Авиакомпания «Аэрофлот» объявила о технических проблемах во внутренних системах, повлекших изменения в графике авиарейсов: часть из них были перенесены на более поздний срок, другая - отменены. Официального разъяснения о причинах сбоя из «Аэрофлота» пока не поступало. При этом в Генеральной прокуратуре начали проверку из-за возможной атаки хакеров на системы авиакомпании.
Уже известно, что 28 июля будет отменено как минимум 54 пары рейсов «Аэрофлота» из московского авиаузла и обратно. Пассажиры при этом могут вернуть денежные средства в полном объёме, либо пройти повторную регистрацию на ближайший рейс в течение десяти суток. Это стало следствием технических проблем во внутренних ИТ-системах авиакомпании, о котором стало известно утром 28 июля. В расписании на 29 июня также ожидаются переносы и отмены рейсов.
«Информационные системы авиакомпании временно испытывают технические неполадки, вследствие чего возможны сбои в функционировании сервисов. Это повлечёт изменение расписания некоторых рейсов, включая отмену и задержку вылетов. Мы приложили максимальные усилия для оперативного устранения проблемы и нормализации ситуации. Приносим извинения нашим клиентам за возможные неудобства», - заявили в пресс-службе «Аэрофлота».
По мнению ряда экспертов, к сбоям в работе ИТ-систем авиакомпании могла привести кибератака. Согласно сообщениям Telegram-канала Максим Горшенин, ответственность за атаку взяла группа хакеров, заявивших о полном разрушении внутренней ИТ-инфраструктуры перевозчика. Их заявление включает утверждения о получении ими всех баз данных авиакомпании, включая историю полётов, компрометацию корпоративных ресурсов, взлом систем мониторинга персонала и даже перехват коммуникаций руководства компании.
Заявления хакеров содержат детальную информацию о масштабах нанесённого ущерба: уничтожение порядка семи тысяч серверов, похищение 12 терабайт конфиденциальных данных, получение несанкционированного доступа к ряду ключевых ИТ-решений, используемых авиакомпанией («CREW», «Sabre», «SharePoint», «Exchange», «КАСУД», «Sirax», «CRM», «ERP», «1C», «DLP»).
Генпрокуратура России подтвердила факт нарушения информационной безопасности, квалифицировав инцидент как уголовно наказуемый деяния согласно статье 272 Уголовного кодекса Российской Федерации (неправомерный доступ к компьютерным данным).
По словам экспертов, сроки восстановления систем «Аэрофлота» напрямую связаны с масштабами взлома, о которых пока ничего не известно, помимо заявлений самих хакеров. Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI, предположил, что текущая ситуация с массовой отменой рейсов «показывает значительные проблемы в ИТ-инфраструктуре авиаперевозчика». По данным «РИА Новости», только в аэропорту Шереметьево задержали свыше 80 и отменили порядка 60 рейсов.
По мнению Ашота Оганесяна, если сохранились резервные копии, восстановление ИТ-систем займёт от одного-двух дней до недели. Если нет — на восстановление могут уйти месяцы. Кроме того, если хакеры, как утверждается, действительно находились в инфраструктуре «Аэрофлота» более года, можно с высокой вероятностью предполагать, что и бэкапы заражены бэкдорами, которые могут быть использованы при повторных атаках.
Как полагает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев, с учётом важности «Аэрофлота», восстановление его работы можно ожидать в ближайшие сутки. Однако на полное возобновление работы, проверку всех систем и их перенастройку уйдёт гораздо больше времени - при интенсивном темпе работ на это потребуется 2-3 недели. Эксперт отметил, что при серьёзной кибератаке рейсы будут отменять, поскольку речь идёт о безопасности полётов.
Стоит отметить, что у «Аэрофлота» есть соглашение о сотрудничестве в сфере кибербезопасности с компанией по управлению цифровыми рисками BI.Zone. В пресс-службе BI.Zone отказались дать комментарий по сложившейся ситуации в связи с тем, что не раскрывают информацию о взаимоотношениях с любыми организациями и клиентами, хотя было бы интересно узнать, как хакеры могли находиться в компьютерных системах «Аэрофлота» более года, оставаясь незамеченными.