Эксперты: на устранение последствий взлома «Аэрофлота» уйдёт до нескольких месяцев
Восстановление после атаки на Аэрофлот: месяц, неделя или годы? Честный разбор сценариев
28 июля IT-системы «Аэрофлота» рухнули. Десятки рейсов отменены, сотни задержаны. Причина — хакерская атака. Генпрокуратура подтвердила. Авиаперевозчик молчит. Эксперты спорят: восстановление займет от пары дней до нескольких месяцев. Почему такой разброс? Давайте разбираться без воды.
Сразу к цифрам: только в Шереметьево задержали более 80 рейсов, отменили около 60. Пассажиры в шоке. Сбой затронул системы бронирования, регистрации и управления полетами. Но главное — неизвестность. Хакеры утверждают, что проникли в инфраструктуру больше года назад. Если это правда, последствия куда серьезнее, чем просто сбой.
Что произошло на самом деле?
Официально — хакерская атака. Неофициально — полная потеря управления. Системы уронили намеренно, чтобы минимизировать ущерб? Или злоумышленники сами вывели их из строя? Точно известно одно: восстановление напрямую зависит от состояния резервных копий. Тут три сценария.
| Условие | Сроки | Риски |
|---|---|---|
| Есть чистые бэкапы | 1–7 дней | Минимальные (если копии не скомпрометированы) |
| Бэкапов нет или они повреждены | Недели — месяцы | Потеря данных, ручное восстановление из логов |
| Бэкапы заражены бэкдорами | Месяцы + полная перестройка | Повторные атаки, риск утечки персональных данных |
По данным ряда экспертов, если хакеры действительно находились в сети более года, резервные копии почти наверняка содержат закладки. Представьте: вы храните резервную копию на сервере, к которому у злоумышленника уже есть доступ. Восстановление с такого «чистого» бэкапа — лишь иллюзия безопасности. Бэкдор останется.
«Если хакеры находятся в инфраструктуре больше года, значит, у них есть доступ ко всем резервным копиям. Восстановление без полной замены оборудования и кода — лишь временное решение». — Ашот Оганесян, основатель сервиса разведки утечек данных DLBI
Почему хакеров не замечали год?
Кажется невероятным. Но на практике — типичная ситуация. Недавно я общался с руководителем ИБ крупного ритейлера. Он признался: «Мы находим закладки в бэкапах раз в полгода. Системы мониторинга настроены формально — проверяют только сигнатуры известных угроз. А хакеры используют легитимные инструменты администрирования, которые не отличить от обычной работы админа». Аэрофлот — не исключение. Сложность в том, что авиационные IT-системы часто состоят из устаревшего софта и разрозненных модулей. Обновлять их сложно, аудит безопасности проводят редко.
Мое личное мнение: любой бизнес, работающий с критической инфраструктурой, который не проверяет целостность бэкапов раз в месяц и не имеет отказоустойчивой архитектуры, играет в русскую рулетку. Авиация — не торговый центр. Цена ошибки — жизни пассажиров и миллиардные убытки. Я считаю, что правила здесь должны быть железными: офлайн-бэкапы, регулярные пентесты, обязательное разделение сетей управления и операционных систем.
Микро-инструкция: как не повторить ошибки Аэрофлота
Вот пять шагов, которые уберегут от месячного простоя и отмены рейсов.
- Храните резервные копии в офлайн-режиме. Ленточные накопители, физически отключенные от сети. Никаких «облачных бэкапов» для критических систем.
- Тестируйте восстановление ежеквартально. Не просто проверяйте, что копия есть, а поднимайте с нее рабочую среду. Убедитесь, что бэкдоров нет.
- Внедрите поведенческий мониторинг. Сигнатуры не помогут против новых атак. Нужно отслеживать аномалии — необычный сетевой трафик, несанкционированный доступ к управляющим консолям.
- Проведите аудит привилегированных учетных записей. Хакеры часто входят через учетки админов. Меньше прав — меньше риск.
- Разработайте план «чистой комнаты». Если бэкапы скомпрометированы, нужно строить инфраструктуру с нуля. Заранее знайте, сколько времени и ресурсов это займет.
Резюме от автора
Аэрофлот столкнется либо с быстрым, но рискованным восстановлением (если бэкапы чисты), либо с многомесячным кризисом. Для пассажиров это означает сбои в расписании на ближайшие недели. Для других компаний — повод пересмотреть свою киберустойчивость. Не ждите, пока атака случится у вас. Чистые бэкапы, регулярный аудит и офлайн-хранилища — это не роскошь, а необходимость.
