ملخص

  • ينتمي الحادث السيبراني لـ easyJet في 2020 إلى ملف المخاطر والمساءلة لأن بيانات حجز الطيران يمكن أن تكشف أكثر من مجرد عنوان بريد إلكتروني: يمكن أن تظهر أين كان الأشخاص يخططون للسفر ومتى وكيف تواصلت معهم الشركة.
  • من كان يملك السيطرة العملية على وصول بيانات الركاب، ونطاق بطاقات الدفع، والتحذير من التصيد، والتواصل مع الجهات التنظيمية، وتوقيت اتصال العملاء، وإثبات أن تواريخ السفر عولجت كسجلات تشغيلية حساسة؟
  • ذكر الإشعار الرسمي للسوق علىhttps://www.investegate.co.uk/announcement/rns/easyjet--ezj/notice-of-cyber-security-incident/6053711أن عناوين البريد الإلكتروني وتفاصيل السفر لحوالي تسعة ملايين عميل تم الوصول إليها، وأن تفاصيل بطاقات الائتمان لـ 2,208 عميل تم الوصول إليها.
  • وذكر نفس الإشعار أنه لم يتم الوصول إلى تفاصيل جوازات السفر، ولا يوجد دليل في ذلك الوقت على إساءة استخدام أي معلومات شخصية، وتم الاتصال بعملاء بطاقات الائتمان المتأثرين، وسيتم الاتصال بجميع العملاء الذين تم الوصول إلى تفاصيل سفرهم بحلول 26 مايو 2020.
  • تتعامل هذه المقالة مع إشعار easyJet وتقاريرها السنوية كدليل عام أساسي، وتستخدم مواد مكتب مفوض المعلومات وNCSC وAction Fraud واللائحة العامة لحماية البيانات في المملكة المتحدة للسياق التنظيمي والتصيد، وتستخدم تقارير BBC وGuardian وSky News والصناعة للتسلسل الزمني العام المعاصر وليس كدليل قانوني خاص.

لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة

قضية easyJet ليست مجرد قصة خرق بيانات لشركة طيران. إنها قصة تحكم حول ما تعرفه شركة الطيران عن ركابها ومدى سرعة تحويل أدلة الحوادث الداخلية إلى إشعار عام قابل للاستخدام. سجلات الطيران تشغيلية. وهي تدعم الحجز وتسجيل الوصول ومعالجة الاضطرابات وبرامج الولاء والدفع والمبالغ المستردة وتغييرات الجدول وخدمة العملاء. لكن هذه السجلات نفسها يمكن أن تكشف المواقع التي ينوي الراكب زيارتها وتواريخ السفر والمرافقين وتفاصيل الاتصال وسلوك الشراء. وهذا يجعل بيانات السفر أكثر حساسية مما قد تبدو عليه عند وصفها بأنها "عناوين بريد إلكتروني وتفاصيل سفر".

الإشعار الرسمي علىhttps://www.investegate.co.uk/announcement/rns/easyjet--ezj/notice-of-cyber-security-incident/6053711هو السجل العام الأساسي. وقد ذكر أن easyJet كانت هدفًا لهجوم من مصدر متطور للغاية، وأن الشركة اتخذت إجراءات فورية للاستجابة للحادث وإدارته، وأنها أوقفت الوصول غير المصرح به، واستعانت بخبراء في الطب الشرعي. كما ذكر أنه تم إخطار مكتب مفوض المعلومات والمركز الوطني للأمن السيبراني.

الأرقام في هذا الإشعار تحدد إطار المساءلة. تم الوصول إلى عناوين البريد الإلكتروني وتفاصيل السفر لحوالي تسعة ملايين عميل. ومجموعة فرعية أصغر، 2,208 عميل، تم الوصول إلى تفاصيل بطاقات الائتمان الخاصة بهم. لم يتم الوصول إلى تفاصيل جوازات السفر. وقالت الشركة إنه لا يوجد دليل على إساءة استخدام أي معلومات شخصية. هذه التمييزات مهمة لأنها تفصل فئات البيانات المؤكدة عن فئات البيانات المخيفة. كما تخلق التزامات مختلفة: يحتاج عملاء بطاقات الدفع إلى معالجة مباشرة لمخاطر البطاقات، بينما تحتاج مجموعة بيانات السفر الأكبر إلى تحذير من التصيد وسياق الهوية وشرح دقيق لما تعنيه "تفاصيل السفر".

السؤال الأساسي عملي: من كان يملك السيطرة العملية على وصول بيانات الركاب، ونطاق بطاقات الدفع، والتحذير من التصيد، والتواصل مع الجهات التنظيمية، وتوقيت اتصال العملاء، وإثبات أن تواريخ السفر عولجت كسجلات تشغيلية حساسة؟ easyJet سيطرت على أنظمة الطيران المتأثرة، والتحقيق الجنائي، وتسلسل الإخطار، والبيان العام. العملاء لم يسيطروا على أي من هذه الأمور. كان بإمكانهم فقط انتظار الإشعار، وقراءة نصائح المخاطر، ومراقبة بطاقات الدفع إذا كان ذلك مناسبًا، وتقييم ما إذا كانت اتصالات الطيران المستقبلية مشروعة.

هذا التفاوت هو سبب بقاء القضية مفيدة. لا يحتاج الجمهور إلى معرفة خريطة الشبكة الخاصة لفهم مشكلة المساءلة. بمجرد أن تقول شركة الطيران إن ملايين سجلات السفر تم الوصول إليها، يصبح الاختبار المركزي هو ما إذا كانت الشركة يمكنها إثبات النطاق، وإغلاق الوصول، وتمييز مجموعات حاملي البطاقات وغير حامليها، وإخبار العملاء بما يجب فعله، والاحتفاظ بأدلة كافية للجهات التنظيمية والمساءلة المستقبلية.

التسلسل الزمني العام هو أيضًا اختبار لجودة الأدلة

يبدأ التسلسل الزمني العام ببيان الشركة أنها أصبحت على علم بحادث سيبراني، واستعانت بخبراء الطب الشرعي، وأبلغت الجهات التنظيمية والسلطات السيبرانية الوطنية، وأوقفت الوصول غير المصرح به. وضع تقرير BBC المعاصر علىhttps://www.bbc.com/news/technology-52722626وتقرير The Guardian علىhttps://www.theguardian.com/business/2020/may/19/easyjet-cyber-attack-hackers-access-9m-customers-dataالإفصاح في مايو 2020 وأكدا على عدد 9 ملايين عميل. تعاملت تغطية Sky News علىhttps://news.sky.com/story/easyjet-reveals-cyber-attack-exposed-9m-customers-details-11990859مع الإشعار كحدث كبير لبيانات العملاء خلال فترة كانت فيها شركات الطيران بالفعل تحت ضغط تشغيلي ومالي.

يذكر الإشعار أنه تم الاتصال بالفعل بعملاء بطاقات الائتمان المتأثرين. كما يذكر أن easyJet ستتصل بجميع العملاء الذين تم الوصول إلى تفاصيل سفرهم بحلول 26 مايو 2020. هذا التسلسل مهم. إنه يشير إلى نموذج فرز: مجموعة بطاقات الدفع كانت لها أولوية أعلى بسبب مخاطر مالية مباشرة، بينما تلقت مجموعة بيانات السفر الأكبر تحذيرًا أوسع من التصيد والتوعية. وجود الفرز ليس مشكلة في حد ذاته. في الواقع، الفرز غالبًا ما يكون ضروريًا. قضية المساءلة هي ما إذا كان الفرز يعتمد على أدلة موثوقة، وما إذا تم إبلاغ العملاء بشكل كافٍ للتصرف، وما إذا كان التأخير بين الاكتشاف الداخلي والتواصل العام مبررًا بجودة التحقيق بدلاً من التفضيل السمعة.

بيان مكتب مفوض المعلومات علىhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2020/05/statement-in-response-to-easyjet-data-breach/جزء من التسلسل الزمني لأنه يوضح أن المنظم الخصوصية في المملكة المتحدة كان منخرطًا علنًا. تشرح إرشادات ICO حول خروقات البيانات الشخصية علىhttps://ico.org.uk/for-organisations/report-a-breach/personal-data-breach/personal-data-breaches-a-guide/منطق الإخطار الأساسي: يجب على المنظمات تقييم المخاطر، والإبلاغ عن الخروقات المؤهلة للمنظم، والتواصل مع الأشخاص المتأثرين عندما تتطلب عتبة المخاطرة ذلك. توفر المواد القانونية للائحة العامة لحماية البيانات في المملكة المتحدة علىhttps://www.legislation.gov.uk/eur/2016/679/article/33وhttps://www.legislation.gov.uk/eur/2016/679/article/34إطار الإخطار الرسمي.

هذه المواد القانونية لا تثبت صحة القرارات الخاصة لـ easyJet. لكنها تحدد عدسة المساءلة. يجب على الشركة تحديد ما حدث، وما هي البيانات الشخصية التي تم تضمينها، وعدد الأشخاص المتأثرين، والعواقب المحتملة، والتدابير المتخذة أو المقترحة، وما إذا كان الأفراد يواجهون مخاطر عالية. في خرق شركة طيران، يمكن أن تشمل العواقب المحتملة التصيد الموجّه الذي يبدو موثوقًا لأنه يشير إلى سياق السفر الحقيقي.

لذا فإن التسلسل الزمني له مساران. الأول هو المسار الفني: الوصول، الاحتواء، التحقيق الجنائي، تحديد النطاق، والمعالجة. والثاني هو المسار البشري: متى تعلم الركاب بما يكفي لحماية أنفسهم. يجب أن يتقارب المساران. إذا كان المسار الفني غير مؤكد جدًا، فقد يتلقى العملاء نصائح غامضة. إذا انتظر التواصل العام طويلاً للحصول على يقين تام، فقد يظل الركاب عرضة لمحاولات التصيد دون معرفة أن سياق بيانات السفر كان متداولًا. المساءلة هي انضباط إدارة هذه المقايضة علنًا.

[يتبع النص المترجم...]