За девять месяцев 2025 года, по информации RED Security, зафиксировано свыше 105 тысяч киберинцидентов. Почти 20 тысяч из них несли прямую угрозу работоспособности бизнеса и могли повлечь за собой многомиллионные убытки. Сегодня это повседневный риск, которым необходимо управлять с помощью продуманных правовых инструментов.

Право сослаться на хакерскую атаку как на обстоятельство непреодолимой силы (форс-мажор), как и ссылка на резкое изменение курса валюты, является заблуждением. Избежать ответственности перед контрагентами не получится. Суды в большинстве случаев занимают противоположную позицию по следующим причинам:

Предсказуемость: в отличие от стихийных бедствий, кибератаки являются системным и прогнозируемым риском для любой современной компании, использующей ИТ-инфраструктуру;

Отсутствие непреодолимости: суды полагают, что компания могла и должна была предотвратить последствия атаки, внедрив адекватные меры защиты;

Доказывание: компании-нарушителю крайне сложно доказать, что именно эта конкретная атака была непредотвратимой и исключительной.

Не следует рассчитывать на форс-мажор как на панацею. Так что делать, чтобы обеспечить свою безопасность? Полезно будет предусмотреть последствия ИТ-инцидентов в договорах и внутренних документах.

1. Договорная работа

Если исполнение сделки прямо или косвенно связано с информационной безопасностью, предоставлением доступов, необходимо включить в договор следующие условия:

Обязанность уведомления: четкий срок (например, 2-4 часа) и канал для уведомления контрагента о киберинциденте;

Приостановление обязательств: право сторон приостановить исполнение обязательств на время устранения инцидента без начисления штрафов;

Разграничение ответственности: прямое указание, что кибератака не является основанием для освобождения от ответственности, если пострадавшая сторона не соблюдала согласованные меры информационной безопасности.

Порядок взаимодействия: алгоритм обмена информацией и совместных действий по локализации угрозы.

2. Локальные нормативные акты (ЛНА)

Важно создать ясный и обязательный для всех сотрудников алгоритм действий, которые реально будет исполняться.

К разработке и внедрению:

• Политика информационной безопасности;

• Инструкция для сотрудников с понятными правилами: не переходить по подозрительным ссылкам, не использовать неподконтрольные носители информации.

• Регламент действий при инциденте: кто, кого и в какой последовательности уведомляет, кто принимает решение о приостановке операционной деятельности, кто взаимодействует с контрагентами и регуляторами.

• Форма уведомления об ИТ-инциденте для единообразной фиксации данных.

3. Обучение сотрудников и правовая оценка

Большинство успешных атак – человеческий фактор. В связи с чем важно:

 Участвовать в создании обучающих материалов: объясняйте в памятках не только технические правила, но и правовые последствия их нарушения: от дисциплинарной ответственности до уголовной.

 Проводить правовой ликбез: донесите до коллег, что фишинг – это не просто «письмо от начальника», а потенциальная причина многомиллионных исков и репутационных потерь.

4. Алгоритм действий во время и после атаки

Оценить масштаб: какие данные и системы затронуты? Какие договоры под угрозой срыва?

Запустить регламент уведомлений (при утечке информации): уведомите Роскомнадзор (в течение 24 часов – о произошедшем инциденте (первичное уведомление, в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).), контрагентов, в соответствии с договорными условиями.

После локализации инцидента следует:

 Провести правовой анализ: возможно ли привлечение к ответственности виновного сотрудника? Каков размер потенциальных убытков?

 Обновить документы: устранить пробелы в договорах и ЛНА, если выявлены таковые при отработке кибератаки; 

 Организовать «работу над ошибками»: по итогам инцидента проведите тренировки или семинары для сотрудников.