Докажи, что сервер — крайний
Как распределяется ответственность владельца сайта и хостинг-провайдера в случае кибератаки
Отвечает ли хостинг-провайдер, предоставивший клиенту сервер для размещения сайта в интернете, за последствия DDoS-атаки — потерю данных и приостановку доступа к сервису бронирования санаториев? Такой вопрос встал перед арбитражными судами в рамках тяжбы по иску владельца сайта к провайдеру Timeweb. Первая инстанция взыскала компенсацию с провайдера, но вышестоящие суды решили, что предоставление хостинга не предполагает обязательств хранить данные, а защита от DDoS-атак является отдельной услугой. По словам экспертов, российские суды чаще всего не возлагают на хостинг-провайдеров ответственность за убытки владельца сайта, в то время как мировая практика начинает смещаться в противоположную сторону.
Фото: Олеся Курпяева, Коммерсантъ
Фото: Олеся Курпяева, Коммерсантъ
“Ъ” проанализировал судебные решения по спору владельца сайта и предоставившего сервер для его размещения провайдера. Российская практика по таким спорам пока формируется, но вопрос крайне актуален для бизнеса, учитывая рост числа DDoS-атак более чем на 100% по итогам 2025 года.
Атака есть, стандартов нет
В 2018 году казанская туристическая компания ООО «Саната» разместила свои сайты на серверах хостинг-провайдера Timeweb. 19 апреля 2023 года на серверах произошел сбой из-за DDoS-атаки, сайт «Санаты» по онлайн-бронированию санаториев перестал работать и часть его данных была утеряна. Компания понесла затраты на восстановление онлайн-ресурса и потребовала от провайдера возместить 3,98 млн руб. ущерба и 1,28 млн руб. упущенной выгоды. Timeweb прислал клиенту резервную копию сайта и предложил возместить 250 тыс. руб., а позднее 600 тыс. руб. расходов.
Но «Саната» на такой размер компенсации не согласилась и обратилась с иском к Timeweb в арбитражный суд Санкт-Петербурга и Ленинградской области. Истец указывал, что сайт не работал после сбоя четыре месяца, поскольку хостинг-провайдер не выполнил обязанности по его защите от DDoS-атак и сохранению информации. Timeweb заявлял, что не отвечает за хранение, кибератака является форс-мажором, а сайт «Санаты» возобновил работу уже через неделю после перегрузки серверов.
Первая инстанция поддержала владельца сайта и взыскала с хостинг-провайдера 5,26 млн руб. убытков, посчитав, что Timeweb должен был использовать анти-DDoS-решения, фильтровать трафик и использовать отказоустойчивую инфраструктуру.
Также суд указал, что сайт онлайн-бронирования после сбоя работал неполноценно — там долгое время отсутствовал ключевой визуальный контент, а именно фотографии санаториев и номеров.
Но Timeweb добился отклонения иска в апелляции в октябре 2025 года. Суд отметил, что по условиям оферты под хостингом понимается не хранение данных, а услуга по размещению и сопровождению информации заказчика на сервере. Договор предусматривал круглосуточное оказание услуг, но с исключениями — в том числе на случай вмешательства третьих лиц, защита же от DDoS-атак в базовый пакет услуг не входила. Апелляция учла и то, что ответчик «принял все возможные меры для устранения причин перерыва и возобновления предоставления услуг» — согласно архивным копиям, интернет-ресурс «Санаты» заработал спустя неделю после сбоя. Это решение в марте поддержала кассация Северо-Западного округа.
Управляющий партнер АБ «Маранц, Соловьев и партнеры» Юлия Маранц, представляющая интересы Timeweb в судах, отметила сложность дела в том, что на сегодняшний день отсутствуют сформированные процессуальные стандарты доказывания факта кибератаки, мер реагирования со стороны провайдера и клиента. Она уверена, что эти решения судов лягут в основу практики в сфере кибербезопасности.
Представители «Санаты» во вторник не ответили на запрос “Ъ”.
Сервер есть, гарантий нет
В России практика по таким тяжбам только формируется, отмечает адвокат в сфере интеллектуальной собственности медиа и ИТ Антонина Шишанова. По словам партнера юрфирмы «АНП Зенит» Рамиса Абянова, небольшое пока число исков может объясняться тем, что многие конфликты решаются досудебно в рамках соглашения об уровне услуг (SLA), где может быть предусмотрено время бесперебойной работы сервера.
Большинство опрошенных “Ъ” юристов и экспертов в сфере информбезопасности поддерживают выводы апелляции и кассации по делу с Timeweb. Ведущий юрист ИТ-компании «Спикател» Айрат Бахитов поясняет, что многое зависит от условий договора, но в целом он согласен, что провайдер не отвечает за неправомерные действия третьих лиц при кибератаке. Бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова указывает, что в сфере ИТ-услуг действует принцип разделения ответственности: провайдер отвечает за работоспособность своего оборудования и сетей, а клиент — за сохранность своих данных и защиту своего сайта.
Зачастую хостинг — это только предоставление вычислительной, дисковой или сетевой инфраструктуры на условиях «best effort» или в рамках ограниченного SLA, объясняет консультант по интернет-безопасности компании Positive Technologies Алексей Лукацкий. Если же клиенту нужна гарантированная сохранность данных, непрерывность бизнеса, георезервирование, защита от DDoS, регулярные бэкапы, это должно отдельно фиксироваться в соглашении, добавляет господин Лукацкий.
Технический директор Selectel Кирилл Малеванов согласен, что услуги провайдера в первую очередь заключаются в предоставлении инфраструктуры, а не в хранении данных. Если же клиент хочет защиты, он должен либо выбрать соответствующий тариф, либо оплатить анти-DDoS-решения и резервное копирование, добавляет госпожа Шишанова. Рамис Абянов тоже считает, что провайдер обеспечивает доступность и целостность данных в рамках обычной эксплуатации, а «гарантия сохранности при атаках и резервное копирование — это уже договорная функция, которая по умолчанию на хостинг-провайдере не лежит».
Многие провайдеры, отмечает господин Малеванов, оказывают помощь в момент инцидента и после него, могут предоставлять консультации по вопросам настройки инфраструктуры максимально безопасным способом. Тем не менее, по словам господина Бахитова, основную ответственность за безопасность данных и защиту от кибератак несет владелец сайта, который должен самостоятельно принимать все необходимые меры для защиты своих данных, в том числе резервное копирование.
По оценкам экспертов, в большинстве случаев российские суды встают на сторону хостинг-провайдера, так как его ответственность обычно ограничена договором, а доказать связь его действий с убытками клиента довольно сложно. В мире же тренд постепенно меняется в пользу клиентов, отмечает Юлия Липатникова со ссылкой на решение Верховного суда Делавэра (США) против Blackbaud. Теперь, если провайдер не использовал отраслевые стандарты защиты и пренебрегал базовыми мерами безопасности, суды могут признать его халатность и обязать возместить убытки клиентов, говорит госпожа Липатникова. Юристы не исключают, что такой подход в дальнейшем может быть воспринят и российскими судами.