Коллапс в аэропорту как отражение ситуации с ИБ во многих компаниях

За последние две недели совпало три схожих события, которые и сподвигли к написанию этой заметки. Позавчера у нас в офисе сработала сигнализация и мы все дружными рядами эвакуировались в заранее согласованное место на отдалении от эвакуируемого здания. Обратите внимание на три фото внизу. На одной из них сотрудники Cisco под зонтами стоят и ждут, когда будет разрешение вернуться в офис. На второй, под козырьком эвакуируемого здания стоят сотрудники одной китайской ИТ-компании, сидящей у нас в офисе. На третье, в оранжевых жилетах, под деревьями в непосредственной близости от эвакуируемого здания сидят рабочие бизнес-центра. Спустя время выяснилось, что это была ложная тревога, но нормативы по покиданию здания наш офис выполнил (сказываются регулярные тренировки). «Китайцев» и рабочих, видимо, история с пожаром в РИО ничему не научила, а может быть они, как жители азиатской части нашего материка, сторонники теории реинкарнации и боязнь погибнуть под развалинами здания у них отсутствует.

Событие №2 случилось также вчера. Компания Аэрофлот объявила об отмене и задержках нескольких своих рейсов. Объявила заранее, разместив уведомление на сайте, а также обзвоним пассажиров по телефону или направив им SMS. В последнем случае сообщения выглядят примерно вот таким образом (это мне такая SMS приходила 3 года назад):

Приехавшие все-таки в аэропорт (поэтому так важно при регистрации указывать свои контактные данные) получают соответствующую помощь — еда, гостиница и т.п.

Ну и, наконец, третий кейс, который случился 1-го июля с авиакомпанией S7 в Домодедово. За день, 30 июня в Москве случился серьезный ливень, и многие рейсы, которые должны были прилететь в Москву туда не прилетели, что привело к коллапсу на следующий день — самолетов просто не хватило, чтобы улететь всем по оплаченным маршрутам. По словам друзей и коллег, столкнувшихся с этой ситуацией, авиакомпания не предприняла никаких действий для того, чтобы разрулить проблемы. Не было ни уведомлений пассажиров, ни нормального питания, пассажиров гоняли по разным людям, якобы принимающим решения, и т.п. В итоге у многих был сорван отпуск, командировки и встречи, понесены дополнительные затраты на замену авиакомпаний или переключение на ж/д транспорт, а также невосполнимые потери по потере времени, которое можно было бы провести в уже оплаченном отеле.

К чему я рассказал эти три истории? К тому, что чтобы вы ни делали, «shit happens», как говорилось в фильме «Форрест Гамп». Сегодня нельзя быть уверенным в том, что атака на вас не пройдет незамеченной, а инцидент не случится и не станет приводить к ущербу. Все бывает, какие бы меры защиты вы не приняли. Поэтому надо быть готовым к реагированию и регулярно проверять свою способность на практике выполнять разработанные в уютных кабинетах инструкции и процедуры. Кто-то это делает, а кто-то нет. Например, «Аэрофлот» готовится заранее. Да, это неприятно для пассажира, но он, по крайней мере, не торчит часами у стойки авиакомпании в надежде узнать хоть какую-то новость о своем будущем.

А вот S7 могла бы и предусмотреть такой поворот дел. О задержках рейсов известно было за день — рейсы в Москву, которыми и должны были лететь пассажиры 1-го июля ведь в Домодедово не прилетели. То есть можно было предвидеть будущий коллапс — нагнать народу для работы с пассажирами, подготовить питание, решить вопрос с гостиницами. Ведь основная проблема с ситуацией 1-го числа была не в самой задержке, а в том, что авиакомпания самоустранилась от решения проблем. По словам коллег, служащие S7 футболили пассажиров между разными якобы принимающими решения людьми, не зная, что делать и не желая брать на себя ответственность (или не имея такой возможности). «Главного ответственного» так и не нашли.

Вот в ИБ часто бывает точно также. Вроде и компания серьезная, и решения внедрены серьезные, и даже процессы сертифицированы на ISO 27001 или ИС прошла аттестацию, а инцидент наступил и никто не знает, что делать. Если процедуры и разработаны, то о них никто не знает или они не работают. И наступает такой же коллапс. Или ущерб. А это неправильно. Я уже писал, что сегодня нельзя полностью предотвратить все атаки и надо быть готовым к тому, что атака пройдет через защитные преграды и надо выстраивать процессы обнаружения и, самое главное, реагирования на уже произошедшие инциденты. Без этого современная система ИБ уже невозможна.

Дабы заметка не выглядела как реклама «Аэрофлота» 🙂 могу рассказать кейс, когда эта авиакомпания отработала не самым лучшим образом. В прошлом году вылетал из Нижнего Новгорода с «Кода ИБ». Рейс был предпоследний и его по техническим причинам отменили; хотя нас уже посадили в самолет и даже вырулили на ВПП. Выйдя из самолете многие кинулись менять билеты на последний рейс, но цена на эконом оказалось совсем не экономной — 60 тысяч рублей (из Нижнего в Москву, где лета минут 50). Работника «Аэрофлота» на месте уже тоже не оказалось, так как у него закончился рабочий день и он свалил домой. По громкой связи всем объявили, что рейс переносится на 10 утра. В адрес авиакомпании было сказано много добрых слов от пассажиров.

Моя попытка уехать поездом тоже не увенчалась успехом — ночных «Сапсанов» из Нижнего нет, а ехать обычным поездом 7-8 часов никакого желания не было — приезжаешь почти в то же время, что и перенесенный рейс. Я был очень раздасадован, так как в 8 утра у меня уже была запланирована в Москве встреча и я на нее никак не попадал — все варианты разрулить проблему я перепробовал. Но итог оказался вполне успешным — я из Нижнего в Москву… уехал на такси. В вечернее время это заняло всего 4,5 часа, а цену я разделили с еще двумя пассажирами, которым тоже нужно было в столицу. Вот такое нестандартное реагирование, о котором я и не думал изначально, так как в голову прийти заменить самолет обычным такси мне мысль не приходила 🙂 То есть реагирование может быть иногда и спонтанным, но все-таки лучше, если все варианты прорабатываются заранее.