Кибератака на Аэрофлот: как разрушили цифровую инфраструктуру за один день

Привет, герой бизнеса!

В конце июля 2025 года компания «Аэрофлот» столкнулась с одной из крупнейших кибератак в истории российской авиации. Информация об инциденте широко освещалась в СМИ и вызвала резонанс среди специалистов по информационной безопасности.

Мы собрали проверенные данные, проанализировали причины и последствия и, опираясь на наш опыт в области ИТ и цифровой безопасности, делимся выводами и практическими рекомендациями — что важно учесть бизнесу, чтобы избежать подобных ситуаций.

Что произошло?

Утром 28 июля 2025 года в IT-инфраструктуре «Аэрофлота» произошёл масштабный сбой. Было отменено и задержано более 100 рейсов, включая как внутренние, так и международные направления. Нарушения коснулись системы бронирования, управления полётами и других ключевых цифровых сервисов.

(Источник: RBC.ru)  

Хакерская группа Silent Crow совместно с «Киберпартизанами BY» взяла на себя ответственность за атаку. Они утверждают, что находились внутри инфраструктуры более года, скачали 22 ТБ данных и уничтожили около 7 000 серверов. Эта информация требует критической оценки, но факт масштабной атаки подтвердили независимые эксперты.

Чем пользовался Аэрофлот?

Как сообщил Сергей Кудряшов, партнёр практики «Цифровая трансформация» компании Strategy Partners, «Аэрофлот» использует сотни разнообразных IT-продуктов.

«Выделить из них определённые, которые имеют значение для кибератаки, достаточно сложно, поскольку это и системы управления технологическими процессами, и системы управления офисными процессами, и системы управления продажами. Наиболее критичны для любой авиакомпании система управления продажами, система управления бронированием и система управления полётами», — пояснил эксперт.

До 2022 года «Аэрофлот» активно использовал зарубежные ИТ-системы (Sabre, AMOS, SAP), однако после начала политики импортозамещения перешёл на российские аналоги: систему бронирования «Леонардо» от «Сирена-Трэвел», систему учёта на базе 1С, систему технического обслуживания «Купол» и разработки дочерней компании «АФЛТ-Системс». В результате сформировался сложный и разнородный ИТ-ландшафт.

(Источник: RBC.ru)

Оценка ущерба

Согласно оценкам отраслевых аналитиков:

1. только за первые сутки простой обошёлся в не менее чем 250 млн рублей (прямые расходы на билеты, компенсации, обслуживание);
2. восстановление серверной инфраструктуры может потребовать до 1,5 млрд рублей;
3. полные потери, включая репутационные риски, оцениваются в 3–4 млрд рублей.

Рейсы были приостановлены, клиенты испытывали затруднения с получением информации и возвратом билетов. Также пострадала деловая репутация национального авиаперевозчика.

Почему это произошло?

Судя по публичной информации и комментариям экспертов, к инциденту привела совокупность факторов:

1. отсутствие централизованной архитектуры ИБ;
2. смешение старых и новых платформ, включая устаревшие версии ПО;
3. неэффективный мониторинг и слабый контроль доступа;
4. длительный переход от иностранного к отечественному софту, в ходе которого возник «зоопарк» систем, усложняющий управление и защиту.

Наш комментарий

Как веб-интегратор, работающий с крупными заказчиками, мы подчёркиваем: кибербезопасность — это не только антивирусы и фаерволы. Это стратегия, архитектура, контроль всех компонентов, в том числе от подрядчиков.

Важно понимать:

1. если подрядчик или внутренний отдел создаёт инфраструктуру без учёта рисков, бизнес рискует всем;
2. разнородные системы без единой политики ИБ создают слепые зоны;
3. время проникновения злоумышленников — год и более — указывает на слабость мониторинга и внутреннего аудита.

Выводы

Случай с «Аэрофлотом» — тревожный сигнал для всех, кто работает с клиентскими и корпоративными данными. Даже крупная и опытная компания может стать жертвой, если безопасность распределена между десятками подрядчиков и систем без централизованного контроля.

Что стоит сделать бизнесу, чтобы не оказаться в такой же ситуации:

1. Провести независимую проверку инфраструктуры. Это помогает увидеть уязвимости, которые не замечают внутренние сотрудники. Внешний аудит даёт объективную картину и позволяет не «подсвечивать» проблемы только внутри.
2. Установить единые правила для всех подрядчиков и внутренних команд. Это важно, если над сайтом, CRM или серверной частью работают разные исполнители. Без общего подхода к безопасности каждый делает по-своему, и система становится хрупкой.
3. Не откладывать обновления и рефакторинг. Технический долг в ИТ — как дыра в борту: она может не мешать, пока всё тихо, но одна атака — и последствия катастрофичны. Обновление систем безопасности — это обязательная гигиена.

Если у вас есть сомнения в устойчивости вашей цифровой инфраструктуры — лучше проверить сейчас, чем восстанавливаться после атаки.

Готовы помочь вам оценить риски и закрыть уязвимости

Мы разработали пакет услуг «Безопасность и стабильность». Это комплексная проверка и защита вашего сайта, чтобы он работал стабильно и безопасно каждый день.

Подробнее — на странице услуги.