Москва, 24 июня — ИА Время Пресс. Ведущая российская компания сферы бронирования и продажи авиабилетов оказалась в эпицентре громкого скандала. Вскрывшиеся детали вызвали серьёзные вопросы по обеспечению информационной безопасности и соблюдению законодательства России.
Один из ведущих игроков отечественного рынка авиауслуг — компания «Сирена-Трэвел» — оказался в эпицентре беспрецедентного скандала. В 2023 году хакеры взломали систему бронирования фирмы и получили доступ к её базе данных. В хранилище содержалось 664,6 миллиона записей о перелётах россиян с 2007 по 2023 год. Преступники получили в распоряжение фамилии, телефоны, маршруты и другую личную информацию пассажиров, пишет «Медуза»* (внесена Минюстом РФ в список иноагентов и является нежелательной в РФ) со ссылкой на источники.
Нарушение законодательства России: как сотни миллионов записей оказались на иностранных серверах
Общественный резонанс вызвал не только факт масштабной утечки данных. В ходе расследования выяснилось, что конфиденциальные сведения годами хранились вовсе не в России, а на серверах в Латвии и Германии.
Благодаря соглашениям между дочерней немецкой компанией Sirena-Travel GmbH и латвийской Amber Aero SIA, ИТ-инфраструктура системы бронирования была размещена на европейских площадках. Речь идёт о дата-цетрах DEAC и Equinix. Де-факто это означало, что сведения миллионов граждан находились вне юрисдикции российских органов.
Между тем закон РФ №152-ФЗ строго предписывает хранить персональные данные жителей страны исключительно в пределах государства. По информации СМИ, прецеденты наказания за нарушение подобных норм уже были зафиксированы. Так, ранее Роскомнадзор блокировал LinkedIn (внесен в реестр нарушителей прав субъектов персональных данных), а Facebook** (принадлежит Meta, признана экстремистской организацией, деятельность запрещена в РФ) и Twitter (ограничен доступ в РФ), в свою очередь, получили многомиллионные штрафы. Несмотря на это, «Сирена-Трэвел» делегировала хранение информации своим зарубежным подрядчикам, не соблюдая требования закона.
Вопрос национальной безопасности
Ситуация уже вышла за рамки бизнеса. Власти оценивают произошедшее как прямую угрозу критически важной информационной инфраструктуре. Как заявляет «Медуза»* со ссылкой на материалы Мосгорсуда, утечка привела к масштабным последствиям. В ходе атаки украинские хакеры заполучили сведения о перемещениях, включая возможные рейсы военнослужащих и иных значимых фигур в стране. Доступ к таким данным может негативно отразиться на России и национальной безопасности. Несмотря на серьёзность инцидента, «Сирена-Трэвел» и Роскомнадзор пока воздерживаются от публичных комментариев.
Кому принадлежит компания АО «Сирена-Трэвел»
Крупнейшими акционерами компании являются Расул и Ибрагим Сулеймановы (49%), также значительные доли у Михаила Баскакова, Валерия Нестерова и Артура Суринова. Важную роль в передаче акций частным инвесторам, возможно, сыграла некая Кадырбаева. Если факт нарушения закона подтвердится, компании и её руководству грозят крупные штрафы и даже уголовная ответственность.
Таким образом, клан Сулеймановых, вероятно, держит под контролем почти половину акций «Сирена-Трэвел». Это даёт отцу и сыну возможность практически бесконтрольно принимать все важные решения. Похоже, что именно после прихода инвесторов компания сменила курс, выйдя из-под полного государственного контроля. Хотя ранее «Ростех» через АО «Авиаконсорциум» контролировал смежную систему «Полет-Сирена».
Инцидент с компанией «Сирена-Трэвел» несёт угрозу госбезопасности России
Развитие ситуации вокруг «Сирена-Трэвел» способно отразиться как на деловой репутации её владельцев, так и на всей системе регулирования информационной безопасности в стране. СМИ и общественность требуют полномасштабного расследования инцидента. Граждане настаивают на прозрачности, отчётности и ответственности всех причастных к утечке. Компания, долгое время занимавшая ключевые позиции в авиационной отрасли, не должна становиться уязвимым звеном, через которое личные данные миллионов россиян бесконтрольно покидают пределы государства.
* Проект «Медуза» (SIA Medusa Project, регистрационный номер 40103797863, дата регистрации 10.06.2014) внесена Минюстом РФ в список иноагентов от 23.04.2021. Это иностранная и международная организация, деятельность которой признана нежелательной на территории Российской Федерации.