Группа компаний "Орион" (более известная под маркой "Орион Телеком") - крупный провайдер услуг интернета, телевидения и телефонии в Сибири. Компании группы используют единую сетевую и серверную инфраструктуру.
30.07.2025 г. на сайте Орион Телекома появилось объявление о возможной утечке персональных данных в результате кибератаки 12.06.2025. За пару месяцев до этого как раз вступили в силу новые "дорогие" штрафы за масштабные утечки (так называемые "оборотные штрафы за утечки", хотя они не оборотные на самом деле). У Ориона появился шанс одним из первых испытать на себе их применение.
Роскомнадзор (РКН) составил протоколы об административных правонарушениях в отношении 9 компаний группы. Семи компаниям грозил штраф от 5 миллионов (ч. 13 ст. 13.11 КоАП РФ), одной - от 3 миллионов (ч. 12 ст. 13.11 КоАП РФ) и еще одной - от 300 тысяч (ч. 1.1 КоАП РФ).
Какая часть ст. 13.11 КоАП РФ будет применена к оператору, зависит от количества затронутых утечкой субъектов перс.данных, то есть попросту от количества людей, чьи данные утекли. Зная, по какой части ст. 13.11 КоАП РФ составлен протокол об административном правонарушении, можно прикинуть масштаб утечки. Итак, у семи компаний Ориона утекли данные от 10 до 100 тысяч субъектов, у одной - от 1 тысячи до 10 тысяч субъектов и еще у одной - менее тысячи субъектов.
Осенью 2025 г. материалы поступили в арбитражные суды (АС Красноярского края, АС Иркутской области и АС Республики Хакасия) и началось судебное разбирательство, итогов которого с интересом ждали специалисты по информационной безопасности и персональным данным. Ждали-ждали и наконец дождались.
В конце апреля - начале мая 2026 г. суды вынесли первые решения по делам Орион Телекома. Из этих решений стало известно содержание отчета о расследовании инцидента, проведенном ООО "Бизон".
Расследование установило потрясающие вещи:
хакеры атаковали инфраструктуру Ориона с использованием учетной записи работника, уволенного в 2022 г, пароль от которой не менялся с момента ее создания в 2019 г;
источником первого подключения являлся хост, на котором по состоянию на конец апреля 2025 г. было развернуто ПО, версия которого имеет критическую уязвимость, которая могла быть использована атакующими для первоначального проникновения;
следующие SSH-соединения производились с иного хоста, на котором имелось большое количество ПО с критическими уязвимостями. Любая из этих уязвимостей могла быть использована атакующими для проникновения в инфраструктуру и дальнейшего перемещения по ней;
атакующие смогли получить права пользователя root благодаря некорректной конфигурации системы безопасности в операционной системе: пользователь (тот самый уволенный работник, чья учетка использовалась для атаки) имел возможность бесконтрольно повышать свои привилегии без ввода пароля;
пароль пользователя root может быть подобран по словарю либо простым перебором, а пароль некоторых учетных записей не изменялся с момента ее создания в 2019 г.;
самый ранний скомпрометированный сервер был скомпрометирован 30.05.2025 (точно в день вступления в силу новых штрафов за утечки), а обнаружена атака была только 12.06.2025
Арбитражные суды пришли к выводу, что компании группы "крайне пренебрежительно" относились к требованиям информационной безопасности, чем создавали "угрозу утечки персональных данных большого числа пользователей". У одной из компаний утекли данные более 4 тысяч пользователей, у другой - более 36 тысяч.
Тем удивительнее, что вместо штрафов обеим компаниям суды назначили всего лишь предупреждение. Это тем более дико выглядит на фоне штрафов в 60 - 150 тысяч, которые назначаются за незаконное использование персональных данных одного человека. Одно маркетинговое письмо, отправленное без согласия на рассылки, обходится дороже, чем утечка данных десятков тысяч пользователей.
Дальше еще интереснее. Судебные заседания в отношении оставшихся семи компаний, по их просьбе, суды провели в закрытом режиме. На сегодня известно, что шесть компаний уже привлечены к ответственности (но неизвестно наказание), а в отношении последней дело еще не закончено.
Между тем, Орион Телеком на своем сайте заявляет, что якобы компании группы признаны невиновными в распространении персональных данных. Никакого противоречия в собственном заявлении о признании себя невиновным, но при этом привлечении к ответственности PRщики Орион Телекома не видят.
Удивительная лояльность судов по отношению к оператору персональных данных, который даже пароли не удосужился поменять с 2019 г., показывает другим компаниям, что по поводу ИБ и утечек можно особо не беспокоиться, как бы высоки ни были штрафы применять их суды пока не торопятся.
Комментарии (8)
vadimr
20.05.2026 03:23Вроде бы как статья 13.11 везде подразумевает прямой умысел в нарушении требований законодательства по обработке данных, поэтому применять её к самим по себе последствиям взлома нельзя. Неприятная история, конечно, но нигде в законе не прописана периодичность смены паролей.
Angry_DPO Автор
20.05.2026 03:23Правильная логика, но на практике она не работает. В случае утечек ПД на практике работает "объективное вменение": утекло - значит, виноват. Единственное исключение - кейс с утечкой РЖД, где апелляционная инстанция прямо указала, что РКН вообще не доказал, что РЖД нарушило требования ФЗ-152, что привело к утечке. Но это единственный кейс.
skwo73
20.05.2026 03:23Между тем, Орион Телеком на своем сайте заявляет, что якобы компании группы признаны невиновными в распространении персональных данных.
в принципе они правы - сами они не распространяли эти данные - взлом был.
Angry_DPO Автор
20.05.2026 03:23Они могут считать себя невиновными. Но суд-то вынес решение о привлечении к ответственности, значит, суд их невиновными не признал, а как раз наоборот :)))
skwo73
20.05.2026 03:23Они могут считать себя невиновными. Но суд-то вынес решение о привлечении к ответственности, значит, суд их невиновными не признал, а как раз наоборот :)))
очень странное заявление от юриста. они написали в чем считают себя невиновными, и я пожалуй соглашусь с ними, если текст соответствует написанному вами, так как заниматься распространением ПД им не имеет смысла в принципе. решение о виновности было скорее всего за не соблюдении требований по хранению ПД или что-то подобном.
Angry_DPO Автор
20.05.2026 03:23Они буквально пишут, что суд признал их невиновными в распространении ПД. В то время как суд буквально решил "Привлечь Общество с ограниченной ответственностью «Орион Телеком» (ОГРН 1122468002898, ИНН 2466247790, адрес: 664047, Иркутская область, г. Иркутск, ул. 21 Партизанская, д. 84) к административной ответственности, предусмотренной частью 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить наказание в виде предупреждения". Ч. 13 ст. 13.11 КоАП РФ: Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния. То есть суд признал, что действия или бездействие Ориона повлекли неправомерную передачу, в т.ч. распространение перс.даных их клиентов.
Arhammon
Оборотные штрафы - фикция, если их применять даже чебурнета не останется...
Angry_DPO Автор
А если не применять, то как заставить бизнес вкладываться в ИБ? Ну и не оборотные они, для начала. Штраф от выручки за год применяется при повторной массовой утечке. За первую - суммы высокие, но не "оборотные". Я что-то не верю, что крупного провайдера разорил бы штраф в 3-5 лямов, который они должны были получить. Это не смертельно для бизнеса такого масштаба. А сейчас им просто сказали, окей чуваки, можете и дальше пароли не менять, утечка данных ваших пользаков никого не колышет...