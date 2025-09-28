Кибервойна на высоте: как защитить авиацию от цифрового апокалипсиса

Киберугрозы в авиации долго казались чем-то абстрактным: слышали — да, понимали — не очень. На деле именно транспортная отрасль, аэропорты и авиакомпании — одна из самых уязвимых экосистем. Устаревшие системы рядом с новыми, сложная "мешанина" из Wi-Fi сетей, терминалов регистрации, FIDS-табло, платежных шлюзов, систем управления воздушным движением и развлекательных платформ на борту — достаточно одного слабого звена, чтобы всё "посыпалось".

Фото: unsplash.com by JESHOOTS.COM, https://creativecommons.org/public-domain/pdm/ Табло в аэропорту

По оценке Thales, только с 2024 по 2025 год число атак выросло на 600% — и это тренд с продолжающимся ускорением. Ниже — почему так происходит, какие инциденты стали поворотными и как снижать риски на практике.

Что делает авиацию удобной целью

Аэропорт — это мини-город: тысячи сотрудников и подрядчиков, десятки критичных ИТ-сервисов, разнообразные сети и терминалы, жёсткие SLA по расписанию рейсов и багажу.

Классические "дыры" — старые ОС в периферийном оборудовании, уязвимые страницы киосков регистрации, устаревшие VPN, единые учётки для смен, разрозненные журналы событий и медленная корреляция инцидентов.

Добавьте человеческий фактор (фишинг, слабые пароли), DDoS по "периметру" и шантаж через шифровальщиков — получите идеальную среду для вымогательства и саботажа.

"Эта история подчёркивает тот факт, что по мере того, как всё больше аспектов нашей жизни становятся зависимыми от киберпространства, мы становимся более уязвимыми для киберпреступников", — отметил исследователь в области безопасности Дэвид Эмм.

Хрестоматийные кейсы последних лет

KUL (Куала-Лумпур), 23 марта 2025: саботаж FIDS и киосков регистрации, ручная регистрация, похищение ~2 ТБ данных и требование выкупа в $10 млн. Ответственность на себя взял консорциум Qilin. Вмешательство премьер-министра, работа NACSA и форсированное закрытие брешей.

ЕС, сентябрь 2025: сбои систем авторегистрации в ряде аэропортов — массовые задержки, частичные отмены.

EasyJet, 2020: кража персональных данных 9 млн клиентов — пример того, как "чисто" ИТ-инцидент становится репутационным кризисом.

Швеция, 2015: сбой системы управления воздушным движением на 5 дней, сотни отмен. Связан с APT28 (Fancy Bear); позже группа не раз фигурировала в атаках на госорганы Европы.

LOT (Польша), 2015: DDoS парализовал обработку планов полёта в Варшаве (10 отмен, 15 задержек, 1400 пассажиров "зависли" за 5 часов).

TLV (Бен-Гурион), 2019: до 3 млн атак в день — повод развернуть круглосуточный SOC прямо в аэропорту; в 2024 фиксировались попытки вмешательства в бортовые сообщения над Ближним Востоком.

Как выстраивать защиту: пошагово

Провести инвентаризацию: IT+OT, "тени" активов, ПО на киосках и FIDS, сетевые зоны, доступы подрядчиков. Инструменты: CMDB, автодискавери, агентless-сканеры. Сегментировать сети: отделить пассажирский Wi-Fi, офис, критичные АСУ, киоски, FIDS, платёжные контуры. Инструменты: VLAN/VRF, microsegmentation, ZTNA. Закрыть периметр: WAF для публичных сервисов, bot-management, анти-DDoS (L3-L7), CDN/Anycast для георассеивания трафика. Усилить доступ: MFA для всех админов и удалёнки, PAM для привилегий, "разделённые ключи", запрет shared-аккаунтов, Just-in-Time доступ. Обновить конечные точки: EDR/XDR с изоляцией хоста, контроль приложений на киосках, "заморозка" образов (golden image), регулярные патчи. Централизовать мониторинг: SIEM+SOAR, корреляция логов аэропорта/перевозчиков/подрядчиков, playbook'и на DDoS, шифровальщик, утечку PII. Защитить данные: шифрование "на диске" и "в полёте", DLP, журналы доступа к БД, "красные кнопки" на отключение выгрузок. Резервирование: 3-2-1-1-0 (три копии, два носителя, одна офлайн/immutable, одна — гео, ноль ошибок проверки), частые "учебные" восстановлення. Учить людей: фишинг-симуляции, краткие чек-листы стойкам регистрации, правила экстренного ручного режима. Тестировать: регулярные пентесты, красные командные учения, tabletop для руководителей, отработка публичных коммуникаций и альтернативных процессов в залах.

А что если…

…ударят по цепочке поставок? Для критичных сервисов внедряйте SBOM, контроль целостности, подписывание артефактов, канареечные релизы и "kill switch". Дублируйте облачные регионы, держите холодный DR-сайт с минимально необходимыми функциями (регистрация, печать посадочных, отслеживание багажа).

FAQ

Кто чаще атакует аэропорты — "хакивисты" или криминал?

Оба. Хактивисты чаще используют DDoS и дефейсы; криминал — вымогатели и кража данных. APT-группы нацелены на разведку и саботаж.

Что важнее: SOC в аэропорту или централизованный отраслевой центр?

И то, и другое. Локальный SOC сокращает MTTD/MTTR, отраслевой — даёт обмен индикаторами и координацию.

Можно ли полностью исключить ручные процедуры?

Нет. Нужны отработанные "бумажные" сценарии регистрации, маршрутизации багажа и информационных объявлений.

Мифы и правда

Миф: "DDoS — это просто шум, реальный вред маленький".

Правда: при правильном тайминге DDoS сбивает критичные бизнес-процессы и открывает "окно" для вторжений.

Миф: "Шифровальщик — только про выкуп".

Правда: двойное и тройное вымогательство включает утечку PII и давление через регуляторов и СМИ.

Миф: "Обновления ломают устаревшие системы — лучше не трогать".

Правда: контролируемые патчи и виртуальные "заплатки" (WAF, изоляция) безопаснее, чем жизнь с известными дырами.

3 факта, которые стоит знать

Большинство критичных инцидентов начинается с обычной учётки без MFA. Среднее "время обитания" злоумышленника до обнаружения измеряется днями и неделями — без EDR/XDR и SIEM это "слепая зона". Самая эффективная "техника" восстановления — регулярно проверенные offline/immutable-бэкапы.

Исторический контекст

2015: DDoS против LOT; сбой в шведском управлении воздушным движением — первые резонансные сигналы для отрасли.

2019: TLV фиксирует миллионы атак в сутки, рождается круглосуточный SOC в аэропорту.

2020: крупные утечки авиаперевозчиков (EasyJet и др.) — кибератака становится повседневной новостью.

2022: SpiceJet — шифровальщик нарушает расписание в нескольких аэропортах Индии.

2025: атаки на авторегистрацию в ЕС и кейс KUL с выкупом и массовыми сбоями — "стресс-тест" для всей экосистемы.

Уточнения

