Не удивительно, если не сказать - вполне ожидаемо. Как специалист в области наступательной кибербезопасности (пентест, Red Team) могу выделить следующие причины:

1. Низкая квалификация персонала в области ИБ и ИТ в целом.

Под этим подразумевается абсолютное нежелание вникать, какие угрозы несет современный Интернет. Как следствие - полное игнорирование элементарных мер по защите информации (регулярная смена паролей, GPO, сегментирование VLAN и т.д.). Указанная проблема характера буквально для всей кадровой вертикали, начиная от рядового сотрудника и заканчивая топ-менеджментом. Кто-то может возразить, дескать, зачем топу или тете Вале из бухгалтерии знать, что такое XSS или SQLi? И будет абсолютно прав. Но с другой стороны, тетя Валя должна знать, почему не надо тыкать на первую попавшуюся ссылку, а топ-менеджер - какие убытки компания может понести из-за неосмотрительности бухгалтерии.

2. Низкие бюджеты

Эта причина закономерно вытекает из п. 1. У подавляющего количества топ-менеджеров любые разговоры о выделении денег на средства защиты информации вызывают изжогу. Собственный персонал обосновать риски способен не всегда, а если и способен, то, как правило, их мнение важно, но не очень-то и нужно. Причина: безопасность всегда убыточна по определению. Доходов она не приносит от слова совсем. Вообще это какой-то парадокс: компания с миллиардными доходами и оборотами не может выделить каких-то 200 млн в год на хорошую ЗП и оборудование.

3. Низкая квалификация ИТ-персонала

В Интернете только ленивый не высмеял уровень ЗП главного специалиста по ИБ и кладовщика в пятерочке. Специалист с высокой квалификацией никогда в жизни не пойдет работать за 120к в Мск. Учитывая объем работ, риски и ответственность, это просто смехотворная оплата труда. Для справки: пентестер уровня мидла, работая в мск, зарабатывает не менее 350к в месяц, а доходы спецов с сертификатом OSCP (кто знает - тот знает) вообще начинаются от 700к. Откуда такие расценки? Все просто. Современный стек в области ИБ требует не только очень глубоких знаний в области ИТ-технологий, но и умения на практике доказать, что система дырявая (т.н. Proof of Concept). После этого - предложить РЕАЛЬНЫЕ меры, которые будут РАБОТАТЬ. К сожалению, в госухах и окологосухах вопросами ИБ - в лучшем случае - заведуют престарелые сисадмины или вчерашние студенты, в худшем - отставные вояки, которые умеют только писать красивые, но бесполезные бумажки.

4. Общественно-политическая обстановка.

Тут в принципе и так все ясно. Полагаю, атака была заказная, потому что Аэрофлот - одна из ключевых контор во области российской логистики. В сети пишут, дескать, инсайдер, слив, шпион и все такое. Не верю в это. Склонен полагать, что точкой входа послужила скомпрометированная учетная запись подрядчика или УЗ гендиректора, который - цитата - "не менял свой пароль с 2022 года". Вот это очень похоже на правду, потому что по собственному опыту знаю, каких размеров болт кладут на безопасть многочисленные ООО "Рога и копыта", привлекаемые в рамках госзаказа. Сюда добавьте банальный фишинг и слабые групповые политики в AD, если - опять же цитата - "генеральный директор не менял свой пароль с 2022 года". Ну и старое железо с сфотом, соответственно.

Есть еще масса других причин, но я выделил лишь глобальные. Как с эти бороться? Учиться, учиться и еще раз учиться (с)