Кибератака на «Аэрофлот»: как долго придется устранять последствия

Произошедшая утром 28 июля атака на ИТ-системы «Аэрофлота» стала одним из крупнейших киберинцидентов в истории российской авиации. В результате взлома национальный авиаперевозчик в этот день отменил 54 парных рейса. Генпрокуратура провела проверку в аэропорту «Шереметьево» и подтвердила хакерскую атаку на ИТ-инфраструктуру «Аэрофлота».

Сам «Аэрофлот» сведения о хакерской атаке не комментировал, лишь заявил, что «продолжает операционную деятельность, но в условиях вынужденных ограничений из-за сбоя ИТ-инфраструктуры».

О своей ответственности за атаку на «Аэрофлот» заявили хакерские группировки Silent Crow и «Киберпартизаны BY». По уверениям злоумышленников, операция готовилась в течение года и завершилась «уничтожением» около 7000 физических и виртуальных серверов, включая базы данных, CRM, Exchange, а также похищением 22 ТБ информации. В частности, по их словам, хакерам удалось выгрузить полный массив баз данных истории перелетов, скомпрометировать критические корпоративные системы, а также получить контроль над персональными компьютерами сотрудников и высшего руководства авиакомпании. В ближайшее время хакеры обещают начать публикацию части полученных данных.

Президент InfoWatch Наталья Касперская отмечает, что нельзя быть наверняка уверенным в том, кто именно стоит за взломом. «Мы не можем знать наверняка, кто действительно атаковал “Аэрофлот”, – говорит эксперт. – Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять – это одно, а реально взламывать – другое». О том, что кибератаку могли организовать недружественные государства, в своем Telegram-канале заявил и первый зампред комитета по ИТ Госдумы Антон Горелкин («Единая Россия»). «Нельзя забывать, что война против нашей страны ведется на всех фронтах, в том числе цифровом, – написал депутат. – И я не исключаю, что "хактивисты", взявшие на себя ответственность за инцидент, находятся на службе у недружественных государств».

Представитель Роскомнадзора 28 июля заявил, что сообщения хакеров о компрометации персональных данных клиентов или сотрудников при атаке на системы «Аэрофлота» пока не подтверждаются.

Кроме того, в тот же день подмосковный аэропорт «Жуковский» предупредил о временных ограничениях доступа к сайту из-за технических неполадок в работе интернет-провайдера. Директор департамента расследований T.Hunter Игорь Бедеров не исключил, что аэропорт мог стать жертвой атаки на цепочку партнеров «Аэрофлота».

Бедеров также напомнил, что примерно за неделю до начала этой атаки на «Аэрофлот» система бронирования авиабилетов Leonardo подверглась DDoS-атаке. «Предположу, что DDoS мог являться прикрытием или маскировкой для проникновения хакеров в инфраструктуру компании», – сообщил он.

Но эксперт не доверяет заявлению хакеров о «полном физическом уничтожении» всей IT-инфраструктуры авиакомпании. Это, по словам Бедерова, за одну атаку технически невозможно и является медийным преувеличением: «Это либо пропагандистский штамп, либо сознательное искажение».

«Часть систем «Аэрофлота» (бронирование, погодные сервисы) работает в публичных облаках, и уничтожить их может только сам облачный провайдер, а не внешние хакеры, – поясняет эксперт. – Любая критическая инфраструктура уровня «Аэрофлота» включает автономные backup-системы, недоступные для хакеров. А также дизастер-рекавери (DRP) – выделенные площадки для аварийного восстановления (например, в другом городе). Уничтожить их вместе с основной инфраструктурой невозможно без физического доступа». Бедеров добавил, что бортовые системы самолетов не зависят от корпоративной сети и управляются отдельно. Также он подчеркнул, что аэропортовое оборудование (диспетчерские вышки, системы посадки ILS) – это «изолированные госсистемы, не входящие в инфраструктуру авиакомпании».

Источник «Ведомостей» в одной из компаний в сфере информбезопасности отметил, что не нашел информации о том, есть ли у «Аэрофлота» полноценный центр мониторинга или отдел кибербезопасности: «Судя по отсутствию вакансий SOC (Security Operations Center), можно предположить, что либо он минимален, либо на него не выделяется должного бюджета. В таких условиях атакующие вполне могли оставаться незаметными длительное время».

Среди причин получения хакерами доступа к инфраструктуре «Аэрофлота» мог быть недостаточный контроль доступа и внутренней безопасности, предполагает ведущий аналитик отдела мониторинга информационной безопасности компании «Спикател» Алексей Козлов. «Речь прежде всего про недостаточный мониторинг действий инсайдеров, сегментацию сети и защиту централизованных систем управления, – перечисляет он. – Это могло позволить атакующим оставаться незаметными месяцами».

Горелкин в своем Telegram-канале выразил надежду на то, что ответственность за кибератаку понесут не только ее исполнители и заказчики, «но и те должностные лица, по вине которых она стала возможна». «Аэрофлот» должен сделать серьезнейшие выводы из этой ситуации, считает депутат.

По оценкам Бедерова, потенциальный ущерб для компании может составить десятки миллионов долларов прямых потерь из-за остановки рейсов, затрат на восстановление, а также штрафов за утечку персональных данных примерно до 500 млн руб. При этом, продолжает он, восстановление потребует не только финансовых вливаний, но и кардинального пересмотра подходов к информационной безопасности (ИБ).

Помимо прямых потерь есть и серьезные косвенные последствия – падение доверия клиентов, отказ от услуг перевозчика, а также возможные государственные санкции и штрафы, ведь «Аэрофлот» – стратегическая госкомпания с объектами критической информационной инфраструктуры, подчеркивает собеседник «Ведомостей».

В среднем восстановление после масштабной кибератаки может занять от нескольких недель до шести месяцев, говорит Козлов. Он поясняет, что 1–2 месяца уходит на восстановление критических систем, остальное – на настройку защиты, аудит, пересмотр процессов и возврат доверия клиентов. При этом полная стабилизация может затянуться до года, если инфраструктура разрушена и резервные копии недоступны, подчеркнул он.

Представители ИБ-компаний Solar, Positive Technologies «Лаборатории Касперского» и BI.Zone отказались от комментариев.