Личная ответственность CEO за киберинциденты. От штрафа до уголовного дела

4 ноября 2016 года директор по безопасности Uber Джозеф Салливан отвечал на вопросы Федеральной торговой комиссии США об утечке, случившейся двумя годами раньше. Салливан пришёл в компанию уже после инцидента. Причина той компрометации выглядела почти буднично: ключи доступа к AWS оставили в общедоступном репозитории GitHub, после чего пострадали данные водителей.

Десять дней спустя в Uber пришло письмо от хакеров. В инфраструктуру компании снова вошли через опубликованные ключи AWS, только масштаб оказался другим: сведения о 57 миллионах пользователей и водителей, среди них 600 тысяч номеров водительских удостоверений. За молчание злоумышленники запросили 100 тысяч долларов. Uber перевела деньги через программу вознаграждения за уязвимости, а с вымогателями подписала соглашение о неразглашении.

До суда дело довела не сама утечка. Обвинение доказывало, что Салливан знал о новом взломе и спрятал его, пока ФТК уже разбиралась с безопасностью Uber после прежнего инцидента. В октябре 2022 года присяжные приняли эту версию и признали бывшего CISO виновным: воспрепятствование правосудию и сокрытие тяжкого преступления.

Приговор прозвучал в мае 2023 года. Три года условно. Двести часов общественных работ. Штраф 50 тысяч долларов. Прокуратура просила отправить Салливана в тюрьму, однако суд на реальный срок не пошёл.

На апелляции дело не рассыпалось. Девятый округ в марте 2025 года оставил обвинительный приговор в силе, а в ноябре выпустил изменённое заключение без изменения результата. Последняя точка всё же не поставлена: в марте 2026 года Салливан попросил Верховный суд США пересмотреть дело.

Превращать эту историю в универсальную страшилку для генеральных директоров было бы подменой. Салливан руководил безопасностью, а суд оценивал не качество защиты Uber вообще, а его действия после взлома. У компании возникает один контур ответственности: штрафы и другие санкции за нарушение правил работы с данными. У конкретного руководителя - другой. Его риск зависит от того, что человек сам знал, подписывал, скрывал или разрешал. Уголовное дело появляется там, где следствие видит уже личный поступок: сокрытие преступления, ложь регулятору, передачу базы на сторону или участие в незаконном обороте данных.

Россия: крупный штраф для компании, отдельный риск для человека

В России правила изменились 30 мая 2025 года, когда начал действовать федеральный закон № 420-ФЗ. В статье 13.11 КоАП РФ появились новые составы для операторов персональных данных, в том числе оборотный штраф. Доход компании перестал быть фоном: при определённой повторности именно от него считают санкцию.

Здесь легко ошибиться в формулировке. Речь не о любом втором сообщении об утечке. Часть 15 статьи 13.11 КоАП РФ применяется к юридическому лицу, которое уже привлекали к ответственности за указанные в законе нарушения и которое вновь совершило соответствующее правонарушение. Штраф составляет от 1 до 3 процентов выручки за предшествующий календарный год, но не меньше 20 миллионов и не больше 500 миллионов рублей. Для кредитных организаций базой служат собственные средства на дату нарушения.

При выручке в 15 миллиардов рублей вилка составит от 150 до 450 миллионов. На таком уровне спор о защите данных перестаёт быть разговором отдела ИБ с закупками: принятое исключение, незакрытый риск или отложенное исправление уже могут обернуться суммой, которую руководству придётся объяснять собственникам и суду.

Одновременно в Уголовном кодексе появилась статья 272.1, введённая законом № 421-ФЗ. По наиболее тяжёлому составу, если деяние повлекло тяжкие последствия либо совершено организованной группой, наказание достигает десяти лет лишения свободы.

Новая статья не превращает любой взлом оператора в уголовное дело против генерального директора. Статья 272.1 УК РФ описывает незаконные использование, передачу, сбор или хранение компьютерной информации с персональными данными, полученной неправомерным доступом либо иным незаконным путём, а также создание ресурсов для её незаконного хранения или распространения. Если оператор законно собирал данные, а базу похитил внешний атакующий, одного факта компрометации недостаточно, чтобы вменить директору этот состав.

Но если сотрудник или руководитель сам выгружает базу, передаёт сведения на сторону, продаёт их либо использует данные, добытые незаконным путём, предмет спора меняется. Вопрос уже не в том, хорошо ли компания отбила атаку. Следствие проверяет поступки конкретного человека и умысел, с которым он действовал.

По российским нормам нельзя просто взять фабулу Uber и сменить американского регулятора на Роскомнадзор. Салливану вменили сокрытие преступления и вмешательство в расследование ФТК. Статья 272.1 УК РФ устроена иначе: она преследует незаконный оборот компьютерной информации с персональными данными. Для директора будут иметь значение его письма и распоряжения, доступ к сведениям, цепочка согласований и то, сможет ли обвинение доказать умысел.

Дела по статье 272.1 уже регистрируют сотнями. По данным МВД, которые приводил РБК, с января по октябрь 2025 года насчитали 923 таких преступления. Но публичного примера, в котором гендиректора крупного оператора обвинили только из-за внешнего взлома и последующей утечки, без его участия в незаконном обращении с данными, пока не видно. Десять лет в санкции статьи - реальный максимум. Приписывать его любому первому лицу после компрометации базы нельзя.

Отдельно работает административный риск: уведомление Роскомнадзора. Оператор должен сообщить о неправомерной или случайной передаче персональных данных в течение 24 часов, а результаты внутреннего расследования направить в течение 72 часов. Оба срока указаны в форме Роскомнадзора. За несвоевременное уведомление или молчание при установленном инциденте юридическому лицу грозит отдельный штраф от 1 до 3 миллионов рублей по части 11 статьи 13.11 КоАП РФ.

США: приговор CISO и неудавшееся дело SEC

Американская хронология важна именно последовательностью событий. В 2014 году первая утечка Uber затронула около 50 тысяч водителей. В феврале 2015 года компания уведомила ФТК, началось расследование. В апреле Uber наняла Салливана. 4 ноября 2016 года он давал показания под присягой о защите данных, а через десять дней узнал о новой утечке, намного крупнее прежней и связанной с похожим вектором атаки.

Суд не отправил Салливана за решётку, но мягким исход назвать трудно. Бывший CISO остался на свободе с уголовным приговором, который выдержал апелляцию и теперь оспаривается в Верховном суде США. При назначении наказания судья Уильям Оррик отдельно предупредил: другому руководителю безопасности, скрывшему сопоставимый инцидент, рассчитывать на условный срок уже не стоит.

В деле SolarWinds тот же сценарий не повторился. В октябре 2023 года Комиссия по ценным бумагам США (SEC) подала гражданский иск против компании и её директора по безопасности Тимоти Брауна. По мнению регулятора, SolarWinds и Браун вводили инвесторов в заблуждение, когда описывали уровень защиты и последствия атаки Sunburst. Основную часть требований судья Пол Энгельмайер отклонил в июле 2024 года. Оставшуюся часть спора SEC прекратила 20 ноября 2025 года, причём вернуть те же претензии в суд регулятор уже не может.

Разница здесь не терминологическая. Салливан отвечал в уголовном суде за действия после атаки, когда ФТК уже вела расследование Uber. Брауну SEC предъявила гражданские претензии, связанные с тем, как компания раскрывала сведения инвесторам, но личную ответственность CISO в суде не закрепила. Американские дела не создают автоматической вины руководителя после каждого взлома. Граница уже и жёстче: скрытый инцидент и ложь надзору способны превратить корпоративный кризис в личное дело.

Правила SEC тоже не запускают четырёхдневный таймер в минуту первого сигнала от системы обнаружения. Публичная компания должна подать сообщение о существенном киберинциденте по форме 8-K в течение четырёх рабочих дней после того, как признает инцидент существенным для инвесторов. Само решение о существенности компания обязана принять без необоснованной задержки.

Евросоюз: NIS2 заставляет руководство отвечать за контур управления

Директива NIS2 требовала от стран Евросоюза перенести новые правила в национальное право до 17 октября 2024 года. Статья 20 возлагает на управляющие органы подпадающих под директиву организаций обязанность одобрять меры управления киберрисками, контролировать исполнение и проходить обучение. Передать вопрос в ИТ-подразделение и больше к нему не возвращаться такой режим уже не позволяет.

NIS2 различает существенные и важные субъекты. Для существенных организаций национальное право должно предусмотреть максимальный штраф не ниже 10 миллионов евро или 2 процентов мирового годового оборота, если процент даёт большую сумму. Для важных субъектов порог составляет не ниже 7 миллионов евро или 1,4 процента оборота. Как именно надзор применяет санкции, определяет закон конкретной страны ЕС.

Для руководителя особенно чувствительна статья 32. При определённых условиях в отношении существенного субъекта надзорный орган может обратиться за временным запретом физическому лицу выполнять управленческие функции, если лицо действует как руководитель или законный представитель. Запрет не следует автоматически за каждым инцидентом: нужна национальная процедура и факты нарушения обязанностей. Но должность больше не отделяет человека от последствий проваленного контроля.

Германия перенесла NIS2 в национальное право с задержкой. Закон о внедрении вступил в силу 6 декабря 2025 года. По оценке, приведённой в анализе Greenberg Traurig, круг поднадзорных организаций расширился примерно с 4 500 до 29 500. Федеральное ведомство по информационной безопасности (BSI) открыло портал регистрации и сообщений об инцидентах; для организаций, уже подпадавших под закон при его вступлении в силу, трёхмесячный срок регистрации завершился 6 марта 2026 года.

NIS2 требует направить раннее предупреждение о существенном инциденте в течение 24 часов после того, как организация о нём узнала. Срок короткий. Пока техническая команда ещё выясняет масштаб атаки, у руководства уже должен работать заранее согласованный маршрут: кто получает сигнал, кто оценивает обязанность уведомить надзор и кто фиксирует принятое решение. Иначе первая ночь после взлома уйдёт не на реакцию, а на выяснение полномочий.

Где заканчивается риск компании и начинается риск руководителя

Страховка оплачивает защиту, но не отменяет поступок

Прогноз Gartner 2020 года звучал резко: к 2024 году 75 процентов гендиректоров компаний, работающих с киберфизическими системами, будут лично отвечать за инциденты. Серии уголовных процессов против CEO не возникло. Зато вопрос переместился в договоры, протоколы и страховое покрытие. В прогнозе 2024 года Gartner ожидала, что к 2027 году две трети организаций из Global 100 расширят D&O-покрытие на руководителей по кибербезопасности из-за персональных юридических рисков.

Cyber insurance и D&O insurance работают с разными потерями. Первый полис обычно оплачивает расходы компании на расследование, восстановление, уведомления пострадавших и отдельные требования после инцидента. Второй предназначен для директоров и должностных лиц, против которых предъявляют требования из-за управленческих решений. Реальное покрытие определяет не название продукта, а текст договора: лимиты, исключения, порядок уведомления страховщика и условия оплаты юридической защиты.

При сознательном сокрытии утечки страхование становится ненадёжной опорой. D&O-полисы обычно исключают умышленные нарушения и преступные деяния после их установления в предусмотренном договором порядке. Оплату защиты до окончательного решения договор иногда допускает. Но уголовный приговор за сокрытие инцидента нельзя заранее записать в расходы, которые без спора закроет страховщик.

Размер потерь хорошо виден на деле Equifax. Утечка 2017 года затронула около 147 миллионов человек. В 2019 году компания согласилась выплатить не менее 575 миллионов долларов в рамках урегулирования с ФТК, Бюро финансовой защиты потребителей и штатами; общая сумма могла вырасти до 700 миллионов долларов. Полис может закрыть часть счетов. Утерянные документы, просроченные решения и обвинение в сокрытии он не переписывает.

Российские компании тоже поднимают CISO ближе к совету директоров. В анализе Positive Technologies говорится, что в 2025 году многие организации впервые предоставили директору по информационной безопасности прямой доступ к совету директоров. Универсальным правилом такая схема пока не стала. Для персональной ответственности существенна другая деталь: руководитель уже не может убедительно ссылаться на отсутствие информации о критическом риске, если канал прямого доклада у компании существует и используется.

Что генеральному директору проверить до инцидента

• Назначен ли человек, который уведомляет регулятора, и есть ли у него резервный исполнитель. Нужны фамилии, каналы связи и порядок замены, а не устная договорённость внутри отдела.
• Разведены ли критерии эскалации для каждой применимой юрисдикции. Российские сроки уведомления, раннее предупреждение NIS2 и раскрытие по правилам SEC запускаются разными событиями.
• Проводила ли компания штабное учение по утечке с фиксацией времени решений, найденных провалов и назначенных исправлений. Протокол без последующих изменений защищает отчётность, но не процесс реагирования.
• Кто вправе согласовать выплату по программе вознаграждения за уязвимости, переговоры с вымогателями и внешние сообщения. Именно на этом участке в деле Салливана возник уголовный риск.
• Получает ли руководство от CISO сведения о критических рисках, принятых исключениях и просроченных исправлениях, а не только показатели закупленных средств защиты.
• Разбирали ли юристы и брокер условия страхования: лимиты, исключения, оплату защиты руководителя, сроки уведомления страховщика и сценарии, в которых покрытие не сработает.

После утечки следователи и регуляторы восстанавливают не презентацию службы безопасности, а цепочку решений. Кто видел риск. Кто разрешил исключение. Когда узнали о компрометации. Почему не ушло уведомление. Дело Салливана строилось именно вокруг такой цепочки: данные похитили хакеры, а уголовный приговор получил руководитель, который попытался представить вымогательство как выплату по программе bug bounty и не раскрыл новую утечку во время расследования ФТК.

Вопросы и ответы