Уровень катастрофы: IT-эксперт оценил ущерб для «Аэрофлота» из-за хакерской атаки

«Аэрофлот» отменил почти 100 пар рейсов в Москву и из столицы. В авиакомпании говорили, что кассы аэропортов временно прекратили операции по возврату и переоформлению билетов, пассажиров отмененных рейсов попросили не пребывать в Шереметьево и обменивать билеты через кол-центр, когда система будет восстановлена.

Участники группировок Silent Crow и «Киберпартизаны BY» заявили, что «уничтожили» IT-инфраструктуру «Аэрофлота». По их словам, они ликвидировали около 7 тысяч серверов — физических и виртуальных. Генпрокуратура РФ подтвердила, что причиной масштабного сбоя в работе информационных систем стала хакерская атака.

IT-эксперт факультета игровой индустрии и киберспорта университета «Синергии» Иван Калмыков в интервью «Свободной Прессе» отметил, что если заявления хакеров подтвердятся, то это указывает на длительное и глубокое проникновение во внутреннюю сеть. Компрометация «всех критических корпоративных систем», включая контроль над компьютерами сотрудников, систем наблюдения и прослушки — уровень катастрофы для любой компании, особенно для авиаперевозчика.

«Отмена 98 рейсов — прямое следствие, наносящее огромный финансовый и репутационный ущерб. Произошла, предварительно, утечка критических данных. Речь идет о 12 ТБ данных истории перелетов, персональных данных пассажиров (если были в базах), внутренних коммуникаций, данных систем наблюдения — это золотая жила для злоумышленников (мошенничество, шантаж, продажа, использование в дальнейших атаках). Компрометация систем прослушки и наблюдения за персоналом (если такие действительно существуют в таком объеме) выходит далеко за рамки бизнес-рисков и затрагивает вопросы государственной безопасности», — пояснил собеседник издания.

По словам эксперта, если все подтвердится, «Аэрофлот» ждут колоссальные финансовые потери, связанные с расходами на восстановление IT-инфраструктуры, компенсации пассажирам и судебные издержки. Возврат к нормальной работе займет недели или даже месяцы. При этом существует риск последующих атак, ведь злоумышленники, глубоко изучившие инфраструктуру, могут совершить повторную атаку или продать доступ третьим лицам.

«Для предотвращения подобных атак требуется незамедлительное привлечение ведущих независимых кибер-экспертов, включая международные компании с опытом расследования подобных инцидентов, а также тщательный анализ всех систем на предмет бэкдоров, вредоносного ПО, следов присутствия злоумышленников. Особое внимание следует уделить системам, упомянутым хакерами (прослушка, наблюдение за персоналом). Нужно установить точные векторы атаки и уязвимостей, использованных для проникновения и длительного присутствия», — подчеркнул Калмыков.

IT-эксперт добавил, что также необходима полная ревизия и модернизация ИТ-инфраструктуры:

— восстановление с «чистого листа» на новых, защищенных платформах с усиленной аутентификацией и шифрованием,

— Жесткая сегментация сети, изоляция критически важных систем (особенно связанных с безопасностью полетов и данными персонала),

— регулярное и обязательное обновление ПО, своевременное закрытие уязвимостей,

— внедрение продвинутых систем для обнаружения и блокировки аномальной активности на компьютерах сотрудников в реальном времени,

— круглосуточный контроль за всеми событиями в сети с использованием систем аналитики и привлечением квалифицированных специалистов,

— учитывая стратегический характер объекта, необходимо тесное взаимодействие с национальными центрами реагирования на кибер-инциденты (например, ГосСОПКА) и спецслужбами для обмена информацией об угрозах и противодействия APT-группам,

— повышение кибер-грамотности персонала. Персонал — часто самое слабое звено. Нужен регулярный тренинг по выявлению фишинга, социальной инженерии, безопасным практикам работы.

Ранее в тюменском аэропорту Рощино произошли существенные сбои в расписании полетов.

Читайте подробно о транспортном коллапсе в аэропортах России в материале «СП» «Аэрофлоту» закрыли небо: Шереметьево трясет от злости пассажиров, эхо докатилось до Антальи