30.04.2026 10:59
⚖️ Утечка персональных данных: суд оштрафовал «Комлайн» предупреждением, несмотря на статус потерпевшего по уголовному делу 🔍 АС Кемеровской области (…
⚖️ Утечка персональных данных: суд оштрафовал «Комлайн» предупреждением, несмотря на статус потерпевшего по уголовному делу
🔍 АС Кемеровской области (дело № А27-23786/2025) привлёк оператора связи ООО «Комлайн» (ГК «Орион Телеком») к ответственности по ч.12 ст.13.11 КоАП РФ. В июне 2025 года в результате атаки проукраинской группировки BO_Team_UA были скомпрометированы данные 4 225 абонентов (ФИО, паспортные данные, адреса, телефоны), которые 29.07.2025 опубликовали в Telegram-канале.
🧨 В деле фигурирует отчет BI.ZONE, подготовленный по заказу самого «Орион Телеком» в рамках внутреннего расследования инцидента и направлен оператором в Роскомнадзор как часть уведомления о результатах расследования. То есть документ, который лёг в основу обвинения, общество представило самостоятельно — и он зафиксировал системные провалы инфобеза:
🔸активная учётная запись сотрудника, уволенного в 2022 году
🔸пароли не менялись с 2019 года
🔸ПО с критическими уязвимостями
🔸доступ к инфраструктуре получен 30.05.2025, обнаружили утечку только 12.06.2025
⚙️ Ключевые выводы суда:
1️⃣ Возбуждение уголовного дела по ст.272.1 УК РФ против хакеров не освобождает оператора от административной ответственности — статьи разграничивают ответственность злоумышленника и оператора.
2️⃣ Принадлежность к КИИ 3 категории не даёт права на утечку — ни один НПА такого послабления не содержит.
3️⃣ Ссылки на затягивание процесса (ходатайства об экспертизе через 5 месяцев) суд расценил как злоупотребление правом.
4️⃣ Несмотря на санкцию ₽ 3–5 млн руб., штраф заменён на предупреждение по ст.4.1.1 КоАП РФ — оператор относится к МСП, правонарушение совершено впервые.
🗣 Изначально компания позиционировала инцидент как исключительно DDoS-атаку и публично отрицала факт утечки. Только 30.07.2025 — после публикации базы хакерами в Telegram — провайдер признал возможную утечку и попросил абонентов сменить пароли в личных кабинетах, сославшись на «дополнительные меры по защите данных и усилении информационной безопасности». После вынесения решения «Орион Телеком» опубликовал комментарий о потенциальной утечке в результате действий хакерской группировки из недружественной страны, а суд при вынесении предупреждения учёл систематические инвестиции в инфобез, существенные меры по защите инфраструктуры и то, что инцидент произошёл впервые и не носит системного характера.
📊 В контексте схожих кейсов — практика противоречивая:
🚂 Дело "РЖД" (А40-263206/25, ч.1 ст.13.11 КоАП) — утечка 17 млн строк о сотрудниках.
🔸Первая инстанция: штраф ₽ 150 тыс.
🔸Девятый ААС 16.02.2026 решение отменил: возбуждённое уголовное дело по ст.272.1 УК РФ + контекст СВО → вина оператора «преждевременна».
📈 Дело "ПКР Аналитика" (А56-4733/2026, ч. 13 ст. 13.11) — утечка 70 000 записей с investprojects.info. АС СПб 10.03.2026: привлечь к ответственности, предупреждение.
💡Практика по утечкам ПД пока не устоялась: в одном случае (РЖД) уголовное дело против хакеров стало щитом, в двух других (Комлайн, ПКР Аналитика) — нет. Решающими факторами становятся качество доказательств вины оператора, состояние систем ИБ и статус МСП, открывающий путь к замене штрафа на предупреждение.
👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК
🔍 АС Кемеровской области (дело № А27-23786/2025) привлёк оператора связи ООО «Комлайн» (ГК «Орион Телеком») к ответственности по ч.12 ст.13.11 КоАП РФ. В июне 2025 года в результате атаки проукраинской группировки BO_Team_UA были скомпрометированы данные 4 225 абонентов (ФИО, паспортные данные, адреса, телефоны), которые 29.07.2025 опубликовали в Telegram-канале.
🧨 В деле фигурирует отчет BI.ZONE, подготовленный по заказу самого «Орион Телеком» в рамках внутреннего расследования инцидента и направлен оператором в Роскомнадзор как часть уведомления о результатах расследования. То есть документ, который лёг в основу обвинения, общество представило самостоятельно — и он зафиксировал системные провалы инфобеза:
🔸активная учётная запись сотрудника, уволенного в 2022 году
🔸пароли не менялись с 2019 года
🔸ПО с критическими уязвимостями
🔸доступ к инфраструктуре получен 30.05.2025, обнаружили утечку только 12.06.2025
⚙️ Ключевые выводы суда:
1️⃣ Возбуждение уголовного дела по ст.272.1 УК РФ против хакеров не освобождает оператора от административной ответственности — статьи разграничивают ответственность злоумышленника и оператора.
2️⃣ Принадлежность к КИИ 3 категории не даёт права на утечку — ни один НПА такого послабления не содержит.
3️⃣ Ссылки на затягивание процесса (ходатайства об экспертизе через 5 месяцев) суд расценил как злоупотребление правом.
4️⃣ Несмотря на санкцию ₽ 3–5 млн руб., штраф заменён на предупреждение по ст.4.1.1 КоАП РФ — оператор относится к МСП, правонарушение совершено впервые.
🗣 Изначально компания позиционировала инцидент как исключительно DDoS-атаку и публично отрицала факт утечки. Только 30.07.2025 — после публикации базы хакерами в Telegram — провайдер признал возможную утечку и попросил абонентов сменить пароли в личных кабинетах, сославшись на «дополнительные меры по защите данных и усилении информационной безопасности». После вынесения решения «Орион Телеком» опубликовал комментарий о потенциальной утечке в результате действий хакерской группировки из недружественной страны, а суд при вынесении предупреждения учёл систематические инвестиции в инфобез, существенные меры по защите инфраструктуры и то, что инцидент произошёл впервые и не носит системного характера.
📊 В контексте схожих кейсов — практика противоречивая:
🚂 Дело "РЖД" (А40-263206/25, ч.1 ст.13.11 КоАП) — утечка 17 млн строк о сотрудниках.
🔸Первая инстанция: штраф ₽ 150 тыс.
🔸Девятый ААС 16.02.2026 решение отменил: возбуждённое уголовное дело по ст.272.1 УК РФ + контекст СВО → вина оператора «преждевременна».
📈 Дело "ПКР Аналитика" (А56-4733/2026, ч. 13 ст. 13.11) — утечка 70 000 записей с investprojects.info. АС СПб 10.03.2026: привлечь к ответственности, предупреждение.
💡Практика по утечкам ПД пока не устоялась: в одном случае (РЖД) уголовное дело против хакеров стало щитом, в двух других (Комлайн, ПКР Аналитика) — нет. Решающими факторами становятся качество доказательств вины оператора, состояние систем ИБ и статус МСП, открывающий путь к замене штрафа на предупреждение.
👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК