За пару месяцев до настоящего коллапса «Аэрофлот» бодро отчитался о полном переходе на отечественное ПО — и тут же сел на мель. Хакерская атака на главного авиаперевозчика обнажила все — от дыр в кибербезопасности до формальности импортозамещения. На фоне бодрых реляций о цифровом суверенитете показался пугающе хрупкий скелет: устаревшие системы, минимальные расходы на защиту, миллиарды на картинку и бумажные соглашения, которые не спасают в реальной атаке. Вчера не летали самолеты, а завтра может лечь банковская система. Готовы ли мы признать, что никакой цифровой витрины безопасности уже недостаточно?
Что украли хакеры?
Ответственность за взлом IT-структуры взяли на себя две хакерские группы — Silent Crow и белорусские «Киберпартизаны», которые заявили о фактическом уничтожении всей IT-инфраструктуры компании. Генпрокуратура России позднее подтвердила версию о хакерской атаке, возбуждено уголовное дело.
По заявлениям хакеров, на протяжении года они находились внутри корпоративной сети перевозчика и сумели не только скопировать 12 терабайтов чувствительных данных, включая историю перелетов, базы клиентов, сотрудников и детали операций, но и уничтожить критическую IT-инфраструктуру авиакомпании: порядка 7 тыс. серверов, ключевые внутренние базы, средства контроля за персоналом и даже системы наблюдения. Пассажиру в целом переживать не о чем: никакой информации о том, что получены маршрутные квитанции, не поступало. Потенциальный вред взломщики могут нанести только в одном случае — если они начнут отменять бронирования и полеты.
«Такой сценарий может стать реальностью, если у компании недостаточен контроль доступа, слабо развиты сегментация сети и централизованное управление», — поясняет аналитик по информационной безопасности Алексей Козлов. Но особую тревогу вызывает кража не только внутренних сервисов, но и возможный несанкционированный доступ к данным партнеров, контрагентов и поставщиков «Аэрофлота», подвергая риску атаки и их.
Хакеры сообщили, что взлому способствовали устаревшая инфраструктура перевозчика и пренебрежение правилами кибербезопасности среди сотрудников. «Так, гендиректор “Аэрофлота” Сергей Александровский не менял пароль аж с 2022 года, — утверждают “Киберпартизаны”. — В сети используются [устаревшие] Windows XP и 2003, что привело к компрометации всей их инфраструктуры».
Впрочем, на момент атаки дочерний лоукостер «Победа» и авиакомпания «Россия» продолжали работу в штатном режиме, их IT-инфраструктуры оказались менее уязвимы либо технически изолированы от корпоративной сети материнской компании.
Какой ущерб нанесли «Аэрофлоту»?
Официально «Аэрофлот» не сообщал о своих потерях. По оценке экспертов РБК, компания только за один день сбоя могла потерять от 260 млн до 500 млн рублей. Сумма суточного ущерба может составлять около 275 млн рублей, сказал «Коммерсанту» старший аналитик компании «Эйлер» Андрей Полищук. Еще до 500 млн рублей компания может выплатить штрафами за утечку персональных данных, сообщил «Ведомостям» директор департамента расследований компании T. Hunter Игорь Бедеров.
️Общий возможный ущерб (с учетом долгосрочных последствий, например падения доверия клиентов) эксперты Forbes оценили в 10−50 млн долларов (от 800 млн до 4 млрд рублей). В сумму до нескольких миллиардов рублей оценил совокупный ущерб «Аэрофлота» и источник РБК в авиасфере.
Первый зампред комитета Госдумы по информполитике Антон Горелкин выразил надежду в своем телеграм-канале, что ответственность за случившееся понесут и те должностные лица, по вине которых это стало возможно.
Так, хакерская атака на «Аэрофлот» может обернуться не только репутационными издержками, но и политическим турбулентным фронтом для его главы Сергея Александровского. Формально претензий к нему немного: при Александровском компания показывала финансовую устойчивость и даже прибыльность в условиях санкционного давления. Но в условиях, когда расклад внутри транспортного блока стремительно меняется, этих заслуг уже может быть недостаточно.
Как к атаке готовился «Аэрофлот»?
Три месяца назад «Аэрофлот» отчитался о полном переходе на отечественное программное обеспечение. Согласно эксклюзивной информации в Forbes, смена американской платформы Sabre IX на российскую Platform V от «СберТеха» позволила авиакомпании сократить time‑to‑market новых сервисов в три раза (с трех месяцев до одного), снизить нагрузку на команду поддержки в пять раз и проводить обновления без остановки систем. Тогда это подавалось как пример успеха политики импортозамещения и цифрового суверенитета. Теперь же оказывается, что переход на новое ПО не коснулся проблемы устойчивости и защищенности инфраструктуры.
В начале июня «Аэрофлот» также подписал два соглашения в сфере кибербезопасности. Первое — с «Бастионом» в присутствии ныне покойного министра транспорта Романа Старовойта и директора «Бюро 1440» Алексея Шелобкова. Второе — с компанией по управлению цифровыми рисками Bi.Zone на ПМЭФ‑2025 в присутствии Германа Грефа и Сергея Александровского. В обоих случаях подписантом выступил заместитель гендиректора по ИТ и ИБ Антон Мацкевич — человек, под чьим управлением и случился взлом.
Итог: соглашения не предотвратили ничего. Ни один из заявленных механизмов не сработал. На деле система осталась дырявой. «Компьютеры не работают абсолютно везде. Легли все системы, полетных планов нет, заправить самолет даже не могут. <… > Вылетают только те рейсы, расчеты по которым успели сделать», — рассказывали сотрудники во время атаки.
Взлом системы «Аэрофлота» вызвал множество вопросов на институциональном уровне, в том числе и о степени защищенности российского программного обеспечения (ПО), которое внедряется в отечественных компаниях вместо зарубежного софта. В письме депутата Госдумы Дениса Парфенова министру цифрового развития Максуту Шадаеву приводятся сведения, согласно которым авиакомпания за прошлый год потратила около 40 млрд рублей на развитие в сфере IT, при этом лишь 2,2% от этой суммы пошло на обеспечение безопасности. «В 2024 году ПАО “Аэрофлот — российские авиалинии” затратило 858,8 млн рублей на информационную безопасность и 37,3 млрд рублей на цифровую трансформацию. Таким образом, расходы авиакомпании на информационную безопасность оказались значительно ниже средних показателей», — указал Парфенов в письме.
Как показывает опыт последних месяцев, минувшая атака была направлена не только на дестабилизацию одного авиаперевозчика, но и стала прологом к расширению формата возможных атак: на авиацию, транспорт, энергетику, цифровые базы данных. Вчера стресс-тест проходила сеть аптек «Столички», до этого пострадала база ЕМИАС (к слову, от рук тех же белорусских «Киберпартизанов»), четыре дня были закрыты магазины «ВинЛаб». Кто следующий? После майских праздников жизнь москвичей все чаще зависит от воли случая и удачи. В стране многие критически важные системы безопасности функционируют по схожему принципу: внешне все стабильно, вкладываются деньги, развиваются, но в любой момент может выясниться, что за фасадом годами происходило кое-что другое и мы узнаем об этом только тогда, когда будет уже поздно (в этом плане Курск продолжает напоминать о себе).
На третий день после хакерской атаки «Аэрофлот» вновь отчитался, что полностью стабилизировал полеты, однако рейсы по-прежнему переносятся и задерживаются. Если что-то и показала хакерская атака, так это то, что стабильность в умах вышестоящих — это все чаще про устойчивое отсутствие движения даже в кризисных ситуациях.
Фото: кадр из фильма «Терминал»