Кибератаки для российского бизнеса - это норма. Кто так сказал? Российские суды. Из-за такой позиции пострадавшему от атаки бизнесу приходится брать весь риск на себя и отвечать за срыв бизнес-процессов по полной. Но есть исключения - в одном деле кибератаку признали форс-мажором. Мы разберем это и другие дела, где бизнес пытался не исполнять обязательства, ссылаясь на действия хакеров.

Кейс-стади: ссылаемся на кибератаку, чтобы не исполнять обязательства

Представим, вы - обычный современный бизнес. Большая часть ваших внутренних процессов завязана на той или иной информационной системе. Выставление счетов, контроль сроков поставки, да банально, форма заказа на сайте. А тут кибератака. Система встала, сроки слетели, обязанности не исполнены. И вот контрагент уже присылает претензию, а потом и исковое. Что там будет написано? Скорее всего, там будет требование выплатить неустойку за просрочку исполнения обязательства или штраф/компенсацию за его неисполнение. Это - самое частое требование, связанное с кибератаками.

Получив его бизнес скорее всего решит использовать кибератаку, как аргумент в защите. Звучит он так:

кибератака - это преступление, злонамеренное действие третьего лица (хакера), которое не зависит от нас и которое мы не могли предвидеть. Значит кибератака - это форс-мажор, за последствия которого мы отвественность не несем

Вот несколько дел, в которых бизнес привел этот аргумент (ссылки ведут вас на КАД.Арбитр):

  • А33-25417/2025 - Оператор в защите указал, что он не мог выполнить условий сделки потому, что его системы были повреждены DDoS-атакой. Суд посчитал, что Оператор несет полную отвественность за последствия невыполнения обязанностей (по сделке). Причина: поняв, что системы подверглись атаке, Оператор мог предупредить потребителя о сбое и оказать услугу резервным способом;

  • А75-13132/2025 - Арендатор должен был регулярно перечислять оплату за аренду Арендодателю, но из-за кибератаки регулярный платеж был просрочен на 5 дней. Суд не посчитал кибератаку уважительной причиной пропустить срок и взыскал с Арендатора неустойку за просрочку. Причина та же - Арендатор мог определить срок, расчитать и провести платеж альтернативным, аналоговым методом, если уж автоматическая система встала;

Есть и более экстравагантные и откровенно наглые ссылки на кибератаку. Например в деле №А40-129508/2022 схлестнулись Агент и его Принципал. Агент должен был продавать товары Принципала и выплачивать последнему долю от продаж. Агент подвергся кибератаке, его системы встали, информация была удалена. И Агент не нашел ничего лучше, как отказаться выплачивать долю Принципалу! Ну а что, ее ведь не получается посчитать - система то встала. Суд, конечно, такая логика не впечатлила.

Больше дел вы можете найти в моем исследовании в формате pdf (в tg). Там есть прямые цитаты из дел и ссылки на законодательство, которые тут я игнорирую, чтобы сделать текст более читабельным.

Когда кибератака - это форс-мажор

Чтобы понять, почему суды игнорируют доводы о кибератаке, надо разобрать дело, в котором кибератака все же была признана форс-мажором. Вот оно: №15-1085/2022. В нем дело было так: сеть заправок подверглась кибератаке, из-за чего она не смогла выдавать клиентам топливо по топливным картам на некоторых заправках. Один из клиентов (гос. учреждение) решил взыскать с заправок штраф, предусмотренный договором за неисполнение обязательств. Но апелляционный суд посчитал, что кибератака в данном случае является форс-мажором, и заправки не несут ответственность за его последствия. Почему в этом деле суд решил именно так?

Во-первых, масштаб кибератаки был равен масштабу неисполнения обязательств. Из строя вышли только некоторые заправки, остальные работали исправно. То есть инцидент был локализован, а оператор системы приложил для этого разумные усилия.

Во-вторых, между атакой и невозможностью исполнить обязательства была прямая логическая связь. Топливная карта для работы требует информационной системы. Системы была повреждена, и, пока ее восстанавливали, выполнить обязательства именно через нее (определенным способом) было невозможно. Но можно было другими способами: сгонять на соседнюю заправку или заплатить наличкой - сеть заправок предлагала и то, и то. Но уже ее клиент (истец) отказалась от такого способа исполнения. Именно поэтому суд встал на сторону сети заправок.

Начинаем подводить итоги - на что смотрит суд

Сначала сделаем вот что: посмотрим, на что суды обращают наибольшее внимание, когда сторона ��сылается на кибератаку. Сделаем списком:

  • соответствие последствий кибератаки ее типу. Это - первичный фильтр на адекватность. Например, в деле А60-65925/2023 суд решил, что появление незаконной рекламы нелегального казино на сайте компании - это не особо то и типичное последствие для DDoS-атаки;

  • степень влияния кибератаки на бизнес-процессы. Здесь суды определяют, насколько сильно последствия атаки помешали исполнить обязательства. Вопрос звучит так: атака сделала исполнения невозможным или только затруднительным?

  • поведение "жертвы" атаки после инцидента и стремление выполнить условия сделки. Если бизнес просто сидел, сложа лапки - никакого ему избавления от обязанностей. А вот если он общался с контрагентом и пытался выкрутиться из ситуации, то тогда суд пойдет ему навстречу.

А вот на что суды обращают куда меньше внимания, так это на осмотрительность бизнеса в вопросе ИБ и доказанность кибератаки. Правда и на то, и на то может надавить ваш оппонент. Это - хорошая "наступательная" тактика, которая эксплуатирует позицию "кибератака - это нормальный риск" и перекладывает все риски не неосмотрительность пострадавшего. Это может быть выгодно. Поэтому разберем, как доказать факт кибератаки.

Кибератака была, и вот доказательства:

Есть несколько вариантов доказать, что кибератака имела место быть.

  • ультимативный вариант - принести постановление о признании потерпевшим от преступления, предусмотренного ст. 272 УК РФ. Да, компания может быть потерпевшей стороной от преступления и да, такое доказательство оспорить не получится в принципе;

  • вариант, близкий к ультимативному - заключение эксперта. Придется заплатить, но это быстро и эффективно. Эксперт может зафиксировать не только факт кибератаки, но и масштаб последствий, наличие и размер ущерба, стоимость и сроки восстановлени систем - такая информация может пригодиться в суде;

  • пацанский вариант - зафиксировать все самостоятельно. Да, такой вариант проще всего оспорить, поэтому вот несколько советов, как этого не допустить. Во-первых, атаку ни в коем случае не должен фиксировать один человек. Так в деле А60-65925/2023 суд не воспринял такое доказательство. Начать следует с докладной записки специалиста, обнаружившего атаку, потом - приказ о назначении комиссии по расследованию инцидента, в него несколько специалистов из разных департаментов (ИБ+ИТ). Комиссия должна зафиксировать признаки атаки (описать блокировки систем и сделать выгрузки из ИБшного ПО). Все это будет отличным подспорьем в любом споре.

Реагирование на кибератаку - что делать, чтобы в суде было проще

Доказать, что кибератака была - это не главное. Важнее доказать, что вы вели себя добросовестно. Мы помним, что суды под добросовестностью понимают стремление исполнить сделку, не смотря на кибератаку. Учитывая практику, я предложил бы такие действия (помимо сугубо-ИБшного реагирования):

  1. Определить масштаб ущерба и понять, на какие бизнес-процессы повлияла атака. Я бы сразу ввел некую градацию: эти процессы заблокированы (в принципе нельзя выполнить), эти - осложнены (можно выполнить, но с издержками). Причина разделения в том, что фактически заблокированные процессы суд с большей вероятностью признает попадающими под форс-мажор.

  2. Уведомляем контрагентов или потребителей о том, что у нас была атака и что не все процессы удается реализовать в штатном режиме. Сначала разбираемся с заблокированными и прямо предлагаем контрагентом временные решения по альтернативному их исполнению или предоставлению отсрочки. Для последнего нужно заранее оценить, сколько времени потребуется на борьбу с последствиями инцидента. Далее вступаем в переговоры по осложненным процессам. Предложения те же - отсрочка/альтернатива, но уже с условиями. Например, со скидкой на будущие услуги.

Реагирование - это хорошо. Особенно если предусмотреть его заранее. Если кибератаки - нормальный и известный риск, то его лучше предусмотреть в договоре. Вот то, что я бы включил в договор с контрагентом:

  1. Если мы общаемся с контрагентом через информационную систему (например, он выдает нам заказы сразу через CRM или сдаем ему услуги через почту), то нам стоит предусмотреть альтернативный способ направления юридически значимых сообщений на случай сбоя таких систем. Таким способом может быть даже телефон, но лучше использовать что-то, отправку чего можно зафиксировать: эл. почту, мессенджеры или курьерские службы.

  2. В любом случае - порядок уведомления о сбое или атаке. Лучше предусмотреть не только то, как уведомлять, но и то, какую информацию пострадавшая сторона должна сообщить контрагенту. Кстати, это позже поможет пострадавшей стороне доказать факт кибератаки.

  3. Нештрафные периоды и отсрочки, которые предоставляются для устранения последствий кибератаки.

  4. ИБ-обязанности по восстановлению систем и проведению аудита. Причем не только пострадавшей стороны, но и ее контрагента. Например, стороны могут обязать друг друга провести совместный аудит систем, чтобы снизить вероятность каскадной атаки типа "атаки на цепочку поставок" (особенно в свете 117 ФСТЭК).

Ну, кажется, все. Позже отдельно разберем взыскание убытков, причиненных кибератакой. Кстати, небольшой бонус. Не очень эффективна ссылка на кибера��аку, как на причину утраты доказательства. Мой любимый пример - дело №А24-4158/2024 - Оператор требовал уменьшения задолженности ввиду того, что часть денег он уже оплатил. Правда доказать он это не может, ведь платежки были уничтожены кибератакой... Суд отказал Оператору и отметил, что данные о платежах хранятся не только у Оператора, но и в банке. И их без проблем можно было получить там.