«Коммерсантъ» узнал о смене главы IT-блока «Аэрофлота» после летней кибератаки

Замгендиректора по информационным технологиям и информбезопасности «Аэрофлота» Антон Мацкевич покинул свою должность, выяснил «Коммерсантъ». Два собеседника издания в авиаотрасли сообщили, что его уволили в середине декабря. В авиакомпании «Коммерсанту» подтвердили уход Мацкевича, однако подчеркнули, что он ушел из компании по собственному желанию.

В настоящее время обязанности замгендиректора по IT и ИБ исполняет назначенный директором департамента информационных систем авиакомпании Денис Попов, который до этого возглавлял дочернюю IT-компанию «АФЛТ-Системс», рассказали изданию в «Аэрофлоте». Там отметили, что у нового руководителя есть все необходимые навыки и опыт в разработке и внедрении цифровых проектов в компаниях группы.

Кроме того, в «Аэрофлоте» заявили, что при Мацкевиче в компании произошел «существенный рывок в развитии IT-направления» в части импортозамещения и реализации стратегии цифровой трансформации группы.

Источники «Коммерсанта» в авиаотрасли единогласно связали кадровую перестановку с последствиями кибератаки на «Аэрофлот» 28 июля 2025 года. Тогда авиакомпания отменила 54 парных рейса и 206 через Шереметьево. Ответственность за произошедшее на себя взяли две хакерские группировки из Украины и Белоруссии.

Один из руководителей по кибербезопасности другой авиакомпании рассказал «Коммерсанту», что в целом реакция IT-специалистов на инцидент и отключение питания были безупречной отработкой нападения и дали возможность сохранить большую часть IT-инфраструктуры, отметил он. Однако мониторинг потенциальных угроз компании «не мог не сообщать об аномальных активностях на стороне внешних подрядчиков», и этим аномалиям не уделили должного внимания, указал руководитель.

Он и несколько других собеседников «Коммерсанта» считают, что руководитель направления в любом случае не мог не понести ответственность за такой инцидент. При этом ряд опрошенных газетой IT-экспертов отметили, что от повторения подобной ситуации не может быть застрахован ни один топ-менеджер, поскольку число кибератак на авиацию в мире увеличилось в семь раз, а их сложность повышается.

По мнению двух IT-специалистов, смена главы IT-сектора «Аэрофлота» была потенциально преждевременной, поскольку в компаниях такого масштаба полноценное погружение нового руководителя в процессы требует месяцы, а бывший глава должен был завершить процесс полноценного восстановления систем.

Техдиректор компании MD Audit, входящей в ГК Softline, Юрий Тюрин пояснил «Коммерсанту», что под полноценным восстановлением, как правило, понимают не просто возвращение ключевых операционных функций, а приведение всей IT-среды в «гарантированно доверенное состояние». Он отметил, что после крупных инцидентов во всех компаниях проводится проверка целостности данных и отсутствия скрытых механизмов «закрепления злоумышленников».

Чтобы выявить факт присутствия нужно большое количество телеметрии, мониторинг источников и сбор большого объема данных, рассказал изданию руководитель группы аналитиков центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Сергей Сидорин. По словам Тюрина, после подобных инцидентов нередко привлекают внешних специалистов для независимой оценки и моделирования атак. Также после атак IT-специалисты контролируют обновление учетных записей, ключей доступа, интеграции с партнерами и внутренние сервисы, отметил эксперт. По оценкам источников «Коммерсанта», для авиакомпании масштаба «Аэрофлота» все процессы проверки систем могут занимать до года.

Ранее эксперты «Инфосистемы Джет» выяснили, что в 2025-м злоумышленники, атакующие российские компании, сфокусировались на полном уничтожении инфраструктуры с целью вымогательства или полной остановки деятельности без возможности восстановления. Так, 76% критических кибератак были нацелены на уничтожение инфраструктуры.