"Аэрофлот" приходит в себя после масштабной кибератаки. Произошедшее поставило ряд важных вопросов касательно отечественной системы IT-безопасности: как такое стало возможным и что с этим делать
Что произошло
Утром в понедельник, 28 июля, "Аэрофлот" сообщил о масштабном сбое своих IT-систем.
"В работе информационных систем авиакомпании произошел сбой. Возможны перебои в работе сервисов", - проинформировала пресс-служба компании.
За сутки были отменены 54 парных рейса (туда и обратно) из столичного "Шереметьево", работа авиаперевозчика оказалась во многом парализована, не работали компьютеры сотрудников в аэропортах и офисах, возникли трудности с заправкой самолетов и т.д.
В компании сообщили, что приоритет будет отдан рейсам на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж. Приоритет в переоформлении билетов "Аэрофлота" отдается гражданам с детьми, маломобильным пассажирам и участникам СВО.
Во вторник стало известно, что компании удалось стабилизировать работу программы выполнения рейсов, планируются, что в этот день будет выполнено 93% рейсов, запланированных из Москвы.
Как сообщила Генеральная прокуратура, речь идет о хакерской атаке. Было возбуждено уголовное дело. По данным Роскомнадзора, признаков утечки или компрометации личных данных клиентов "Аэрофлота" или его сотрудников выявлено не было.
Масштаб проблемы официально не комментируются, однако очевидно, что IT-инфраструктуре "Аэрофлота" нанесен серьезный урон, а по некоторым оценкам она была практически полностью уничтожена.
Как рассказал РИА Новости эксперт в области информационной безопасности Алексей Козлов, полное восстановление IT-систем "Аэрофлота" может занять до полугода и даже года, если резервные копии оказались вне доступа.
"Исходя из средней провозной емкости воздушного судна в 120 кресел, "Аэрофлот", по консервативной оценке, за день потерял 259,2 млн рублей", — приводит РБК оценку убытков "Аэрофлота" со слов своего собеседника из авиаотрасли.
Есть мнение, что эта сумма может дойти и до нескольких миллиардов рублей, учитывая затраты на восстановление IT-инфраструктуры, убытки за непроданные билеты и т.д.
Кто стоит за атакой
Ответственность за атаку на "Аэрофлот" взяли на себя хакерские группировки Silent Crow и "Киберпартизаны BY".
По их словам, они уничтожили 7 тыс. физических и виртуальных серверов авиакомпании, а также похитили 20 Тб данных.
Хакеры утверждают, что они проникли в IT-системы "Аэрофлота" и находились там в течение нескольких месяцев, готовясь обрушить работу перевозчика.
В сообщении группировок говорится, что "Аэрофлот" до сих пор использует операционную систему Windows XP и Windows Server 2003, которые не поддерживаются и не обновляются Microsoft с 2014 года. Также утверждается, что гендиректор "Аэрофлота" Сергей Александровский не менял пароль своей учетной записи с высоким уровнем доступа в течение трех последних лет.
О группировках Silent Crow и "Киберпартизаны BY" известно не многое. Обе они не скрывают своих симпатий к Украине и белорусской оппозиции, выступают против нынешних властей РФ и Белоруссии.
За Silent Crow числятся несколько крупных хакерских атак в текущем году, например, взлом Росреестра с последующей публикацией в январе баз данных с порядка 90 тыс. личных данных граждан России. Хакеры назвали это примером того, "как крупные государственные структуры могут пасть за несколько дней". Кроме того, Silent Crow брала ответственность за взлом Ростелекома, атаку на правительство Москвы, "Альфа-банк" и др.
"Киберпартизаны BY" в основном специализируются на Белоруссии. В 2021 году они предприняли атаку на ряд белорусских госструктур, а год назад атаковали серверы КГБ, после чего слили журналистам базу данных из 40 тыс. человек, которые якобы были агентами и информаторами спецслужбы.
Данная группировка не скрывает своих связей с украинскими спецслужбами. В феврале 2024-го они взломали петербургскую компанию "Специальный технологический центр", которая специализируется на дронах и радиоконтроле и работает с Минобороны РФ. Похищенные данные были переданы украинской военной разведке.
Не исключено, что за этими хакерскими группировками могут стоять спецслужбы враждебных к России государства, считает президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская.
"Мы не можем знать наверняка, кто действительно атаковал "Аэрофлот". Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять – это одно, а реально взламывать – другое", - написала она у себя в телеграм-канале.
Кто виноват
Одна из проблем, которые выявила история с "Аэрофлотом" - уязвимость отечественного программного обеспечения (ПО), на которое постепенно переходят российские компании и госструктуры.
В октябре прошлого года гендиректор компании Александровский доложил премьеру Михаилу Мишустину, что в 2025 году "Аэрофлот" на 100% перейдет на отечественное ПО. Исходя из этого не ясно, как в компании до сих пор использовались устаревшие западные операционные системы и прочий софт, о котором говорят хакерские группировки.
Даже если хакеры искажают реальность, то это все равно не снимает вопрос защищенности российского ПО и того, как крупнейшие российские компании и структуры готовы к отражению таких атак и куда идут выделенные на это средства. Только в "Аэрофлоте" на развитие отечественного ПО было за прошлый год выделено 21,4 млрд рублей.
В июне этого года ООО "Бастион" и "Аэрофлот" подписали соглашение о сотрудничестве в сфере кибербезопасности, а на Петербургском экономическом форуме было подписано соглашение с компанией BI-ZONE.
"Подписи на документе поставили заместитель генерального директора по информационным технологиям и информационной безопасности Антон Мацкевич и директор группы компаний BI.ZONE Дмитрий Самарцев. Подписание состоялось в присутствии президента, председателя правления ПАО "Сбербанк" Германа Грефа и генерального директора ПАО "Аэрофлот" Сергея Александровского", - сообщала пресс-служба "Аэрофлота".
Предполагалось, что компании будут регулярно обмениваться данными об актуальных киберугрозах, расширять области использования ИИ-технологий для защиты от кибератак и мошеннических действий, обмениваться опытом по сокращению случаев утечек данных и учетных записей сотрудников.
Теперь получается, что все это или не сработало или оказалось недостаточным. Если проблема в информационной гигиене, соблюдении элементарных правил кибербезопасности сотрудниками, в т.ч. руководящими, то в условиях противостояния с Украиной и Западом такое положение в стратегической компании вызывает как минимум недоумение.
Что делать
Многие сетуют, что IT-специалисты в "Аэрофлоте" получает слишком маленькую для этой отрасли зарплату. В доказательство приводится скриншот архивной вакансии, где старшему специалисту по информационной безопасности в ООО "Аэрофлот Техникс" предлагается зарплата в 120 тыс. рублей в месяц до вычета налогов. Это сравнивается с вакансией кладовщика в известной сети супермаркетов, где предлагают на этой позиции до 152 тыс. рублей дохода.
Посвященный авиации телеграм-канал Fighterbomber пишет, что эта вакансия не "Аэрофлота", а дочерней компании перевозчика, где другой уровень зарплат.
"Раз вы уже согласились на такую зарплату, вывозите. Не вывезли, значит такая зарплата для вас велика. Платят в этом мире не за корочку, а за знания, навыки и умения. Кто решил, что если человек представился айтишником, значит ему должны сразу предлагать лям, никто объяснить не может. Даже сами айтишники", - говорится в сообщении.
Сегодняшняя модель кибербезопасности в России нуждается в коренном пересмотре, резюмирует телеграм-канал "Тайная канцелярия".
"Обилие ведомственных решений, нехватка единой архитектуры защиты, медленное импортозамещение и устаревшие подходы к управлению рисками создают условия, при которых даже несложные атаки способны вызвать каскадные сбои. В ряде случаев наблюдается чрезмерная зависимость от продуктов, которые не адаптированы к текущим вызовам, либо основаны на иностранных платформах", - полагают авторы канала.
Требуется формирование единой архитектуры цифрового суверенитета, опирающейся на собственные программные платформы, отечественные центры обработки данных и институциональную ответственность за устойчивость критических сервисов.
Кибербезопасности пора перейти из разряда вспомогательной функции в ранг одного из приоритетов национальной безопасности, подытожил канал.
Мнение экспертов об инциденте с "Аэрофлотом" - в материале издания Украина.ру Цифровой террор: как атаки на "Аэрофлот" изменят будущее гражданской безопасности.
