Привет, Хабр! Вот реальная ситуация: подрядчик оказывал услуги, полностью пренебрегая нормами ИБ. Это создало почву для атаки, которая застопорила бизнес больше чем на неделю. Продажи встали, прибыли нет - но это полбеды. Пришлось привлечь сторонних ИБ-экспертов, выплатить сверхурочные работникам, которые трудились над восстановлением систем. Железно, кстати, тоже пришлось закупать новое. Убытки, убытки, убытки. Но можно ли взыскать их с подрядчика? Ответ - да, но не все. Сейчас расскажу, что решил суд и почему

Безответственность подрядчика создала почву для кибератаки (мое любимое дело)

И так, дело №А72-10511/2024. Компания А (Заказчик, истец) решила обновить свое железо и закупить новое серверное оборудование. Правда самостоятельно мигрировать со старого железа на новое Компания не смогла и пришлось нанимать подрядчика - ИП, которого мы будем здесь и далее именовать Предприниматель (Подрядчик, ответчик). То, как Предприниматель оказывал услуги - это нечто.

Чтобы упростить себе работу, Предприниматель установил на компьютерах слабые пароли (123456). Более того, всем учёткам он дал максимальные права администратора. Вечером пятницы Предприниматель остановил работу и ушел домой на выходные. Пароли и права доступа он не изменил.

Вот отрывок сообщения Предпринимателя, где он объясняет, как так получилось (взято из Решения суда):

Теперь второй вопрос как получилось: 1. Мы сменили всем пользователям пароль на 123456 для удобства. 2. После этого я пользователям дал права админа ибо была необходимость настройки 3. Бэкапов нет ибо я развалил зеркало для восстановления файлов. Залезли в 11.02. утром через учётную запись охраны. Вчера мы отдыхали и разумеется я не видел что происходит

Да, одна из учеток за выходные была взломана. Учитывая, что у нее были максимальные права, атака перекинулась на всю сеть Компании А. В понедельник сотрудники Компании обнаружили, что все корпоративные системы заблокированы вирусом-шифровальщиком. Итог: Компания А подает на Предпринимателя в суд с требованием компенсировать убытки, причиненные атакой.

Защита Предпринимателя: убытки причинены хакерами, то есть преступниками, а не им самим. Он ответственность за их действия не несет, а в договоре не было конкретных требований по ИБ. Формально, он мог работать, как хотел.

Суд не согласился с ним и указал, что, хотя кибератака и была совершена третьим лицом, некачественное оказание услуг исполнителем создало почту для ее реализации. Поскольку между кибератакой и некачественным исполнением услуг есть прямая причинно-следственная связь, Предприниматель виновен в причиненных Компании А убытках.

Суд взыскал с Предпринимателя реальный ущерб, причиненный Компании. К нему он отнес:

  • расходы на выплату сверхурочным сотрудникам, привлеченным на устранение последствий атаки;

  • расходы на проведение аудита ИТ-систем привлеченным ИБ-консультантом (в деле Компания А доказала, что такой аудит был необходим для адекватного реагирования на инцидент);

  • расходы на закупку нового оборудования взамен того, которое было повреждено кибератакой

Цитата из Решения суда, которой обосновывается вина Предпринимателя:

Суд соглашается с доводами истца и приходит к выводу, что заражение вирусом шифровальщика и зашифровка базы данных истца произошла в результате виновных действий Предпринимателя, поскольку именно при установке сервера и переноса базы данных им для упрощения своей работы, оказания услуг (многочисленные входы на компьютеры и постоянный запрос логина и пароля) было принято решение по установке на время конфигурации паролей у пользователей в упрощённом виде от 1 до 6 на всех учётных записях и назначение прав администратора всех учётных записей, то есть снижения уровня существующей безопасности.

При этом суд отказал во взыскании упущенной выгоды, то есть косвенных убытков. Поэтому, разберем несколько дел именно по взысканию упущенной выгоды.

Сайт упал, клиенты ушли - взыскиваем убытки с провайдера?

В деле №А56-85885/2024 фабула следующая: Компания Б продавала свои услуги (путевки в санатории) через сайт, который размещался у Провайдера. На сети Провайдера была совершена хакерская атака, из-за чего сайт Компании некоторое время был не доступен. Логично предположить, что Компания лишилась определенного количества клиентов.

Компания решает, что Провайдер отвечает за устойчивость сайта, поскольку сайт фактически размещен на мощностях Провайдера. Результат - иск о компенсации упущенной выгоды, причиненной кибератакой. Упущенную выгоду посчитали очень просто: перемножили между собой среднесуточное чисто клиентов, средний чек на клиента и количество дней простоя сайта. Вроде логично? Нет, суд отказал в иске. Причины следующие:

  1. Договор не включал обязанность Провайдера обеспечивать кибербезопасности. Суд, кстати, учел то, что такая услуга предоставляется Провайдером за отдельный прайс, но Компания от нее отказалась. А значит, формально, у Провайдера не было обязанности проактивно заботиться о безопасности сайта. Следовательно, он отвечает только за недобросовестное поведение и халатность (как в деле выше)

  2. Провайдер принял все разумные меры по устранению вреда, причиненного хакерами. Так он поднял резервную копию сайта, помог Компании восстановить все его содержимое. Это - свидетельство добросовестного поведения Провайдера, и суд принял это во внимание.

  3. Самое важное. Суд посчитал, что Компания не доказала наличие реальной возможности получить прибыль, а привела только формальные подсчеты. Об этом - чуть ниже

Да, суд посчитал, что простой логической цепочки: "клиенты приходили с сайта -> сайт упал -> клиенты перестали приходить -> упущенная выгода" не достаточно для обоснования косвенных убытков. Приведу прямую цитату:

Из материалов дела не следует, что в результате произошедшего сбоя и отсутствия у потенциальных потребителей доступа к сайту, у Компании снизились либо полностью отсутствовали продажи, что повлекло возникновение упущенной выгоды... с учетом того, что... бронирование также возможно путем звонка на горячую линию по телефону и иными способами (группа в ВК)

То есть суд указал, что убытки компании могли быть меньше, если бы она использовала альтернативные способы взаимодействия с клиентами. Это прямо продолжает принятую судами идею того, что "кибератака - это нормальный деловой риск", которую мы разбирали в прошлой статье.

Отмечу, что это дело сейчас в кассации и, теоретически, решение может быть отменено. Это будет серьезным изменением структуры рисков бизнеса, и я обязательно напишу об этом в своей телеге. Заседание в кассации будет уже 16 марта.

Будьте внимательны с договорами - они спасают

В №А40-293189/2022 суд изучал договор, чтобы определить, от каких типов атак и какими способами Провайдер был обязан защищать сайт своего Заказчика. Фабула дела такая:

Заказчик купил у Провайдера услуги по хостингу web-сайта и созданию систем безопасности в облаке. После кибератаки на инфраструктуру Провайдера все данные были полностью уничтожены. Заказчик обратился в суд с требованием возместить ущерб.

Хотя в договоре и был обозначен комплекс работ по обеспечению безопасности сайта, суд воспринял их не как гарантию полной безопасности, а как перечень конкретных действий. Условно, Провайдер отвечал за факт их выполнения, а не за их результат. И вот какую цитату из решения мы имеем в итоге:

В данном случае причиной уничтожения сайта явилась соответствующая хакерская атака, что свидетельствует об отсутствии прямой причинно-следственной связи, поскольку в данном случае причиной возникновения убытков явились противоправные действия неустановленных лиц, а не действия ответчика (провайдера)

Итоги

Из исследования в моем тг - общая структура убытков
Из исследования в моем тг - общая структура убытков

К реальному ущербу от кибератаки в текущей судебной практике относят:

  • расходы на расследование инцидента, привлечение эксперта для оценки ущерба и затрат на восстановление, а также определения действий, необходимых для такого восстановления;

  • расходы на прекращение и локализацию инцидента;

  • компенсация сверхурочных для работников оператора и выплат сторонним подрядчикам, непосредственно привлеченным к устранению инцидента;

  • расходы на закупку оборудования, поврежденного вредоносами

При этом расходы на повышение уровня ИБ не относятся к ущербу в принципе, потому что Оператор несет их по своему желанию.

К упущенной выгоде от кибератаке суды могут отнести:

  • прибыль от клиентов, расторгнувших договоры после кибератаки или не подписавших договоры по ее причине;

  • отток клиентов и заказов, вызванные блокировкой систем

Но, чтобы взыскать упущенную выгоду, надо доказать, что Оператор действительно готовился ее получить и принял разумные меры, чтобы это сделать даже не смотря на кибератаку. Как и с кибератакой, как форс-мажором, просто сидеть, сложа руки, не выйдет. Это проблема, поскольку именно упущенная выгода является основной формой ущерба от кибератаки. Для примера, вот так выглядит структура ущерба от двух крупных иностранных кибератак: на Jaguar Land Rover и SK Telecom. Штрафы и реальный ущерб теряется на фоне упущенной выгоды

Структура убытков от кибератак, там же
Структура убытков от кибератак, там же