По информации профильных экспертов и представителей отрасли, восстановление IT-систем «Аэрофлота» после сбоя из-за масштабной кибератаки может занять продолжительное время, и нет понимания, сколько времени понадобится, чтобы вернуться к штатному расписанию.
Ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов считает, что восстановление может занять от нескольких недель до шести месяцев. «Один-два месяца уходит на восстановление критических IT‑систем, остальное — на настройку защиты, аудит, пересмотр процессов и возврат доверия клиентов. Полная стабилизация может затянуться до года, если инфраструктура разрушена и резервные копии недоступны», — пояснил Козлов. Среди причин получения хакерами доступа к инфраструктуре «Аэрофлота» мог быть недостаточный контроль доступа и внутренней безопасности, предполагает Козлов. «Речь прежде всего про недостаточный мониторинг действий инсайдеров, сегментацию сети и защиту централизованных систем управления. Это могло позволить атакующим оставаться незаметными месяцами», — добавил Козлов.
Собеседник СМИ в «Аэрофлоте» затруднился оценить сроки окончательного восстановления систем. По оценке источника СМИ в экспертном IT-сообществе, если доступ к системам резервирования будет восстановлен в ближайшее время, то «есть вероятность полной стабилизации расписания до конца недели».
В Минтрансе заявили, что для специалистов «Аэрофлота» на инфраструктуре аэропорта Шереметьево развернули дополнительные рабочие места для ускорения восстановления IT-систем. Близкий к Минтрансу собеседник СМИ уточнил, что пока «нет понимания окончательного масштаба ситуации» и того, какое время потребуется для восстановления полной или частичной работоспособности систем авиакомпании.
Источник СМИ добавил, что информация о «полном уничтожении критически важной составляющей IT‑систем и информации» соответствует действительности, но от деталей и оценок возможностей резервного восстановления воздержался. Другой собеседник СМИ в Минтрансе подчеркнул, что «никакого подтверждения полного уничтожения IT‑инфраструктуры „Аэрофлота“» нет.
В Роскомнадзоре на настоящий момент не подтвердили инцидент с утечкой персональных данных клиентов или сотрудников «Аэрофлота». Несмотря на коллапс IT‑систем, часть рейсов «Аэрофлота» выполняется за счёт ручных процедур и экстренных мер, пояснял СМИ директор департамента расследований T.Hunter Игорь Бедеров: регистрация на рейсы ведётся вручную, расписание корректируется через оперативные объявления в аэропорту «Шереметьево». Мобильное приложение и сайт авиакомпании были частично неработоспособны, но базовое информирование сохраняется, добавил Бедеров.
Источник СМИ, близкий к Минтрансу, затруднился спрогнозировать, будет ли «Аэрофлот» привлечён к ответственности за возможную утечку данных: «Нет подтверждения, что она действительно произошла». В то же время он предполагает, что в ходе расследования уголовного дела будет тщательно проверяться как возможная халатность со стороны кого-то из сотрудников департамента информбезопасности авиакомпании, так и со стороны подрядных компаний, отвечающих за эти вопросы. Этот инцидент под надзором прокуратуры расследуют транспортная полиция и служба экономической безопасности ФСБ. Обвиняемых и подозреваемых пока нет, но в случае, если системы признают недостаточно защищёнными, отвечать за это придётся менеджерам компании.
Источник СМИ в сфере информационной безопасности заявил, что ущерб от подобной атаки оценить сложно: кроме прямых потерь из‑за сбоев и восстановления инфраструктуры есть возможные государственные санкции и штрафы, ведь «„Аэрофлот“ — стратегическая госкомпания, с объектами критической инфраструктуры».
Президент InfoWatch Наталья Касперская считает, что нельзя быть наверняка уверенным в том, кто именно стоит за взломом. «Мы не можем знать наверняка, кто действительно атаковал „Аэрофлот. Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять — это одно, а реально взламывать — другое“, — рассказала СМИ Касперская.
Источник СМИ в одной из компаний в сфере информбезопасности отметил, что не нашёл информации о том, есть ли у «Аэрофлота» полноценный центр мониторинга или отдел кибербезопасности: «Судя по отсутствию вакансий SOC (Security Operations Center), можно предположить, что либо он минимален, либо на него не выделяется должного бюджета. В таких условиях атакующие вполне могли оставаться незаметными длительное время».
28 июля 2025 года в «Аэрофлоте» сообщили, что в работе информационных систем авиакомпании произошёл сбой и возможна корректировка расписания рейсов из‑за этого инцидента, в том числе путём переноса и отмены. По информации СМИ, хакеры взяли на себя ответственность за взлом систем «Аэрофлота». По словам хакеров, им удалось провести «продолжительную и масштабную операцию», в результате которой «полностью скомпрометирована и уничтожена внутренняя IT‑инфраструктура „Аэрофлота“». Была атака, заявил источник СМИ в одной из IT‑структур, связанных с транспортом.
Причиной сбоев информационных систем «Аэрофлота» стала хакерская атака, сообщили в Генпрокуратуре РФ. В ведомстве возбудили уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).
«По поручению Генпрокуратуры России организованы надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. Причиной стал сбой в работе информационной системы „Аэрофлота“ в результате хакерской атаки... По материалам прокурорской проверки возбуждено уголовное дело», — говорится в сообщении Генпрокуратуры.
По неподтверждённым данным, хакерские группировки сообщили о масштабной кибератаке на «Аэрофлот». «Операция длилась около года и завершилась полным уничтожением внутренней IT‑инфраструктуры авиакомпании. Удалось получить и выгрузить полный массив баз данных истории перелётов, скомпрометировать все критические корпоративные системы, включая: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и другие. Получить контроль над персональными компьютерами сотрудников, включая высшее руководство. Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации. Извлечь данные из систем наблюдения и контроля за персоналом. Получить доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, около сотни iLO‑интерфейсов для управления серверами, 4 кластерам Proxmox. В результате действий было оказано влияние на около 7000 серверов — физических и виртуальных. Объем полученной информации 12 TB баз данных, 8 TB файлов с Windows Share, 2 TB корпоративной почты», — пояснили в заявлении хакеры. В авиакомпании не комментировали и не уточнили информацию про эти заявления хакеров.
Via
yaplakal.com