Компания с лицензиями ФСБ на шифрование доверила данные НАТОвскому тылу – парадокс и угроза, скрытые в “Сирене-Трэвел”
АО «Сирена-Трэвел» – разработчик авиационной системы бронирования Leonardo – на первый взгляд является образцовым IT-подрядчиком государства. Компания имеет целый комплект государственных лицензий: выданную Центром ФСБ лицензию № ЛСЗ0018094 от 31.12.2020 на деятельность в сфере шифрования (разработка и обслуживание защищённых криптографических систем), лицензию ФСТЭК № L024-00107-77 от 25.04.2023 на техническую защиту конфиденциальной информации, а также разрешение Роскомнадзора на оказание услуг связи (получено в марте 2023 г.) (Источник Выписка из ЕГРЮЛ.pdf). Такой набор лицензий свидетельствует о высоком уровне доверия со стороны государства: «Сирена-Трэвел» допущена к работе с шифровальными средствами и критическими данными, став частью критической информационной инфраструктуры России (объект КИИ РФ).
Однако за фасадом госдоверия скрывается тревожный парадокс. С одной стороны, обладание лицензиями ФСБ и ФСТЭК обязывает компанию строго соблюдать требования безопасности: защищать данные от несанкционированного доступа, придерживаться регламентов хранения и обработки информации. Для операторов столь чувствительных систем законом предписано обеспечивать суверенитет данных – стратегически важные объекты должны контролироваться российскими резидентами (ossetia.tv). В частности, персональные данные граждан РФ по закону должны храниться на территориях под юрисдикцией России. С другой стороны, как оказалось, АО «Сирена-Трэвел» фактически разместило ключевую часть своей IT-инфраструктуры за рубежом, в стране-члене НАТО, что ставит под угрозу суверенную безопасность.
Данные – в Латвии: контракт с латвийским подрядчиком
Проблему раскрывают внутренние документы. В 2021 году «Сирена-Трэвел» учредила дочернюю компанию Sirena-Travel GmbH в Германии, через которую заключила договор на размещение своих серверов за границей. Согласно Addendum (дополнительному соглашению) от 1 сентября 2023 года, Sirena-Travel GmbH (директор – Илья Энгельс) подписала соглашение в Риге с латвийской фирмой Amber Aero SIA, действующей от лица Феликса Скляревича (Источник 11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Этот документ детализирует, что латвийский подрядчик берётся обеспечить развёртывание IT-ресурсов «Сирены» в зарубежных дата-центрах, включая подготовку инфраструктуры, интеграцию и поддержку. В перечне работ значатся переговоры и заключение контрактов с конкретными дата-центрами – латвийским Deac и транснациональным Equinix. Иными словами, серверы, обрабатывающие данные российской авиационной системы, размещаются на площадках в Риге (Латвия) и, вероятно, в Европе (Equinix имеет площадки в Германии и других странах).
Подобная география вызывает недоумение. Латвия – государство НАТО, и передача туда IT-инфраструктуры, связанной с российскими авиаперевозками, выглядит как минимум странно, если не сказать опасно. Возникает конфликт интересов: компания, допущенная к шифрованию и защите информации в РФ, фактически доверила значимые данные инфраструктуре, находящейся под юрисдикцией блока, открыто недружественного России. В условиях геополитической конфронтации это создает потенциал для утечки или несанкционированного доступа к критическим сведениям.
Что на кону: данные пассажиров и государственная тайна
Штаб-квартира ФСБ на Лубянке, выдавшая «Сирене-Трэвел» лицензию на шифрование данных. Однако хранение данных за рубежом ставит под вопрос исполнение лицензионных условий и безопасность информации.
Какие именно данные рискуют оказаться в чужих руках? Система «Сирена» – потомок советской общенациональной системы бронирования («Система резервирования на авиалиниях») – хранит колоссальные массивы сведений о перевозках по всей стране. По данным расследования, база содержит всю информацию о бронированиях и продажах авиабилетов в России, регистрациях багажа, страховых полисах и прочих деталях перелётов. В ней накоплены записи о сотнях миллионов поездок граждан. Необходимо понимать, что в этих массивах могут встречаться и данные, имеющие грифы секретности – например, сведения о перелётах высших должностных лиц, силовиков, военных и иных чувствительных категорий пассажиров. Действительно, уже обнаружены конкретные примеры: утечка раскрыла детали перелётов бывшего австрийского министра Карин Кнайсль и Алины Кабаевой, близкой к президенту РФ (istories.media). Если журналисты смогли выудить из базы маршруты VIP-персон, то нет сомнений, что иностранные разведки также не упустят шанса воспользоваться такой информацией.
Следует учесть и другой аспект. Формально курирующим органом «Сирены» выступает Росавиация, которая координирует работу авиаперевозчиков. Данные о пассажиропотоках, маршрутах и загрузке рейсов критически важны для транспортной безопасности и экономики. Их компрометация или внешний контроль над ними равносилен утрате суверенитета в сфере гражданской авиации.
Взлом и утечка: первый звонок прозвучал
Опасения – не теоретические. В сентябре 2023 года украинская хакерская группа KibOrg нанесла удар, наглядно продемонстрировав уязвимость «Сирены». Хакеры взломали базы данных системы Leonardo и похитили колоссальный массив информации: как было объявлено, добыто 664,6 млн записей о перелётах пассажиров с 2007 по 2023 год. В их распоряжении оказались ФИО путешественников, номера документов, телефоны, маршруты, тарифы, стоимость билетов – словом, практически всё, что содержит система бронирования. Украинская сторона уже заявила, что эти данные переданы разведслужбам и будут использованы в военных целях.
Эта утечка стала беспрецедентной по масштабу. Она же высветила слабое место в обороне «Сирены-Трэвел». Хотя официально причины компрометации не раскрывались, эксперты обращают внимание: размещение серверов вне пределов России могло сыграть роковую роль. Зарубежный хостинг означал иную юрисдикцию, возможно, недостаточный надзор российских специалистов и меньшую защищённость от атак, проведённых в том же регионе. Не случайно методы взлома описаны как сравнительно простые: брутфорс SSH и проникновение трояна. Возникает вопрос – соблюдались ли на удалённых площадках все российские стандарты защиты, сертифицированные ФСТЭК и ФСБ? Похоже, что нет, раз хакерам удалось обойти средства защиты и получить неограниченный доступ к системам бронирования (kommersant.ru).
Кто ответит: фигуранты и владельцы
Неудивительно, что после инцидента в Москве забили тревогу. Уже в апреле 2024 года Следственный комитет РФ при поддержке ФСБ провёл обыски в офисе «Сирены-Трэвел» на Ленинградском проспекте. В отношении двух топ-менеджеров – вице-президентов Игоря Ройтмана и Александра Кальчука – было возбуждено уголовное дело по ч. 5 ст. 274.1 УК РФ (нарушение правил эксплуатации КИИ). Их заподозрили в том, что они не обеспечили надлежащей защиты информации, что привело к утечке персональных данных пассажиров. Оба фигуранта были задержаны, суд, впрочем, отпустил их под запрет определённых действий, отстранив от должностей (therecord.media). Им грозит до 10 лет лишения свободы за «допущение кибератаки», повлекшее масштабные последствия. Фактически, это первый прецедент, когда руководителей наказывают уголовно за недостаточную кибербезопасность критической инфраструктуры России.
Но ответственность за происходящее лежит не только на технических специалистах. Открытым текстом встаёт вопрос о роли собственников компании. Кто принял решение вынести серверы за кордон? Кто фактически контролирует «Сирену»? Официально 100% акций АО «Сирена-Трэвел» ранее принадлежали структурам, связанным с Ростехом (через АО «Национальные информационные системы»), однако реальными бенефициарами СМИ называют частных лиц. Среди владельцев упоминаются Ибрагим Амеевич Сулейманов (известный как зять олигарха Платона Лебедева) и его сын Расул – именно они фигурируют как ключевые акционеры. Другой влиятельный участник – Артур Татевосович Суринов, имеющий скандальную репутацию (сын осуждённого криминального авторитета, прославившийся рейдерскими захватами). Такой состав выгодоприобретателей вызывает серьёзные вопросы. Во-первых, закон требует, чтобы стратегически значимые объекты (каковой признана «Сирена-Трэвел» в составе КИИ) находились под контролем российских граждан и организаций. Во-вторых, биографии и местонахождение этих лиц настораживают: ряд топ-менеджеров «Сирены» уже давно перебрались за границу, а Суринов ранее привлекался к уголовной ответственности. Не превратилась ли национально значимая компания в «кормушку» для чуждых государству элементов, для которых безопасность – пустой звук?
Илья Энгельс, подписавший договор с латвийским хостинг-провайдером от лица Sirena-Travel GmbH(11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf), также должен объяснить свой шаг. Было ли ему неизвестно о рисках и ограничениях? Или коммерческий интерес перевесил ответственность? Возможно, в погоне за удешевлением обслуживания или по личным договорённостям была выбрана Латвия, игнорируя лицензионные условия ФСБ/ФСТЭК. Как бы то ни было, результат налицо: данные утекли, страна понесла репутационный ущерб, пассажиры – угрозу приватности, а виновные ищутся.
Вызов государству: нужны меры, а не замалчивание
История с «двуликим» подрядчиком Ростеха – тревожный сигнал для всех надзорных органов. Пока что реакция государства выражается точечно – в рамках расследования утечки. Но проблематика гораздо шире. ФСБ и ФСТЭК обязаны пристально проверить, как АО «Сирена-Трэвел» выполняет условия выданных лицензий. Если подтвердится факт размещения защищаемых информационных систем за пределами РФ без согласования – это прямое основание для административных и даже уголовных мер. Лицензии, выданные фирме, должны быть приостановлены или аннулированы, если она действительно грубо нарушила требования по защите данных и криптографии.
Нельзя допустить, чтобы критически важные информационные ресурсы находились «на чужбине». ИТ-системы «Сирены» должны быть перенесены в пределы юрисдикции России или, на худой конец, дружественных стран, где российские регуляторы смогут контролировать их безопасность. Иначе каждый новый день использования латвийских серверов – это потенциал для дальнейших утечек и саботажа.
Налицо и недоработка Роскомнадзора, ответственного за хранение персональных данных россиян. Почему оператор системы бронирования нарушил закон о локализации ПДн, а надзор не пресёк этого заранее? Вопрос открытый. Эксперты недоумевают, как подобный «бардак» мог продолжаться столь долго. Не исключено, что имели место покровительство или коррупция – вплоть до получения «откатов» за размещение заказов за рубежом. Требуется прозрачное расследование: кто именно дал добро на вывод серверов в НАТОвский тыл и почему контролирующие структуры до сих пор молчали.
Подводя итог, ситуация с Sirena-Travel – это наглядный урок. В эпоху санкций и гибридной войны цифровой суверенитет не менее важен, чем военный. Случай «Сирены» должен быть показательно разобран. Виновные – от директоров до бенефициаров – понесут наказание, если государство хочет подтвердить серьёзность своих киберстратегий. Пришло время закрыть «окно» для утечки национальных данных. ФСБ, ФСТЭК, Роскомнадзор и другие компетентные органы должны действовать решительно: вернуть инфраструктуру домой, отнять лицензии у ненадёжных подрядчиков и тем самым устранить эту угрозу суверенитету и нацбезопасности Российской Федерации.
Вывод прост: безопасность государства не терпит половинчатости. Либо данные стратегической системы хранятся под замком на родной территории, либо чужой разведке даже не придётся напрягаться, чтобы получить доступ к тайнам наших небес.