Prípad Aeroflotu z júla 2025 predstavuje učebnicový príklad toho, prečo nestačí mať kvalitné bezpečnostné opatrenia iba implementované – kľúčová je aj rýchlosť ich zavedenia. Keď ukrajinskí a bieloruskí hackeri z organizácií Silent Crow a Cyber Partisans prenikli do systémov ruskej leteckej spoločnosti, zneužili presne túto zraniteľnosť, ktorá vznikla pomalým prechodom z významných systémov na ruský softvér. Vysokopostavený ruský zákonodarca Anton Gorelkin označil incident za "budíček" a vyzval na posilnenie kybernetickej obrany krajiny. "Nesmieme zabúdať, že vojna proti našej krajine sa vedie na všetkých frontoch, vrátane digitálneho," uviedol vo vyhlásení.
Nerád to píšem, ale treba z jeho vyjadrenia zobrať ponaučenie. EÚ by sa totiž mala zobudiť a začať poriadne pracovať nielen na svojej ekonomike, ale aj svojej kybernetickej bezpečnosti. Nariadenie GDPR s tým úzko súvisí.
Súvislosti nariadenia GDPR s incidentom Aeroflotu
Rusko má federálny zákon č. 152-FZ o osobných údajoch z 27. júla 2006 a predstavuje základný kameň ruskej legislatívy v oblasti ochrany súkromia (na prekvapenie má aj mnoho spoločného s nariadením GDPR).
Kyberútok na Aeroflot má priame súvislosti s touto ruskou legislatívou v niekoľkých oblastiach:
Databázy histórie letov
Osobné údaje všetkých Rusov, ktorí kedykoľvek leteli s Aeroflotom
Záznamy z odpočúvacích serverov obsahujúce telefonické hovory
Údaje zo systémov monitorovania zamestnancov
Hackeri z organizácií Silent Crow a Cyber Partisans tvrdili, že ukradli 20 terabajtov údajov vrátane osobných údajov pasažierov, zamestnancov a internej komunikácie.
Ak sa ukáže, že Aeroflot nedodržiaval požiadavky na ukladanie údajov ruských občanov v Rusku, môže čeliť pokutám až 6 miliónov rubľov (približne 69 000 eur) pri prvom porušení a až 18 miliónov rubľov (približne 207 000 eur) pri opakovanom porušení. Zákon vyžaduje od operátorov, aby prijali "všetky potrebné organizačné a technické opatrenia na ochranu osobných údajov pred neoprávneným alebo náhodným prístupom".
Širšie implikácie
Práve incident Aeroflotu poukazuje na zraniteľnosť kritickej infrastruktúry a potrebu rýchlejšej implementácie kybernetických bezpečnostných opatrení. Hoci ruská legislatíva ochrany údajov je relatívne rozvinutá, tento prípad demonštruje, že regulačný rámec sám o sebe nestačí - kľúčová je rýchlosť a kvalita implementácie bezpečnostných opatrení.
Pomalý prechod Aeroflotu zo zahraničných na ruské softvérové systémy vytvoril "zoo" IT infrastruktúry, ktoré hackeri úspešne zneužili. Tento prípad tak potvrdzuje tézu, že pri kybernetickej bezpečnosti a ochrane osobných údajov je rozhodujúca nielen kvalita regulácie, ale predovšetkým rýchlosť a dôslednosť jej implementácie. To platí aj pre subjekty v EÚ, ktoré ešte ani po 7 rokoch od zavedenia nariadenia GDPR, nemajú GDPR zavedené vôbec, alebo je to pre nich len šuplíková formalita.
Aeroflot sa stal obeťou svojej vlastnej váhavosti. Po tom, čo Rusko vydalo dekrét o technologickej nezávislosti v marci 2022, spoločnosť začala postupne nahrádzať západný softvér domácimi riešeniami. Nahradil rezervačný systém Sabre ruským Leonardom, letecký softvér AMOS produktom Kupol a začala prechod z nemeckého SAP na ruský 1C. Do roku 2025 však stále používala mix systémov – ruských, vlastných a ešte nevymenených zahraničných softvérov, ktorú IT odborníci nazývajú "zoo".
Strategické škody z oneskorených akcií
Hackeri podľa ich vyjadrenia, ktorí mali prístup k systémom takmer rok, zničili približne 7 000 serverov, ukradli 20 terabajtov dát a získali kontrolu nad počítačmi zamestnancov vrátane vrcholového managementu. Škody sa považujú za "strategické" s odhadovanými nákladmi na obnovu v desiatkach miliónov dolárov. Následky boli okamžité – zrušenie viac ako 100 letov, tisíce uviaznutých cestujúcich a vážne narušenie prevádzky. Netreba mať pocit, že toto sa v EÚ stať nemôže. Deje sa to už často, ale len nie všetko sa zverejňuje.
Kritickým faktorom bol práve čas. Novinárka Maria Kolomychenko poukázala na to, že "nájdenie zraniteľnosti v takomto chaose je len otázkou času a vytrvalosti". Hackeri využili postupné nahrádzanie systémov a vytvorili si vstupné body do infrastruktúry, ktoré im umožnili nepozorovane pôsobiť skoro celý rok.
Paralelné ponaučenia pre GDPR
Podobne ako v prípade kybernetickej bezpečnosti, aj pri implementácii GDPR je rýchlosť kľúčová. Výskumy ukazujú, že organizácie, ktoré oneskorujú implementáciu bezpečnostných opatrení, čelia exponenciálne rastúcim nákladom. Štúdie odhaľujú, že oprava jednej zraniteľnosti môže stáť viac ako 50 000 dolárov, a ak sa aplikácie obsahujú viacero vysokorizikových chýb.
Mesačné oneskorenie implementácie Security by Design pre 100 aplikácií môže vyústiť do dodatočných nákladov na opravu presahujúcich 416 000 dolárov. V kontexte GDPR môžu oneskorenia v implementácii viesť k pokutám až do výšky 20 miliónov eur alebo 4% globálneho ročného obratu.
Kritické okná pre odpoveď a finančný dopad
V kybernetickej bezpečnosti je kritický čas odozvy rozhodujúci pre minimalizáciu škôd. Výskumy ukazujú, že organizácie, ktoré dokážu rýchlo reagovať na narušenia, ušetria v priemere 1 milión dolárov v porovnaní s tými, ktoré majú oneskoreným odhaľovaním a reakciou.
Prístup "riešime to neskôr" môže mať ničivé finančné dôsledky. Náklady na narušenie dát v roku 2023 dosiahli rekordných 4,45 milióna dolárov v priemere, pričom priemerný životný cyklus narušenia je 277 dní. Pre narušenia trvajúce viac ako 90 dní môžu náklady presiahnuť 18 miliónov dolárov.
Rýchla reakcia umožňuje:
Zadržanie a zmierňovanie – rýchla odpoveď môže zabrániť šíreniu narušenia a kompromitovaniu ďalších aktív
Zníženie prestojov – promptná akcia môže skrátiť operačné prestoje a minimalizovať finančné straty
Zachovanie dôkazov – okamžitá reakcia zabezpečuje zachovanie kľúčových dôkazov pre forenzné vyšetrovanie
Všetky tieto 3 body sú extrémne relevantné aj pre súlad s nariadením GDPR. Preto by bolo vhodné, aby si spoločnosti v EÚ najali expertov, ktorí by im urobili audit z pohľadu ISMS ako aj z pohľadu nariadenia GDPR.
Čas ako strategické aktívum
Prípad Aeroflotu demonštruje, že bezpečnosť odložená je bezpečnosť odopretá. V dobe, keď útočníci operujú kontinuálne a regulačné požiadavky sa sprísňujú, si organizácie nemôžu dovoliť prístup "neskôr". Či už ide o implementáciu kybernetických bezpečnostných opatrení alebo GDPR compliance, rýchlosť implementácie nie je len otázkou efektívnosti – je to otázka prežitia.
Ponaučenie je jasné: kvalita bez rýchlosti je riziko, ktoré si nemôžeme dovoliť. Organizácie, ktoré investujú do rýchlej a systematickej implementácie bezpečnostných opatrení a procesov súladu s GDPR, si budujú konkurenčnú výhodu a chránia sa pred exponenciálne rastúcimi nákladmi neskorších opráv.
