Утро понедельника, 28 июля, началось с серьезного сбоя в работе «Аэрофлота» из-за хакерской атаки. Десятки рейсов были отменены, а пассажиров, чьи билеты попали под отмену, призвали не приезжать в аэропорты. В клиентской базе крупнейшей авиакомпании России — большая часть жителей страны. Могли ли попасть в руки злоумышленников их персональные данные и что с этим делать, журналисты «Ямал-Медиа» разбирались вместе с экспертами.
Хакеры заявили, что проникли в инфраструктуру «Аэрофлота», получили доступ к внутренним системам, уничтожили около семи тысяч серверов и рабочих станций и стерли данные. По их словам, атака стала возможной из-за использования компанией устаревших операционных систем Windows XP и 2003, а также халатного отношения некоторых сотрудников к вопросам безопасности. Утверждается, что злоумышленники в течение года готовились к атаке и на момент удара уже имели полный доступ к критическим элементам инфраструктуры.
Это была нетипичная кибератака — тщательно подготовленная и реализованная в течение длительного времени, пояснил «Ямал-Медиа» Павел Мясоедов, директор и партнер компании «Интеллектуальный Резерв» («ИТ-Резерв»). Злоумышленники постепенно проникали во внутреннюю IT-инфраструктуру «Аэрофлота», создавая так называемые дорвеи — точки доступа, через которые они собирали информацию и готовились к масштабной диверсии.
«Злоумышленники искали уязвимости на всех уровнях: в облачной инфраструктуре, виртуальных средах, на пользовательских десктопах. Вероятно, в компании практиковался принцип BYOD (Bring Your Own Device), то есть работа с личных устройств сотрудников, что открыло дополнительные векторы для проникновения».Павел Мясоедовдиректор и партнер компании «Интеллектуальный Резерв»
Фото: Frame Stock Footage / Shutterstock / ФОТОДОМ
Постепенно хакеры все глубже встраивались в IT-ландшафт компании — начиная с частных устройств и заканчивая доступом к ядру систем. В результате удалось реализовать мощную диверсию — своего рода информационный «взрыв».
По информации, которую получил Павел Мясоедов от коллег, разнообразные средства защиты в «Аэрофлоте» все же стояли, но отсутствовало единое понимание и контроль над всей архитектурой. Вместо слаженной системы — набор разрозненных решений.
«Это напоминало ситуацию, когда вы строите высокую стену, а рядом протаптывают тропинку и обходят ее — именно так и действовали злоумышленники».Павел Мясоедовдиректор и партнер компании «Интеллектуальный Резерв»
Что касается частных моментов — вроде использования ОС Windows или слабых паролей, — то они сыграли роль, но не были решающими. Главная проблема — в архитектуре. Система должна быть спроектирована так, чтобы выход из строя одной части не разрушал всю структуру, подчеркнул IT-эксперт. Должны быть резервные копии, возможность поэтапного восстановления и резервные сценарии.
Фото: Frame Stock Footage / Shutterstock / ФОТОДОМ
«Главный вопрос — как им удалось так долго оставаться незамеченными? При наличии надежной системы безопасности это вряд ли было бы возможно».Павел Мясоедовдиректор и партнер компании «Интеллектуальный Резерв»
В нормальной инфраструктуре должны функционировать инструменты мониторинга и анализа угроз: Surface Risk Management, HoneyPot-системы, средства раннего обнаружения и изоляции атак. «Судя по всему, либо этих систем не было вовсе, либо они были плохо настроены», — считает аналитик.
Последствия кибератаки на «Аэрофлот»
Среди предполагаемых экспертами последствий — компрометация корпоративной почты, установка оскорбительных сообщений на экраны сотрудников и возможность прослушки руководства. Тем не менее в Роскомнадзоре сообщили, что на текущий момент утечка персональных данных пассажиров не подтверждается.
Павел Мясоедов полагает, что последствия, о которых заявляют хакеры, преувеличены и во многом рассчитаны на PR-эффект. Ущерба на десятки миллионов долларов, скорее всего, нет, и говорить о полном разрушении IT-системы компании не приходится. Речь идет скорее о том, чтобы привлечь внимание и повысить репутацию внутри сообщества киберпреступников.
Фото: Sorbis / Shutterstock / ФОТОДОМ
К утру 29 июля «Аэрофлот» сообщил о восстановлении работы по расписанию, заявив, что сайт и система бронирования функционируют в штатном режиме. Однако, по данным телеграм-каналов Baza и «Авиаторщина», сбои сохраняются: распечатка полетных планов невозможна, экипажи не могут связаться друг с другом, а персоналу временно запретили пользоваться корпоративной почтой и компьютерами. Для связи предложено использовать Telegram.
Кто такие Silent Crow и «Киберпартизаны Белоруссии»
Обе хакерские группировки активно действуют в цифровом пространстве, поддерживая антироссийские инициативы. Silent Crow ранее приписывали себе взлом «Ростелекома» и других крупных структур, хотя часть таких заявлений вызывала сомнения у экспертов. Публикуемые ими данные нередко оказывались сборниками из старых утечек или вовсе не имели отношения к заявленным организациям.
«Киберпартизаны Белоруссии» в последнее время были менее активны, сосредоточившись на расследованиях внутри страны в интересах белорусской оппозиции. Они же ведут список белорусов, участвующих в боевых действиях на стороне России на Украине.
Наблюдатели указывают, что громкие заявления хакеров могут быть преувеличены. В телеграм-канале T.Hunter отметили, что история о годичном проникновении, краже 12 терабайт данных и полном уничтожении инфраструктуры «Аэрофлота» больше похожа на демонстрацию силы, чем на подтвержденный факт. Сомнения в правдивости заявлений хакерских групп выразила и президент компании «ИнфоВотч» Наталья Касперская, допустив, что за атаками могут стоять как иностранные спецслужбы, так и внутренние злоумышленники.
Киберспециалист Алексей Козлов оценил ущерб от атаки в 10–50 миллионов долларов и предположил, что на полное восстановление IT-систем может уйти до года. Точные сроки зависят от того, насколько серьезно повреждены ключевые узлы и есть ли доступ к резервным копиям.
Ваши данные из системы «Аэрофлота» утекли хакерам. Последствия
Что касается возможной утечки персональных данных и их публикации, то Павел Мясоедов уверен: основания для паники преувеличены.
«Даже если хакеры опубликуют, что некий Иванов Иван Иванович летал с «Аэрофлотом» и у него такой-то номер телефона — это, по сути, не несет серьезной угрозы».Павел Мясоедовдиректор и партнер компании «Интеллектуальный Резерв»
Для большинства граждан такая информация не представляет интереса. Хотя, конечно, в некоторых случаях может быть затронута чувствительная информация — например, по зарплатам, внутренним процессам, структуре расходов авиакомпании. Это уже вопрос репутационного ущерба.
«Тем не менее внешне видно, что злоумышленники действительно получили доступ к значительному объему информации. Это могли быть данные о партнерах, контрактах, стоимости услуг — все, что входит в верхний уровень корпоративной IT-системы. Насколько глубоко они проникли — покажет время», — заметил эксперт.
Сейчас, по его мнению, «Аэрофлот» начнет восстановление поэтапно. Сначала — ключевые элементы: система бронирования «Леонардо», затем — личные кабинеты, сайт, CRM. Это будет постепенное восстановление с одновременным строительством более продуманной архитектуры, написанием новой модели угроз и выстраиванием устойчивой структуры безопасности.
«Атаки происходят регулярно, и никто от них не застрахован. Главное — как быстро компания способна восстановиться и остановить распространение ущерба. В этом и заключается ключевая задача киберустойчивости».Павел Мясоедовдиректор и партнер компании «Интеллектуальный Резерв»
Что делать после утечки данных «Аэрофлота»
Ксения Зайцева, основатель и старший юрист компании ООО «Принцип», считает, что в ситуации утечки персональных данных важно действовать как можно оперативнее. В первую очередь, отмечает эксперт, необходимо осознавать, что похищенной информацией могут воспользоваться злоумышленники, поэтому защита должна быть быстрой и комплексной.
Фото: DC Studio / Shutterstock / ФОТОДОМ
Юрист рекомендует немедленно сменить все пароли от сайтов и личных кабинетов, а также обратиться в банк с уведомлением о возможных попытках оформления финансовых обязательств от вашего имени. Кроме того, она советует направить заявление в компанию, допустившую утечку данных, — в данном случае речь идет об «Аэрофлоте». Клиент должен поставить ее в известность о своей заинтересованности в разрешении ситуации и напомнить, что защита данных — это зона ее ответственности, в том числе в части защиты от хакерских атак и последствий «человеческого фактора».
Если произошедшее повлекло за собой убытки, пострадавшие вправе обратиться в суд. Как уточнила Ксения Зайцева, это может быть как реальный ущерб, так и упущенная выгода — например, расходы на неиспользованные билеты или путевки. Также она порекомендовала направить обращение в Роскомнадзор с информацией о совершенном в отношении конкретного физического лица преступлении, связанном с хищением персональных данных.
Юрист подчеркнула, что в данной ситуации могут усматриваться сразу два состава преступления. Первый — это неправомерный доступ к компьютерной информации, содержащей персональные данные. Второй — незаконный сбор, хранение и распространение таких сведений. По ее словам, если хакеры не только получили, но и начали распространять данные, ответственность существенно возрастает. В случае, если преступление совершено организованной группой, максимальное наказание может достигать 10 лет лишения свободы.
Ксения Зайцева отметила, что последствия подобных инцидентов могут быть не только юридическими, но и психологическими, особенно если похищенные данные используются для мошенничества. Эксперт считает, что помимо частных исков к решению таких ситуаций должно подключаться и государство — в частности, помогать в возврате денежных средств пострадавшим пассажирам и туристам.
Будет ли «Аэрофлот» выплачивать компенсации
Максим Гутин, руководитель группы разработки, консультант и ментор, считает, что публикация персональных данных пассажиров «Аэрофлота» практически неизбежна.
«В таких случаях обычной практикой является вымогательство. Злоумышленники просят крупную сумму за то, что не будут публиковать данные. Но, по моей оценке, сделки, скорее всего, не будет и данные рано или поздно уйдут в Сеть», — отметил эксперт.
В то же время маловероятно, что пострадавшим от утечки персональных данных клиентам авиакомпании выплатят компенсации в сжатые сроки, предполагает эксперт.
«По моему мнению, информацию о возможных компенсациях стоит ждать не раньше, чем завершится расследование данной ситуации, так как это зависит от юридической оценки соответствующих специалистов».Максим Гутинруководитель группы разработки, консультант, ментор
Новые цифровые теракты: на очереди аптеки и частные клиники
Фото: Yekatseryna Netuk / Shutterstock / ФОТОДОМ
Едва восстановил нормальную работу «Аэрофлот», как под прицел хакеров попали аптечные сети. 29 июля о массовых сбоях сообщили сразу три крупных игрока в сфере здравоохранения — сети аптек «Столички» и «Неофарм», а также сеть клиник «Семейный доктор». В ряде аптек пришлось временно закрыть залы, а в медцентрах — перейти на бумажную запись. Представители компаний признали, что причиной стала хакерская атака.
Особенно пострадали «Столички»: перестал работать сервис онлайн-заказов, а в Москве и Санкт-Петербурге закрылись десятки точек. Изначально в компании утверждали, что речь идет о «регламентных работах», но позже заявили РИА «Новости» , что за сбоем стоит внешнее вмешательство.
Проблемы возникли и у аптечной сети «Неофарм», входящей в тот же холдинг. По информации Readovka, 28 и 29 июля сотрудников некоторых точек отправили на отгулы, а сбои связаны с аналогичной кибератакой. Нарушения затронули и сеть «Семейный доктор», где, по словам сотрудников, IT-инфраструктура оказалась частично парализована — приемы ведутся вручную, без электронной базы данных.
Самые важные и оперативные новости — в нашем телеграм-канале «Ямал-Медиа».