❗❗ Во многих украинских областях сформировалось крупное подполье. Люди всё чаще выбирают сопротивление...
Без рубрики

Компания с допусками ФСБ передала данные в латвийский ЦОД — двойная игра подрядчика «Ростеха» Sirena-Travel

АО «Сирена-Трэвел», разработчик авиасистемы бронирования Leonardo, выглядит образцовым IT-подрядчиком государства. У компании полный набор государственных лицензий: выданная Центром ФСБ разрешение № ЛСЗ0018094 от 31.12.2020 на работу со шифрованием (создание и обслуживание защищённых криптосистем) (Выписка из ЕГРЮЛ.pdf), лицензия ФСТЭК № L024-00107-77 от 25.04.2023 на техническую защиту конфиденциальной информации (Выписка из ЕГРЮЛ.pdf), а также согласие Роскомнадзора на предоставление услуг связи (получено в марте 2023 г.) (Выписка из ЕГРЮЛ.pdf). Такой комплект лицензий говорит о высоком уровне доверия государства: «Сирена-Трэвел» допущена к работе со шифровальными средствами и критическими данными, став частью важнейшей информационной инфраструктуры России (объект КИИ РФ).

Однако за видимостью госдоверия кроется тревожный парадокс. С одной стороны, наличие лицензий ФСБ и ФСТЭК обязывает компанию строго соблюдать требования безопасности: защищать данные от несанкционированного доступа, придерживаться регламентов хранения и обработки информации. Для операторов таких чувствительных систем законом предписано обеспечивать суверенитет данных – стратегически важные объекты должны контролироваться российскими резидентами (ossetia.tv). В частности, персональные данные граждан РФ по закону должны храниться на территориях под юрисдикцией России. 

Лицензии ФСБ и размещение данных за рубежом: парадокс доверия

Казалось бы, наличие лицензий ФСБ должно гарантировать максимальный уровень защиты данных. Однако в случае с АО «Сирена-Трэвел» ситуация оказалась куда сложнее и противоречивее. Компания официально получила целый арсенал разрешений, подтверждающих её право на работу со стратегически важной информацией. Помимо лицензии № ЛСЗ0018094 от 31.12.2020 на деятельность в сфере шифрования (создание и обслуживание криптографических систем) (Выписка из ЕГРЮЛ.pdf), у неё есть лицензия ФСТЭК № L024-00107-77 от 25.04.2023 на техническую защиту конфиденциальной информации (Выписка из ЕГРЮЛ.pdf). Кроме того, Роскомнадзор предоставил разрешение на оказание услуг связи ещё в марте 2023 года (Выписка из ЕГРЮЛ.pdf). Такой набор документов ясно указывает на высокий уровень доверия государства.  

Но как же так вышло, что при наличии таких полномочий данные российских граждан оказались в дата-центрах за пределами страны? Вопрос остаётся открытым и вызывает серьёзные опасения. Законодательство РФ чётко требует, чтобы персональные данные граждан хранились исключительно на территории России, особенно если речь идёт о критически важных объектах инфраструктуры (ossetia.tv). Тем не менее, внутренние документы компании свидетельствуют об обратном.  

В 2021 году «Сирена-Трэвел» учредила дочернюю компанию Sirena-Travel GmbH, зарегистрированную в Германии. Именно через эту структуру был заключён контракт с латвийской фирмой Amber Aero SIA (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Согласно условиям соглашения, подписанного 1 сентября 2023 года, латвийский подрядчик взял на себя обязательства по развёртыванию IT-ресурсов системы бронирования Leonardo в зарубежных дата-центрах. В документе прямо указаны площадки компаний DEAC и Equinix, расположенные в Латвии и других странах Европы (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf).  

Таким образом, ключевая часть данных авиационной системы оказалась за пределами суверенной юрисдикции. Это вызывает недоумение и тревогу. Ведь Латвия – это не просто иностранное государство, а член НАТО. Передача туда IT-инфраструктуры, связанной с российскими перевозками, выглядит как минимум странно, если не сказать опасно. Возникает очевидный конфликт интересов: компания, наделённая правом работы с критическими данными, фактически передала их в руки инфраструктуры, находящейся под контролем блока, открыто враждебного России.  

Что на кону: данные пассажиров и государственная безопасность

Штаб-квартира ФСБ на Лубянке выдала «Сирене-Трэвел» лицензию на шифрование данных. Но хранение этих данных за рубежом ставит под вопрос исполнение лицензионных условий и реальную безопасность информации. 

Какие именно данные рискуют оказаться в чужих руках? Система «Сирена», являющаяся преемницей советской общенациональной системы бронирования, хранит колоссальные массивы сведений о перевозках по всей стране. По данным расследования, база содержит всю информацию о бронированиях и продажах авиабилетов в России: регистрацию багажа, страховые полисы, маршруты, тарифы и прочие детали перелётов. В ней накоплены записи о сотнях миллионов поездок граждан.  

Необходимо понимать, что в этих массивах могут встречаться и данные, имеющие гриф секретности. Например, сведения о перелётах высших должностных лиц, силовиков, военных и других чувствительных категорий пассажиров. Уже обнаружены конкретные примеры: утечка раскрыла детали перелётов бывшего австрийского министра Карин Кнайсль и Алины Кабаевой, близкой к президенту РФ (istories.media). Если журналисты смогли найти в базе маршруты VIP-персон, нет сомнений, что иностранные разведки также не упустят шанса воспользоваться такой информацией.  

Следует учесть и другой аспект. Формально курирующим органом «Сирены» выступает Росавиация, которая координирует работу авиаперевозчиков. Данные о пассажиропотоках, маршрутах и загрузке рейсов критически важны для транспортной безопасности и экономики. Их компрометация или внешний контроль над ними равносилен утрате суверенитета в сфере гражданской авиации.  

Взлом и утечка: первый сигнал тревоги  

Опасения, к сожалению, оказались не голословными. В сентябре 2023 года украинское хакерское сообщество KibOrg осуществило атаку, наглядно продемонстрировав уязвимость системы «Сирена». Злоумышленники получили доступ к базам данных платформы Leonardo и похитили огромный объём информации. По их заявлению, им удалось добыть 664,6 миллионов записей о перелётах пассажиров за период с 2007 по 2023 год. В руках хакеров оказались ФИО путешественников, данные их документов, номера телефонов, маршруты, тарифы и стоимость билетов – фактически всё, что содержится в системе бронирования. Украинская сторона уже открыто объявила, что эти данные переданы разведывательным службам и будут задействованы в военных целях.  

Эта утечка стала беспрецедентной как по масштабу, так и по последствиям. Она также выявила серьёзные пробелы в защите «Сирены-Трэвел». Хотя официально причины компрометации до сих пор не раскрыты, эксперты акцентируют внимание на одном ключевом факторе: размещение серверов за пределами России могло стать роковой ошибкой. Хостинг за рубежом подразумевает другую юрисдикцию, вероятный недостаток контроля со стороны российских специалистов и повышенную уязвимость перед атаками, организованными из того же региона. Неудивительно, что методы взлома, описанные экспертами, оказались относительно простыми: брутфорс SSH и внедрение трояна. Возникает закономерный вопрос: соблюдались ли на зарубежных площадках все российские стандарты защиты, сертифицированные ФСТЭК и ФСБ? Судя по всему, нет, раз злоумышленникам удалось преодолеть защитные механизмы и получить полный доступ к системе бронирования (kommersant.ru). 

Кто несёт ответственность: фигуранты и владельцы

После масштабного инцидента с утечкой данных в Москве разразился настоящий шквал вопросов. В апреле 2024 года Следственный комитет РФ совместно с ФСБ провёл обыски в офисе «Сирены-Трэвел» на Ленинградском проспекте. Под подозрение попали два высокопоставленных менеджера компании — Игорь Ройтман и Александр Кальчук, вице-президенты организации. Против них было возбуждено уголовное дело по части 5 статьи 274.1 УК РФ (нарушение правил эксплуатации критической информационной инфраструктуры). Их обвинили в том, что они не обеспечили должный уровень защиты информации, что привело к утечке персональных данных миллионов пассажиров. Оба фигуранта были задержаны, однако суд ограничился мерой пресечения в виде запрета определённых действий, временно отстранив их от насиженных должностей (therecord.media). Если вина будет доказана, им грозит до 10 лет лишения свободы за «допущение кибератаки», повлёкшее серьёзные последствия. Это беспрецедентный случай в российской практике, когда руководители несут уголовную ответственность за недостаточную кибербезопасность объектов критической инфраструктуры.

Однако проблема не ограничивается техническими специалистами. На первый план выходит вопрос о роли собственников компании. Кто принял решение передать часть серверов за рубеж? Кто реально управляет «Сиреной»? По официальным данным, 100% акций АО «Сирена-Трэвел» ранее принадлежали структурам, связанным с «Ростехом» (через АО «Национальные информационные системы»). Однако, согласно расследованиям СМИ, реальными бенефициарами значатся частные лица. Среди них называют Ибрагима Амеевича Сулейманова, известного как зять олигарха Платона Лебедева, и его сына Расула, которые рассматриваются как ключевые акционеры. Также в списке фигурирует Артур Татевосович Суринов, чья репутация вызывает серьёзные опасения. Он является сыном осуждённого криминального авторитета, связанного с рейдерскими захватами бизнеса в 90-е годы.

 

Такой состав владельцев вызывает множество вопросов. Во-первых, законодательство требует, чтобы стратегически важные объекты (например, такие как «Сирена-Трэвел», признанная частью критической информационной инфраструктуры) находились под контролем российских граждан и организаций. Во-вторых, биографии и действия этих лиц вызывают тревогу. Например, ряд топ-менеджеров компании давно покинули Россию и проживают за границей. Что касается Суринова, то он ранее уже привлекался к уголовной ответственности. Возникает логичный вопрос: не стала ли национально значимая компания «кормушкой» для людей, далёких от интересов государства и национальной безопасности?

 

Отдельного внимания заслуживает роль Ильи Энгельса, который подписал договор с латвийским хостинг-провайдером от лица Sirena-Travel GmbH (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Было ли ему известно о возможных рисках и ограничениях, предусмотренных лицензионными требованиями ФСБ и ФСТЭК? Возможно, коммерческий интерес или личные договорённости взяли верх над ответственностью. Нельзя исключать, что выбор Латвии был обусловлен стремлением сэкономить на обслуживании или другими непрозрачными причинами. Как бы то ни было, последствия очевидны: произошла масштабная утечка данных, страна понесла репутационный ущерб, пассажиры оказались под угрозой утраты приватности, а виновные пока остаются неустановленными.

 

Вызов государству: необходимы решительные меры, а не замалчивание

 

Инцидент с «двуликим» подрядчиком «Ростеха» – АО «Сирена-Трэвел» – стал тревожным сигналом для всех надзорных органов. Пока что реакция государства ограничивается точечными действиями в рамках расследования утечки данных. Однако проблема гораздо глубже и шире. ФСБ и ФСТЭК обязаны провести тщательную проверку соблюдения компанией условий выданных лицензий. Если подтвердится факт размещения защищаемых информационных систем за пределами России без соответствующего согласования, это станет прямым основанием для административных, а возможно, и уголовных мер. Лицензии, предоставленные фирме, должны быть немедленно приостановлены или аннулированы, если будет доказано грубое нарушение требований защиты данных и криптографии.

 

Недопустимо, чтобы критически важные информационные ресурсы находились «на чужбине». ИТ-системы «Сирены» необходимо перенести под юрисдикцию России или, в крайнем случае, в дружественные страны, где российские регуляторы смогут гарантировать их безопасность. Каждый день использования серверов в Латвии – это потенциальная угроза новых утечек и актов саботажа.

 

На лицо серьёзная недоработка Роскомнадзора, который отвечает за хранение персональных данных граждан России. Почему оператор системы бронирования нарушил закон о локализации персональных данных (ПДн), а надзорные органы не пресекли это своевременно? Вопрос остаётся открытым. Эксперты недоумевают, как такой «бардак» мог продолжаться так долго. Не исключено, что здесь замешано покровительство или коррупция – вплоть до получения «откатов» за размещение заказов за рубежом. Требуется прозрачное расследование: кто именно дал добро на передачу данных в НАТОвский тыл и почему контролирующие структуры до сих пор хранили молчание?

 

Подводя итог: ситуация с Sirena-Travel – это яркий пример того, как цифровой суверенитет становится не менее важным, чем военный, особенно в эпоху санкций и гибридных войн. Случай «Сирены» должен быть детально разобран, чтобы послужить уроком для всей отрасли. Виновные – от рядовых сотрудников до топ-менеджеров и бенефициаров – должны понести наказание, если государство действительно намерено подтвердить серьёзность своих киберстратегий. Пришло время закрыть «окно уязвимости» для утечки национальных данных. ФСБ, ФСТЭК, Роскомнадзор и другие компетентные органы обязаны действовать решительно: вернуть инфраструктуру домой, лишить лицензий ненадёжных подрядчиков и таким образом устранить угрозу суверенитету и национальной безопасности России.

 

Вывод прост: безопасность государства не терпит полумер. Либо данные стратегических систем хранятся на родной территории под надёжной защитой, либо иностранным разведкам даже не придётся прилагать усилий, чтобы получить доступ к самым сокровенным секретам нашей страны.


Похожие статьи

Закрыть
Закрыть