Сбитый айтишник
После летней кибератаки в «Аэрофлоте» сменился глава IT-блока
Летняя масштабная кибератака на «Аэрофлот» (MOEX: AFLT), как выяснил “Ъ”, привела к первым кадровым последствиям. Пост покинул замгендиректора авиакомпании по информационным технологиям Антон Мацкевич — как подчеркивают в «Аэрофлоте», по собственному желанию. Большинство собеседников “Ъ” считают, что топ-менеджер такого уровня не мог сохранить должность после резонансной атаки, и ожидали его отставки еще летом. Но другие отмечают, что сложность кибератак на авиацию во всем мире растет и от них не застрахован ни один IT-руководитель.
Рисунок: Виктор Чумачев, Коммерсантъ
Рисунок: Виктор Чумачев, Коммерсантъ
Как выяснил “Ъ”, Антон Мацкевич, с 2022 года занимавший должность замгендиректора по информационным технологиям и информбезопасности «Аэрофлота», покинул свой пост. По словам двух источников “Ъ” в авиаотрасли, руководителя IT-блока уволили в середине декабря. Однако в «Аэрофлоте», где “Ъ” подтвердили его уход, подчеркивают, что он покинул компанию по собственному желанию.
В авиакомпании сообщили, что сейчас обязанности замгендиректора по IT и ИБ исполняет назначенный директором департамента информационных систем «Аэрофлота» Денис Попов, ранее возглавлявший дочернюю IT-компанию «АФЛТ-Системс». Новый руководитель, добавили в «Аэрофлоте», «имеет все необходимые навыки и опыт в разработке и внедрении цифровых проектов в компаниях группы». В компании также отметили, что при Антоне Мацкевиче в компании произошел «существенный рывок в развитии IT-направления компании в части импортозамещения и реализации стратегии цифровой трансформации группы».
Собеседники “Ъ” в авиаотрасли единогласно связывают произошедшую перестановку с последствиями хакерской атаки 28 июля, ставшей самым резонансным киберинцидентом в России (см. “Ъ” от 28 июля). В этот день перевозчик отменил 54 парных рейса (туда-обратно) из 206 через базовый для себя аэропорт Шереметьево, ответственность на себя взяли две хакерские группировки из Украины и Белоруссии. «Аэрофлот» оперативно стабилизировал рейсы и уже 30 июля полностью возобновил полеты по расписанию, но доступ в личный кабинет для участников программы лояльности удалось восстановить только к середине августа.
Сергей Александровский, генеральный директор «Аэрофлота», о ликвидации последствий кибератаки 28 июля, в кулуарах ВЭФ, 8 сентября:
«Мы смогли стабилизировать операционную деятельность за сутки».
По словам одного из руководителей по кибербезопасности другой авиакомпании, в целом реакция IT-специалистов на инцидент и отключение питания «были безупречной отработкой нападения и позволили сохранить большую часть IT-инфраструктуры». Но, по его версии, мониторинг потенциальных угроз компании «не мог не сообщать об аномальных активностях на стороне внешних подрядчиков» и должного «внимания этим аномалиям не было уделено». Он и ряд других собеседников полагают, что руководитель направления в любом случае не мог не понести ответственности за инцидент такого масштаба, повлекший существенные репутационные издержки.
В то же время еще несколько опрошенных “Ъ” IT-экспертов в авиации подчеркивают, что ни один топ-менеджер не может быть полностью застрахован от повторения такой ситуации, поскольку количество кибератак на авиацию в мире выросло в семь раз, их сложность прогрессирует (см. “Ъ” от 19 декабря). Два IT-специалиста считают смену главы IT-сектора потенциально преждевременной, поскольку в компаниях масштаба «Аэрофлота» полноценное погружение нового руководителя в процессы потребует месяцы, тогда как действующий глава должен был довести процесс «полноценного восстановления систем до конца».
Под полноценным восстановлением обычно понимают не просто возврат ключевых операционных функций (регистрация, планирование рейсов и обслуживание бортов), а приведение всей IТ-среды «в гарантированно доверенное состояние», говорит техдиректор компании MD Audit (входит в ГК Softline) Юрий Тюрин. После крупного инцидента в любой компании происходит проверка целостности данных и отсутствия скрытых механизмов «закрепления злоумышленников», уточняет он. Руководитель группы аналитиков центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Сергей Сидоров поясняет, что для выявления факта присутствия требуется большое количество телеметрии, мониторинг источников и сбор большого объема данных. Нередко после таких инцидентов привлекаются внешние специалисты для независимой оценки и моделирования атак, отмечает Юрий Тюрин. Цель заключается в том, чтобы «не только закрыть конкретный вектор атаки», но и снизить вероятность повторения инцидента за счет изменения архитектуры и управленческих подходов к информбезопасности. Кроме того, после нападений IT-специалисты контролируют обновление учетных записей, ключей доступа, интеграции с партнерами и внутренние сервисы, добавляет он: правила мониторинга, реагирования, резервного копирования. Для авиакомпании масштаба «Аэрофлота», по оценке собеседников “Ъ” в IT-секторе, все процессы перепроверки систем могут занимать до года. В целом подобные процессы тестирования IТ-инфраструктуры на киберустойчивость в крупных компаниях должны происходить непрерывно, заключает Сергей Полунин, глава группы защиты IТ-решений компании «Газинформсервис».