Масштабный скандал разгорелся вокруг известного дистрибьютора авиауслуг АО «Сирена-Трэвел». Данные миллионов россиян оказались в Европе, что грозит серьёзными последствиями для компании и России в целом. 

Одна из популярных компаний в авиационной  IT-сфере «Сирена-Трэвел» попала под пристальное внимание прессы и властей. Причиной тому стала беспрецедентная в истории России утечка персональных данных. В 2023 году хакеры получили доступ к базе системы бронирования, содержащей информацию о 664,6 млн авиаперелётов за более чем десятилетие. В распоряжении злоумышленников оказались фамилии, телефоны, маршруты и детали билетов миллионов пассажиров. Однако, по информации издания «Медуза»*, это лишь часть глобальной проблемы.

Последствия утечки конфиденциальной информации для России

Власти квалифицировали случившееся как посягательство на критическую инфраструктуру, возбудив уголовное дело по ст. 274.1 УК РФ. Однако ситуация усложняется другим значимым фактором. Как заявляет «Медуза»* со ссылкой на свои источники, конфиденциальные сведения о перелётах россиян попали в руки к украинским хакерам. Это создаёт серьёзную угрозу не только приватности, но и национальной безопасности государства. Через такие массивы злоумышленники могут анализировать перемещения российских военных, сотрудников силовых структур, бизнесменов и других значимых лиц, находившихся в базе.

Европейский след: как данные россиян оказались за границей

Выяснилось, что сотни миллионов записей о пассажирах хранились вовсе не в РФ, как того требует законодательство. Сведения находились на серверах стран Евросоюза, а именно Латвии и Германии. Согласно контрактам, дочерняя компания Sirena-Travel GmbH разместила ИТ-инфраструктуру в европейских дата-центрах через партнёра Amber Aero SIA. С подтверждающим эти сведения документом ознакомился корреспондент «Медузы»*. Соответствующую бумагу журналисту предоставил сотрудник компании Amber Aero Максим Пахолюк.

Скриншот договора: упоминание DEAC и Equinix в Латвии

Такое размещение напрямую нарушает российское законодательство, требующее локализации баз на территории страны. Статья 18 закона №152-ФЗ обязывает все компании, обслуживающие россиян, хранить их персональные сведения внутри государства. Максимальное наказание за несоблюдение норм подразумевает 18 млн рублей и блокировку ресурса. Подобным жёстким мерам со стороны Роскомнадзора уже подверглась соцсеть LinkedIn и иные платформы. Однако «Сирена-Трэвел» пошла на трансграничную миграцию данных, несмотря на запреты. Как пишет «Медуза»* документы подтверждают, что новая система бронирования Leonardo, разработанная компанией, была развёрнута на серверах DEAC (Рига) и Equinix (ФРГ). Таким образом, секретные данные российских пассажиров хранились в Европе и стали лёгкой добычей хакеров.

Последствия утечки конфиденциальных данных клиентов для «Сирена-Трэвел»

Формальный «вынос» через дочерние юрлица не освобождает от ответственности — закон работает для всех операторов, обслуживающих россиян. В связи с этим за утечку данных топ-менеджеры «Сирена-Трэвел» теоретически могут получить максимальное наказание в виде 10 лет лишения свободы. Более того, самой компании может грозить административные штрафы. Однако в настоящее время Роскомнадзор ограничился лишь фактическим подтверждением факта несанкционированного доступа к персональной информации пассажиров.

Кто стоит за «Сирена-Трэвел»

Фото: открытые источники

Согласно заявлениям СМИ, «Сирена-Трэвел» не понесла должного наказания за хранение данных в Европе. За компанией стоят влиятельные люди. Так, отмечается, что почти 49% акций АО «Сирена-Трэвел» контролирует семья Сулеймановых: 25% у Расула Сулейманова и 24% у его отца Ибрагима. Вероятно, с приходом этих новых инвесторов в конце 2010 — начале 2020 годов «Сирена-Трэвел» вышла из-под госконтроля и сменила стратегию. Ранее компания управлялась структурами «Ростеха».

Инфографика: открытые источники

Деятельность «Сирена-Трэвел» создаёт риски для национальной безопасности

Не исключено, что такая поддержка позволяет «Сирена-Трэвел» игнорировать требования регуляторов без серьёзных последствий. Однако подобная безнаказанность создаёт опасный прецедент. Так, в случае повторных утечек риски для национальной безопасности и персональных данных миллионов россиян только возрастают. Слабый контроль над стратегическими ИТ-компаниями может привести к новым угрозам и масштабным инцидентам в будущем.

* Проект «Медуза» (SIA Medusa Project, регистрационный номер 40103797863, дата регистрации 10.06.2014) внесена Минюстом РФ в список иноагентов от 23.04.2021. Это иностранная и международная организация, деятельность которой признана нежелательной на территории Российской Федерации

Фото: pixabay.com

Оперативные новости в вашем мобильном: телеграм-канал «РЕГИОН ОНЛАЙН»