В июле хакеры атаковали крупные компании — «Аэрофлот», «Столички» и другие. Это привело к масштабным IT-сбоям: пришлось отменить десятки рейсов, сотни аптек прекратили свою работу. В итоге одни люди вынужденно отказались ехать в аэропорт, другие — не могли купить лекарства. А владельцы бизнесов терпели огромные убытки. Из открытых источников известно, что только авиаперевозчик потерял миллионы долларов.
Казалось бы, уж кто-кто, а такой гигант, как «Аэрофлот», должен быть неприступной крепостью. Компания и не скрывает: вкладывает в информационную безопасность (ИБ) огромные деньги. Только в прошлом году — целых 860 миллионов рублей (по данным июньского отчёта о деятельности в области устойчивого развития). И это не просто цифры: бюджет был рассчитан как раз на защиту от мощных массовых и целевых атак. Сюда же входит внешний аудит. И в том числе, по соображениям безопасности, компания также занималась импортозамещением софта. Что же пошло не так? Почему не оправдались даже столь внушительные вложения?
Ошибка «Аэрофлота», спровоцировавшая коллапс IT-системы
Как пояснил Сергей Кудряшов, партнёр практики «Цифровая трансформация» Strategy Partners, корень проблемы — в гигантском «зоопарке» из сотен IT-систем:
«Выделить продукты, ставшие вектором атаки, крайне сложно. Наиболее критичны системы управления продажами, бронированием и полётами — их выход парализует компанию».
До 2022 года эти процессы обеспечивали зарубежные решения (Sabre, AMOS, SAP). Но после перехода на импортозамещение возникла «лоскутная» инфраструктура: система бронирования переместилась на «Леонардо» от «Сирена-Трэвел», учёт — на платформы 1С, а техобслуживание — на систему «Купол» и решения дочерней компании «АФЛТ-Системс».
Почему это стало фатальным? Можно выделить 4 ключевых слоя уязвимости. Во-первых, отсутствие единой архитектуры безопасности привело к тому, что разрозненные инструменты ИБ не могли комплексно отследить угрозы. Во-вторых, смешение технологических эпох — когда устаревшее программное обеспечение, включая Windows XP, работало бок о бок с новыми платформами — создавало критические бреши. В-третьих, слепые зоны мониторинга оставляли без внимания аномалии в цепочках взаимодействия между системами. И наконец, хаотичный переход на отечественный софт без должной консолидации лишь усложнил защиту, превратив инфраструктуру в неуправляемый «зоопарк».
«Импортозамещение — не самоцель. Без консолидации инфраструктуры под единым контролем ИБ даже 860 млн рублей в год не спасут систему от кибератаки. Ключ — к централизованной платформе со сквозным мониторингом», — комментирует руководитель отдела ИБ компании Cloud4Y Сергей Конев.
8 шагов для защиты от кибератак
Но значит ли это, что защита бессмысленна? Как раз наоборот. Успешная атака на «Аэрофлот» показала: даже в условиях сложного перехода и разнородных систем риски можно и нужно контролировать.
Так как же выстроить эффективную защиту? Ключевое правило ИБ звучит жёстко: хакеру нужна всего одна удачная попытка, а защитнику — безупречность 24/7.
И кажется, это неравный бой. Как будто 100%-ная безопасность в IT почти невозможна… Но на самом деле решение есть. Комплекс мер снизит риски практически до нуля. Вот список работающих решений:
1. Аудит безопасности.
• Привлекайте сторонних экспертов.
• Используйте фреймворки (OWASP, NIST, ISO 27001, CIS Controls) для оценки уязвимостей.
• Управляйте рисками (используйте Risk Assessment).
2. Защита IT-инфраструктуры.
• Внедряйте многофакторную аутентификацию (MFA) для корпоративных ресурсов.
• Обеспечьте кибербезопасность своей виртуальной инфраструктуры. Например, с помощью NSX Edge.
• Используйте современные комплексные инструменты для фильтрации трафика. Например, виртуальный межсетевой экран NGFW.
• Используйте системы обнаружение вторжения.
• Выбирайте защиту от DDoS-атак для своей IT-инфраструктуры. Идеально подойдёт профессиональное решение — anti-DDoS.
3. Защита конечных точек (Endpoint Security).
• Применяйте мощное антивирусное программное обеспечение, такое как Dr.Web или Антивирус Касперского. И не обязательно покупать лицензии — российские облака (вроде нас в Cloud4Y) сдают их в аренду. Плюсы? Вы платите помесячно, а техподдержка провайдера сама ставит обновления, чинит сбои и решает проблемы. Вашим сисадминам — меньше головной боли.
• Откажитесь от особых привилегий для сотрудников. Человек должен получать ровно столько прав, сколько нужно для работы. Ни капли больше.
• Устанавливайте обновления в первые дни их выхода, проведя необходимое тестирование (для программного обеспечения и операционных систем). Хакеры охотятся за устаревшими программами и операционными системами, такими как Windows XP.
4. Защита от потери данных.
• Шифрование данных — это база в ИБ. Сохранность конфиденциальной информации при хранении или передаче. Профессионально решить задачу позволит встроенное шифрование в «Защищённом облаке» Cloud4Y.
• Внедрите DLP-системы. Они выявляют слабые звенья в бизнес-процессах и помогают предотвратить утечки.
• Регулярно выполняйте резервное копирование данных. Прекрасно работает правило 3-2-1, то есть 3 копии, 2 типа носителей, один из которых вне офиса. А чтобы автоматизировать бэкапы, воспользуйтесь услугой «Резервное копирование в облако» (BaaS) в георазнесённых ЦОД Cloud4Y.
5. Обучение сотрудников.
• Проводите тренинги по кибербезопасности (фишинг, социнженерия).
• Тестируйте сотрудников с помощью имитации атак (например, фишинговые письма).
• Создайте культуру безопасности (пусть сотрудники сообщают о подозрительных событиях).
6. Инцидент-менеджмент
• Политика ИБ — фундамент: чёткая политика информационной безопасности, исходя из оценки рисков, определяет порядок реагирования и регламентирует действия при инцидентах.
• Разработайте план реагирования на инциденты (IRP) на основе своей политики ИБ.
• Включите мониторинг событий (SIEM-системы) для автоматизации контроля, заданного политикой.
7. Работа с надёжными поставщиками
• Проверьте партнёров на кибербезопасность (аудит контрагентов).
• Ограничьте доступ внешних подрядчиков к критической инфраструктуре.
• Используйте контракты с обязательствами по ИБ (SLA, NDA).
8. Подготовка к киберкризисам
• Проводите киберучения (Red Team vs. Blue Team).
• Разработайте план восстановления (DRP) после атак, включая:
→ автоматическое резервное копирование серверов,
→ дедупликацию данных для экономии ресурсов хранилищ.
• Имейте страховку от киберинцидентов (Cyber Insurance).
