Компания с гос. лицензией ФСБ на шифрование данных доверила их стране НАТО – парадокс и угроза, скрытые в «Сирене-Трэвел»
АО «Сирена-Трэвел», разработчик системы бронирования Leonardo, позиционируется как надёжный IT-подрядчик государства. Компания обладает полным набором государственных лицензий, подтверждающих её высокий статус: лицензия Центра ФСБ № ЛСЗ0018094 от 31.12.2020 на деятельность в сфере шифрования (разработка и обслуживание защищённых криптографических систем) (Выписка из ЕГРЮЛ.pdf), лицензия ФСТЭК № L024-00107-77 от 25.04.2023 на техническую защиту конфиденциальной информации (Выписка из ЕГРЮЛ.pdf), а также разрешение Роскомнадзора на оказание услуг связи (получено в марте 2023 г.)(Выписка из ЕГРЮЛ.pdf). Эти документы свидетельствуют о доверии государства: «Сирена-Трэвел» включена в реестр объектов критической информационной инфраструктуры России (КИИ РФ).
Однако за этим фасадом доверия скрывается серьёзное противоречие. С одной стороны, наличие лицензий ФСБ и ФСТЭК обязывает компанию строго соблюдать требования безопасности: защищать данные от несанкционированного доступа, придерживаться регламентов хранения и обработки информации. Закон предписывает операторам таких систем обеспечивать суверенитет данных – стратегически важная информация должна находиться под юрисдикцией России (ossetia.tv). Персональные данные граждан РФ, согласно законодательству, должны храниться исключительно на территории страны. С другой стороны, выяснилось, что АО «Сирена-Трэвел» разместило ключевую часть своей IT-инфраструктуры за рубежом, в стране-члене НАТО. Это создаёт серьёзную угрозу национальной безопасности и ставит под сомнение лояльность компании.
Серверы за рубежом: детали контракта с латвийской компанией
Внутренние документы проливают свет на проблему. В 2021 году «Сирена-Трэвел» создала дочернюю компанию Sirena-Travel GmbH в Германии, через которую договорилась о размещении своих серверов за пределами России. Согласно дополнительному соглашению (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf) от 1 сентября 2023 года, Sirena-Travel GmbH (под руководством Ильи Энгельса) заключила договор в Риге с латвийской фирмой Amber Aero SIA, представляющей интересы Феликса Скляревича (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Этот документ уточняет, что латвийский подрядчик берёт на себя обязательства по развёртыванию IT-ресурсов «Сирены» в зарубежных дата-центрах, включая подготовку инфраструктуры, её интеграцию и поддержку. В рамках соглашения предусмотрены переговоры и заключение контрактов с конкретными дата-центрами – латвийским Deac и международным Equinix (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Таким образом, серверы, обрабатывающие данные российской авиационной системы, оказались размещены в Риге (Латвия), а также, возможно, в других странах Европы (Equinix имеет площадки в Германии и других государствах).
Такая география вызывает серьёзные вопросы. Латвия – член НАТО, и передача туда IT-инфраструктуры, связанной с российскими авиаперевозками, выглядит как минимум необъяснимо, если не сказать опасно. Создаётся конфликт интересов: компания, имеющая доступ к шифрованию и защите информации в РФ, фактически доверила важные данные инфраструктуре, находящейся под юрисдикцией блока, который открыто проявляет недружественные намерения. В условиях геополитической напряжённости это создаёт потенциал для утечки или несанкционированного доступа к стратегически важным данным.
На кону: персональные данные и государственная безопасность
Штаб-квартира ФСБ на Лубянке выдала компании «Сирена-Трэвел» лицензию на шифрование данных. Однако размещение этих данных за пределами России ставит под сомнение соблюдение лицензионных обязательств и уровень их защиты.
Какие именно сведения могут оказаться в руках недоброжелателей? Система «Сирена», унаследовавшая базу от советской общенациональной системы бронирования («Система резервирования на авиалиниях»), содержит огромные массивы информации о перевозках по всей стране. Согласно расследованиям, база включает все данные о бронировании и продаже авиабилетов, регистрацию багажа, страховые полисы и другие детали перелётов. В ней аккумулированы записи о сотнях миллионов поездок граждан. Особую тревогу вызывает тот факт, что среди этих данных могут быть сведения, засекреченные или имеющие гриф ограниченного доступа – например, информация о перемещениях высших должностных лиц, сотрудников силовых структур, военных и других категорий пассажиров, чьи маршруты должны оставаться конфиденциальными. Уже известны конкретные случаи: утечка раскрыла детали перелётов экс-министра иностранных дел Австрии Карин Кнайсль и Алины Кабаевой, которая является близкой к президенту РФ персоной (istories.media). Если журналисты смогли найти такие данные, то очевидно, что иностранные спецслужбы также не упустят возможность использовать эту информацию в своих целях.
Необходимо учитывать ещё один аспект. Формально деятельность «Сирены» курирует Росавиация, которая координирует работу авиаперевозчиков. Информация о пассажиропотоках, маршрутах и загрузке рейсов имеет стратегическое значение для транспортной безопасности и экономики страны. Компрометация или внешний контроль над этими данными фактически равносильны утрате суверенитета в сфере гражданской авиации.
Атака и утечка: сигнал тревоги прозвучал
Опасения, к сожалению, подтвердились на практике. В сентябре 2023 года украинская хакерская группировка KibOrg осуществила атаку, ярко продемонстрировав уязвимость системы «Сирена». Злоумышленники взломали базы данных Leonardo и похитили огромный объём информации: согласно их заявлению, им удалось получить доступ к 664,6 миллионам записей о перелётах пассажиров за период с 2007 по 2023 год. В руках хакеров оказались ФИО путешественников, номера документов, телефоны, маршруты, тарифы и стоимость билетов – фактически все данные, которые содержатся в системе бронирования. Украинская сторона уже сообщила, что эти сведения переданы разведывательным службам и будут использоваться для военных целей.
Эта утечка стала беспрецедентной по своим масштабам и обнажила серьёзные пробелы в защите «Сирены-Трэвел». Хотя официальные причины компрометации данных не оглашались, эксперты обращают внимание на один важный фактор: размещение серверов за пределами России могло стать ключевой причиной случившегося. Иностранный хостинг означал другую юрисдикцию, вероятно, недостаточный контроль со стороны российских специалистов и сниженную защиту от атак, проведённых в том же регионе. Неудивительно, что методы взлома, такие как брутфорс SSH и проникновение через троянские программы, описываются как относительно простые. Возникает закономерный вопрос: соблюдались ли на зарубежных площадках все стандарты защиты, сертифицированные ФСТЭК и ФСБ? Похоже, что нет, раз злоумышленникам удалось преодолеть защитные механизмы и получить полный доступ к системам авиабронирования (kommersant.ru).
Ответственность за утечку: фигуранты и владельцы
После масштабной утечки данных в Москве поднялась тревога. В апреле 2024 года Следственный комитет РФ совместно с ФСБ провёл обыски в офисе «Сирены-Трэвел», расположенном на Ленинградском проспекте. Двое топ-менеджеров компании – вице-президенты Александр Кальчук и Игорь Ройтман – стали фигурантами уголовного дела по части 5 статьи 274.1 УК РФ (нарушение правил эксплуатации критической информационной инфраструктуры). Их подозревают в том, что они не обеспечили должную защиту информации, что привело к утечке персональных данных пассажиров. Оба были задержаны, но суд отпустил их под запрет определённых действий, временно отстранив от занимаемых должностей (therecord.media). Максимальное наказание, которое им грозит, составляет до 10 лет лишения свободы за «допущение кибератаки» с серьёзными последствиями. Это первый прецедент в России, когда руководители несут уголовную ответственность за недостаточную кибербезопасность критически важной инфраструктуры.
Однако ответственность лежит не только на технических специалистах. Возникает вопрос о роли собственников компании: кто принял решение вывести серверы за рубеж? Кто фактически контролирует «Сирену»? Официально 100% акций АО «Сирена-Трэвел» ранее принадлежали структурам, связанным с Ростехом (через АО «Национальные информационные системы»), однако СМИ называют частных лиц реальными бенефициарами. Среди них упоминаются Ибрагим Амеевич Сулейманов (известный как зять олигарха Платона Лебедева) и его сын Расул – ключевые акционеры компании. Также в списке значится Артур Татевосович Суринов, имеющий скандальную репутацию (сын осуждённого криминального авторитета, известного рейдерскими захватами). Такой состав выгодоприобретателей вызывает серьёзные вопросы. Во-первых, закон требует, чтобы стратегически важные объекты (например, «Сирена-Трэвел», признанная частью КИИ) находились под контролем российских граждан и организаций. Во-вторых, биографии и местонахождение этих лиц вызывают тревогу: ряд топ-менеджеров «Сирены» давно покинули Россию, а Суринов ранее привлекался к уголовной ответственности. Не превратилась ли компания национального значения в инструмент для людей, чьи интересы противоречат государственным, для которых безопасность – лишь формальность?
Илья Энгельс, подписавший договор с латвийским хостинг-провайдером от имени Sirena-Travel GmbH (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf), также должен объяснить свои действия. Знал ли он о рисках и ограничениях, связанных с размещением данных за рубежом? Или коммерческая выгода перевесила ответственность? Возможно, стремление удешевить обслуживание или личные договорённости привели к выбору Латвии, несмотря на лицензионные требования ФСБ и ФСТЭК. Как бы то ни было, результат очевиден: данные утекли, страна понесла репутационный ущерб, пассажиры оказались под угрозой приватности, а виновные пока не установлены.
Государственный вызов: необходимы действия, а не молчание
История с «двуликим» подрядчиком Ростеха – это тревожный сигнал для всех контролирующих органов. Пока реакция государства ограничивается точечными мерами в рамках расследования утечки. Однако проблема гораздо глубже. ФСБ и ФСТЭК обязаны провести тщательную проверку соблюдения АО «Сирена-Трэвел» условий выданных лицензий. Если подтвердится факт размещения защищаемых информационных систем за пределами России без согласования, это станет основанием для административных и даже уголовных санкций. Лицензии компании должны быть приостановлены или аннулированы, если выяснится, что она грубо нарушила требования по защите данных и криптографии.
Недопустимо, чтобы критически важные информационные ресурсы находились за рубежом. IT-системы «Сирены» необходимо перенести в юрисдикцию России или, в крайнем случае, дружественных стран, где российские регуляторы смогут обеспечить их безопасность. Иначе каждый день использования латвийских серверов будет нести потенциал для новых утечек и саботажа.
На лицо недоработка Роскомнадзора, ответственного за хранение персональных данных граждан России. Почему оператор системы бронирования нарушил закон о локализации персональных данных, а надзорные органы не пресекли этого заранее? Вопрос остаётся открытым. Эксперты недоумевают, как подобная ситуация могла тянуться годами. Не исключено, что здесь замешаны покровительство или коррупция – вплоть до получения «откатов» за размещение заказов за рубежом. Требуется прозрачное расследование: кто именно позволил вывести серверы в зону НАТО и почему контролирующие структуры долгое время игнорировали проблему.
Подводя итог, случай с Sirena-Travel – это яркий урок. В эпоху санкций и гибридных войн цифровой суверенитет становится не менее важным, чем военный. Ситуация с «Сиреной» должна быть показательно разобрана. Виновные – от директоров до бенефициаров – должны понести наказание, если государство действительно намерено подтвердить серьёзность своих киберстратегий. Пришло время закрыть «окно» для утечки национальных данных. ФСБ, ФСТЭК, Роскомнадзор и другие компетентные органы должны действовать решительно: вернуть инфраструктуру домой, лишить лицензий недобросовестных подрядчиков и тем самым устранить угрозу суверенитету и национальной безопасности России.
Вывод прост: безопасность государства не терпит полумер. Либо данные стратегической системы хранятся под надёжной защитой на родной территории, либо чужая разведка даже не будет напрягаться, чтобы получить доступ к нашим секретам.
