Казанская туристическая компания «Саната» судилась с хостинг-провайдером Timeweb почти три года. В апреле 2023 года DDoS-атака положила её сайт онлайн-бронирования, часть данных пропала. Компания потребовала 5,3 млн рублей — убытки плюс упущенная выгода. Первая инстанция согласилась. Апелляция в октябре 2025 года — нет. Кассация в марте 2026 года подтвердила: провайдер прав.
Контекст
Это дело вскрыло системную проблему: большинство компаний в СНГ покупают хостинг как коммунальную услугу и предполагают, что «интернет работает» автоматически включает защиту. Нет. Стандартный договор с хостингом — это аренда серверной мощности. DDoS-фильтрация, резервные копии, гарантии SLA — отдельные позиции с отдельной ценой.
По оценкам экспертов, в 2025 году число DDoS-атак выросло более чем вдвое. Рынок кибербезопасности реагирует: появляются услуги «защита от DDoS в базе», но это маркетинг, а не стандарт. Юридически провайдер защищён контрактом, пока в нём чётко написано, что он не отвечает за кибератаки третьих лиц.
Timeweb — один из крупнейших российских хостеров. Дело «Санаты» стало показательным ещё и потому, что первая инстанция встала на сторону клиента: суд счёл, что провайдер обязан был обеспечить фильтрацию трафика и устойчивость инфраструктуры. Апелляция эту логику отвергла — договор важнее.
Аналитика
Ключевой вывод из трёх решений: договор — единственная реальность в суде. Что не прописано — того не существует. Суд апелляции аргументировал отказ тремя тезисами: хранение данных не входило в услугу, DDoS — действие третьих лиц, сайт восстановили за неделю. Каждый из этих аргументов — прямое следствие слабого SLA.
Российская практика устойчиво защищает провайдеров: доказать причинно-следственную связь между действиями хостинга и убытками клиента крайне сложно. Международный тренд движется в обратную сторону — если провайдер игнорировал базовые стандарты кибербезопасности, суды на Западе всё чаще признают его частичную ответственность. Рано или поздно аналогичная логика придёт в СНГ — особенно по мере роста регуляторного давления на ИТ-подрядчиков.
Для AI-first компаний это вдвойне актуально. Агентные системы и LLM-сервисы часто работают через облачную инфраструктуру третьих лиц. Если агент перестал работать из-за атаки на хостинг — убытки могут быть несопоставимо выше, чем потеря сайта-визитки. А договор, скопированный с шаблона пятилетней давности, не покроет ничего.
Кейсы применения в бизнесе
B2B-SaaS стартап: до подписания договора с хостингом или облачным провайдером — пройтись по чеклисту: есть ли Anti-DDoS в тарифе, что считается SLA-нарушением, каков порядок компенсации за downtime. Если этого нет — либо добавить в допсоглашение, либо выбрать провайдера с явной защитой в базовом пакете. Минимальная инвестиция, максимальная юридическая защита.
Корпорация с legacy-инфраструктурой: провести аудит действующих договоров с хостерами и ЦОДами. Вероятно, часть SLA не обновлялась годами. Добавить в договор пункты о резервировании, времени восстановления (RTO/RPO) и ответственности за инциденты, вызванные действиями третьих лиц через инфраструктуру провайдера.
SMB и локальный бизнес в КР/СНГ: туристические агентства, интернет-магазины, сервисы бронирования — типичные жертвы DDoS в высокий сезон. Даже без юридических претензий важно иметь отдельный бэкап критических данных на независимом хранилище и Anti-DDoS-фильтрацию хотя бы в минимальной версии — это не дорого, но спасает в пиковые периоды.
Кейсы в личной жизни
Разработчик или фрилансер с клиентским сайтом на хостинге: перечитай договор прямо сейчас. Ищи раздел «ответственность сторон» и «форс-мажор». Если DDoS-атака там квалифицируется как обстоятельство непреодолимой силы — ты не защищён. Подключи CDN с защитой от DDoS (Cloudflare в бесплатном тарифе покрывает базовые атаки) и настрой автоматический бэкап.
Контент-мейкер или блогер с монетизированным сайтом: downtime во время пиковой публикации — это прямые потери дохода. Настрой мониторинг доступности (бесплатные инструменты есть) и держи статический зеркальный сайт на отдельном хостинге — переключение занимает минуты.
Студент или начинающий предприниматель, запускающий свой первый продукт: не копируй договор с хостером без чтения. Один абзац про «провайдер не несёт ответственности за действия третьих лиц» может обнулить любые претензии при инциденте. Используй хостинги, где Anti-DDoS явно прописан в тарифе — это сейчас не редкость.
Как применить сегодня
- Открой договор с хостинг-провайдером и найди раздел SLA — проверь, что там написано про DDoS, резервные копии и время восстановления.
- Если защита от DDoS не включена — подключи CDN-прокси (например, Cloudflare) поверх текущего хостинга, это не требует смены провайдера.
- Настрой независимое резервное копирование критических данных — отдельно от хостинга, на другой платформе.
- При заключении нового договора добавляй пункт с явным RTO (время восстановления) и ответственностью провайдера за нарушение SLA — в рублях или процентах от оплаты.
- Для AI-сервисов и агентных систем — проверь, что инфраструктурный слой (VPS, облако) отделён от прикладного: если упал хостинг, агент должен уметь переключиться или корректно деградировать.
«Ключевую роль в подобных спорах играют условия договора. Защита от DDoS-атак, резервное копирование и обеспечение непрерывности бизнеса должны отдельно оговариваться в SLA» — юристы, опрошенные «Ъ».