Прерванный полет "Аэрофлота": прокол или бездействие IT-безопасников

Около 100 отменённых рейсов из-за катастрофичного сбоя информационной системы "Аэрофлота". Более 7 тысяч повреждённых серверов (физических и виртуальных), свыше 20 терабайт корпоративных данных и личных данных могут быть слиты в Сеть. Таков результат хакерской атаки на крупнейшего авиаперевозчика страны. И сроки восстановления всех сервисов "Аэрофлота" сложно назвать, но понятно, что IT-вредители из-за рубежа нанесли ощутимый удар не только по перевозчику. Они показали – как можно в один момент ввести в коллапс систему авиасообщения в стране. И это – без единого БПЛА противника и планов "Ковёр".

Кто виноват – вопрос риторический. Но разобраться в нём нужно – пока проблема не стала системной и долгоиграющей.

Не обнаружили даже за год

Опустим хронологию того, что началось в "Аэрофлоте" и аэропортах страны с утра 28 июля, когда один за другим стали отменяться рейсы крупнейшего авиаперевозчика страны. Важнее разобраться – как стала возможной такая масштабная хакерская атака.

Ответственность за "уничтожение внутренней IT-инфраструктуры" авиакомпании взяли на себя две хакерские группировки – "Киберпартизаны BY" и Silent Crow.

"Киберпартизаны BY" – это группа хакеров, сформированная в сентябре 2020 года в Белоруссии после масштабных протестов в этой стране. В начале 2022 года группа взломала и заблокировала доступ к серверам Белорусской железной дороги. В 2023 году хакеры заявили о взломе крупнейшего белорусского государственного информационного агентства БЕЛТА.

О хакерской группировке Silent Crow услышали в январе 2025 года после её заявления о взломе базы Росреестра и получении доступа к данным Единого государственного реестра недвижимости. Ещё группа заявляла о взломе компаний "Киа Россия и СНГ", "АльфаСтрахование-Жизнь" и "Клуба клиентов Альфа-банка".

Взломщики также заявили о том, что они проникли в корпоративные системы ещё "Аэрофлота" ещё год назад и всё это время находились внутри.

Заявить, конечно, можно все, что угодно. Но, как считает президент InfoWatch Наталья Касперская, однозначно верить громким словам хакеров сейчас нельзя:

«Мы не можем знать наверняка, кто действительно атаковал "Аэрофлот". Это могли быть, например, спецслужбы вражеских стран или внутренние злоумышленники. Громко заявлять – это одно, а реально взламывать – другое».

Первый замглавы комитета Госдумы по информполитике Антон Горелкин тоже засомневался в том, что 2 группы хакеров произвели эту атаку самостоятельно:

«Нельзя забывать, что война против нашей страны ведётся на всех фронтах, в том числе цифровом. И я не исключаю, что "хактивисты", взявшие на себя ответственность за инцидент, находятся на службе недружественных государств. Поэтому кибербезопасности должно уделяться первостепенное внимание».

Неназванный источник в одной из компаний в сфере информбезопасности заметил, что не нашёл информации о том, есть ли у "Аэрофлота" полноценный центр мониторинга или отдел кибербезопасности:

«Судя по отсутствию вакансий SOC (Security Operations Center), можно предположить, что либо он минимален, либо на него не выделяется должного бюджета. В таких условиях атакующие вполне могли оставаться незаметными длительное время».

Авиакомпания "Аэрофлот" отменила 49 пар рейсов из-за массовых сбоев в системе

Пассажирам переоформят рейсы или вернут деньги в течение 10 дней

НОВОСТИПроисшествия

Дифирамбы импортозамещению и ...

Ещё в апреле этого года один из разработчиков IT-решений для перевозчиков, компания "АФЛТ-Системc", победно рапортовал – как "Аэрофлот" успешно перешел на российское программное обеспечение (ПО). Услугами этого же разработчика воспользовались авиакомпании "Победа" и "Россия".

До этого ключевые сервисы, которые "АФЛТ-Системc" разрабатывал для "Аэрофлота", действовали на базе американской конфигурируемой платформы Sabre Intelligence Exchange (Sabre IX). Её используют многие крупные авиакомпании мира. После начала СВО правительство страны поставило задачу импортозаместить как можно больше заокеанских решений в технологиях.

… и Сберу

В короткие сроки американские IT-разработки удалось заменить решением на базе продуктов цифровой платформы Platform V от российского разработчика "СберТех". Начиная с августа 2022 года на основе "сберовской" платформы разработчик создал систему обработки данных авиакомпаний (СОДА). Система якобы вполне справляется с пассажиропотоком на уровне примерно 50 млн человек в год.

СОДА в реальном времени анализирует данные и на их основе автоматизирует работу по созданию и обработке разных событий из "жизни" авиакомпании и её клиентов: изменения в бронированиях, окончание регистрации и многое другое. За 6 месяцев внедрения СОДА на неё перенесли более 50 ключевых сервисов авиакомпании. Сегодня реализовано уже более 150 сервисов, которые отвечают за обработку данных об операционной деятельности "Аэрофлота".

Но если всё так хорошо по словам IT-разработчика, почему оказалось откровенно плохо с безопасностью данных? Ведь, если верить хакерам, они "засели" в информационной системе перевозчика ещё год назад и смогли её порушить. А вычислить их за это время никто не смог.

При этом к деятельности "АФЛТ-Системc" давно есть вопросы. В открытых источниках можно найти информацию о, мягко говоря, интересной подноготной компании по контрактам от "Аэрофлота". Но приводить эти сведения без официального подтверждения в рамках этой статьи не станем.

Генпрокуратура подтвердила факт хакерской атаки на информсистемы "Аэрофлота"

Из-за этого авиакомпания отменила 49 пар рейсов

НОВОСТИПроисшествия

Еще одни из Сбера

В июне 2025 года "Аэрофлот" продолжил красочно рапортовать о партнёрствах в сфере кибербезопасности. В подтверждение обнадёживающей картины менеджеры авиаперевозчика привели соглашение с "Бастионом" при министре транспорта и директоре "Бюро 1440" Алексее Шелобкове. А 19 июня этого года на ПМЭФ–2025 "Аэрофлот" и компания по управлению цифровыми рисками BI.ZONE ("Бизон", входит опять же в экосистему Сбера) договорились о сотрудничестве в сфере кибербезопасности на базе решений с использованием технологий искусственного интеллекта (ИИ).

В техдокументации это – искусственный интеллект, аудит угроз и "проактивный мониторинг". Что получили на деле в конце июля? Паралич инфраструктуры авиакомпании, ручные расчёты заправки, обнулённые серверы. И хакеры (или все же спецслужбы недругов?), выкачавшие всё – от базы перелётов до видеонаблюдения.

Поэтому вызывает некий диссонанс заявление Минтранса, что "переход на российские системы помог быстро восстановить работу "Аэрофлота".

Ни один механизм из подписанных соглашений не сработал. Ни ИИ, ни "обмен угрозами", ни аудит не предотвратили катастрофу. Работа "Аэрофлота" возобновилась в ручном режиме, как лет 50 назад, когда не было ни ИИ, ни интернета как такового. И пока видим, что ответственности даже не вредителей, а "внедрителей" нового, прогрессивного – никакой.

Что вперед – освоение бюджетов или кибербезопасность страны?

По оценке экспертов, полное восстановление систем займёт до полугода, а возможно – дольше. И здесь резонный вопрос: а кто будет восстанавливать IT-системы авиаперевозчика? Те же, кто хвалился своим "высоким уровнем экспертизы в сфере защиты от киберугроз и помогает безопасно развивать бизнес в цифровую эпоху"?

А сколько миллионов (миллиардов) рублей уже освоили эти кибербезопасники, не создавшие на деле реальных систем ИБ? В своём обращении к министру цифрового развития Максуту Шадаеву депутат Госдумы Денис Парфёнов привёл конкретные цифры. Нардеп утверждает, что "Аэрофлот" за прошлый год на развитие в сфере IT потратил около 40 млрд рублей. Но при этом лишь 2,2% от этой суммы (около 900 миллионов) пошло на обеспечение безопасности. В то время как другие авиакомпании выделяют на кибербезопасноть до 13% своего IT-бюджета.

О каком киберсуверенитете страны можно говорить в таких обстоятельствах? И, напомним, это в то время, когда страна проводит СВО на территории сопредельного, когда-то вменяемого, государства.

По факту сейчас имеем две нерешённые проблемы. Ограничения (а когда-то, говоря прямо, – отключения) мобильного интернета, чтобы обезопасить аэропорты, промышленные объекты от вражеских беспилотников. Теперь вот поняли, что противнику не нужны и заморочки с БПЛА – достаточно грамотной атаки на IT-сервисы перевозчиков, чтобы парализовать авиасообщение в стране.

А есть ведь ещё и ж/д-перевозки, конвейеры стратегических предприятий с IT-начинкой процессов и много ещё чего "ценного" для врага.

Аэропорт Жуковский предупредил о проблемах с доступом к сайту

Системы самой воздушной гавани работают исправно

НОВОСТИОбщество