Миллиард в защиту, и что?

Один из крупнейших российских авиаперевозчиков, «Аэрофлот», в конце июля столкнулся с масштабной кибератакой. Результат? Отмена 42% рейсов, сорванные планы более чем 20 тысяч пассажиров, и, что самое важное для бизнеса, колоссальный финансовый ущерб. Аналитики оценивали его, по самым скромным подсчетам, в $50 млн, и это не окончательная цифра. Акции компании обвалились на 4,1% за один день, а хакеры уничтожили тысячи серверов и похитили около 20 ТБ данных. 

И все это произошло с компанией, которая вложила в обеспечение кибербезопасности почти миллиард рублей только за 2024 год https://ir.aeroflot.ru/fileadmin/user_upload/files/rus/common_info/gosa_doc_2025/AFL_ESG_report__2024.pdf.

Прошло уже немало времени, но отчетов с причинами произошедшего пока не было. Можно, конечно, рассуждать про простые пароли и устаревшее ПО, но опыт подсказывает, что все значительно серьезнее. Получается, огромный бюджет, вложенный в ИБ, не является абсолютной гарантией. А такие случаи поднимают неудобные вопросы, которые руководители ИТ и ИБ задают себе: почему, несмотря на все усилия и инвестиции, инфраструктура остается уязвимой? В чем был просчет?

Было ли дело только в хакерах?

Парадокс современной кибербезопасности заключается в том, что наличие самых дорогих и современных систем защиты не гарантирует реальную безопасность. Дорогие решения работают в лабораторных условиях, но терпят фиаско в боевой обстановке реальной корпоративной сети. По нашему опыту причина чаще всего кроется в фундаментальном непонимании того, как должна тестироваться защита в условиях реальной нагрузки и уникального профиля трафика каждой конкретной организации.

История Аэрофлота не уникальна. Недавно похожие атаки обрушились на сеть социальных аптек «Столички» и сеть розничных магазинов «ВинЛаб», где хакеры применили вымогательство за возврат зашифрованных данных. Все эти компании наверняка уделяли серьезное внимание своим системам безопасности, но это не спасло их от катастрофы.

Проблема не в отсутствии средств, а в распространенном, но опасном заблуждении: многие, развернув дорогостоящую систему защиты, почему-то начинают верить, что они «в домике», и никакие хакеры им больше не страшны. 

Доверяй, но проверяй

Но, как показывает практика, это не так. В своей работе мы постоянно сталкиваемся с одной и той же критической проблемой: оборудование и сервисы для ИБ часто подбираются по параметрам, указанным в технических документах поставщика. Эти цифры, как правило, отражают производительность в «идеальных условиях» или оптимизированы для маркетинга, а не для уникального профиля трафика вашей сети. 

Мы живем в эпоху тотальной виртуализации, повсеместного внедрения нейросетей и невероятного разнообразия пользовательских нагрузок, которые в каждой организации абсолютно индивидуальны. Сетевой трафик уже давно не ограничивается стандартным TCP/IP, электронной почтой и видеоконференциями. Почти весь современный трафик зашифрован, и чтобы системы информационной безопасности могли выполнять свою основную задачу, этот трафик должен быть расшифрован и проанализирован в режиме реального времени.

Чтобы системы ИБ могли выполнять свои функции, им необходимо расшифровывать и анализировать этот трафик «на лету», что является очень ресурсоемкой работой для любого оборудования. Если приобретенное оборудование не было проверено на способность справляться с такой нагрузкой без деградации производительности, оно становится слабым звеном.  В результате компания получает систему, которая либо пропускает атаки из-за недостатка вычислительных ресурсов, либо настолько замедляет работу легитимных бизнес-процессов, что пользователи начинают искать способы ее обойти.

Семь раз протестируй…

Убедиться, что ваше оборудование способно обрабатывать зашифрованный трафик без снижения производительности легитимных сервисов, можно только с помощью специальных решений для нагрузочного тестирования. В противном случае вы действуете вслепую, не зная, насколько эффективна ваша система безопасности и работает ли она на самом деле.

Обычно для такого тестирования используют решение IXIA BreakingPoint (https://rutest.zone/software/breakingpoint) которое проверяет, работает ли система безопасности вообще, и как она ведет себя под реальной нагрузкой, в том числе при эмуляции сетевых атак тысяч различных типов.