Кибервойна на высоте: как защитить авиацию от цифрового апокалипсиса

Киберугрозы в авиации долго казались чем-то абстрактным: слышали — да, понимали — не очень. На деле именно транспортная отрасль, аэропорты и авиакомпании — одна из самых уязвимых экосистем. Устаревшие системы рядом с новыми, сложная "мешанина" из Wi-Fi сетей, терминалов регистрации, FIDS-табло, платежных шлюзов, систем управления воздушным движением и развлекательных платформ на борту — достаточно одного слабого звена, чтобы всё "посыпалось".

По оценке Thales, только с 2024 по 2025 год число атак выросло на 600% — и это тренд с продолжающимся ускорением. Ниже — почему так происходит, какие инциденты стали поворотными и как снижать риски на практике.

Что делает авиацию удобной целью

Аэропорт — это мини-город: тысячи сотрудников и подрядчиков, десятки критичных ИТ-сервисов, разнообразные сети и терминалы, жёсткие SLA по расписанию рейсов и багажу.

Классические "дыры" — старые ОС в периферийном оборудовании, уязвимые страницы киосков регистрации, устаревшие VPN, единые учётки для смен, разрозненные журналы событий и медленная корреляция инцидентов.

Добавьте человеческий фактор (фишинг, слабые пароли), DDoS по "периметру" и шантаж через шифровальщиков — получите идеальную среду для вымогательства и саботажа.

"Эта история подчёркивает тот факт, что по мере того, как всё больше аспектов нашей жизни становятся зависимыми от киберпространства, мы становимся более уязвимыми для киберпреступников", — отметил исследователь в области безопасности Дэвид Эмм.

Хрестоматийные кейсы последних лет

• KUL (Куала-Лумпур), 23 марта 2025: саботаж FIDS и киосков регистрации, ручная регистрация, похищение ~2 ТБ данных и требование выкупа в $10 млн. Ответственность на себя взял консорциум Qilin. Вмешательство премьер-министра, работа NACSA и форсированное закрытие брешей.
• ЕС, сентябрь 2025: сбои систем авторегистрации в ряде аэропортов — массовые задержки, частичные отмены.
• EasyJet, 2020: кража персональных данных 9 млн клиентов — пример того, как "чисто" ИТ-инцидент становится репутационным кризисом.
• Швеция, 2015: сбой системы управления воздушным движением на 5 дней, сотни отмен. Связан с APT28 (Fancy Bear); позже группа не раз фигурировала в атаках на госорганы Европы.
• LOT (Польша), 2015: DDoS парализовал обработку планов полёта в Варшаве (10 отмен, 15 задержек, 1400 пассажиров "зависли" за 5 часов).
• TLV (Бен-Гурион), 2019: до 3 млн атак в день — повод развернуть круглосуточный SOC прямо в аэропорту; в 2024 фиксировались попытки вмешательства в бортовые сообщения над Ближним Востоком.

Как выстраивать защиту: пошагово

1. Провести инвентаризацию: IT+OT, "тени" активов, ПО на киосках и FIDS, сетевые зоны, доступы подрядчиков. Инструменты: CMDB, автодискавери, агентless-сканеры.
2. Сегментировать сети: отделить пассажирский Wi-Fi, офис, критичные АСУ, киоски, FIDS, платёжные контуры. Инструменты: VLAN/VRF, microsegmentation, ZTNA.
3. Закрыть периметр: WAF для публичных сервисов, bot-management, анти-DDoS (L3-L7), CDN/Anycast для георассеивания трафика.
4. Усилить доступ: MFA для всех админов и удалёнки, PAM для привилегий, "разделённые ключи", запрет shared-аккаунтов, Just-in-Time доступ.
5. Обновить конечные точки: EDR/XDR с изоляцией хоста, контроль приложений на киосках, "заморозка" образов (golden image), регулярные патчи.
6. Централизовать мониторинг: SIEM+SOAR, корреляция логов аэропорта/перевозчиков/подрядчиков, playbook'и на DDoS, шифровальщик, утечку PII.
7. Защитить данные: шифрование "на диске" и "в полёте", DLP, журналы доступа к БД, "красные кнопки" на отключение выгрузок.
8. Резервирование: 3-2-1-1-0 (три копии, два носителя, одна офлайн/immutable, одна — гео, ноль ошибок проверки), частые "учебные" восстановлення.
9. Учить людей: фишинг-симуляции, краткие чек-листы стойкам регистрации, правила экстренного ручного режима.
10. Тестировать: регулярные пентесты, красные командные учения, tabletop для руководителей, отработка публичных коммуникаций и альтернативных процессов в залах.

А что если…

…ударят по цепочке поставок? Для критичных сервисов внедряйте SBOM, контроль целостности, подписывание артефактов, канареечные релизы и "kill switch". Дублируйте облачные регионы, держите холодный DR-сайт с минимально необходимыми функциями (регистрация, печать посадочных, отслеживание багажа).

FAQ

Кто чаще атакует аэропорты — "хакивисты" или криминал?
Оба. Хактивисты чаще используют DDoS и дефейсы; криминал — вымогатели и кража данных. APT-группы нацелены на разведку и саботаж.

Что важнее: SOC в аэропорту или централизованный отраслевой центр?
И то, и другое. Локальный SOC сокращает MTTD/MTTR, отраслевой — даёт обмен индикаторами и координацию.

Можно ли полностью исключить ручные процедуры?
Нет. Нужны отработанные "бумажные" сценарии регистрации, маршрутизации багажа и информационных объявлений.

Мифы и правда

• Миф: "DDoS — это просто шум, реальный вред маленький".
  Правда: при правильном тайминге DDoS сбивает критичные бизнес-процессы и открывает "окно" для вторжений.
• Миф: "Шифровальщик — только про выкуп".
  Правда: двойное и тройное вымогательство включает утечку PII и давление через регуляторов и СМИ.
• Миф: "Обновления ломают устаревшие системы — лучше не трогать".
  Правда: контролируемые патчи и виртуальные "заплатки" (WAF, изоляция) безопаснее, чем жизнь с известными дырами.

3 факта, которые стоит знать

1. Большинство критичных инцидентов начинается с обычной учётки без MFA.
2. Среднее "время обитания" злоумышленника до обнаружения измеряется днями и неделями — без EDR/XDR и SIEM это "слепая зона".
3. Самая эффективная "техника" восстановления — регулярно проверенные offline/immutable-бэкапы.

Исторический контекст

• 2015: DDoS против LOT; сбой в шведском управлении воздушным движением — первые резонансные сигналы для отрасли.
• 2019: TLV фиксирует миллионы атак в сутки, рождается круглосуточный SOC в аэропорту.
• 2020: крупные утечки авиаперевозчиков (EasyJet и др.) — кибератака становится повседневной новостью.
• 2022: SpiceJet — шифровальщик нарушает расписание в нескольких аэропортах Индии.
• 2025: атаки на авторегистрацию в ЕС и кейс KUL с выкупом и массовыми сбоями — "стресс-тест" для всей экосистемы.

Уточнения

Кибервойна (англ. cyberwarfare) — противоборство (война) и противостояние в кибернетическом пространстве (киберпространстве), в том числе компьютерное противостояние в Интернете, одна из разновидностей информационной войны.