28 июля ИТ-инфраструктура «Аэрофлота» подверглась беспрецедентной хакерской атаке. Киберпреступники, публично взявшие на себя ответственность за инцидент, заявили, что смогли полностью скомпрометировать все критические корпоративные системы — свыше семи тысяч серверов и рабочих станций, базы данных и сетевые ресурсы, украсть 12 терабайт баз данных, 8 TB файлов с Windows Share, 2 TB корпоративной почты, на момент заявления все еще сохранять доступ к корпоративным почтам сотрудников авиакомпании и прослушивать высшее руководство авиаперевозчика.
Событие всколыхнуло всё инфопространство: новостные порталы и форумы накалились от обсуждений, прогнозов, предположений и поспешных выводов.
«Сегодня, в отсутствие детальной достоверной информации, преждевременно и некорректно делать какие-либо выводы и обсуждать действия ИТ-специалистов «Аэрофлота» до и после инцидента. Люди сейчас работают на пределе сил, поэтому пожелаю им успеха и напомню, что российские разработчики всегда готовы прийти на помощь, предоставив свои программные и аппаратные решения, отработанную методику их интеграции в ИТ-инфраструктуру и опыт квалифицированных сотрудников по решению нестандартных задач, — отметил Валерий Андреев, заместитель генерального директора АО «ИВК». — Но совершенно очевидно, что нам всем придется извлечь уроки из этого крупнейшего киберинцидента.
Ряд дискуссий в публичном пространстве развернулся вокруг обсуждения безопасности импортных систем и их российских аналогов. Безусловно, в ходе миграции на отечественные решения необходимо проводить их тщательный анализ на предмет защищенности. Но любая из этих систем решает локальные вопросы безопасности.
Одна из основных проблем – отсутствие у организаций системного подхода к построению защищенной, устойчивой, интегрированной ИТ-инфраструктуры. Злоумышленники готовят атаки очень тщательно, их цель – получить максимальный доступ к ИТ-ресурсам организации. Поэтому базовое правило, которому, к сожалению, уделяется недостаточное внимание – провести честный тщательный анализ критичности систем и сервисов, составить модель угроз и возможных векторов атак и регулярно актуализировать ее, исходя из меняющихся внутренних и внешних обстоятельств. Понятно, что заменить «всё и сразу» нереально – организации и предприятия используют импортные системы, которым сложно подобрать российский полнофункциональный аналог. Эти системы лицензионно «привязаны» к специализированному оборудованию, которое сложно «научить» работать под российскими операционными системами. Но определить поверхность атак и разработать реалистичный сценарий их предотвращения – жизненно необходимо. А российские разработчики готовы в тандеме с заказчиком дорабатывать свои решения под конкретные задачи».