Напомним, 28 июля системы авиакомпании «Аэрофлот» подверглись хакерским атакам, что привело к массовым задержкам рейсов. В Министерстве транспорта Казахстана отметили, что международные полеты авиакомпанией осуществляются по графику.
По информации хакеров, к утру было уничтожено более 7 000 серверов и рабочих станций в офисах Шереметьево, Мелькисарово и дата-центрах компании.
ЦАРКА обратили внимание на несколько факторов, способствовавших атаке:
- В сети использовались Windows XP и Windows Server 2003.
- Пароли сотрудников, включая топ-менеджмент, не менялись годами. По данным хакеров, гендиректор Аэрофлота использовал один пароль с 2022 года.
- Хакеры находились в инфраструктуре более года и выкачали массивы данных: переписка, звонки, история перелетов, архивы.
«Данный кейс показал, что инциденты информационной безопасности способны за считанные часы обрушить бизнес- и государственные процессы. В Казахстане аналогичным объектам присваивается статус КВОИКИ (прим. - критически важные объекты информационно-коммуникационной инфраструктуры), и требования к их защите не должны быть формальностью», - отмечают в центре.
Так, для обеспечения защиты систем от хакерских атака специалисты ЦАРКА рекомендуют:
- проводить постоянный мониторинг, threat hunting (поиск следов взлома) и проверки инфраструктуры на признаки скрытого присутствия;
- иметь отработанные сценарии восстановления, включая изолированные резервные копии;
- внедрять двухфакторную аутентификацию в корпоративном сегменте;
- проводить регулярное обновление систем, в частности, отказ от Windows XP, поскольку Microsoft прекратила поддержку XP в 2014 году.
