Приложение и сайт службы доставки СДЭК перестали работать с утра воскресенья, 26 мая: клиентам недоступны прием и выдача отправлений в пунктах выдачи заказов. Директор по коммуникациям СДЭК Миша Берггрен говорил РБК, что в компании предусмотрели схему ручной обработки выдачи готовых к этому отправлений. По его словам, компания сможет привести оценку последствий сбоя «после закрытия инцидента», сейчас идет внутреннее расследование. Во вторник в компании заявляли, что работа будет восстановлена не позднее среды, 29 мая.
Почему произошел сбой
Ответственность за сбой в работе СДЭК взяла на себя хакерская группа Head Mare. Об этом она написала в соцсети X (бывший Twitter, заблокирована на территории России). В сообщении, к которому приложены скриншоты, предположительно демонстрирующие внутренние системы СДЭК, хакеры написали, что якобы зашифровали данные компании, а резервные копии «админы на маленькой зп делали раз в полгода» и теперь бэкапы (резервные копии данных) «пропали». Также злоумышленники «передали привет» российской компании по управлению цифровыми рисками Bi.Zone, которая консультирует СДЭК по вопросам кибербезопасности, заявив, что ее «софт бесполезен», а безопасники «праздно шатаются» на конференции PHdays (ежегодная конференция по кибербезопасности Positive Hack Days, которая проходила в Москве с 23 по 26 мая).
Представители СДЭК и Bi.Zone не стали комментировать эти заявления. В самом СДЭК объяснили приостановку деятельности сбоем в работе вычислительных мощностей.
Основываясь на данных из открытых источников, причиной сбоя в работе IT-сервисов СДЭК действительно может являться хакерская атака, реализованная через вирус-шифровальщик, отметил в беседе с РБК основатель ГК Swordfish Security Юрий Сергеев. По словам директора Practical Security Lab Евгения Соболева, в 90% случаев подобные атаки начинаются с email-рассылки. «Сотрудников провоцируют открыть вредоносный файл, и если хоть один из них это делает, злоумышленники получают доступ к внутренней сети. Готовиться к шифрованию они могут и полгода, и год. Предварительно ищут все бэкапы, чтобы испортить их, и выкачивают данные для усиления шантажа утечкой. Обычно момент шифрования происходит ночью, идеально — ночью в выходные. После приходит сообщение с просьбой о выкупе и угрозами слить данные пользователей», — рассказал Соболев. По его словам, дальше сотрудники начинают восстанавливать бэкапы и только в этот момент могут увидеть, что доступа к ним нет, потом обычно происходит процесс переговоров и требование выкупа через криптовалюту. «Если актуальных бэкапов нет, придется восстанавливать данные по бумажным накладным в отделениях (если они есть). Проблема в том, что злоумышленники все еще продолжают сидеть во внутренней сети и могут мешать восстановительным работам. Да и после восстановления могут вернуться через спрятанный backdoor (дыру в системе безопасности. — РБК) и зашифровать все заново», — предположил эксперт.
Глава комитета Госдумы по связи и IT Александр Хинштейн написал в своем телеграм-канале, что СДЭК обязана раскрыть масштабы утечки, рассказать о том, какие меры принимались для защиты системы, и представить в Роскомнадзор первые результаты внутреннего расследования. Согласно законодательству, оператор персональных данных, допустивший утечку подобных данных, обязан в течение 24 часов уведомить об этом Роскомнадзор. В пресс-службе ведомства заявили, что по состоянию на 17:00 28 мая таких уведомлений от СДЭК не поступило.
Кто пострадал от сбоя
По состоянию на первый квартал этого года у СДЭК было более 9,4 млн активных клиентов и 8,6 тыс. пунктов выдачи заказов, через сервис совершалось более 400 тыс. отправлений в сутки, приводит данные гендиректор «INFOLine-Аналитики» Михаил Бурмистров.
Пользователи VK после инцидента оставили около 3 тыс. комментариев под последним (на момент публикации) постом в группе СДЭК, а вместе с двумя предыдущими постами — около 15 тыс. В комментариях пользователи жалуются на невозможность забрать заказы из пунктов выдачи. Например, есть жалобы на то, что в посылке находился паспорт, свидетельство о рождении и другие важные документы, из-за отсутствия которых может сорваться поездка или сделка. Один из клиентов написал, что фабрика, с которой он сотрудничает, не может получить отправленную упаковку для товаров, из-за чего их нельзя продать. Еще одна клиентка пожаловалась, что ей пришлось отменить свадьбу из-за того, что она не может получить свадебное платье. Были также жалобы на невозможность получить заказанные лекарства, платье для выпускного, растение, которое из-за простоя может погибнуть. Представители СДЭК в ответах обещали решить проблему.
Сколько могла потерять компания
По оценке Михаила Бурмистрова, ущерб СДЭК от трехдневного простоя сервисов может составить как минимум 300–400 млн руб. без учета упущенной выгоды. Расчет основан на доходах компании. «Это просто определенный набор фактических издержек, которые компания понесла в период, когда она не могла принимать и выдавать отправления. Если мы посмотрим более широко, с учетом репутационных издержек, проблем у клиентов и т.д., то ущерб можно оценить ближе к 1 млрд руб. совокупно», — указал Бурмистров.
Партнер и гендиректор компании «Российская оценка» Александр Иванов отметил, что с учетом упущенной выгоды инцидент может «существенно отразиться на результатах деятельности компании за этот год и нивелировать тот рост, который был в 2023-м — начале 2024 года». «Если исходить из того, что приостановка приема заказов и затем восстановление операционной деятельности займет до 15 дней, то ущерб СДЭК можно оценить в сумму от 500 млн до 1 млрд руб. Представляется, что реальный ущерб будет ближе к верхней границе», — говорит Иванов.
Источник РБК на рынке информационной безопасности отметил, что с учетом того, что выручка компании за 2023 год составила 70 млрд руб., среднедневной показатель равен 191,8 млн руб., то есть по итогам трех дней приблизительный ущерб СДЭК мог превысить 575 млн руб. «Кроме того, необходимо учитывать дополнительные расходы на восстановление системы, улучшение мер безопасности, потенциальные компенсации клиентам и возможные убытки, связанные с ухудшением репутации и потерей клиентов. Все эти факторы могут значительно увеличить общую сумму ущерба», — подчеркнул собеседник.
Какими будут последствия
Михаил Бурмистров считает, что существенных изменений в дальнейшей стратегии СДЭК, кроме масштабной перестройки стратегии информационной безопасности, ждать не стоит. Тем не менее компания, по его словам, получила очень серьезные проблемы: «Пострадало самое главное — IT-ядро компании, данные. Судя по тому, что быстро восстановить работу не удалось, понятно, что дублирующий контур с резервным копированием не был настроен таким образом, чтобы предотвратить работу с атакой шифровальщика».
Юрист Forward Legal Олесь Груздев утверждает, что ситуация создает для СДЭК серьезные правовые риски. Прежде всего остановка деятельности и выдачи заказов является нарушением договора на оказание почтовых услуг, что уже служит потенциальным основанием для предъявления к СДЭК исков со стороны клиентов, указал Груздев. Кроме того, из-за задержек в передаче посылок некоторые клиенты могли понести реальные убытки, и они смогут требовать их компенсации. «Нельзя исключать, что на определенном этапе к СДЭК может быть предъявлен групповой иск от лиц, которым приостановка деятельности компании могла причинить какой-либо имущественный вред. Мотивы истцов могут различаться — в их составе могут быть как клиенты, которые на самом деле понесли имущественные потери, так и недоброжелатели СДЭК. Сложившаяся ситуация является удобной возможностью заявить к СДЭК значительные имущественные требования», — рассуждает Груздев.
По его оценке, если СДЭК сможет доказать, что причиной произошедшего стали лишь неправомерные действия злоумышленников, а сама компания действовала разумно и добросовестно, вероятность взыскания таких убытков невысока: «Поскольку убытки — это гражданско-правовая ответственность, а произошедшее может быть квалифицировано как «непреодолимая сила» (форс-мажор) со ссылкой на п. 3 ст. 401 Гражданского кодекса, суд может отказать истцам во взыскании убытков».
Но партнер юридической фирмы «Двитекс» Игорь Меркулов сомневается, что СДЭК сможет сослаться на форс-мажорные обстоятельства, так как технические неполадки находятся в зоне ответственности компании и их возникновение является «предпринимательским риском профессионального участника рынка». «У клиентов будет возможность потребовать как уплаты штрафов за нарушение сроков доставки, предусмотренных регламентом оказания услуг или заключенным договором, так и возмещения причиненных убытков в случае, если сбой не удастся оперативно устранить. При этом сложность заключается в том, что в большинстве случаев получатели не являются стороной правоотношений с курьерской компанией и вынуждены предъявлять требования отправителю, что существенно усложняет процесс», — рассуждает Меркулов. Он отметил, что это не первый крупный сбой в работе компании и в сентябре 2023 года при аналогичном сбое получатели массово направляли жалобы в Роспотребнадзор, но до крупных коллективных исков дело в итоге не дошло.
При этом для Bi.Zone каких-то материальных рисков от инцидента эксперты не прогнозируют. Руководитель центра мониторинга и реагирования разработчика программного обеспечения UserGate Дмитрий Кузеванов указал, что подрядчики по кибербезопасности, как правило, выступают в роли консультанта и в подобных ситуациях несут в большей степени репутационные риски. «В силу специфики информационной безопасности определить их вину крайне сложно, так как «абсолютно защищенная» система, прошедшая все проверки сегодня, завтра, после обнаружения очередной уязвимости, может в один момент стать небезопасной», — объяснил он. По его словам, страхование киберрисков сегодня «нераспространенное явление» в России, но по мере роста осведомленности и повышения общего уровня культуры кибербезопасности подобный вид страхования может стать нормой.