kolomychenko:~$ access_granted
@kolomychenko
kolomychenko:~$ access_granted
Фото:
Что под капотом у авиакомпании №1 в России? ✈️
В связи с хакерской атакой невиданных масштабов на Аэрофлот сейчас много разговоров о том, что именно взломали и кто предоставлял компании услуги по информационной безопасности. Попробую внести немного ясности.
Вплоть до 2022 года Аэрофлот не особенно обращал внимание на отечественные потуги по импортозамещению. Например, в презентации 2019 года наглядно показано, что инфраструктура Аэрофлота почти на 100% состояла из софта трёх крупнейших западных вендоров — SAP, Sabre и Lufthansa. Крупному, окологосударственному бизнесу до начала войны это прощалось. Яркий пример — Сбер, который также не спешил с импортозамещением. Потому что, когда ты конкурируешь с международными банками уровня UBS или Barclays, или с авиакомпаниями вроде Emirates, то и софт у тебя должен быть мирового уровня. В правительстве это понимали — и до 2022 года закрывали на это глаза.
Но война и последовавшие за ней санкции всё изменили. В частности, появился указ президента № 166, который запретил дальнейшие закупки и использование западного ПО на объектах критической информационной инфраструктуры (КИИ). Аэрофлот по всем параметрам, указанным в законодательстве, безусловно относится к КИИ — причём к объектам первой категории, так как это транспортная инфраструктура, атака на которую может повлиять более чем на один субъект РФ и лишить транспортных услуг свыше 5 тысяч человек.
Вот тогда и началось стремительное импортозамещение — отчасти, возможно, на словах, но во многом и на практике.
«У нас около 134 IT-систем, из них 31 уже является отечественной, 84 будут заменены на отечественные аналоги до конца 2024 года. Также в 2024 году мы полностью заменим всё программное обеспечение по критической информационной инфраструктуре, а доля затрат на отечественное ПО составит свыше 82 процентов», — рассказывал Совету Федерации глава Аэрофлота Сергей Александров в конце 2022 года.
Итак, что поменяли? Судя по отчетности Аэрофлота, вместо Sabre внедрили отечественную систему бронирования «Леонардо» от компании «Сирена-Трэвэл» (её руководство, кстати, сейчас под следствием — в 2023 году компания также не смогла отразить хакерскую атаку). Швейцарскую систему технического обслуживания воздушных судов AMOS заменили на «Купол» от Ростеха. Софт от SITA — на «Авиационную сервисную платформу», разработанную ФГУП «ЗащитаИнфоТранс». Начали переход с SAP на 1С. Больше примеров на картинках из отчетов, приложенных к посту.
Кроме того, внутри Аэрофлота стало появляться много самописного софта – судя по отчетности, сейчас десятки IT-систем внутри компании создаются собственными силами. В 2022 году для этих нужд авиакомпания создала дочернюю IT-компанию — ООО «АФЛТ-Системс».
О своей активной работе по импортозамещению Аэрофлот регулярно отчитывается. Вот выдержка из отчёта за 2024 год:
«Одной из ключевых стратегических целей Группы „Аэрофлот“ является переход на отечественное ПО. По итогам отчётного периода доля расходов на закупку российского ПО в Группе „Аэрофлот“ составила 95,9%, что на 3,5 п.п. выше предыдущего года. В 2024 году объём инвестиций Аэрофлота в проекты, связанные с достижением технологического суверенитета и структурной адаптацией экономики Российской Федерации, составил 1,5 млрд руб. Инвестиции были направлены на проекты по разработке единой производственной платформы, системы управления экипажами, а также системы поддержания лётной годности и технического обслуживания и ремонта воздушных судов».
Судя по всему, внутри у Аэрофлота сейчас то, что айтишники называют «зоопарком» — смесь российского, самописного и всё ещё не импортозамещённого иностранного софта. Найти в этом хаосе что-то уязвимое — вопрос времени и упорства атакующих. Даже ФСТЭК в начале года признавал, что у 47% объектов КИИ есть критические уязвимости в IT-системах. Это неудивительно: иностранный софт, особенно в сфере авиаперевозок, существует десятилетия и обкатан на тысячах заказчиков. С точки зрения информационной безопасности, свежий российский и тем более самописный софт — почти всегда менее надёжный выбор. Продолжение в следующем посте.
Кто сломал, кто проспал, кто сядет
По факту атаки на Аэрофлот Генпрокуратура уже возбудила уголовное дело по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации») в отношении неустановленного круга лиц — это дело для хакеров, если кого-то найдут.
При этом перед руководством Аэрофлота неиллюзорно маячит дело по ч. 3–5 ст. 274.1 УК РФ («Неправомерное воздействие на КИИ»). Именно по этой статье сейчас пытаются наказать за пропущенную кибератаку вице-президентов «Сирена-Трэвэл». Подчеркну: не злорадствую и российской тюрьмы никому не желаю — просто излагаю факты.
Если выяснится, что в ходе атаки произошла утечка персональных данных (а хакеры утверждают, что получили доступ к данным пассажиров), то проблем у Аэрофлота прибавится. Пару месяцев назад вступили в силу поправки в КоАП, согласно которым за крупную утечку персональных данных теперь можно получить и оборотный штраф.
Помимо топ-менеджмента авиакомпании, ответственного за IT и ИБ, под прицелом могут оказаться и её подрядчики. Публично известно, что Аэрофлот пользовался ИБ-услугами от компании «Солар» («дочка» Ростелекома) и интегратора «Бастион», созданного сыном первого заместителя главы ФСБ Сергея Королёва.
«Солар» управляет одним из крупнейших в России Security Operations Center (SOC), то есть оказывает клиентам круглосуточный мониторинг и реагирование на инциденты ИБ. Вероятно, именно эту услугу они предоставляли Аэрофлоту. Должны ли были они заметить атаку на раннем этапе? Да, должны. Может и заметили, но сделать уже ничего было нельзя – мы не знаем. Один из моих собеседников в сфере ИБ говорит об этом так: «Если инфраструктура сама по себе дырявая, то что может сделать мониторинг? Есть такая шутка про куколд-SOC: “Мы смотрим, как вас трахают”».
«Бастион», судя по открытым данным, занимался внедрением ряда IT-систем в Аэрофлоте, а буквально пару месяцев назад подписал с авиакомпанией рамочное соглашение о сотрудничестве в области кибербезопасности. За пару месяцев, понятное дело, много не обезопасишь. В общем, не похоже, что «Солар» или «Бастион» — те, кто прям во всём виноваты.
Есть другой важный момент. Поскольку Аэрофлот является объектом КИИ, он по закону обязан быть подключён к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которой управляет ФСБ. Более того, ФСБ должна была обеспечить установку на инфраструктуре Аэрофлота специальных «средств ГосСОПКА» — для обнаружения, предупреждения и устранения последствий атак.
Официальный перечень этих средств довольно короткий — туда входят одобренные ФСБ программные комплексы от «Лаборатории Касперского», Positive Technologies, R-Vision и Security Vision. По идее, одно из этих решений, установленное внутри Аэрофлота, должно было своевременно зафиксировать инцидент и передать информацию в ГосСОПКУ / НКЦКИ. Короче, выглядит так, что сплоховали все — включая профильные подразделения ФСБ.
При этом уголовные дела по факту атак на КИИ тоже расследует ФСБ – в данном случае, думаю, это будет управление «Т» службы экономической безопасности ФСБ. Ну, ребята, главное не выйдите там на самих себя.
P.S. В качестве факультатива напомню: в истории России уже была атака на Аэрофлот. Мой «любимчик» Павел Врублевский в 2013 году получил свой первый срок за организацию DDoS-атаки на подрядчика Аэрофлота — процессинговую компанию Assist (конкурента ChronoPay Врублевского). Из-за этой атаки у Аэрофлота несколько дней не работала онлайн-продажа билетов. Масштабы, в сравнении с текущей атакой, смешные, но даже тогда делом тут же занялась ФСБ. Итог: реальные сроки для Врублевского и его сообщников, братьев Артимовичей (по 2,5 года колонии каждому). Врублевский, правда, потом рассказывал, что в колонии-поселении было даже неплохо: он там был за пожарного, но «так как ничего не горело» — поил коров из шланга.
@kolomychenko
По факту атаки на Аэрофлот Генпрокуратура уже возбудила уголовное дело по ст. 272 УК РФ («Неправомерный доступ к компьютерной информации») в отношении неустановленного круга лиц — это дело для хакеров, если кого-то найдут.
При этом перед руководством Аэрофлота неиллюзорно маячит дело по ч. 3–5 ст. 274.1 УК РФ («Неправомерное воздействие на КИИ»). Именно по этой статье сейчас пытаются наказать за пропущенную кибератаку вице-президентов «Сирена-Трэвэл». Подчеркну: не злорадствую и российской тюрьмы никому не желаю — просто излагаю факты.
Если выяснится, что в ходе атаки произошла утечка персональных данных (а хакеры утверждают, что получили доступ к данным пассажиров), то проблем у Аэрофлота прибавится. Пару месяцев назад вступили в силу поправки в КоАП, согласно которым за крупную утечку персональных данных теперь можно получить и оборотный штраф.
Помимо топ-менеджмента авиакомпании, ответственного за IT и ИБ, под прицелом могут оказаться и её подрядчики. Публично известно, что Аэрофлот пользовался ИБ-услугами от компании «Солар» («дочка» Ростелекома) и интегратора «Бастион», созданного сыном первого заместителя главы ФСБ Сергея Королёва.
«Солар» управляет одним из крупнейших в России Security Operations Center (SOC), то есть оказывает клиентам круглосуточный мониторинг и реагирование на инциденты ИБ. Вероятно, именно эту услугу они предоставляли Аэрофлоту. Должны ли были они заметить атаку на раннем этапе? Да, должны. Может и заметили, но сделать уже ничего было нельзя – мы не знаем. Один из моих собеседников в сфере ИБ говорит об этом так: «Если инфраструктура сама по себе дырявая, то что может сделать мониторинг? Есть такая шутка про куколд-SOC: “Мы смотрим, как вас трахают”».
«Бастион», судя по открытым данным, занимался внедрением ряда IT-систем в Аэрофлоте, а буквально пару месяцев назад подписал с авиакомпанией рамочное соглашение о сотрудничестве в области кибербезопасности. За пару месяцев, понятное дело, много не обезопасишь. В общем, не похоже, что «Солар» или «Бастион» — те, кто прям во всём виноваты.
Есть другой важный момент. Поскольку Аэрофлот является объектом КИИ, он по закону обязан быть подключён к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которой управляет ФСБ. Более того, ФСБ должна была обеспечить установку на инфраструктуре Аэрофлота специальных «средств ГосСОПКА» — для обнаружения, предупреждения и устранения последствий атак.
Официальный перечень этих средств довольно короткий — туда входят одобренные ФСБ программные комплексы от «Лаборатории Касперского», Positive Technologies, R-Vision и Security Vision. По идее, одно из этих решений, установленное внутри Аэрофлота, должно было своевременно зафиксировать инцидент и передать информацию в ГосСОПКУ / НКЦКИ. Короче, выглядит так, что сплоховали все — включая профильные подразделения ФСБ.
При этом уголовные дела по факту атак на КИИ тоже расследует ФСБ – в данном случае, думаю, это будет управление «Т» службы экономической безопасности ФСБ. Ну, ребята, главное не выйдите там на самих себя.
P.S. В качестве факультатива напомню: в истории России уже была атака на Аэрофлот. Мой «любимчик» Павел Врублевский в 2013 году получил свой первый срок за организацию DDoS-атаки на подрядчика Аэрофлота — процессинговую компанию Assist (конкурента ChronoPay Врублевского). Из-за этой атаки у Аэрофлота несколько дней не работала онлайн-продажа билетов. Масштабы, в сравнении с текущей атакой, смешные, но даже тогда делом тут же занялась ФСБ. Итог: реальные сроки для Врублевского и его сообщников, братьев Артимовичей (по 2,5 года колонии каждому). Врублевский, правда, потом рассказывал, что в колонии-поселении было даже неплохо: он там был за пожарного, но «так как ничего не горело» — поил коров из шланга.
@kolomychenko
🔥 79
👍 26
❤ 10
12 466 15.9K
Обсуждение 12
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram