Юридическая карта киберрисков

Более 400 тыс. киберпреступлений с начала года — «новая норма» для российского бизнеса. Ответом должен стать не только рост IТ-бюджетов, но и смена парадигмы: юристы становятся ключевыми игроками в команде по кибербезопасности. Юрист «Томашевская и партнеры» Дарья Урманова — о том, как выстроить после инцидента защиту от регуляторных штрафов и исков.

Выйти из полноэкранного режима

Развернуть на весь экран

В 2025 году киберугрозы окончательно закрепились для российского бизнеса в статусе операционного риска: по данным МВД, в январе—июле 2025 года было зарегистрировано 424,9 тыс. преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации. По оценкам провайдеров сервисов информационной безопасности, интенсивность атак на бизнес тоже растет: в ряде обзоров отмечается, что с начала 2025 года число кибератак превысило 105 тыс.

Реакция рынка предсказуема: компании увеличивают бюджеты на защиту. Совместное исследование «К2 Кибербезопасность» и Positive Technologies фиксирует, что 56% организаций нарастили расходы на киберзащиту в среднем на 20–40%. На фоне резонансных летних инцидентов с атаками на крупные бренды и инфраструктуру это становится неизбежным, однако усиление «железа» и SOC — только часть ответа. Даже единичная атака быстро превращается в юридическую проблему: претензии клиентов и партнеров, расследования регуляторов, споры о неисполнении договоров, вопросы коммерческой тайны и ответственности менеджмента. И управлять этим набором рисков можно только системно — через комплаенс и процессы, а не через разовые меры.

Во многих компаниях киберугрозы по инерции воспринимаются исключительно как задача соблюдения 152-ФЗ и предотвращения утечек персональных данных. Фокус верный, но узкий: при атаке страдают не только персональные данные (ПД), но и коммерчески значимая информация, отношения с контрагентами, а иногда — статус объектов КИИ и обязательства по безопасности.

На практике юридические риски после инцидента группируются в четыре блока: персональные данные и регуляторика (152-ФЗ, обязанности оператора, уведомления и доказательная база); коммерческая тайна и ноу-хау (введен ли режим, можно ли реально защищать актив и привлекать к ответственности); договорные последствия (конфиденциальность, SLA, ответственность за простой, обязанности по уведомлению); управление и контроль (распределение ролей, исполнение требований стандартов и политик, комплаенс-«след» для проверок и суда).

Оператор ПД должен не просто «иметь политику», а демонстрировать работающий цикл обработки данных: законные основания, минимизация, информирование субъектов, меры защиты, соблюдение требований локализации и корректные уведомления в Роскомнадзор. Внутренние регламенты и уведомления должны отражать фактический процесс: зачем и в каких целях собираются данные, чьи они, что происходит с ними при обработке, сколько они хранятся и как уничтожаются. Критические точки проверки — это соответствие их целому ряду требований: от оснований обработки (согласия, договоры, использование открытых источников в допустимых пределах) и локализации до передачи (договоры при передаче другому оператору, вопрос трансграничной передачи и уведомления), хранения и уничтожения.

Но, конечно, ключевой тренд 2025 года — это смещение акцента с «подготовки документов» на «реагирование». Для бизнеса это означает отстроенный процесс работы с запросами субъектов и инцидентами: сбор доказательств, анализ последствий, контроль сроков хранения и удаления, актуализация категорий данных, матриц ответственности и процедур уведомления.

Отдельный уровень сложности представляют собой компании, работающие на европейский рынок. Даже находясь вне ЕС, бизнес может подпасть под GDPR при обработке данных граждан ЕС в связи с предложением товаров и услуг или мониторингом поведения. В этом случае к списку обязанностей добавляются: оценка воздействия обработки на защиту данных; назначение инспектора по защите персональных данных в зависимости от основной деятельности; требование о незамедлительном уведомлении об утечке персональных данных субъекта при высокой степени риска для прав и свобод. Для трансграничных групп это означает необходимость строить систему информационной безопасности в соответствии с требованиями и российского законодательства, и GDPR.

При атаке компрометируются не только ПД, но и информация, которая имеет коммерческую ценность: клиентские базы, финансовые модели, технологические решения. Чтобы защищать этот массив, недостаточно ссылаться на «конфиденциальность по умолчанию». Нужны юридические меры введения режима коммерческой тайны. Для этого следует: определить перечень сведений, имеющих коммерческую ценность; установить порядок обращения и контроля его соблюдения; вести учет лиц, допущенных к коммерческой тайне; закрепить условия использования информации в трудовых договорах и договорах с контрагентами; наносить на носители и в документы гриф «Коммерческая тайна».

Без выполнения этих шагов режим признается невведенным и компания теряет существенную часть правовых инструментов защиты. Аналогичная логика применима и к ноу-хау: режим коммерческой тайны не обязателен, но относится к «разумным мерам» конфиденциальности; альтернативой выступают локальные ограничения доступа и NDA-механизмы.

Когда у компании несколько контуров данных и разные категории защищаемой информации, «латание дыр» перестает работать. Практический ориентир — риск-ориентированный подход, закрепленный в ISO 27001 и его российском эквиваленте ГОСТ Р ИСО/МЭК 27001–2021: информационная безопасность строится как система менеджмента, интегрированная в процессы и управление.

Типовые меры включают: разработку и регулярный пересмотр политик информационной безопасности; организацию функции информационной безопасности и распределение ролей; работу с персоналом; менеджмент активов (включая их категорирование); управление доступом, криптографией и физической безопасностью; безопасность эксплуатации; контроль отношений с поставщиками; менеджмент инцидентов и обеспечение непрерывности; соответствие правовым и договорным требованиям.

Для минимизации юридических последствий атаки бизнесу имеет смысл действовать по предсказуемому сценарию: определить стратегию информационной безопасности и критичные угрозы с учетом бизнес-процессов; категоризировать информацию, установить приоритеты и уровни защиты; выявить угрозы и юридические риски, классифицировать их и закрепить меры реагирования; утвердить регламенты и матрицы ответственности (кто, что и когда делает при инциденте); внедрить организационные и технические меры, соразмерные угрозам; обучить сотрудников правилам информационной безопасности и реагированию; проводить регулярный мониторинг, аудит и пересмотр системы.

Кибербезопасность в 2025 году — это не только вопрос инфраструктуры, но и вопрос управления юридическими последствиями. Компании, которые заранее выстраивают процессы информационной безопасности, несут меньший ущерб — как финансовый, так и репутационный.