Хакеры атаковали «Аэрофлот», отменены десятки рейсов. Безопасно ли теперь летать его самолетами?

В ночь на 28 июля хакерские группы Silent Crow из Украины и «Киберпартизаны» из Беларуси совершили кибератаку на «Аэрофлот». По их словам, они еще год назад проникли в корпоративную сеть компании и в итоге полностью уничтожили внутреннюю IT-инфраструктуру. Хакеры утверждают, что нанесли «стратегический ущерб»: уничтожили 700 серверов и выкачали 22 терабайта данных, в том числе информацию о высшем руководстве «Аэрофлота» и персональные данные всех россиян, летавших самолетами компании.

Кибератака стала возможна во многом потому, что некоторые сотрудники пренебрегали элементарной безопасностью: так, гендиректор Сергей Александровский не менял пароль с 2022 года. Кроме того, в сети компании были установлены старые версии Windows — XP и 2003, уточнили «Киберпартизаны».

В результате кибератаки «Аэрофлот» отменил в понедельник 54 парных рейса. Ночью отключились все компьютеры компании в аэропорту Шереметьева и в расположенной неподалеку штаб-квартире, рассказали сотрудники. Невозможно было ни заправить самолет, ни составить полетный план, вылетали только те рейсы, планы которых были готовы. Всем сотрудникам запретили пользоваться рабочими компьютерами и почтой. 

Днем «Аэрофлот» стал переоформлять билеты для «специальных категорий пассажиров», в том числе для участников войны с Украиной. Часть пассажиров начали пересаживать на рейсы авиакомпаний «Победа» и «Россия». Вернуть деньги за пропавшие билеты компания пока не может, людей просят подождать восстановления IT-систем.

Были ли угроза для бортов в воздухе? И безопасно ли дальше летать «Аэрофлотом»?

Кибератака на IT-инфраструктуру не угрожала самолетам «Аэрофлота», находившимся в это время в воздухе, их системы не связаны с наземными интернет-структурами, объясняет попросивший об анонимности эксперт по информационной безопасности.

«Там свои сети без выхода в интернет. Знаю, что пилоты могут использовать бытовые устройства, те же самые GPS-навигаторы для облегчения своей работы. Но это в дополнение, а не взамен. То есть у них есть все инструменты, чтобы без всякой связи взлететь, продолжить полет и посадить самолет», — говорит он. Обычно в полете интернет не используется, подтверждает авиаэксперт, тоже попросивший не называть его имя.

Когда «Аэрофлот» восстановит инфраструктуру, угрозы рейсам быть не должно. В ближайшее время, пока сохраняются проблемы с расписанием рейсов, техобслуживанием самолетов и т. д., кибератака может косвенно влиять на безопасность, отмечает IT-эксперт: «Например, уставший экипаж — это дополнительная опасность ошибок. То же самое с логистикой и техобслуживанием».

В группе «Киберпартизаны» «Важным историям» также сказали, что авиационная безопасность «Аэрофлота» не задета. «В то же время мы советуем пока не пользоваться “Аэрофлотом”, так как информационные и финансовые системы были атакованы и, учитывая загруженность сотрудников, возможны ошибки и в других сферах», — говорят хакеры.

Сколько нужно времени, чтобы всё починить

Главное в этом вопросе — как в «Аэрофлоте» была развита культура резервных копий, то есть дублировалась ли информация на других серверах и насколько надежно они были изолированы, говорят IT-специалисты. 

Если информация дублировалась и сохранялась, то восстановить уничтоженные данные можно за несколько дней, считает анонимный IT-эксперт «Важных историй». Если резервные копии тоже пострадали, восстановление может занять недели, месяцы, а возможно, сделать этого вообще не удастся: «Может быть, проще будет построить заново».

В сообщениях Silent Crow и «Киберпартизан» не говорится, что они уничтожили резервные копии, хотя обычно хакеры этим гордятся, говорит IT-эксперт Александр Исавнин. Возможно, это означает, что резервные копии сохранились. В любом случае, прежде чем восстанавливать систему, ее надо будет проверить на наличие дыр. «Полное переделывание инфраструктуры может занять некоторое время, к примеру, около полугода», — считает Исавнин. «Маловероятно, что нет никакого резерва, из которого всё может быть восстановлено», — говорит юрист «Роскомсвободы» Саркис Дарбинян.

По оценкам «Киберпартизан», на восстановление базовой функциональности у «Аэрофлота» уйдут недели, на восстановление всех систем — месяцы, «и то многие данные навсегда потеряны». 

Почему «Аэрофлот» оказался уязвимым

Как правило, причинами уязвимости для кибератак становится человеческий фактор, банальные ошибки, объясняет IT-эксперт. Но с гораздо большей вероятностью эти ошибки накапливаются там, где инфраструктура устаревает и становится менее конкурентоспособной под давлением импортозамещения. «Апгрейды систем, которые сейчас происходят, делаются на “отечественное оборудование”. По моему опыту оно в разы дороже и с очень сырым программным обеспечением», — говорит он.

Кроме того, сказывается изоляция от западного рынка, в частности недостаток аудита со стороны западных компаний, продолжает эксперт: «Всё будет становиться только хуже. Чем дольше длится изоляция, тем менее эффективные решения внедряются, тем более дорогими они получаются, ну и на этом фоне безопасность, безусловно, страдает».

С этой точкой зрения согласен глава «Общества защиты интернета» Михаил Климарев: «Если вы отказываетесь от услуг ведущих мировых вендоров (которые стали ведущими не просто так, по знакомству, а, наверное, за какие-то навыки и умения, не так ли?), то вам надо их услуги чем-то заменить». У российских компаний таких компетенций нет, уверен Климарев.