Содержание |
История
2026: Штраф в $42 млн за потерю данных 24 млн абонентов из-за хакерской атаки
14 января 2026 года французский регулятор по защите информации (CNIL) оштрафовал телекоммуникационного гиганта из Франции Groupe Iliad на сумму в $42 млн за критические уязвимости в области кибербезопасности. Наличие этих уязвимостей позволило хакерам похитить данные 24 млн абонентов.
Как следует из сообщения The Record, поводом для наказания стала кибератака, осуществленная в октябре 2024 года. Хакеры проникли в информационные системы двух дочерних компаний холдинга: телекоммуникационного провайдера Free SAS и мобильного оператора Free Mobile. В результате был получен несанкционированный доступ к персональным данным клиентов, включая номера международных банковских счетов (IBAN).
В ходе расследования CNIL выявил многочисленные нарушения требований Общего регламента по защите данных Европейского союза (GDPR). Ведомство констатировало недостаточность мер безопасности: слабую процедуру аутентификации для подключения к корпоративной VPN-сети и отсутствие эффективных систем для обнаружения подозрительной активности.Как построить цифровой фундамент для мебельного ритейла будущего 
Компании также нарушили обязательство информировать пострадавших. Уведомления об инциденте не содержали достаточных сведений, чтобы абоненты могли понять последствия утечки и принять меры для защиты конфиденциальных данных. Регулятор отметил, что Free Mobile без необходимости хранила данные бывших клиентов, создавая дополнительный риск.
Размер штрафа был дифференцирован: Free Mobile оштрафована на €27 млн ($31 млн), а Free SAS — на €15 млн ($17 млн). CNIL объяснил сумму высокой чувствительностью похищенных данных, крупными финансовыми показателями компаний и их «незнанием основных принципов безопасности».
Представитель Groupe Iliad заявил, что компании намерены обжаловать решение в Государственном совете Франции (высшем административном суде). В заявлении говорится о «беспрецедентной строгости» и «несоразмерности» штрафов по сравнению с другими делами о кибератаках.
В ответ на инцидент компании с октября 2024 года усилили архитектуру безопасности, ужесточили контроль доступа и внедрили расширенный мониторинг в реальном времени. CNIL подтвердил, что с начала расследования операторы предприняли корректирующие меры, и обязал их продолжать работу по повышению защищенности данных.[1]
Примечания
