Киберинцидент: как превратить техническую аномалию в юридически доказуемый факт
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru | Email: petukhov@legascom.ru
Киберинцидент - это не просто сбой или атака: в правовом поле он становится юридическим фактом, который может повлечь серьёзные последствия - от штрафов до уголовной ответственности. При этом расхождение в подходах ИБ‑специалистов и юристов нередко лишает компанию возможности доказать вину злоумышленника или получить страховое возмещение.
Термины: что именно фиксировать для суда
Для корректного реагирования важно различать понятия:
Инцидент ИБ - нежелательное событие, угрожающее безопасности данных (например, уничтожение документов). Не всегда связан с компьютерной инфраструктурой.
Компьютерный инцидент - законодательно закреплённое понятие (ФЗ № 187‑ФЗ): нарушение работы объекта КИИ, сети связи либо безопасности информации, в том числе из‑за атаки. Именно его используют в официальной документации и уведомлениях регуляторам.
Киберинцидент - доктринальный термин для профессионального общения; в нормативных документах применять не рекомендуется.
Киберинцидент как юридический факт: событие или действие
Юридический факт влечёт правовые последствия. В контексте ИБ киберинцидент может быть:
Событием, не зависящим от воли владельца (сбой сервиса, перегрев оборудования).
Действием, влекущим ответственность: целенаправленная атака (правонарушение) либо ошибка сотрудника (дисциплинарный проступок).
Важно: для ряда составов правонарушений (например, ст. 272 УК РФ) достаточно самого факта неправомерного доступа - доказывать ущерб не требуется. Для других (например, ст. 274 УК РФ) необходимо подтвердить наступление последствий. С 2025 года к рискам добавились оборотные штрафы, способные серьёзно повлиять на финансовую устойчивость компании.
Почему расследования разваливаются: конфликт целей
Чаще всего дела не доходят до суда не из‑за сложности атаки, а из‑за утраты доказательств при реагировании. У подразделений компании разные приоритеты:
ИТ стремится максимально быстро восстановить сервисы.
ИБ фокусируется на остановке атаки.
Юристы нуждаются в доказательной базе для привлечения к ответственности или получения страхового возмещения.
Эти цели противоречат друг другу: чем быстрее восстанавливают систему, тем меньше остаётся цифровых следов. Удаление вредоносных файлов, перезапуск сервисов и восстановление из бэкапа фактически уничтожают доказательства, делая невозможным проведение компьютерно‑технической экспертизы и установление причинно‑следственной связи.
Критические сроки и обязательные уведомления
Чтобы доказательства имели юридическую силу, необходимо соблюдать сроки и порядок фиксации:
Уведомление НКЦКИ: в течение 3 часов - для значимых объектов КИИ, 24 часов - для остальных.
Уведомление Роскомнадзора: в течение 24 часов при утечке персональных данных.
Первичное внутреннее расследование: результаты нужно быть готовыми предоставить регулятору в течение 72 часов.
Как сделать цифровые следы допустимыми доказательствами
Ключевое требование - неизменность доказательств. Суд примет не сам лог, а подтверждённую историю его существования и отсутствия изменений после обнаружения. Для этого формируют цепочку хранения доказательств, фиксируя:
кто и когда обнаружил инцидент (с указанием источника синхронизации времени);
где именно он выявлен (узел, IP, система);
кто производил копирование и каким инструментом;
контрольные суммы файлов;
место хранения оригинала и список лиц, имевших к нему доступ.
Без соблюдения этих правил доказательство признают недопустимым - независимо от его содержания.
Практические рекомендации для ИБ‑подразделений
Чтобы совместить задачи восстановления и сбора доказательств, компании следует:
Разработать регламент об инцидентах, где чётко определено понятие инцидента с учётом требований законодательства и отраслевых стандартов.
Синхронизировать технические и юридические процедуры: в план реагирования включить шаги по фиксации доказательств и взаимодействию с юридической службой.
Заранее определить приоритеты реагирования для разных сценариев: немедленное восстановление, расследование, уголовное преследование, получение страхового возмещения. Это снимает неопределённость и позволяет действовать без риска утраты доказательной базы.
Обеспечить техническую возможность фиксации: настроить сбор и хранение логов, использовать инструменты для создания контрольных сумм и документирования цепочки хранения.
Вывод
Киберинцидент - это одновременно техническая проблема и юридический риск. Успешное разрешение ситуации зависит не от скорости устранения последствий, а от качества фиксации события в первые часы. Грамотно выстроенные регламенты, чёткое распределение ролей и соблюдение сроков уведомлений позволяют превратить цифровые следы в допустимые доказательства, защитить интересы компании и минимизировать правовые риски.




