Киберинцидент: как превратить техническую аномалию в юридически доказуемый факт

Обновлено 10.07.2026 04:25

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru | Email: petukhov@legascom.ru

Киберинцидент - это не просто сбой или атака: в правовом поле он становится юридическим фактом, который может повлечь серьёзные последствия - от штрафов до уголовной ответственности. При этом расхождение в подходах ИБ‑специалистов и юристов нередко лишает компанию возможности доказать вину злоумышленника или получить страховое возмещение.

Термины: что именно фиксировать для суда

Для корректного реагирования важно различать понятия:

Инцидент ИБ - нежелательное событие, угрожающее безопасности данных (например, уничтожение документов). Не всегда связан с компьютерной инфраструктурой.

Компьютерный инцидент - законодательно закреплённое понятие (ФЗ № 187‑ФЗ): нарушение работы объекта КИИ, сети связи либо безопасности информации, в том числе из‑за атаки. Именно его используют в официальной документации и уведомлениях регуляторам.

Киберинцидент - доктринальный термин для профессионального общения; в нормативных документах применять не рекомендуется.

Киберинцидент как юридический факт: событие или действие

Юридический факт влечёт правовые последствия. В контексте ИБ киберинцидент может быть:

Событием, не зависящим от воли владельца (сбой сервиса, перегрев оборудования).

Действием, влекущим ответственность: целенаправленная атака (правонарушение) либо ошибка сотрудника (дисциплинарный проступок).

Важно: для ряда составов правонарушений (например, ст. 272 УК РФ) достаточно самого факта неправомерного доступа - доказывать ущерб не требуется. Для других (например, ст. 274 УК РФ) необходимо подтвердить наступление последствий. С 2025 года к рискам добавились оборотные штрафы, способные серьёзно повлиять на финансовую устойчивость компании.

Почему расследования разваливаются: конфликт целей

Чаще всего дела не доходят до суда не из‑за сложности атаки, а из‑за утраты доказательств при реагировании. У подразделений компании разные приоритеты:

ИТ стремится максимально быстро восстановить сервисы.

ИБ фокусируется на остановке атаки.

Юристы нуждаются в доказательной базе для привлечения к ответственности или получения страхового возмещения.

Эти цели противоречат друг другу: чем быстрее восстанавливают систему, тем меньше остаётся цифровых следов. Удаление вредоносных файлов, перезапуск сервисов и восстановление из бэкапа фактически уничтожают доказательства, делая невозможным проведение компьютерно‑технической экспертизы и установление причинно‑следственной связи.

Критические сроки и обязательные уведомления

Чтобы доказательства имели юридическую силу, необходимо соблюдать сроки и порядок фиксации:

Уведомление НКЦКИ: в течение 3 часов - для значимых объектов КИИ, 24 часов - для остальных.

Уведомление Роскомнадзора: в течение 24 часов при утечке персональных данных.

Первичное внутреннее расследование: результаты нужно быть готовыми предоставить регулятору в течение 72 часов.

Как сделать цифровые следы допустимыми доказательствами

Ключевое требование - неизменность доказательств. Суд примет не сам лог, а подтверждённую историю его существования и отсутствия изменений после обнаружения. Для этого формируют цепочку хранения доказательств, фиксируя:

кто и когда обнаружил инцидент (с указанием источника синхронизации времени);

где именно он выявлен (узел, IP, система);

кто производил копирование и каким инструментом;

контрольные суммы файлов;

место хранения оригинала и список лиц, имевших к нему доступ.

Без соблюдения этих правил доказательство признают недопустимым - независимо от его содержания.

Практические рекомендации для ИБ‑подразделений

Чтобы совместить задачи восстановления и сбора доказательств, компании следует:

Разработать регламент об инцидентах, где чётко определено понятие инцидента с учётом требований законодательства и отраслевых стандартов.

Синхронизировать технические и юридические процедуры: в план реагирования включить шаги по фиксации доказательств и взаимодействию с юридической службой.

Заранее определить приоритеты реагирования для разных сценариев: немедленное восстановление, расследование, уголовное преследование, получение страхового возмещения. Это снимает неопределённость и позволяет действовать без риска утраты доказательной базы.

Обеспечить техническую возможность фиксации: настроить сбор и хранение логов, использовать инструменты для создания контрольных сумм и документирования цепочки хранения.

Вывод

Киберинцидент - это одновременно техническая проблема и юридический риск. Успешное разрешение ситуации зависит не от скорости устранения последствий, а от качества фиксации события в первые часы. Грамотно выстроенные регламенты, чёткое распределение ролей и соблюдение сроков уведомлений позволяют превратить цифровые следы в допустимые доказательства, защитить интересы компании и минимизировать правовые риски.