Группа компаний «Орион» (более известная под маркой «Орион Телеком») — крупный провайдер услуг интернета, телевидения и телефонии в Сибири. Компании группы используют единую сетевую и серверную инфраструктуру.
30.07.2025 г. на сайте Орион Телекома появилось объявление о возможной утечке персональных данных в результате кибератаки 12.06.2025. За пару месяцев до этого как раз вступили в силу новые «дорогие» штрафы за масштабные утечки (так называемые «оборотные штрафы за утечки», хотя они не оборотные на самом деле). У Ориона появился шанс одним из первых испытать на себе их применение.
Роскомнадзор (РКН) составил протоколы об административных правонарушениях в отношении 6 компаний группы. Четырем компаниям грозил штраф от 5 миллионов (ч. 13 ст. 13.11 КоАП РФ), одной — от 3 миллионов (ч. 12 ст. 13.11 КоАП РФ) и еще одной — от 300 тысяч (ч. 1.1 КоАП РФ).
Какая часть ст. 13.11 КоАП РФ будет применена к оператору, зависит от количества затронутых утечкой субъектов перс.данных, то есть попросту от количества людей, чьи данные утекли. Зная, по какой части ст. 13.11 КоАП РФ составлен протокол об административном правонарушении, можно прикинуть масштаб утечки. Итак, у четырех компаний Ориона утекли данные от 10 до 100 тысяч субъектов, у одной — от 1 тысячи до 10 тысяч субъектов и еще у одной — менее тысячи субъектов.
Осенью 2025 г. материалы поступили в арбитражные суды (АС Красноярского края, АС Иркутской области и АС Республики Хакасия) и началось судебное разбирательство, итогов которого с интересом ждали специалисты по информационной безопасности и персональным данным. Ждали-ждали и наконец дождались.
В конце апреля — начале мая 2026 г. суды вынесли первые решения по делам Орион Телекома. Из этих решений стало известно содержание отчета о расследовании инцидента, проведенном ООО «Бизон».
Расследование установило потрясающие вещи:
-
хакеры атаковали инфраструктуру Ориона с использованием учетной записи работника, уволенного в 2022 г, пароль от которой не менялся с момента ее создания в 2019 г;
-
источником первого подключения являлся хост, на котором по состоянию на конец апреля 2025 г. было развернуто ПО, версия которого имеет критическую уязвимость, которая могла быть использована атакующими для первоначального проникновения;
-
следующие SSH-соединения производились с иного хоста, на котором имелось большое количество ПО с критическими уязвимостями. Любая из этих уязвимостей могла быть использована атакующими для проникновения в инфраструктуру и дальнейшего перемещения по ней;
-
атакующие смогли получить права пользователя root благодаря некорректной конфигурации системы безопасности в операционной системе: пользователь (тот самый уволенный работник, чья учетка использовалась для атаки) имел возможность бесконтрольно повышать свои привилегии без ввода пароля;
-
пароль пользователя root может быть подобран по словарю либо простым перебором, а пароль некоторых учетных записей не изменялся с момента ее создания в 2019 г.;
-
самый ранний скомпрометированный сервер был скомпрометирован 30.05.2025 (точно в день вступления в силу новых штрафов за утечки), а обнаружена атака была только 12.06.2025
Арбитражные суды пришли к выводу, что компании группы «крайне пренебрежительно» относились к требованиям информационной безопасности, чем создавали «угрозу утечки персональных данных большого числа пользователей». У одной из компаний утекли данные более 4 тысяч пользователей, у другой — более 36 тысяч.
Тем удивительнее, что вместо штрафов обеим компаниям суды назначили всего лишь предупреждение. Это тем более дико выглядит на фоне штрафов в 60 — 150 тысяч, которые назначаются за незаконное использование персональных данных одного человека. Одно маркетинговое письмо, отправленное без согласия на рассылки, обходится дороже, чем утечка данных десятков тысяч пользователей.
Дальше еще интереснее. Судебные заседания в отношении оставшихся четырех компаний, по их просьбе, суды провели в закрытом режиме. На сегодня известно, что три компании уже привлечены к ответственности (но неизвестно наказание), а в отношении последней дело еще не закончено.
Между тем, Орион Телеком на своем сайте заявляет, что якобы компании группы признаны невиновными в распространении персональных данных. Никакого противоречия в собственном заявлении о признании себя невиновным, но при этом привлечении к ответственности PRщики Орион Телекома не видят.
Удивительная лояльность судов по отношению к оператору персональных данных, который даже пароли не удосужился поменять с 2019 г., показывает другим компаниям, что по поводу ИБ и утечек можно особо не беспокоиться, как бы высоки ни были штрафы применять их суды пока не торопятся.
ссылка на оригинал статьи https://habr.com/ru/articles/1037102/