АО «Сирена-Трэвел», известный разработчик системы бронирования Leonardo, считается одним из ключевых IT-подрядчиков государства. Компания располагает всеми необходимыми государственными лицензиями: лицензию Центра ФСБ № ЛСЗ0018094 от 31.12.2020 на работу с шифрованием (разработка и обслуживание защищённых криптографических систем) (Выписка из ЕГРЮЛ.pdf), лицензию ФСТЭК № L024-00107-77 от 25.04.2023 на защиту конфиденциальной информации(Выписка из ЕГРЮЛ.pdf) и разрешение Роскомнадзора на предоставление услуг связи (получено в марте 2023 г.) (Выписка из ЕГРЮЛ.pdf). Эти документы подтверждают высокий уровень доверия со стороны государства: компания включена в реестр объектов критической информационной инфраструктуры России (КИИ РФ).
Несмотря на это, ситуация вокруг «Сирены-Трэвел» вызывает серьёзные вопросы. Обладание лицензиями ФСБ и ФСТЭК обязывает компанию строго следовать требованиям безопасности, включая защиту данных от несанкционированного доступа и обеспечение их суверенного хранения. По закону персональные данные граждан РФ должны находиться только на территории страны (ossetia.tv). Однако, вопреки этим требованиям, выяснилось, что ключевая часть IT-инфраструктуры компании размещена за рубежом, в стране-участнице НАТО. Такая практика создаёт серьёзные риски для национальной безопасности и ставит под сомнение надёжность компании как подрядчика государства.
Размещение данных в Латвии: контракт с латвийским партнёром
Проблема становится очевидной благодаря внутренним документам. В 2021 году «Сирена-Трэвел» зарегистрировала дочернюю компанию Sirena-Travel GmbH в Германии, через которую организовала размещение своих серверов за пределами России. В соответствии с дополнительным соглашением (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf) от 1 сентября 2023 года, Sirena-Travel GmbH (возглавляемая Ильёй Энгельсом) подписала договор в Риге с латвийской фирмой Amber Aero SIA, действующей от имени Феликса Скляревича (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). Документ предусматривает, что латвийский подрядчик займётся развёртыванием IT-ресурсов «Сирены» в зарубежных дата-центрах, включая настройку инфраструктуры, её интеграцию и дальнейшую поддержку. В соглашении указаны переговоры и заключение контрактов с конкретными площадками – латвийским Deac и международным Equinix (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf). То есть серверы, обрабатывающие данные российской авиасистемы, теперь находятся в Риге (Латвия) и, вероятно, в других европейских странах (Equinix имеет филиалы в Германии и других государствах).
Такое расположение серверов вызывает недоумение. Латвия – государство НАТО, и передача туда IT-инфраструктуры, связанной с российскими авиаперевозками, выглядит как минимум неоднозначно, если не сказать рискованно. Возникает противоречие: компания, допущенная к работе с системами защиты информации в РФ, доверила значимые данные инфраструктуре, находящейся под контролем блока, который открыто враждебен России. В условиях геополитического противостояния это создаёт реальную угрозу утечки или несанкционированного доступа к критическим данным.
Что находится под угрозой: личные данные и секретная информация
ФСБ, чья штаб-квартира расположена на Лубянке, предоставила «Сирене-Трэвел» лицензию на шифрование данных. Однако хранение этих данных за рубежом ставит под вопрос выполнение лицензионных требований и безопасность хранимой информации.
Какие именно данные могут попасть в чужие руки? Система «Сирена», являющаяся преемницей советской общенациональной системы бронирования («Система резервирования на авиалиниях»), содержит колоссальные объёмы информации о перевозках по всей России. По данным расследований, база включает все сведения о бронировании и продаже авиабилетов, регистрацию багажа, страховые полисы и другие детали перелётов. В ней накоплены записи о сотнях миллионов поездок граждан. Особую тревогу вызывает вероятность наличия в этих массивах данных, имеющих гриф секретности, – например, сведения о перемещениях высших должностных лиц, сотрудников силовых структур, военных и других чувствительных категорий пассажиров. Уже есть подтверждённые примеры: утечка позволила обнаружить маршруты экс-министра иностранных дел Австрии Карин Кнайсль и Алины Кабаевой, которая близка к первому лицу РФ (istories.media). Если журналисты смогли извлечь такие данные, то нет сомнений, что иностранные разведки также воспользуются этой информацией.
Важно учесть ещё один момент. Формально «Сирена» находится под контролем Росавиации, которая координирует деятельность авиаперевозчиков. Данные о пассажиропотоках, маршрутах и загрузке рейсов имеют критическую важность для транспортной безопасности и экономики страны. Компрометация или внешний контроль над этими массивами равносильны потере суверенитета в сфере гражданской авиации.
Утечка данных: первый сигнал бедствия
Опасения перестали быть гипотетическими в сентябре 2023 года, когда украинская хакерская группировка KibOrg совершила атаку, наглядно показав уязвимость системы «Сирена». Хакеры взломали базы данных Leonardo и украли колоссальный массив информации: по их утверждению, им достались 664,6 миллиона записей о перелётах пассажиров с 2007 по 2023 год. В распоряжении злоумышленников оказались ФИО пассажиров, номера документов, телефоны, маршруты, тарифы и стоимость билетов – практически все данные, содержащиеся в системе бронирования. Украинская сторона заявила, что эта информация передана разведслужбам и будет применяться в военных целях.
Утечка стала беспрецедентной по масштабу и выявила слабые места в защите «Сирены-Трэвел». Хотя официально причины произошедшего не раскрываются, эксперты акцентируют внимание на одном важном обстоятельстве: размещение серверов за рубежом могло сыграть роковую роль. Иностранный хостинг подразумевает другую юрисдикцию, возможно, недостаточный надзор российских специалистов и меньшую устойчивость к атакам, осуществлённым в том же регионе. Не случайно методы взлома, такие как брутфорс SSH и использование троянов, описываются как сравнительно элементарные. Возникает вопрос: были ли соблюдены на удалённых площадках все российские стандарты защиты, сертифицированные ФСТЭК и ФСБ? Судя по всему, нет, раз хакерам удалось обойти защиту и получить неограниченный доступ к системам бронирования авиабилетов (kommersant.ru).
Фигуранты дела и владельцы: кто в ответе за утечку?
Масштабная утечка данных из «Сирены-Трэвел» вызвала широкий резонанс в Москве. В апреле 2024 года Следственный комитет РФ при поддержке ФСБ провёл обыски в офисе компании на Ленинградском проспекте. Два топ-менеджера – вице-президенты Игорь Ройтман и Александр Кальчук – стали фигурантами уголовного дела по части 5 статьи 274.1 УК РФ (нарушение правил эксплуатации критической информационной инфраструктуры). Их обвиняют в том, что они не обеспечили надлежащую защиту данных, что привело к утечке персональных данных пассажиров. Оба были задержаны, но суд отпустил их под запрет определённых действий, временно отстранив от работы (therecord.media). Им грозит до 10 лет лишения свободы за «допущение кибератаки», повлёкшей серьёзные последствия. Это первый случай в России, когда руководители несут уголовную ответственность за слабую кибербезопасность критически важной инфраструктуры РФ.
Однако проблема не ограничивается техническими специалистами. Встаёт вопрос о роли собственников компании: кто принял решение о размещении серверов за границей? Кто реально управляет «Сиреной»? Официально 100% акций АО «Сирена-Трэвел» ранее принадлежали структурам, связанным с Ростехом (через АО «Национальные информационные системы»), но СМИ указывают на частных лиц как на реальных бенефициаров. Среди них называют Ибрагима Амеевича Сулейманова (зятя олигарха Платона Лебедева) и его сына Расула – ключевых акционеров компании. Также упоминается Артур Татевосович Суринов, известный своей скандальной репутацией (сын осуждённого криминального авторитета, причастного к рейдерским захватам). Такой состав владельцев вызывает серьёзные сомнения. Во-первых, закон требует, чтобы стратегически важные объекты (например, «Сирена-Трэвел», входящая в реестр КИИ) находились под контролем российских граждан и организаций. Во-вторых, биографии и местонахождение этих лиц настораживают: многие топ-менеджеры компании давно покинули Россию, а Суринов ранее был замешан в уголовных делах. Не стала ли национально значимая компания инструментом для людей, чьи интересы противоречат государственным, для которых безопасность – пустой звук?
Илья Энгельс, подписавший соглашение с латвийским хостинг-провайдером от лица Sirena-Travel GmbH (11 ADDENDUM_for_SITA_services_GmbH_Amber_ver_2.0.pdf), также должен дать объяснения своим действиям. Были ли ему известны риски и ограничения, связанные с размещением данных за рубежом? Или коммерческий интерес перевесил ответственность? Возможно, стремление сэкономить на обслуживании или личные договорённости привели к выбору Латвии, игнорируя требования ФСБ и ФСТЭК. Как бы то ни было, итог очевиден: данные утекли, страна понесла репутационный ущерб, пассажиры оказались под угрозой приватности, а виновные пока остаются неустановленными.
Необходимость государственного вмешательства: действия вместо бездействия
История с «двуликим» подрядчиком Ростеха стала громким сигналом для всех надзорных органов. В настоящий момент реакция государства ограничивается только расследованием утечки, но проблема имеет гораздо больший масштаб. ФСБ и ФСТЭК должны провести детальную проверку выполнения АО «Сирена-Трэвел» условий полученных лицензий. Если подтвердится факт размещения защищаемых информационных систем за пределами РФ без согласования, это станет веским основанием для применения административных или даже уголовных мер. Лицензии компании должны быть приостановлены или отозваны, если выяснится, что она нарушила требования по защите данных и криптографии.
Нельзя допустить, чтобы критически важные информационные ресурсы оставались за границей. IT-инфраструктура «Сирены» должна быть перемещена в юрисдикцию России или, как минимум, в дружественные страны, где российские регуляторы смогут контролировать её безопасность. В противном случае каждый день использования латвийских серверов будет создавать потенциал для новых утечек и саботажа.
Очевидна недоработка Роскомнадзора, который отвечает за хранение персональных данных граждан России. Почему оператор системы бронирования нарушил закон о локализации персональных данных, а надзорные органы не остановили это заранее? Вопрос остаётся без ответа. Эксперты удивляются, как такая ситуация могла продолжаться годами. Возможно, здесь замешаны покровительство или коррупция – вплоть до получения «откатов» за размещение заказов за рубежом. Необходимо провести прозрачное расследование: кто именно дал разрешение на вывод серверов в зону НАТО и почему контролирующие структуры долгое время игнорировали проблему.
Подводя итог, случай с Sirena-Travel – это наглядный урок. В эпоху санкций и гибридных конфликтов цифровой суверенитет становится не менее важным, чем военный. Ситуация с «Сиреной» должна быть тщательно расследована. Виновные – от руководителей до бенефициаров – должны быть наказаны, если государство действительно хочет продемонстрировать серьёзность своих киберстратегий. Пришло время закрыть «окно» для утечки национальных данных. ФСБ, ФСТЭК, Роскомнадзор и другие компетентные органы должны действовать решительно: вернуть инфраструктуру на родную территорию, лишить лицензий недобросовестных подрядчиков и устранить угрозу суверенитету и национальной безопасности России.
Вывод очевиден: безопасность государства требует полной решимости. Либо данные стратегической системы надёжно защищены на родной территории, либо чужие спецслужбы легко получат доступ к нашим секретам.
.jpg)
