Что случилось

«Аэрофлот» утром 28 июля сообщил о сбое в работе IT-систем, который повлек отмену нескольких десятков оборотных рейсов из базового аэропорта Шереметьево в Москве в российские города, Астану, Минск, Ереван. Авиакомпания заявила, что с полуночи до полудня выполнила 76 рейсов из 123 запланированных. Переносы и отмены коснулись как рейсов головной авиакомпании группы, так и дочерней авиакомпании «Россия».

О причастности к сбоям заявили хакерские группировки Silent Crow и «Киберпартизаны BY». Взломщики утверждают, что на протяжении года находились в корпоративной сети «Аэрофлота», выгрузили полный массив баз данных истории перелетов и получили контроль над компьютерами сотрудников. По их версии, было выкачано 22 Тб информации и уничтожено 7 тыс. серверов. «Аэрофлот» эту информацию не комментировал.

Генпрокуратура подтвердила хакерскую атаку и сообщила об открытии уголовного дела по ч. 4 ст. 272 УК (неправомерный доступ к компьютерной информации).

По состоянию на 20:00 национальный перевозчик отменил 54 парных рейса (туда-обратно) из планировавшихся к выполнению 28 июля 260. Остальные 206 рейсов планируются к выполнению. В том числе отменены понедельничные оборотные рейсы из Москвы в Минск, Самару, Уфу, Казань. На 29 июля отменены рейсы в Уфу, Алма-Ату, Челябинск, Минск, Новосибирск, Ереван, Екатеринбург.

В Минтрансе по итогам совещания в Шереметьево с участием менеджмента аэропорта, «Аэрофлота», руководства Росавиации сообщили, что определили меры по «нормализации ситуации с рейсами». В министерстве подчеркнули, что для авиакомпании приоритетны рейсы на Дальний Восток, в Калининград, Сочи, Минеральные Воды и за рубеж, в том числе на широкофюзеляжных самолетах. «В случае новых вынужденных отмен будет сокращаться число полетов на многочастотных маршрутах, где работают альтернативные перевозчики. Минтранс ведет работу с ними по корректному подходу к ценам на билеты», — говорится в сообщении ведомства.

Сколько «Аэрофлот» теряет из-за атаки

Собеседники РБК в авиаотрасли считают, что отмена одного рейса исходя из средней цены билета в одну сторону в 20 тыс руб. в среднем обходится «Аэрофлоту» в 2,4 млн руб. «Исходя из средней провозной емкости воздушного судна в 120 кресел, «Аэрофлот», по консервативной оценке, за день потерял 259,2 млн руб.», — говорит один из источников РБК.

Другой источник считает, что с учетом затрат на восстановление IT-инфраструктуры, недополученной выручки за непроданные авиабилеты и убытков от отмены рейсов, ущерб авиакомпании может достигать нескольких миллиардов рублей.

Гендиректор Friendly Avia Support Александр Ланецкий говорит, что для оценки ущерба авиакомпании нужно понимать, что именно произошло, какие именно данные и за какой период времени были утеряны. Эксперт не исключает, что в случае хакерской атаки злоумышленники могли получить не только информацию о перелетах пассажиров, но и доступ к базам данных поставщиков комплектующих, что может привести к перестроению всей логистики поставок «Аэрофлота». По его оценке, крупнейшая авиакомпания России только за 28 июля могла потерять около 0,5 млрд руб.

При этом дочерняя авиакомпания «Победа» продолжает выполнять полеты в штатном режиме. Лоукостер не комментирует ситуацию.

«У «Аэрофлота» и «Победы» разная инфраструктура, кроме того, инфраструктура дочернего лоукостера менее тяжеловесна — у них меньше программного обеспечения, которому можно нанести ущерб», — отмечает собеседник.

Другой источник обратил внимание на то, что агентские продажи билетов «Аэрофлота» через сторонние сервисы продолжаются, как и возвраты ранее купленных авиабилетов. «Это говорит о том, что система бронирования в общем и целом продолжает работать», — резюмирует он.

Сколько еще теряют авиакомпании

Последний недавний сбой в работе российских авиакомпаний, включая «Аэрофлот» и Шереметьево, случился 5–6 июля из-за атак беспилотников. В результате в первые выходные июля было отменено 250 рейсов, задержано — более 270 рейсов. Потери трех аэропортов — Шереметьево, Пулково и Стригино — в первые сутки от отмены рейсов оценивались в 4–6 млрд руб.

IT-эксперты — об ущербе «Аэрофлота»

«Аэрофлот» до 2022 года пользовался американской системой бронирования Sabre. После начала специальной военной операции на Украине и введении санкций против российских авиакомпаний национальный перевозчик в конце 2022 года перешел на российскую систему бронирования «Леонардо» компании «Сирена-Трэвел». В том же году было запущено импортозамещение и других систем, в том числе на российскую систему хозяйственного учета 1С, которая должна заменить немецкую SAP.

Как анонсировал в сентябре 2024-го гендиректор «Аэрофлота» Сергей Александровский, в ближайшие годы компания направит на импортозамещение IT‑продуктов 28 млрд руб.: «Долгие годы доля отечественного ПО составляла 33%. «Аэрофлот» активно конкурировал с глобальными авиаперевозчиками, в том числе и поэтому мы вынуждены были использовать международные решения. За последние два года доля расходов на отечественное ПО увеличилась с 33 до 95%. Всего на импортозамещение в ближайшие годы мы потратим 28 млрд руб., из них 10 млрд руб. — в рамках ИЦК (индустриальных центров компетенций), для того чтобы создавать продукты, доступные для остальных авиаперевозчиков».

Источник РБК в одной из компаний — контрагентов «Аэрофлота» отмечает, что перевозчик продолжает частично пользоваться иностранными продуктами.

Кирилл Левкин, проджект-менеджер MD Audit (входит в ГК Softline), говорит, что теоретически длительная атака с внутренним присутствием злоумышленников в IT-инфраструктуре возможна, особенно если использовались целевые фишинговые атаки, уязвимости нулевого дня и замаскированные средства удаленного доступа. «Современные инфраструктуры сложны и требуют постоянного мониторинга, и даже крупные компании могут не заметить утечку или вредоносную активность сразу. Если речь идет о полном разрушении виртуальной и физической инфраструктуры — это крайне маловероятно, но не невозможно при полном доступе с высоким уровнем привилегий, — отмечает Левкин. — Если информация о полном удалении серверов и резервных копий подтвердится, что крайне маловероятно, поскольку бизнес-континуитет в таких компаниях обязательно предполагает резервное копирование данных, восстановление может занять от нескольких дней до нескольких недель или месяцев — в зависимости от степени разрушений, наличия офлайн-резервов и отказоустойчивых систем. Основное время уйдет не только на техническое восстановление, но и на обеспечение чистоты восстановленной среды — исключение всех возможных «закладок» и сохранение безопасности».

Эксперт подчеркивает, что случаи полного «уничтожения» инфраструктуры крайне редки, чаще всего атакующие предпочитают вымогательство, кражу данных или саботаж, но не полное разрушение. Именно поэтому заявления о полном стирании 7 тыс. серверов требуют дополнительной проверки и официального подтверждения.

Сергей Кудряшов, партнер практики «Цифровая трансформация» компании Strategy Partners говорит, что «Аэрофлот» пользуется сотнями разнообразных IT-продуктов. «Выделить из них определенные, которые имеют значение для кибератаки, достаточно сложно, поскольку это и системы управления технологическими процессами, и системы управления офисными процессами, и системы управления продажами — их достаточно много. Наиболее критичны для любой авиакомпании система управления продажами, система управления бронированием и система управления полетами», — пояснил эксперт.

По его словам, при такой кибератаке главный ущерб — от простоя: сколько компания недополучит выручки из-за того, что информационные системы недоступны. Он измеряется количеством отмененных рейсов и не перевезенных пассажиров. Второй тип ущерба связан с восстановлением утерянных данных: если хакерам удалось уничтожить данные и их резервные копии безвозвратно, компании придется потратить достаточно много средств для восстановления данных из косвенных источников информации: из бумажных носителей, из сообщений, отправлявшихся по электронной почте. Третий тип ущерба связан с выплатой штрафов и компенсаций. «Роскомнадзор уже заявил, что признаков утечки пока не выявлено. Но если такие признаки будут выявлены в будущем, законодательство предусматривает в том числе оборотные штрафы за утечку персональных данных. Далее можно рассматривать ущерб от претензий третьих лиц, которые пострадают из-за этой ситуации и захотят судиться с «Аэрофлотом», — отметил Кудряшов.

Он добавил, что компании придется понести расходы на непосредственное устранение самой кибератаки — наем специализированного агентства, фирмы в области кибербезопасности, которая займется устранением этого инцидента и дополнительным расследованием. «Сейчас у нас мало информации, которая позволила бы оценить ущерб «Аэрофлота». По международной статистике, день простоя авиакомпании может стоить более $1 млн. Но мы видим, что речь не идет о полном простое, поскольку задержаны десятки рейсов, а не сотни», — резюмировал Кудряшов.