Атака на «Аэрофлот» как ИБ-пинок всем остальным

Так, всё ещё наблюдаются проблемы с входом в личный кабинет «Аэрофлот Бонус», а хакеры утверждают, что начали выкладывать в открытый доступ данные сотрудников «Аэрофлота». Речь, напомним, идёт о компании, инвестиции которой в цифровую безопасность в прошлом году составили 858,8 млн рублей, согласно её же ESG-отчёту. Анализировать эту историю на рынке наверняка будут ещё долго. Но главное, чтобы другие владельцы критической информационной инфраструктуры всерьёз восприняли её как сигнал и для себя и приняли меры. 

«Уважаемые клиенты! Из-за проведения технических работ временно не доступны вход в личный кабинет "Аэрофлот Бонус" и оформление билетов за мили. Мили за перелёты, покупки и услуги банков-партнёров будут начислены после завершения работ». Такое сообщение 11 августа всё ещё выдаёт сайт «Аэрофлота» при попытке зайти в указанный личный кабинет. Тем временем, на днях группировка Silent Crow опубликовала партию данных, которые, как они утверждают, были якобы похищены у «Аэрофлота» – речь о медицинских картах пилотов и сотрудников авиакомпании.

Неприятная история случилась довольно скоро после того как «Аэрофлот» в красивом ESG-отчёте отчитался в том числе о мерах в области ИБ за 2024 год – в неё инвестированы сотни миллионов рублей. Авиакомпания при этом официально пока не объясняла, что именно стало слабым звеном при атаке с последствиями. Как знать, возможно, причины публично никогда и не будут озвучены. Так что пока предположения экспертов о причинах так и остаются лишь предположениями.

Вместе с тем, кейс «Аэрофлота» как «капитан Очевидность» показал, что даже крупные инвестиции в информационную безопасность, сотрудничество с ведущими поставщиками, «договор на проведение внешнего комплексного аудита в области обеспечения ИБ» и выбор лучших на рынке ИБ-решений не гарантируют защиту на 100%. 

Можно смотреть на это как на повод изменить и глобальный подход к ИБ, и пересмотреть соблюдение базовых вещей, которые, как это нередко оказывается, и становятся воротами для киберзлоумышленников. При достаточной квалификации, упорстве, продвинутом инструментарии и владении социальной инженерией на высшем уровне проникнуть можно практически в любую инфраструктуру. И на фоне текущего геополитического фона сейчас уже это, скорее, выглядит просто вопросом времени, когда подобное произойдёт в той или иной другой крупной компании. 

Возможно, к этому просто пора отнестись как к данности – что рано или поздно «на их месте» окажется та или иная компания, и помимо стандартных мер, список которых можно видеть практически во всех ESG-отчётах крупных российских компаний в разделе про ИБ, направить больше усилий на разработку максимально детального и понятного всем задействованным лицам плана, что именно в компании будут делать, когда подобное произойдёт, когда её ключевые бизнес-сервисы перестанут работать. Пока что в отчётностях проработка подобных сценариев не встречается.

Помимо самой компании уязвимым звеном остаются и её подрядчики. О растущем количестве атак через цепочку поставок и подрядчиков систематически говорят в том числе регуляторы – например, ФСТЭК. Они же не раз призывали работать в этом направлении. 

Надо сказать, что отдельные организации, наконец, начали воспринимать эти слова всерьёз, если судить даже по тем же ESG-отчётам. Так, к примеру, «Норникель» в своей отчётности сообщал, что в 2024 году, после выявленных фактов компрометации ИТ-инфраструктуры «ряда подрядных организаций», были приняты меры по блокировке доступа подрядчиков к инфраструктуре «Норникеля» и предотвращены возможные негативные последствия. Возможно, после недавних событий этим же всерьёз озаботятся и другие крупные компании.