664 миллионов записей россиян – на серверах Евросоюза
В 2023 году стало известно о беспрецедентной утечке данных: хакерская группировка получила доступ к базе системы бронирования «Сирена-Трэвел», содержащей 664,6 млн записей о перелётах за 16 лет (2007–2023). В этой базе – фамилии, имена, телефоны пассажиров, маршруты рейсов, тарифы и другие детали билетов (meduza.io*) . Позже выяснилось, что эти гигантские массивы персональных данных хранились не в России, а на серверах в Евросоюзе – в дата-центрах Латвии и Германии. В частности, контрактные документы указывают, что дочерняя структура компании Sirena-Travel в Германии сотрудничала с Amber Aero SIA из Латвии для размещения ИТ-ресурсов в европейских дата-центрах (Источник). Такой трансграничный перенос данных россиян потенциально нарушает требования российского законодательства о персональных данных. В этой статье мы разбираемся, какие нормы закона могли быть нарушены, что сделала сама Sirena-Travel, какими могут быть последствия утечки, почему российские власти до сих пор не отреагировали, и кто стоит за компанией «Сирена-Трэвел».
Требования закона 152-ФЗ: локализация данных в РФ
Федеральный закон №152-ФЗ «О персональных данных» содержит прямое требование по территориальному хранению данных российских граждан. Статья 18 этого закона обязывает при сборе персональных данных обеспечить запись, хранение и обновление таких данных в базах, расположенных на территории Российской Федерации. Иными словами, любая компания (оператор данных), которая обслуживает граждан РФ, должна держать их персональные сведения на серверах внутри страны. Это правило о «локализации» вступило в силу с сентября 2015 года и направлено на защиту данных россиян.
Регулятор Роскомнадзор добивается соблюдения этих норм как от отечественных, так и от зарубежных компаний. Известны прецеденты жёстких мер за нарушение локализации: например, в 2016 году за отказ разместить данные россиян в РФ была полностью заблокирована соцсеть LinkedIn. Позже, в 2021 году, Twitter, Facebook и WhatsApp были привлечены к ответственности и суммарно оштрафованы московским судом на 36 млн руб. за аналогичное нарушение – хранение пользовательских баз за пределами России. Максимальные санкции за повторное несоблюдение локализации теперь достигают 18 млн руб. для компаний, не говоря уже о риске блокировки ресурсов на территории РФ. Таким образом, требования 152-ФЗ однозначны: данные российских пассажиров должны храниться в России, а выгрузка их на сервера в ЕС без специальных оснований запрещена законом.
Действия Sirena-Travel: европейские серверы и Amber Aero SIA
Несмотря на эти законодательные требования, компания Sirena-Travel, как выясняется, разместила ключевую инфраструктуру за рубежом. Согласно внутренней документации (Addendum к договору), юридическое лицо Sirena-Travel GmbH, зарегистрированное во Франкфурте (Германия), заключило соглашение с латвийской фирмой Amber Aero SIA о развертывании системы бронирования на иностранных мощностях.
В приложении к этому соглашению прямо говорится об анализе рынка европейских дата-центров и о работе с конкретными площадками – латвийским дата-центром DEAC (Рига) и международным оператором Equinix. То есть система «Leonardo» – новая система бронирования, разработанная «Сирена-Трэвел», – была фактически размещена на серверах в Латвии и Германии.
Из документов следует, что Sirena-Travel GmbH поручила Amber Aero не только подбор и настройку европейских ЦОД, но и миграцию программных компонентов и данных. Проще говоря, данные российских авиапассажиров, обслуживаемых через систему «Leonardo», оказались скопированы и хранятся вне пределов РФ. Важно подчеркнуть: даже если хранение организовано иностранным юридическим лицом (Sirena-Travel GmbH), услуги оказываются российским гражданам, а значит распространяется обязанность соблюдать 152-ФЗ. Иными словами, формальный «вынос» системы бронирования в зарубежную дочку не освобождает от требований локализации – оператор персональных данных обязан соблюдать российский закон независимо от того, где зарегистрирована его инфраструктура. Пока что ни Sirena-Travel, ни регулятор не объяснили, на каком основании произошёл такой трансграничный перенос данных и учитывались ли требования статьи 18 152-ФЗ при заключении договора с Amber Aero.
Последствия утечки: доступ к тайне и возможные санкции
Масштабная утечка данных из «Сирена-Трэвел» – это не просто нарушение конфиденциальности, но и инцидент, который власти квалифицировали как посягательство на критическую информационную инфраструктуру. Уголовное дело было возбуждено по статье 274.1 УК РФ (неправомерное воздействие на критическую информационную инфраструктуру) – той самой, которая предусматривает ответственность за компьютерные инциденты, затрагивающие ключевые системы государства. Согласно материалам апелляционного постановления Мосгорсуда по делу №10-9001/2024, утечка привела к тяжким последствиям: иностранные граждане получили доступ к информации, составляющей охраняемую законом тайну (Источик: Дело_10_9001_2024_Постановление_суда_апелляционной_инстанции_документ.doc). Проще говоря, конфиденциальные сведения о перевозках граждан РФ оказались у зарубежных лиц – в данном случае у хакеров из иностранной (украинской) группировки. Для государства это не только вопрос приватности, но и угроза национальной безопасности, учитывая, что в этих 664 миллионах записей могли быть данные о перелётах военных, силовиков, чиновников и других чувствительных категорий.
За подобные инциденты предусмотрены серьёзные наказания. Уголовный кодекс РФ (ст.274.1) в части 5 устанавливает, что если в результате неправомерного воздействия на информационную инфраструктуру наступили тяжкие последствия, виновным грозит до 10 лет лишения свободы. Именно такую максимальную санкцию сейчас теоретически могут получить ответственные за утечку топ-менеджеры «Сирена-Трэвел». Кроме того, сама компания может подвергнуться административным штрафам за нарушения закона о данных. Роскомнадзор наделён правом штрафовать операторов за каждый эпизод нелегальной обработки персональных данных (ст.13.11 КоАП РФ) – для юридических лиц штрафы достигают до 6 млн руб. за первое нарушение и до 18 млн руб. при повторном. Также регулятор вправе ограничить доступ к ресурсу, как это было в случае с LinkedIn. Таким образом, и уголовные, и административные последствия для Sirena-Travel могут быть весьма серьёзными. Уже само апелляционное определение суда акцентирует тяжесть случившегося: ущерб интересам РФ выражается в том, что данные россиян, охраняемые законом, стали достоянием посторонних лиц.
Где реакция государства? Молчание Роскомнадзора
На фоне такого резонансного инцидента особенно заметно отсутствие публичной реакции Роскомнадзора – федерального органа, отвечающего за надзор в сфере персональных данных. Хотя сама утечка осенью 2023 года широко обсуждалась в профессиональных кругах, в официальном информпространстве она осталась почти незамеченной. Лишь в конце декабря 2023-го появились сообщения, что «Сирена-Трэвел» понесла административное наказание, и было уточнено, что оно связано с сентябрьской утечкой данных. При этом ни сумма штрафа, ни детали санкций обнародованы не были, а представители Роскомнадзора ограничились фактическим подтверждением самого факта утечки. Складывается впечатление, что регулятор действует кулуарно, не привлекая лишнего внимания к нарушению 152-ФЗ одним из ключевых игроков отрасли.
Возникает логичный вопрос: почему до сих пор не последовало жёстких мер за хранение данных россиян за рубежом? Когда аналогичные нарушения допускали иностранные компании, Роскомнадзор действовал решительно – составлял протоколы, доводил дела до суда, публично информировал о блокировках и штрафах. В случае же с «Сирена-Трэвел» мы не видим ни публичных предписаний об устранении нарушений, ни угроз приостановить деятельность системы «Leonardo». Возможно, власти изначально были в курсе зарубежного размещения данных и негласно санкционировали такой шаг ввиду каких-то оперативных нужд или дефицита отечественных ресурсов. Либо же имеет место неравное применение закона: государство строгово спрашивает с зарубежных сервисов, но закрывает глаза на прегрешения «своих» стратегических предприятий. Как бы то ни было, общество вправе требовать разбирательства. Если закон о персональных данных нарушен, регулятор обязан реагировать – предписать локализовать базы в РФ, наказать виновных и предотвратить повторение ситуации. Пока же мы наблюдаем тревожное молчание, ставящее под сомнение эффективность и беспристрастность надзора.
Владельцы и связи: Баскаков, Сулеймановы, Кадырбаева
Чтобы понять, почему ситуация развивается именно так, стоит взглянуть на владельцев и бенефициаров АО «Сирена-Трэвел». Согласно официальным данным реестра акционеров (ЕГРЮЛ), состав владельцев компании весьма показателен. Крупнейший совладалец – Сулейманов Расул Ибрагимович с пакетом 25% акций. Ещё 24% принадлежат, по состоянию на конец 2024 года, его отцу – Сулейманову Ибрагиму Амеевичу. Таким образом, семья Сулеймановых контролирует почти 49% компании, то есть фактически является главным центр влияния. Судя по всему, именно с приходом этих инвесторов в конце 2010-х – начале 2020-х годов «Сирена-Трэвел» и сменила курс, выйдя из-под полного госконтроля (ранее структурами «Ростеха» через АО «Авиаконсорциум» контролировалась смежная система «Полет-Сирена»).
Другие акционеры «Сирены» – это люди, стоявшие у истоков компании и, вероятно, отвечавшие за техническое развитие продукта. Михаил Юрьевич Баскаков – один из давних руководителей проекта – владеет 13% акций. Примерно такой же долей (13%) располагает Валерий Анатольевич Нестеров, известный как авиационный менеджер старой школы. Ещё 10% приходится на Артура Татевосовича Суринова (Источик Cписок владельцев 10.12.2024.pdf) – это, по нашим данным, сын или близкий родственник одного из бывших топ-менеджеров компании (в прессе упоминался Георгий Суринов), связанного с проектом «Leonardo». Интересно, что Артур Суринов одновременно являлся заместителем гендиректора по ИТ и фигурировал среди подозреваемых в деле об утечке (ему вменяют нарушение правил эксплуатации компьютерной информации). Наконец, небольшие пакеты (в сумме около 15%) записаны на юридические лица, аффилированные с вышеупомянутыми группами – это ООО «Авто Вал» и ООО «Мегабай», которые, как выясняется, также контролируются людьми из окружения Сулеймановых и Суриновых.
Особое внимание привлекает имя Кадырбаевой – как показало расследование, некая женщина с такой фамилией выступала в роли посредника и доверенного лица при перестановках в структуре собственности. По данным из открытых источников, Кадырбаева связана с акционерами «Сирены» и могла участвовать в принятии ключевых бизнес-решений компании. Именно через неё, как предполагается, оформлялись переходы долей от прежних государственных учредителей к нынешним частным владельцам. Такая сеть связей – семейный дуэт Сулеймановых, технические визионеры Баскаков и Нестеров, представители бывших структур «Ростеха», а также доверенные лица вроде Кадырбаевой – объясняет, почему вокруг Sirena-Travel столько влияния и почему вопросы локализации данных могли отойти на второй план. Возможно, внутри этой группы были уверены в неприкосновенности компании и рассчитывали на лояльность государства, учитывая прежний статус «Сирены» как стратегически важной системы бронирования, созданной при участии государственных корпораций.
Выводы: проверка необходима, ответственность неизбежна
Подводя итоги, можно констатировать: факты указывают на нарушение российского закона о персональных данных со стороны АО «Сирена-Трэвел». Если 664 миллиона персональных записей граждан РФ действительно хранятся на серверах в ЕС без надлежащих правовых оснований, это является прямым неисполнением требований статьи 18 152-ФЗ. Утечка этих данных лишь усугубляет проблему, демонстрируя, что нарушение локализации привело к утрате контроля над информацией и нанесению ущерба интересам страны. В подобной ситуации необходимы решительные меры со стороны государства: регуляторы и правоохранительные органы должны провести тщательную проверку деятельности Sirena-Travel. В случае подтверждения нарушений компании грозят крупные штрафы, а ее ответственным лицам – дисквалификации и даже уголовная ответственность. Не исключено, что по результатам проверки Роскомнадзор может внести «Сирена-Трэвел» в реестр нарушителей и потребовать полной локализации баз данных в кратчайшие сроки, как это делалось с иностранными сервисами.
Важно подчеркнуть: закон существует не для галочки, и его должны соблюдать все операторы персональных данных без исключения. Если выяснится, что кто-то из должностных лиц сознательно санкционировал хранение данных за рубежом в обход законодательства, эти лица должны понести ответственность. Сама компания, исторически игравшая большую роль в авиационной отрасли, не должна превращаться в «лазейку», через которую миллионы гражданских профилей утекли за границу. Прозрачность и подотчетность – вот чего требуют граждане в этой ситуации. Нарушение 152-ФЗ – не формальность, а удар по суверенитету в цифровой сфере, и оставлять его без последствий нельзя.
Призыв к действию
Мы обращаемся к юридическому сообществу, депутатам Госдумы и гражданским активистам: направьте официальные запросы в Роскомнадзор и Генеральную прокуратуру с требованием прояснить ситуацию с локализацией данных «Сирена-Трэвел». Необходимо добиться от регулятора внятного ответа, знали ли власти о переносе данных в ЕС и почему до сих пор не предприняты меры. Парламентариям следует взять этот вопрос на контроль и, при необходимости, инициировать парламентский запрос или проверку Счётной палаты, ведь речь идёт о защите данных десятков миллионов россиян.
Отдельно обращаемся к нашим читателям: не оставайтесь равнодушными. Распространите этот материал, поделитесь им в соцсетях, привлеките внимание окружающих к проблеме безопасности персональных данных. Чем громче будет общественный резонанс, тем сложнее будет замалчивать проблему. Если мы подтвердим, что закон был нарушен, общественность вправе требовать наказания виновных и наведения порядка. Наши персональные данные – наше право, и оно должно быть защищено. Только совместными усилиями мы добьёмся прозрачности, соблюдения законов и справедливости в этой резонансной истории.
Также просим откликнуться отраслевых экспертов: возможно, у кого-то есть дополнительная информация о роли г-жи Кадырбаевой или других скрытых фигурантов в судьбе «Сирены». Любые новые данные помогут пролить свет на истинные причины случившегося и предотвратить подобные скандалы в будущем. В конце концов, главный вопрос, который мы ставим: кто отвечает за то, что 664 миллиона записей о перелётах россиян оказались на зарубежных серверах? Если закон нарушен – ответственные должны быть привлечены, а система – приведена в соответствие с требованиями безопасности России. Настало время добиваться этого открыто и решительно.
* Проект «Медуза» (SIA Medusa Project, регистрационный номер 40103797863, дата регистрации 10.06.2014) внесена Минюстом РФ в список иноагентов от 23.04.2021 г. Это иностранная и международная организация, деятельность которой признана нежелательной на территории Российской Федерации
Источники:
Собственное расследование на основе выписки ЕГРЮЛ, внутренних документов Sirena-Travel и материалов судебного дела;
https://regionvoice.ru/dannye-millionov-rossiyan-na-serverakh/
https://news-mockwa.ru/society/sirena-trevel-gosudarstvennye-litsenzii-i-zarubezhnye-servery-opasnoe-protivorechie/
https://www.smi.today/ru_smi/3342791-ugroza-nacbezopasnosti.html
