CDEK считается со сбоем
Могут ли клиенты сервиса рассчитывать на компенсации
Сайт CDEK частично заработал. Сбой может обойтись оператору в 1 млрд руб. В ночь 29 мая компания сообщила, что ресурс ограниченно доступен, но проблемы со сбоем еще продолжают устранять. Ранее в ПВЗ начали в ручном режиме выдавать клиентам оплаченные заказы. Как подсчитали опрошенные РБК эксперты, сервис совершает более 400 тыс. отправлений в сутки, и только три дня простоя могли обойтись ему в 300 млн руб. Это без учета репутационных издержек, потенциальных компенсаций клиентам и расходов на улучшение мер безопасности. В совокупности все это можно оценить в 1 млрд. CDEK уже не в первый раз сталкивается с серьезным техническим сбоем. Почему случился рецидив? И какими будут последствия для компании? Выясняла Екатерина Вихарева.
Фото: Александр Казаков, Коммерсантъ
В 2022 году хакеры слили в сеть миллионы строк личных данных клиентов CDEK. Пострадавшие требовали компенсаций на 2 млн руб. Компания объясняла, что «стала заложницей ситуации». 26 мая 2024 года CDEK снова взломали. По заявлению группировки Head Mare, ее хакеры заразили компанию вирусом-шифровальщиком. Хотя оператор сделал максимум для защиты, уверяет его директор по связям с общественностью Михаил Берггрен:
«За последние годы мы очень сильно шагнули вперед в рамках защиты безопасности данных, и в том числе получили некоторое количество новых поставщиков этом направлении. Компании постоянно ищут новые способы защиты, это непрекращающийся процесс. На данный момент мы подключили довольно большое количество экспертов из разных компаний. Когда источник — анонимный аккаунт в соцсети Х, я рекомендую не доверять ему».
По данным Ассоциации электронных коммуникаций, за 2023 год число атак вирусов-шифровальщиков выросло на 160%. Как правило, хакеры требуют выкуп, и речь идет порой о миллионах долларов. Head Mare о подобном пока не заявляла. Некоторые эксперты допускают, что эта же группировка могла быть причастна и к прошлому взлому CDEK. В таком случае, оператор недооценил риски, рассуждает ведущий эксперт по защите персональных данных консалтинговой компании «Б-152» Максим Лагутин:
«Иногда атакующие имеют гораздо больше ресурсов, чем защищающиеся. Это вечная гонка вооружений. Нормальная практика, когда компания начинает реагировать после инцидента. Но бывает такое, что она неправильно оценила в целом уровень последствий. Если после инцидента ничего не произошло, упущенной выгоды нет, штрафов нет, клиенты также есть, ну и ладно, зачем нам вкладывать миллионы?».
Head Mare в сообщениях о взломе CDEK упоминает еще консультанта оператора по вопросам кибербезопасности Bi.Zone. Хакеры отмечают, что его софт оказался «бесполезным». “Ъ FM” направил запрос в компанию. Гендиректор «Киберполигона» Лука Сафонов допускает, что CDEK мог просто не успеть усилить систему безопасности:
«У нас был указ президента, который гласил, что до 2025 года надо уйти от тех же Windows-систем. До сих пор этого не произошло. То есть как минимум два-три года — это средний срок по миграции. Стоимость — примерно 20-30% от оборота компании. Часть продуктов еще не импортозамещены, и тут, к сожалению, тоже срок достаточно туманный. Поэтому даже если, может, мы и хотим что-то там поменять, но не всегда есть на что».
Клиенты оператора не могут получить лекарства и срочные документы. Одна девушка пожаловалась, что ей пришлось отменить свадьбу — платье не отдают в ПВЗ. CDEK заверяет, что вопросы о компенсациях рассмотрят в индивидуальном порядке. Но на значительные выплаты можно не рассчитывать, предупреждает член коллегии адвокатов «Люди Дела» Алишер Захидов:
«Ожидать какого-то массового недовольства и предъявления исков не стоит. CDEK это все спустит на тормозах. Это такой внешний форс-мажор, товар не потерян. Здесь будет компенсация морального вреда, но небольшая — от 5 тыс. руб. до 10 тыс. руб. В таких огромных компаниях есть программа лояльности с клиентами, она у них в природе. Они могут предложить какой-нибудь льготный тариф, внутренние варианты разрешения конфликта, и тогда вообще до суда ничего не дойдет».
С прошлой весны в Госдуме завис законопроект об оборотных штрафах для IT-компаний за утечки персональных данных. Опрошенные “Ъ FM” эксперты полагают, что CDEK может стать катализатором его принятия в самой жесткой форме. В «Лаборатории Касперского», впрочем, ранее говорили, что хакеры только и ждут нового закона, чтобы начать вымогать у компаний деньги.
С нами все ясно — Telegram-канал "Ъ FM".