Вопрос не в том, взломают ли, а в том, как к этому приготовиться

30 мая 2025 года вступили в силу поправки к Кодексу РФ об административных правонарушениях, которые резко усилили ответственность за нарушение порядка обработки персональных данных. Размеры штрафов достигли десятков миллионов рублей, а для компаний, которые допустили повторную утечку персональных данных любой категории, закон впервые вводит оборотные штрафы ― до 3% выручки (не менее 25 млн и не более 500 млн руб.).

Для авиакомпаний проблема стоит особенно остро. Воздушный транспорт напрямую работает с персональными данными пассажиров, причем в процессе бронирования и продажи авиабилетов могут участвовать несколько контрагентов. Авиакомпания не может замкнуть внутри себя все информационные потоки, однако именно она является оператором АИС ОВП (автоматизированной информационной системы оформления воздушных перевозок, или PSS в привычной терминологии). А значит, согласно позиции ФСТЭК, именно авиакомпания отвечает за безопасность всех этих систем.

Риски еще более усугубляются тем обстоятельством, что в последние годы российские компании подвергаются беспрецедентному количеству атак. По словам специалистов по компьютерной безопасности, крупные взломы происходят чуть ли не еженедельно, и вопрос только в том, когда именно это произойдет и насколько компания готова отразить атаку.

Как показало комплексное исследование, недавно проведенное компанией ORS, российским разработчиком авиационного IT, авиакомпании вполне осознают и масштабы угрозы, и риски, связанные с ужесточением ответственности. Среди ключевых вызовов рост угроз кибербезопасности отметили практически 50% авиакомпаний-респондентов (заметим, что среди вендоров эта доля составила 75%).

Компании отмечают последовательный рост сложности киберинцидентов в 2024 году по сравнению с 2023 годом и в 2025 году по сравнению с 2024 годом. Примерно треть респондентов вносят безопасность в число приоритетных направлений, которые можно укрепить с помощью IT. Соответственно, 36% компаний отмечают рост инвестиций в кибербезопасность уже в 2025 году, а в перспективе до 2030 года их доля достигает 82%. Отметим, что снижения инвестиций в кибербез вообще никто не ожидает.

Приведенный график, полученный в ходе исследования ORS, показывает, какие меры киберзащиты применяют авиакомпании.

Эксперты по кибербезопасности оценивают эти меры как вполне адекватные, однако считают, что в текущих условиях акценты следовало бы распределить несколько иначе. "Резервирование данных и сегментация IT-инфраструктуры ― это правильные и необходимые меры для обеспечения общей отказоустойчивости системы, ― комментирует руководитель отдела информационной безопасности ORS Александр Корзун, ― но, как показывает практика взломов, это никого не спасает. Если злоумышленник получил контроль, он сломает все. На первый план должны выйти системы мониторинга, чтобы вовремя отследить проникновение и быстро принять меры. Мы получили необходимые лицензии ФСТЭК и ФСБ, знаем, как это делать, и умеем. Организуя мониторинг для нескольких компаний, мы можем получить экономию на масштабе и снизить общие затраты".

Другое направление, получившее недостаточный приоритет на графике, ― это аудит и тестирование безопасности. "Необходимо регулярно проводить аудиты, проверки, а для компаний с более или менее разветвленной структурой управления ― еще и штабные киберучения, ― говорит Александр Корзун. ― Если на административное согласование необходимых контрмер уйдет слишком много времени, последствия могут оказаться непоправимыми".