Отмена десятков рейсов, уничтожение серверов и угроза утечки данных — что известно о кибератаке
Произошедшая утром 28 июля хакерская атака на «Аэрофлот» стала одним из крупнейших киберинцидентов в истории российской гражданской авиации. В результате взлома у авиаперевозчика произошли сбои в работе информационных систем и было отменено более 50 рейсов, сообщают «Ведомости».
Как ломали «Аэрофлот»
28 июля в работе информационных систем «Аэрофлота» произошел масштабный сбой. Авиакомпания сообщила о вынужденной корректировке расписания полетов и допустила сбои в работе сервисов. Минтранс и Росавиация совместно с перевозчиком приняли решение о пересадке части пассажиров на рейсы «России» и «Победы» (обе авиакомпании входят в группу «Аэрофлот»).
По данным Минтранса, в общей сложности «Аэрофлот» отменил 54 парных рейса (туда-обратно) из запланированных на 28 июля 260. Остальные 206 рейсов были выполнены или готовятся к выполнению. Приоритет в расписании отдан направлениям на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж, в том числе на широкофюзеляжных самолетах.
Кроме того, вечером перевозчик в своем Telegram-канале дополнительно сообщил об отмене пяти рейсов на 28 июля и семи рейсов на 29 июля. Но онлайн-регистрация на выполняемые рейсы доступна по-прежнему за 24 часа до вылета, как и регистрация в аэропортах, указал «Аэрофлот».
Об ответственности за взлом «Аэрофлота» заявили хакерские группировки Silent Crow с Украины и белорусская «Киберпартизаны BY». Злоумышленники заявили, что операция готовилась в течение года и завершилась «уничтожением» около 7000 физических и виртуальных серверов, включая базы данных, CRM, Exchange, а также похищением 22 ТБ информации. В частности, по словам хакеров, им якобы удалось выгрузить полный массив баз данных истории перелетов, скомпрометировать критические корпоративные системы, а также получить контроль над персональными компьютерами сотрудников и высшего руководства «Аэрофлота». Правонарушители также пообещали опубликовать часть выкраденных данных.
Представитель Роскомнадзора 28 июля говорил, что сообщения хакеров о компрометации персональных данных клиентов или сотрудников при атаке на системы «Аэрофлота» пока не подтверждаются. Но Генпрокуратура провела проверку в московском аэропорту «Шереметьево» и подтвердила факт хакерской атаки на системы «Аэрофлота».
Возбуждено уголовное дело о неправомерном доступе к компьютерной информации (ч. 4 ст. 272 УК РФ). Сам «Аэрофлот» сведения о хакерской атаке не комментировал, заявив лишь, что компания «продолжает операционную деятельность, но в условиях вынужденных ограничений из-за сбоя IT-инфраструктуры».
Президент InfoWatch Наталья Касперская отмечает, что нельзя быть наверняка уверенным в том, кто именно стоит за взломом. «Мы не можем знать наверняка, кто действительно атаковал «Аэрофлот», – говорит эксперт. – Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять – это одно, а реально взламывать – другое». О том, что кибератаку могли организовать недружественные государства, в своем Telegram-канале заявил и первый зампред комитета по IT Госдумы Антон Горелкин («Единая Россия»). «Нельзя забывать, что война против нашей страны ведется на всех фронтах, в том числе цифровом, – написал депутат. – И я не исключаю, что "хактивисты", взявшие на себя ответственность за инцидент, находятся на службе у недружественных государств».
Транспортный коллапс
На фоне сбоя «Аэрофлот» попросил пассажиров отмененных рейсов не приезжать в аэропорты. Представители авиакомпании предупредили, что возврат денежных средств или переоформление билетов будут доступны в ближайшие 10 дней, после восстановления работы IT-систем. Исключения были сделаны для пассажиров с детьми, маломобильных граждан, участников СВО, а также для тех, кто путешествует трансферным рейсом.
Несмотря на коллапс IT-систем, часть рейсов выполняется за счет ручных процедур и экстренных мер, пояснял директор департамента расследований T.Hunter Игорь Бедеров: регистрация на рейсы ведется вручную, расписание корректируется через оперативные объявления в аэропорту «Шереметьево». Мобильное приложение и сайт авиакомпании были частично неработоспособны, но базовое информирование сохраняется, добавил он.
К вечеру 28 июля замминистра транспорта Владимир Потешкин провел в аэропорту «Шереметьево» совещание с участием представителей министерства, Росавиации, аэропорта и авиакомпании. Потешкин подчеркнул, что «Аэрофлот» и «Шереметьево» обладают необходимыми ресурсами для нормализации ситуации. Большинство рейсов «Аэрофлота» выполняется из «Шереметьево», напоминает главный редактор портала frequentflyers.ru Илья Шатилин.
Что уничтожили хакеры
Бедеров напомнил, что примерно за неделю до начала этой атаки на «Аэрофлот» система бронирования Leonardo подверглась DDoS-атаке. «Предположу, что DDoS мог являться прикрытием или маскировкой для проникновения хакеров в инфраструктуру компании», – отметил эксперт. Но, по словам Бедерова, «полное физическое уничтожение» всей IT-инфраструктуры авиакомпании за одну атаку, о котором заявили хакеры, технически невозможно и является медийным преувеличением: «Это либо пропагандистский штамп, либо сознательное искажение».
«Часть систем "Аэрофлота" (бронирование, погодные сервисы) работает в публичных облаках, и уничтожить их может только сам облачный провайдер, а не внешние хакеры, – пояснял эксперт. – Любая критическая инфраструктура уровня "Аэрофлота" включает автономные backup-системы, недоступные для хакеров. А также дизастер-рекавери (DRP) – выделенные площадки для аварийного восстановления (например, в другом городе). Уничтожить их вместе с основной инфраструктурой невозможно без физического доступа».
Бедеров добавил, что бортовые системы самолетов не зависят от корпоративной сети и управляются отдельно, как и аэропортовое оборудование (диспетчерские вышки, системы посадки ILS).
Среди причин получения хакерами доступа к инфраструктуре «Аэрофлота» – недостаточный контроль доступа и внутренней безопасности, говорит ведущий аналитик отдела мониторинга информационной безопасности «Спикатела» Алексей Козлов. «Речь прежде всего про недостаточный мониторинг действий инсайдеров, сегментацию сети и защиту централизованных систем управления, – перечисляет он. – Это могло позволить атакующим оставаться незаметными месяцами».
Последствия для «Аэрофлота»
Шатилин обращает внимание, что пока публичных и подтвержденных данных о масштабах последствий для «Аэрофлота» нет, кроме заявлений хакерских группировок, в которых эти масштабы выглядят преувеличенными. Тем не менее совокупный ущерб от одних лишь отмен и задержек рейсов может измеряться значительными суммами, отмечает эксперт.
По оценкам Бедерова, потенциальный ущерб для компании может составить «десятки миллионов долларов» прямых потерь из-за остановки рейсов, затрат на восстановление, а также штрафов за утечку данных примерно до 500 млн руб. При этом, продолжает он, восстановление потребует не только финансовых вложений, но и «кардинального пересмотра подходов к информационной безопасности».
Помимо прямых потерь из-за сбоев и восстановления инфраструктуры есть серьезные косвенные последствия – падение доверия клиентов, отказ от услуг, а также возможные государственные санкции и штрафы, ведь «Аэрофлот» – стратегическая госкомпания с объектами критической информационной инфраструктуры, подчеркивает собеседник «Ведомостей».
В среднем восстановление после масштабной кибератаки может занять от нескольких недель до шести месяцев, говорит Козлов: один-два месяца уходит на восстановление критических систем, остальное – на настройку защиты, аудит, пересмотр процессов и возврат доверия клиентов. При этом полная стабилизация может затянуться до года, если инфраструктура разрушена и резервные копии недоступны, подчеркнул он.
Представители работающих в сфере информационной безопасности компаний Solar, Positive Technologies «Лаборатория Касперского» и BI.Zone отказались от комментариев.
Потенциальная утечка персональных данных пассажиров грозит «Аэрофлоту» многомиллионными оборотными штрафами – до 3% годовой выручки компании (но не более 500 млн руб.), говорит советник практики интеллектуальной собственности юридической компании ЭБР Артем Евсеев. Последствия могут также включать в себя проверку Роскомнадзора, в ходе которой не исключено выявление других нарушений законодательства о персональных данных, добавляет он. В число потенциальных последствий входят также индивидуальные иски пассажиров о компенсации морального вреда, резюмирует эксперт.
Стоимость акций «Аэрофлота» на Московской бирже в ходе торгов 28 июля снижалась почти на 5% (до 55,8 руб. за штуку. – «Ведомости»), что отражает обеспокоенность инвесторов по поводу масштабов инцидента, указывает аналитик ФГ «Финам» Кристина Гудым. Компания уже принимает меры по ликвидации последствий и укреплению безопасности, однако риски для репутации и операционной деятельности остаются, отмечает эксперт.
