6. Проактивная позиция при утечках ПДн. Подача заявления в правоохранительные органы и информирование Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций являются немаловажными элементами юридической защиты оператора.
7. Подтверждение соблюдения требований к защите ПДн. В соответствии с п. 4 ч. 2 ст. 19 152−ФЗ обеспечение безопасности ПДн достигается оценкой эффективности принимаемых мер, в результате которой подтверждается соответствие системы защиты ПДН требованиям по защите персональных данных.

Данный прецедент поднимает важный вопрос о глубине экспертизы со стороны проверяющих органов. Если компания предоставляет доказательства наличия эшелонированной защиты, возникает дискуссия: должен ли регулятор в ответ проводить глубокий технический аудит?

Артем Евсеев

Советник практики интеллектуальной собственности ЮК ЭБР

В этом деле — да. Апелляция прямо напомнила, что именно административный орган должен доказать обстоятельства, на которых строится привлечение к ответственности, включая наличие вины. То есть недостаточно просто показать факт публикации базы и дальше исходить из презумпции, что оператор сам во всем виноват. Но и обратный перекос тоже неверен: оператор не может занять пассивную позицию и только ждать, что регулятор чего-то не докажет. Практически выиграет тот, у кого лучше собраны документы, подтверждающие либо отсутствие необходимых мер, либо, наоборот, их реальное наличие.

Однако повторюсь, что данное дело является, скорее, исключением, чем правилом.

Такой подход может радикально изменить требования к доказательной базе в спорах об утечках, делая их более состязательными и технически сложными.

Публичность или конфиденциальность

В деле ОАО «РЖД» отдельным предметом спора стал вопрос о том, можно ли считать утечкой персональных данных информацию, которая изначально находилась в открытом доступе. Значительная часть скомпрометированных сведений была получена злоумышленниками из адресной книги сервисного портала компании, выполняющего роль публичного справочника.

С технической точки зрения это ставит вопрос о классификации инцидента: имел ли место взлом защищенного контура или речь идет о массовом копировании данных через легитимные интерфейсы. Суд обратил внимание на то, что сведения о ФИО и рабочих контактах сотрудников были доступны любому пользователю, что ставит под сомнение сам факт нарушения режима конфиденциальности в отношении этой части информации.

Артем Евсеев

Советник практики интеллектуальной собственности ЮК ЭБР

Нет, автоматически ответственности не снимает, так как помимо общедоступных сведений произошла утечка такой информации, которая не находилась в открытом доступе ранее.

Кроме того, тот факт, что какие-то сведения формально были размещены в общедоступном источнике, еще не означает, что их можно свободно собирать, агрегировать в большие массивы и дальше распространять без ограничений. В этом деле суд учел, что часть информации могла происходить из адресной книги сервисного портала, но это скорее повлияло на оценку источника данных и характера самого инцидента, чем создало общее правило о допустимости такого использования.

Правовая оценка использования данных из публичных справочников в составе «слитых» баз выявила несколько конкретных противоречий:

• Состав данных. Согласно позиции суда, если сведения, например, рабочие телефоны и ФИО, признаны общедоступными в соответствии со ст. 8 Федерального закона № 152-ФЗ, они не требуют обеспечения конфиденциальности в том же объеме, что и чувствительные персональные данные.
• Метод сбора. Наличие защиты от скрейпинга на публичных ресурсах рассматривается как добровольная мера защиты бизнеса, а не как обязательное требование регулятора, несоблюдение которого ведет к административному штрафу.
• Агрегация информации. Факт того, что разрозненные публичные сведения были собраны хакерами в единый массив, не меняет первичного юридического статуса этих данных, если оператор изначально законно сделал их открытыми.

Этот прецедент требует от компаний четкого аудита всех внешних интерфейсов. Если данные на портале признаны общедоступными, это должно быть закреплено в локальных нормативных актах, чтобы в случае инцидента можно было четко разграничить зону ответственности за сохранение тайны и открытую информацию.

Внешнеполитический контекст

В постановлении апелляционного суда отдельное внимание уделено беспрецедентному росту киберугроз, с которыми столкнулись российские инфраструктурные компании. Суд принял во внимание аргументы о резком увеличении числа атак со стороны «недружественных государств» и аффилированных с ними хакерских объединений.

В юридической плоскости это упоминание служит важной цели: оно характеризует масштаб и профессионализм воздействия. Если атака координируется на государственном уровне или проводится высококвалифицированными группировками с неограниченными ресурсами, это качественно меняет оценку инцидента. Таким образом, суд признал, что компания противостояла не рядовым злоумышленникам, а организованной и целенаправленной кампании по дестабилизации ИТ-инфраструктуры.

Артем Евсеев

Советник практики интеллектуальной собственности ЮК ЭБР

С юридической точки зрения это довольно необычный аргумент. В данном деле суд действительно упомянул рост числа хакерских атак после начала СВО и учел этот фон при оценке обстоятельств. Но я бы воспринимал это не как новое общее правило, а как особенность именно этого спора. Освобождение от ответственности должно опираться прежде всего не на политический контекст, а на конкретные доказательства того, что компания не бездействовала и действительно предприняла разумные меры защиты. Использовать довод об усилении хакерских атак с учетом геополитического фона вряд ли будет для суда убедительным основанием для освобождения от ответственности.

Этот прецедент показывает, что суды начинают учитывать реальную обстановку в киберпространстве, признавая, что современные кибервойны создают риски, которые невозможно полностью нивелировать стандартными средствами защиты.

Последствия для рынка

Решение по делу ОАО «РЖД» стало важной вехой в судебной практике по утечкам. Однако для бизнеса ключевым остается вопрос: является ли этот кейс отражением специфики крупного инфраструктурного объекта или он формирует новую правовую реальность для всех участников рынка.

В ходе процесса статус компании как субъекта КИИ наложил определенный отпечаток на оценку доказательств. Для таких организаций действуют строгие государственные стандарты защиты, и подтверждение их соблюдения стало важным элементом в обосновании добросовестности компании. Тем не менее, заложенная в постановлении юридическая логика носит универсальный характер. Переход от концепции «автоматической виновности» к глубокому анализу наличия вины оператора — это фундаментальный сдвиг, который применим к любому владельцу персональных данных.

Александр Хонин

Директор Центра консалтинга Angara Security

Скорее всего, логику этого решения можно экстраполировать на обычный бизнес. С одной стороны, в данном деле прослеживаются здравые моменты, когда штрафные санкции все-таки зависят от реальной ИБ, которую создает компания. И здесь можно вспомнить оговорки в законодательстве об оборотных штрафах в области ПДн, когда ввели некие послабления с учетом реализованных мероприятий по ИБ.

С другой стороны, таким прецедентом могут начать пользоваться компании, которые не занимаются полноценно вопросами ИБ и подобные инциденты по утечке ПДн для них являются закономерными. Соответственно, как всегда, нужен некий баланс, когда учитываются все факторы, и который будет повышать общий уровень ИБ, а не наоборот, его ослаблять.

Кейс РЖД дает рынку четкий алгоритм действий для снижения юридических рисков. Главный урок этого процесса заключается в том, что техническая защита должна быть подкреплена юридической подготовкой.

Сегодня формирование доказательной базы для возможной защиты включает в себя:

1. Инвентаризацию информационных ресурсов. Официальное закрепление статуса данных (конфиденциальные или общедоступные) в локальных актах компании.
2. Процессуальное реагирование. Оперативное взаимодействие с правоохранительными органами для фиксации факта неправомерного доступа.
3. Документирование систем ИБ. Поддержание в актуальном состоянии аттестатов, журналов аудита и отчетов о работе средств защиты как подтверждение реальной, а не номинальной безопасности.

Этот прецедент меняет правила игры, давая компаниям возможность обосновать свою позицию в суде через подтверждение профессионального и ответственного подхода к защите информации.