Проект

Хакеры уничтожили сайт международного аэропорта Махачкалы. Кто виноват в пропущенной атаке?

Заказчики: Международный аэропорт Махачкала

Махачкала; Транспорт

Подрядчики: DEFA


Дата проекта: 2014/07 — 2014/09

В 2022 году в результате хакерской атаки был уничтожен сайт международного аэропорта Махачкалы. В конце 2022 года аэропорт обратился в суд с иском о возмещении ущерба к подрядчику, разработавшему сайт и взявшему на себя обязательства, в том числе, по обеспечению ИБ. В 2023 году дело прошло через первую и апелляционную инстанции, обе они отказали аэропорту в удовлетворении его требований. Разбирательства могут получить продолжение, следует из карточки дела в открытой картотеке арбитражных дел: после последнего рассмотрения в августе, оно было снова направлено в суд первой инстанции.

Как указано в опубликованном решении Арбитражного суда Москвы, договор на разработку сайта международный аэропорт Махачкалы заключил с московской компанией «Дефа» в 2014 году, а в 2017-м был подписан договор на услуги по размещению сайта на виртуальной хостинговой площадке исполнителя с определенными параметрами[1].

В приложении к договору 2017 года оговаривалось обязательства исполнителя по обеспечению, в том числе, ИБ веб-системы заказчика. Это включает защиту от несанкционированного доступа к конфиденциальной информации веб-системы; защиту от доступа к функциям редактирования контента; контроль целостности контента; защиту от DDOS-атак на веб-системы заказчика и др. В аэропорту полагают, что имело место ненадлежащее исполнение обязательств со стороны подрядчика по этому договору, что привело к потере сайта и невозможности его восстановления.

Хакеры атаковали серверный кластер, который арендовал подрядчик для хостинга сайта аэропорта (фото с сайта mintransdag.ru)

9 апреля 2022 года международный аэропорт Махачкалы получил от «Дефа» письмо, в котором было указано, что «в результате форс-мажорных обстоятельств, произошедших в дата-центре», имел место массовый сбой в работе серверов, арендованных «Дефа» для размещения сайтов, в результате чего доступ к сайту аэропорта временно ограничен.

Позже, 22 апреля, «Дефа» сообщила заказчику, что дело было в хакерской атаке на серверный кластер, арендованный их компанией. Это подтверждалось письмом от собственника и арендодателя серверного кластера – компании «МСТН». В результате атаки была уничтожена вся серверная инфраструктура, включая: клиентские сайты и сервисы «Дефа», в том числе её собственный сайт, а также вся инфраструктура для разработки и все архивные проекты «Дефа» за 20 лет. ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

В «МСТН» заявили, что злоумышленники получили доступ к системе виртуализации серверов и с помощью скрипта удалили все виртуальные машины и данные. Они получили доступ и к серверам с резервными копиями, которые также были удалены.

В связи с этим «Дефа» оказалась больше не в состоянии оказывать услуги по договору с аэропортом и предложила расторгнуть его. Возмещать убытки аэропорту компания отказалась.

Хакерскую атаку на арендованный серверный кластер в «Дефа» называют обстоятельством непреодолимой силы – форс-мажором. В Арбитражном суде Москвы указали на то, что в соответствии с правилами статьи 431 ГК РФ, при толковании условий договора суд принимает во внимание буквальное значение содержащихся в нем слов и выражений. Суд так и сделал и увидел, что в спорном договоре не предусмотрена обязанность исполнителя по защите от хакерских атак, вредоносных программ, направленных на полное уничтожение инфраструктуры сайта.

«
…по договору ответчик не взял обязательство по защите от действий, направленных на полное уничтожение инфраструктуры сайта (веб-системы), - говорится в решении Арбитражного суда Москвы.
»

Также у суда возникли вопросы к заявленным аэропортом убыткам в 1,47 млн рублей: убыток был определён, исходя из стоимости услуг по созданию сайта в 2014 году. Суд счёл, что это ненадлежащий способ расчета, поскольку стоимость расходов тогда по созданию сайта не свидетельствует о стоимости расходов по восстановлению сайта в 2023 году. Кроме того, не представлено доказательств, что объём работ по созданию сайта в 2014 года и объем работ по его восстановлению в 2023 году будет совпадать, отметил суд.

При этом аэропорт представил в материалы дела заключенный им в октябре 2022 года договор на создание интернет-сайта, стоимость работ в рамках которого составляет меньшую сумму – 900 тыс. рублей, чем заявлено к взысканию с «Дефа». Новый сайт располагается по адресу https://mcx.aero.

Ответчик же, в свою очередь, представил в материалы судебного флешку с копией сайта аэропорта Махачкалы (веб-системы) и все данные по состоянию на лето 2018 года. Представитель аэропорта заявил, что эти данные являются устаревшими. Но, опять же говорит суд, не представлены доказательства того, что указанные файлы не могут быть использованы для восстановления сайта.

«
Суд считает, что в данном случае истцом не представлено относимых, допустимых и достоверных доказательств наличия оснований для привлечения ответчика к гражданско-правовой ответственности в форме возмещения убытков, а именно: не представлено доказательств наличия противоправного поведения ответчика, выразившегося в ненадлежащем исполнении условий договора, не доказан размер причиненных убытков и не представлено доказательств наличия прямой причинно-следственной связи между ненадлежащим исполнением ответчиком взятых на себя договорных обязательств и причинёнными истцу убытками, что является основанием для отказа в удовлетворении исковых требований, - сказано в определении Арбитражного суда Москвы.
»

Аэропорт подал апелляционную жалобу на решение суда первой инстанции, но и она не была удовлетворена[2].

Примечания