К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Эскалация в киберпространстве: о чем говорит атака против «Аэрофлота»

Фото Getty Images
Фото Getty Images
Кибератака на «Аэрофлот» напомнила об уязвимости современной инфраструктуры, которая только обостряется, когда интернет становится одним из фронтов международного конфликта. При этом, отмечает аспирант Университета Джонса Хопкинса, автор Telegram-канала «Кибервойна» Олег Шакиров, в международной практике пока не выработаны модели, позволяющие государствам или связанным с ним хакерским группировками гарантировать ненападение друг на друга в Сети

Атака по расписанию

28 июля «Аэрофлот» заявил о «корректировке расписания» из-за сбоя в работе своих информационных систем. За сутки авиакомпания отменила или задержала 42% рейсов, включая отмену 54 парных рейсов (из Москвы и обратно). Влияние сбоя испытал на себе аэропорт Шереметьево, где в первые часы после инцидента скопилось множество пассажиров.

Хотя «Аэрофлот» не раскрывает детали, очевидно, коллапс был вызван кибератакой. Сначала ответственность за взлом взяли на себя две хакерские группировки: белорусские «Киберпартизаны» и проукраинская Silent Crow. Затем Генпрокуратура официально назвала хакерскую атаку причиной сбоя и возбудила дело по «компьютерной» статье 272 УК — о неправомерном доступе к компьютерной информации.

«Аэрофлоту» удалось довольно быстро стабилизировать расписание. Уже во вторник, 29 июля, компания отчиталась о выполнении всех запланированных рейсов. Полноценное восстановление цифровой инфраструктуры авиакомпании, скорее всего, займет значительно больше времени. При этом инцидент привел к потерям из-за отмены и переноса рейсов, а также негативно отразился на стоимости акций «Аэрофлота». Кроме того, он может иметь юридические последствия для компании, если правоохранительные органы сочтут недостаточными предпринятые ей меры по защите от хакеров.

 

Учитывая центральную роль «Аэрофлота» в российской гражданской авиации и серьезность последствий, кибератаку можно назвать одной из крупнейших за последние годы. Ее уроки нужно рассматривать не только с точки зрения обеспечения информационной безопасности, но и через призму международной политики.

Telegram-канал Forbes.Russia
Канал о бизнесе, финансах, экономике и стиле жизни
Подписаться

Неизбежная уязвимость

Пока сторонним наблюдателям можно только гадать о том, как именно была реализована атака на «Аэрофлот». Сам перевозчик сохраняет полное молчание. Группировка «Киберпартизаны BY» заявила, что атака стала возможна благодаря тому, что сотрудники авиакомпании пренебрегали элементарной безопасностью паролей, а в ее инфраструктуре использовались устаревшие версии операционных систем Windows. Но к заявлениям атакующих стоит относиться с осторожностью.

 

Успех кибератаки и размер причиненного ею ущерба зависят от технических, организационных, человеческих факторов. Полностью исключить ошибки либо злоупотребления, которыми могут воспользоваться злоумышленники, особенно в масштабах крупной и многопрофильной организации с разнородной инфраструктурой, практически невозможно.

Случай «Аэрофлота» показателен тем, что жертвой взлома на этот раз стала компания, которая вроде бы не жалела средств на цифровую защиту. Согласно июньскому отчету о деятельности в области устойчивого развития, в прошлом году инвестиции «Аэрофлота»  в обеспечение кибербезопасности составили почти 860 млн рублей. Компания вкладывалась в защиту как от массовых, так и от целевых атак, а также заключила договор на проведение внешнего комплексного аудита принятых мер. Кроме того, «Аэрофлот» активно занимался импортозамещением софта — для операторов критической информационной инфраструктуры это требование обусловлено в том числе соображениями безопасности.

Если даже с таким образцово-показательным подходом — как минимум на бумаге — авиакомпания осталась уязвимой для злоумышленников, то что говорить о других, менее обеспеченных и осведомленных о киберугрозах организациях.

 

Среди специалистов по информационной безопасности популярен тезис, что атакующая сторона неизбежно имеет преимущество над обороняющейся: чтобы не допустить взлома, защита должна всегда работать на 100%, а злоумышленнику достаточно и одного успешного действия.

Если полностью защититься нельзя, то как лучше расставить приоритеты? В последние годы Минцифры и некоторые представители отрасли продвигают подход, выстроенный вокруг понятия «недопустимого события» — такого, которое нарушает операционную деятельность организации или ведет к катастрофическим последствиям. Что именно является недопустимым, каждый определяет для себя сам. Атака на «Аэрофлот» может послужить отличной иллюстрацией этого подхода. Отмена авиарейсов для перевозчика, очевидно, недопустима в большей степени, чем неработающие бонусные карты пассажиров. Важно и то, как быстро после инцидента организация может восстановить свою деятельность. «Аэрофлот» смог избежать продолжительного коллапса, вероятно, в том числе благодаря отработке реагирования на инциденты.

Пример кибератаки, нарушившей авиасообщение по всей стране, как и многочисленные другие инциденты с вполне материальными последствиями, должен мотивировать российские компании серьезнее относиться к информационной безопасности. Однако говорить об этом исключительно в организационном и техническом разрезе без учета международно-политического контекста бессмысленно. 

Материал по теме

Логика кибервойны

Среди исследователей много лет идут дискуссии по поводу кибервойны, и ее общепринятого определения нет. Однако, с практической точки зрения, нет сомнений, что значительная часть кибератак на российские — как и на украинские — организации совершается в контексте военной логики. Уязвимость потенциальных объектов атак усугубляется тем, что против них действуют высоко мотивированные и опытные злоумышленники.

Действия противников в киберпространстве могут преследовать разные цели: шпионаж, подрыв способности вести боевые действия или выпускать вооружения и военную технику, кражу средств, информационное воздействие. Атаки вроде той, которой подвергся «Аэрофлот», по заявлениям атакующих, нацелены на повышение издержек для компаний-жертв и российской экономики в целом. Кроме того, они сопровождаются медийной активностью, а значит, направлены и на общественное мнение.

 

Особенностью кибервойны можно назвать пестрый состав ее участников. Среди них могут быть как подразделения спецслужб — ответственность за некоторые кибератаки на Россию официально брало на себя Главное управление разведки Минобороны Украины, так и группировки и отдельные хакеры с менее формальной аффилиацией с правительственными структурами либо вовсе без нее.

Разнообразие участников отражается и на выборе мишеней. Некоторые жертвы могут попасть под удар практически случайно, просто потому, что хакеры смогли получить доступ в их инфраструктуру через уязвимость в популярном софте.

Материал по теме

Однако наиболее пагубными оказываются атаки на организации, занимающие центральное место в соответствующих отраслях, на сервисы с большой клиентской базой либо те, от которых зависят бизнес-процессы других предприятий. В этом смысле транспорт очевидно является привлекательной целью для атакующих. Ранее мишенями украинских кибератак становились РЖД, система бронирования билетов «Леонардо». В свою очередь на Украине одной из наиболее значительных кибератак 2025 года стало выведение из строя инфраструктуры «Украинской железной дороги» — главного вида транспорта в условиях закрытого неба. Другие сектора инфраструктуры, такие как банки, энергетика, связь, информационные технологии, государственные сервисы представляют интерес для атакующих по схожим мотивам.

Поэтому отдельные атаки имеет смысл рассматривать в общем контексте конфликта. Хотя на уровне риторики в России ситуация с кибератаками признается как чрезвычайная, на практике противодействие им осуществляется не по модели национальной обороны, а силами каждой конкретной организации.

 

Да, у государства есть инструменты, которые помогают защищаться от хакерских группировок, к ним относятся Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), деятельность ФСТЭК по информированию об уязвимостях, запущенная в прошлом году Национальная система противодействия DDoS-атакам. Однако государство выступает прежде всего в роли регулятора, а не защитника, и Россия в этом плане не сильно отличается от большинства стран. Тем не менее это означает, что ответственность за защиту от кибервоенных действий в конечном счете лежит на компаниях.

Если обеспечение информационной безопасности отдельных организаций требует от них принятия адекватных технических и организационных мер, то решение проблем кибервойны лежит в политической плоскости и в безусловной сфере ответственности государства. Это возможно в рамках будущего урегулирования конфликта, хотя готовых шаблонов договоренностей об запрете или ограничении вредоносных действий в киберпространстве не существует. В условиях продолжения конфликта продолжится и его кибервоенная часть, исключительно средствами защиты от нее отгородиться не получится.

Мнение редакции может не совпадать с точкой зрения автора

Материал по теме