ملخص

لماذا تنتمي هذه القضية إلى ملف المخاطرة والمساءلة

تنتمي SITA إلى ملف المخاطرة والمساءلة لأن ركاب الطيران نادراً ما يختارون مزود نظام خدمة الركاب الذي يخزن أو يعالج أجزاء من سجل سفرهم. يشتري الراكب تذكرة من شركة طيران، وينضم إلى برنامج ولاء، ويستخدم ميزة تحالف، ويسجل دخوله في المطار، ويقدم وثائق سفر، ويتوقع أن ترد العلامة التجارية لشركة الطيران عندما يحدث خطأ ما. وراء هذه العلاقة المرئية، يدير موردون مثل SITA أنظمة تدعم عمليات الحجز والتحكم في المغادرة ومعالجة الركاب وتبادل البيانات.

عندما تؤثر حادثة مورد على بيانات الركاب، يصبح سؤال المساءلة العملي أكثر صعوبة مما هو عليه في اختراق علامة تجارية واحدة: أي طرف سيطر على البيئة المتأثرة، وأي طرف سيطر على علاقة العميل، وأي طرف كان لديه الأدلة اللازمة لإخبار الركاب بما حدث؟

أنظف سجل عام تملكه SITA ليس صفحة ضغط قصيرة عن الحادث يسهل العثور عليها. إنه بيان رئيس مجلس الإدارة في تقرير النشاط لعام 2021 علىhttps://www.sita.aero/sita-activity-report-2021/executive-statements/chair-statement/. يؤكد هذا البيان أن SITA أصبحت ضحية هجوم إلكتروني شديد التعقيد في أوائل عام 2021، وأن الحادث شمل بعض بيانات الركاب المخزنة على خوادم SITA Passenger Service System، وأن SITA تصرفت بسرعة بعد تأكيد خطورة الحادث، وبدأت إجراءات احتواء مستهدفة. كما يسجل إجراءات الحوكمة: مراجعة مستقلة، جمعية عامة خاصة في 22 فبراير 2022 لعرض الرؤى والإجراءات المتفق عليها للأعضاء، لجنة أمن سيبراني مكونة من خبراء تكنولوجيا المعلومات من مجلس إدارة SITA، وبرنامج تحسين أمني مؤسسي معزز بـ 38 إجراءً عبر 24 مشروعاً.

تلك الحقائق مهمة لأنها تضع الحدث في الفئة الصحيحة. لم تكن هذه مجرد مشكلة اتصالات لشركة طيران. بل كانت حادثة أمن بيانات يتحكم فيها المورد داخل بنية تحتية طيران مشتركة. كان على المورد التحقيق في الخوادم المتضررة. كان على شركات الطيران إخطار عملائها وأعضاء برامج الولاء. كان على التحالفات مراعاة ممارسات مشاركة البيانات. كان على الجهات التنظيمية وفرق حماية البيانات فهم مسؤوليات المراقب والمعالج والإخطار. كان على الركاب تفسير المخاطر من إخطارات غالباً ما تقول أن أنظمة شركة الطيران الخاصة بهم لم تتأثر مباشرة.

السؤال الأساسي هو عملي: من كان لديه السيطرة العملية على فصل مستأجري شركات الطيران، والاحتفاظ ببيانات خدمة الركاب، والإخطار من المورد إلى شركة الطيران، ونطاق تعرض برنامج الولاء، وأدلة الجهات التنظيمية، والدليل على أن مزود تكنولوجيا طيران واحد لم يصبح بقعة عمياء مشتركة؟ الإجابة العامة منقسمة. SITA سيطرت على بيئة نظام خدمة الركاب المتأثرة ومعظم الأدلة الجنائية. شركات الطيران سيطرت على علاقاتها مع الركاب والعديد من اتصالات الأشخاص المعنيين. ساعدت عمليات التحالف في شرح لماذا يمكن أن توجد بعض البيانات في نظام راكب شركة طيران أخرى. قدمت الجهات التنظيمية المفردات القانونية لإخطار الاختراق وواجبات المعالج والمساءلة.

الركاب لم يسيطروا على أي من الأدلة ذات الصلة.

يبدأ الجدول الزمني باكتشاف المورد، وليس وعي الراكب

يبدأ الجدول الزمني العام بتأكيد SITA أن خطورة الحادث تم تحديدها في 24 فبراير 2021 وأن عملاء نظام خدمة الركاب المتأثرين والمنظمات ذات الصلة تم الاتصال بهم. تقرير TechCrunch علىhttps://techcrunch.com/2021/03/04/sita-airline-passenger-breach/سجل نافذة الإفصاح العام الأولي ووصف SITA بتأكيد اختراق شمل بيانات الركاب المخزنة على خوادم أمريكية. وسجلت SecurityWeek علىhttps://www.securityweek.com/multiple-airlines-impacted-data-breach-aviation-it-firm-sita/وInfosecurity Magazine علىhttps://www.infosecurity-magazine.com/news/sita-supply-chain-breach-hits/بيان SITA بأن بيانات نظام خدمة الركاب كانت متورطة وأن الاحتواء والتحقيق جاريان.

التأخير بين تأكيد المورد وفهم الراكب هو سطح المساءلة. يمكن للمورد إخطار عملاء شركات الطيران المتأثرين بسرعة. قد تحتاج شركة الطيران بعد ذلك إلى تحديد ما إذا كان عملاؤها متأثرين، وما هي عناصر البيانات الموجودة، وما إذا كانت عميلاً مباشراً لنظام خدمة الركاب، وما إذا كانت البيانات موجودة من خلال ترتيبات التحالف، وما إذا كانت عتبات الإخطار التنظيمي قد استوفيت، وما يجب أن تقوله الرسالة للعميل، وما إذا كان العملاء بحاجة إلى تغيير كلمات المرور أو بطاقات الدفع. يرى الراكب نهاية تلك السلسلة، وليس التسليمات الداخلية.

تقرير PhocusWire علىhttps://www.phocuswire.com/sita-cyber-attack-accesses-passenger-data-for-multiple-airlinesمفيد لأنه يظهر أن الحدث لم يقتصر على شركات الطيران التي استخدمت نظام خدمة الركاب مباشرة. ذكر التقرير أن الاختراق أثر على عدة شركات طيران، بما في ذلك بعض الذين مرت بيانات المسافر الدائم عبر البيئة المخترقة بسبب تبادل بيانات التحالف. مثلاً، ذكرت Singapore Airlines أنها بينما ليست عميلةً لنظام خدمة الركاب، فقد تمت مشاركة مجموعة محدودة من بيانات المسافر الدائم ضمن Star Alliance ويمكن أن توجد في نظام خدمة الركاب لشركة طيران أخرى عضو. هذا التمييز محوري للمساءلة. يمكن أن يتأثر الراكب بعلاقة مورد لا يملكها خط طيرانه بالمعنى العادي المواجه للعميل.

تقرير The Guardian علىhttps://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolenسجل إخطارات موجهة للركاب حددت بعض التعرضات لرقم عضوية المسافر الدائم ومستوى الحالة والاسم. تقرير BleepingComputer علىhttps://www.bleepingcomputer.com/news/security/sita-data-breach-affects-millions-of-travelers-from-major-airlines/حدد عدة ناقلين أبلغوا ركابهم عن تعرض مرتبط بـ SITA. تلك التقارير لا تحل محل سجلات SITA الخاصة، لكنها تظهر التسلسل الزمني العام: حادثة مورد، إخطار شركة طيران، شرح تحالف، تأطير مخاطر الراكب.

بيانات المسافر الدائم ليست تافهة لمجرد أنها ليست كلمة مرور

أكدت عدة إخطارات لشركات طيران أن البيانات المكشوفة لا تشمل كلمات المرور أو بيانات بطاقات الدفع أو أرقام جوازات السفر أو خطوط السير أو الحجوزات أو معلومات التذاكر أو عناوين البريد الإلكتروني لمجموعات متأثرة معينة. هذا القيد مهم ويجب الاعتراف به. تقرير متعلق بـ Singapore Airlines علىhttps://www.business-standard.com/article/international/about-580-000-frequent-fliers-data-breached-says-singapore-airlines-121030500113_1.htmlقال أن المعلومات المتأثرة اقتصرت على رقم العضوية ومستوى الحالة وفي بعض الحالات اسم العضوية لحوالي 580,000 عضو من KrisFlyer و PPS. إخطارات عملاء Air New Zealand الموصوفة فيhttps://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolenاستخدمت حدوداً مماثلة لبيانات المسافر الدائم المتأثرة.

لكن بيانات المسافر الدائم ليست بيانات وصفية لا معنى لها. يمكن لرقم العضوية ومستوى الحالة والاسم أن يكشف عن علاقة تجارية واستحقاق سفر ومعرف حساب وقيمة ولاء وسياق هندسة اجتماعية. يمكن أن تساعد المهاجم على كتابة رسائل دعم حساب أكثر تصديقاً. يمكن أن تساعد في تحديد المسافرين ذوي القيمة العالية. يمكن دمجها مع مجموعات بيانات أخرى. يمكن أن تكشف أيضاً أن مزايا التحالف تتطلب نقل البيانات إلى ما وراء شركة الطيران التي أصدرت حساب الولاء.

مسألة المساءلة ليست إذن ما إذا كانت أسوأ عناصر البيانات الممكنة قد كشفت في كل إخطار لشركة طيران. المسألة هي ما إذا كانت كل مجموعة بيانات تم نطاقها وشرحها بدقة. بالنسبة لبعض الناقلين، أشار السجل العام إلى مجموعة بيانات مقيدة للمسافر الدائم. بالنسبة لـ Air India، وصف السجل العام لاحقاً مجموعة أوسع بكثير من بيانات الركاب. هذا الاختلاف يثبت لماذا سرد واحد عام لاختراق SITA غير كاف.

التقارير المتعلقة بـ Air India علىhttps://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/وhttps://www.livemint.com/news/india/air-india-issues-helpline-number-amid-massive-data-breach-including-credit-cards-11621687289916.htmlوhttps://www.forbes.com/sites/carlypage/2021/05/23/air-india-data-breach-hackers-access-personal-details-of-45-million-customers/قالت أن Air India أخبرت العملاء أن نظام خدمة الركاب، معالج بيانات نظام خدمة الركاب الخاص بها، تعرض لهجوم إلكتروني وأن حوالي 4.5 مليون شخص متأثر عالمياً. وصفت التقارير العامة فئات مكشوفة يمكن أن تشمل الاسم وتاريخ الميلاد ومعلومات الاتصال ومعلومات جواز السفر ومعلومات التذكرة وبيانات المسافر الدائم وبيانات بطاقات الائتمان، مع الإشارة إلى أن رموز أمان البطاقة لم تكن محفوظة من قبل نظام خدمة الركاب. لا ينبغي خلط هذه الحقائق مع الإخطارات المحدودة بالولاء فقط من شركات طيران أخرى. تظهر لماذا يجب أن يكون النطاق خاصاً بشركة الطيران ومحدداً بفئة البيانات.

حدود المستأجر تصبح مرئية فقط بعد الاختراق

تخلق أنظمة خدمة الركاب تحدياً للمساءلة لأن حدود المستأجر أقل وضوحاً للراكب مما هي عليه للمهندسين وفرق العقود. قد يفترض الراكب أن شركة الطيران تحتفظ بالسجل. قد تستخدم شركة الطيران مورداً. قد يستضيف المورد عدة عملاء من شركات الطيران. قد يشارك شركاء التحالف مجموعة بيانات فرعية مقيدة. قد تعتمد المطارات ووكلاء الأرض على بيانات معالجة الركاب. قد تتلقى الحكومات معلومات متقدمة عن الركاب. النظام مصمم لجعل السفر يبدو موحداً. القوة الاختراق تفرض رؤية بنية البيانات.

صفحة منتج معالجة الركاب الحالية لـ SITA علىhttps://www.sita.aero/solutions/sita-at-airports/sita-passenger-processing/sita-maestro/ليست سجلاً جنائياً لحادثة 2021، لكنها توضح لماذا أنظمة معالجة الركاب مهمة. تصف الصفحة تسجيل الوصول الآلي والصعود إلى الطائرة، والنشر السحابي أو المحلي، ونقل بيانات الركاب، والتكامل مع منتجات معالجة الركاب الأخرى، وميزات المرونة لعمليات التحكم في المغادرة. تلك القدرات توضح نوع السطح التشغيلي الذي يمكن أن يشغله مزود نظام الركاب: الهوية، حالة المغادرة، تسجيل الوصول، الصعود، أنظمة شركات الطيران، تدفقات البيانات الحكومية، وعمليات المطار.

المقال لا يدعي أن SITA Maestro كان متورطاً في حادثة 2021. يستخدم سياق المنتج لشرح فئة التبعية. يمكن نشر أتمتة معالجة الركاب في بنى مختلفة، لكن مشكلة المساءلة ثابتة: قد يكون نظام المورد محورياً تشغيلياً بينما تبقى علاقة الثقة مع شركة الطيران. عندما يكون للمورد السجلات ولشركة الطيران العميل، تعتمد جودة الإخطار على انضباط التسليم.

سؤال حدود المستأجر له خمسة أجزاء على الأقل. أولاً، أي بيانات شركة طيران كانت موجودة على خوادم نظام خدمة الركاب المتأثرة؟ ثانياً، أي بيانات كانت موجودة لأن شركة الطيران كانت عميلة لنظام خدمة الركاب، وأي بيانات كانت موجودة بسبب ترتيبات مشاركة بيانات التحالف أو الخطوط البينية؟ ثالثاً، أي معرفات ركاب كانت مرتبطة بوثائق السفر أو التذاكر أو سجلات الدفع أو بيانات اعتماد الحساب أو تفاصيل الاتصال؟ رابعاً، أي مسارات الخادم أو قاعدة البيانات أو التطبيق أو الدعم عبرت حدود شركات الطيران؟ خامساً، كيف أثبتت SITA لكل شركة طيران أن مستأجري شركات الطيران غير المرتبطين أو فئات البيانات غير المرتبطة لم تتأثر؟

تلك الأسئلة ليست اتهامات. إنها فئات الأدلة المطلوبة لنطاق المساءلة. يمكن للمورد أن يذكر أن بعض بيانات الركاب فقط تأثرت. يمكن لشركات الطيران أن تذكر أن أنظمتها الخاصة لم تتأثر. كلا البيانين قد يكون صحيحاً، لكن الجمهور لا يزال بحاجة إلى فهم البنية التي تجعلها صحيحة في نفس الوقت.

المراقب والمعالج والراكب ليسوا نفس الدور

سجل GDPR مهم لأن العديد من شركات الطيران المتأثرة والركاب وتدفقات البيانات تقع في أو تمس ولايات قضائية حيث تشكل واجبات المراقب والمعالج استجابة الاختراق. النص الرسمي لـ GDPR علىhttps://eur-lex.europa.eu/eli/reg/2016/679/oj/engيحدد الإطار القانوني، بما في ذلك مسؤوليات المراقبين والمعالجين، وأمن المعالجة، والإخطار بانتهاكات البيانات الشخصية. إرشادات EDPB بشأن المراقب والمعالج علىhttps://www.edpb.europa.eu/documents/guideline/guidelines-072020-on-the-concepts-of-controller-and-processor-in-the-gdpr_enتشرح أن هذه المفاهيم تحدد من المسؤول عن الامتثال وكيف يمكن للأشخاص المعنيين ممارسة الحقوق عملياً. إرشادات EDPB لإخطار الاختراق علىhttps://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_enمفيدة لأنها تؤكد أن المعالجين يخطرون المراقبين دون تأخير غير مبرر بعد علمهم بالاختراق وأن المخاطر التي يتعرض لها الأفراد تدفع قرارات الإخطار.

تتناسب هذه المفردات القانونية مع قضية SITA دون حل الدور القانوني الدقيق لكل شركة طيران في كل ولاية قضائية. قد تعمل SITA كمعالج لبعض بيانات خدمة ركاب شركات الطيران. قد تعمل شركات الطيران كمراقبين لسجلات عملائهم وولائهم. قد يخلق تبادل بيانات التحالف أسئلة تخصيص إضافية. الركاب هم أشخاص معنيون أو عملاء أو أعضاء ولاء أو أفراد متأثرون حسب السياق. يجب أن يحافظ ملف المساءلة الصحيح على هذه التمييزات.

تستخدم إخطارات شركات الطيران غالباً لغة عملية بدلاً من التصنيف القانوني. يخبرون العملاء ما هي البيانات المتورطة، وما غير المتورط، وما إذا كانت أنظمة شركة الطيران نفسها تأثرت، وما إذا كان يجب على العميل اتخاذ إجراء. هذا ضروري. لكن خلف الإخطار، يجب أن يكون المراقب قادراً على تبرير تقييم المخاطر. إذا قدم المعالج أدلة غير كاملة، لا يمكن للمراقب إعطاء إخطار موثوق. إذا أخر المراقب أو خفف الإخطار لأن المورد لم يكمل النطاق، يتحمل الركاب عدم اليقين.

لذلك تختبر حادثة SITA سلسلة الأدلة من المعالج إلى المراقب. كان على SITA توفير الحقائق لشركات الطيران. كان على شركات الطيران ترجمة تلك الحقائق إلى إخطارات موجهة للركاب. يمكن للجهات التنظيمية أن تسأل ما إذا كانت الإخطارات في الوقت المناسب وكافية. لم يتمكن الركاب من فحص السجلات الأصلية. لهذا السبب لا يمكن اختزال مساءلة المورد إلى "لقد أخبرنا عملاءنا". يتطلب دليلاً على أن إخطارات المورد كانت كاملة بما يكفي للمراقبين النهائيين للوفاء بواجباتهم.

غيرت Air India المقام

ركزت الموجة الأولى من الاهتمام العام على بيانات المسافر الدائم للعديد من ناقلي Star Alliance و oneworld. غيرت Air India المقام العام. تقرير BleepingComputer عن Air India علىhttps://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/قال أن Air India كشفت أن حوالي 4.5 مليون عميل تأثروا بعد اختراق نظام خدمة الركاب. تقرير Mint علىhttps://www.livemint.com/news/india/air-india-issues-helpline-number-amid-massive-data-breach-including-credit-cards-11621687289916.htmlأعاد إنتاج لغة Air India التي تصف نظام خدمة الركاب كمعالج بيانات نظام خدمة الركاب وقالت أن الحادث أثر على حوالي 4.5 مليون شخص معني عالمياً. Forbes علىhttps://www.forbes.com/sites/carlypage/2021/05/23/air-india-data-breach-hackers-access-personal-details-of-45-million-customers/وضع الإفصاح في سياق اختراق SITA الأوسع.

هذا المقام مهم لثلاثة أسباب. أولاً، يشير إلى أن عميل نظام خدمة الركاب يمكن أن يكون لديه سجلات ركاب أوسع في البيئة المتأثرة من مجموعات بيانات المسافر الدائم المقتصرة على التحالف فقط. ثانياً، تضمن بيانات على مدى فترة تسجيل طويلة، وفقاً للتقارير العامة، مما يثير أسئلة حول الاحتفاظ والتقليل. ثالثاً، فرض تمييزاً بين بيانات بطاقات الدفع وبيانات رموز أمان البطاقة. قالت التقارير العامة أن معلومات بطاقات الائتمان يمكن أن تكون متورطة لكن أرقام CVV أو CVC لم تكن مخزنة من قبل نظام خدمة الركاب.

الفرق بين 580,000 سجل ولاء مقيد و 4.5 مليون شخص معني ببيانات ركاب أوسع ليس تناقضاً بحد ذاته. قد يكون لدى شركات الطيران المختلفة فئات بيانات مختلفة، وفترات احتفاظ، وتكوينات مورد، وعتبات إخطار. فشل المساءلة سيكون طيها في إحصائية واحدة غير متمايزة. يمكن لحادثة مورد أن تنتج مقامات متعددة: عملاء شركات طيران تم إخطارهم، ركاب متأثرون حسب شركة الطيران، أعضاء ولاء متأثرون، فئات بيانات مكشوفة، سجلات ضمن كل فئة، نطاقات تاريخية، جهات تنظيمية تم إخطارها، وعملاء يحتاجون إلى نصائح علاجية.

تثير Air India أيضاً سؤال الاحتفاظ بالبيانات. قالت التقارير العامة أن فترة التسجيل المتأثرة امتدت من 2011 إلى أوائل 2021. نافذة تمتد لعقد هي إشارة مساءلة. قد تحتفظ أنظمة خدمة الركاب بالسجلات لأسباب تجارية مشروعة أو تنظيمية أو ولاء أو تسوية أو وثائق سفر أو نزاع أو أرشفة. لكن عندما تتعرض بيانات طويلة العمر، يجب أن يشرح السجل لماذا كانت تلك الحقول موجودة، ومن وافق على الاحتفاظ، وما إذا كانت سجلات الركاب غير النشطة تم تقليلها، وما إذا كانت البيانات القديمة منفصلة عن التدفقات التشغيلية الحالية.

كان على إخطارات شركات الطيران فصل ما هو معروف عما هو مستبعد

إخطارات شركات الطيران الأفضل فعلت شيئين في وقت واحد: سمّت البيانات المتورطة والبيانات المستبعدة. بالنسبة لـ Singapore Airlines، قالت التقارير العامة أن البيانات المتورطة اقتصرت على رقم العضوية ومستوى الحالة وفي بعض الحالات اسم العضوية، وأن كلمات المرور ومعلومات بطاقات الائتمان وأرقام جوازات السفر وخطوط السير والحجوزات والتذاكر وعناوين البريد الإلكتروني لم تكن متورطة لهذا النقل. بالنسبة لـ Air New Zealand، ذكرت The Guardian حدوداً مماثلة للاسم ومستوى الحالة ورقم العضوية. بالنسبة لـ British Airways و Finnair، ذكرت PhocusWire أن المعلومات التي تم الوصول إليها لم تتضمن تفاصيل مالية أو كلمات مرور.

عمل الاستبعاد هذا ليس تجميلياً. إنه فرز مخاطر. يتصرف الركاب بشكل مختلف اعتماداً على ما إذا كانت كلمات المرور أو أرقام جوازات السفر أو بيانات الدفع أو خطوط السير أو تفاصيل الاتصال أو فقط بيانات مستوى الولاء متورطة. تقوم الجهات التنظيمية أيضاً بتقييم مخاطر الإخطار بشكل مختلف اعتماداً على فئة البيانات وقابلية التحديد والضرر المحتمل والتخفيف والسياق. يمكن للإخطار الغامض إما أن ينذر العملاء بشكل مفرط أو يتركهم دون حماية.

مع ذلك، الاستثناءات قوية بقوة الأدلة التي تدعمها. إذا قالت شركة طيران أن كلمات المرور لم تتأثر، يجب أن تعتمد على بنية النظام وخرائط تدفق البيانات وسجلات المورد ونطاق الحادث. إذا قالت أن أرقام جوازات السفر لم تتم مشاركتها مع شركاء التحالف، يجب أن تثبت مواصفات مشاركة البيانات. إذا قالت أن أنظمة تكنولوجيا المعلومات الخاصة بها لم تتأثر، يجب أن تميز بين الاختراق المباشر والتعرض للبيانات عبر نظام شريك. جودة أدلة المورد تشكل مباشرة ثقة العميل في إخطار شركة الطيران.

صفحة حماية البيانات والخصوصية لـ IATA علىhttps://www.iata.org/en/programs/passenger/data-protection-privacy/ذات صلة هنا لأنها تؤطر خصوصية البيانات كقضية ركاب وشركات طيران في النقل الجوي عبر الحدود. الطيران ليس بيئة مراقب واحد محلي. تنتقل بيانات الركاب عبر شركات الطيران والمطارات والحكومات ومقدمي الخدمات والتحالفات ووكلاء السفر ووكلاء الأرض وبائعي التكنولوجيا. إخطار الاختراق الذي لا يشرح مسار البيانات يترك الراكب مع ارتباك العلامة التجارية.

استجابة مجلس إدارة المورد هي جزء من سجل السيطرة

بيان رئيس مجلس إدارة SITA مهم بشكل غير عادي لأنه يوثق متابعة الحوكمة. يقول أن مجلس إدارة SITA بدأ مراجعة مستقلة وبقي مشاركاً بنشاط. يقول أنه تم عقد جمعية عامة خاصة في 22 فبراير 2022 لعرض الرؤى المكتسبة والدروس الشاملة والإجراءات المتفق عليها للأعضاء. يقول أنه تم تشكيل لجنة أمن سيبراني من خبراء تكنولوجيا المعلومات في المجلس وأصبحت لجنة دائمة. يقول أن تلك اللجنة ستشرف على تنفيذ برنامج تحسين أمني مؤسسي معزز وستقدم تقارير منتظمة للمجلس. يقول أن البرنامج شمل 38 إجراءً عبر 24 مشروعاً تتضمن تحسينات أمنية لدورة حياة المحفظة والتكنولوجيا، وتحديد المواقع للاستجابة للتهديدات الناشئة، والاستمرار في تنفيذ أفضل الممارسات.

هذا السجل العام للحوكمة لا يروي القصة الجنائية الكاملة. لا يكشف مسار الاختراق أو قواعد البيانات المتأثرة الدقيقة أو قائمة عملاء شركات الطيران الكاملة أو جميع إخفاقات السيطرة أو جميع إجراءات العلاج أو نتائج المراجعة المستقلة. لكنه ينقل الحدث من حدث اتصالات إلى برنامج إصلاح تحت إشراف مجلس الإدارة. هذا مهم في قضية مساءلة المورد. يجب على مزود طيران مشترك أن يظهر أن الإصلاح يحكم على المستوى الذي تتخذ فيه قرارات الرغبة في المخاطرة والاستثمار واتصال الأعضاء ودورة حياة المنتج.

وجود لجنة مجلس إدارة يظهر أيضاً الدرس الصحيح: لا يمكن عزل أمن بيانات الركاب داخل فريق استجابة الحوادث. إنه يؤثر على تصميم المنتج والبنية والمشتريات وعلاقات الأعضاء والالتزامات القانونية وهندسة الأمن والمراقبة ودعم العملاء. برنامج الـ 38 إجراءً يشير إلى أن ملف الإصلاح كان يجب أن يغطي مجالات متعددة. لا يمكن للجمهور التحقق من كفاية كل إجراء، لكن الهيكل هو دليل ذو صلة.

إطار عمل الأمن السيبراني لـ NIST علىhttps://www.nist.gov/cyberframeworkو NIST SP 800-53 Rev. 5 علىhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalيوفران مفردات مفيدة لما يجب أن يغطيه برنامج الإصلاح هذا: تحديد الأصول، التحكم في الوصول، التدقيق والمساءلة، إدارة التكوين، الاستجابة للحوادث، سلامة النظام والمعلومات، تقييم المخاطر، التخطيط للاستمرارية، ومخاطر سلسلة التوريد. هذه ليست نتائج خاصة بـ SITA. إنها فئات سيطرة للحكم على ما إذا كان إصلاح المورد بعد الحادث واسعاً بما يكفي.

حقائق مؤكدة، استدلال مدعوم، ومجاهيل

الحقائق العامة المؤكدة تشمل بيان SITA نفسه أنها عانت من هجوم إلكتروني شديد التعقيد في أوائل عام 2021 شمل بعض بيانات الركاب المخزنة على خوادم نظام خدمة الركاب. الحقائق العامة المؤكدة تشمل أيضاً بيان SITA أن إجراءات احتواء مستهدفة بدأت، ومراجعة مستقلة أطلقت، وشكل المجلس لجنة أمن سيبراني، وتم إنشاء برنامج تحسين أمني مؤسسي معزز. تؤكد إخطارات شركات الطيران والتقارير الموثوقة أن عدة شركات طيران أخبرت الركاب أو أعضاء برامج الولاء أن بيانات مرتبطة بنظام خدمة الركاب قد تأثرت.

تؤكد التقارير العامة أيضاً أن بعض إخطارات شركات الطيران وصفت بيانات محدودة للمسافر الدائم بينما وصفت التقارير المتعلقة بـ Air India حوالي 4.5 مليون شخص معني وفئات بيانات ركاب أوسع لتلك الشركة.

الاستدلال المدعوم يشمل الاستنتاج أن فصل مستأجري شركات الطيران، وسياسة الاحتفاظ بالبيانات، وتبادل بيانات التحالف، وجودة إخطار المورد، وأدلة نطاق الاختراق، والوثائق الموجهة للجهات التنظيمية كانت أسطح مساءلة مركزية. هذا الاستنتاج يتبع من نوع النظام المتأثر، ونمط الإخطار عبر شركات الطيران، والإطار القانوني للمعالج والمراقب، وبرنامج الإصلاح على مستوى مجلس إدارة SITA. لا يتطلب الادعاء بالوصول إلى مواد جنائية خاصة لـ SITA.

تبقى مجاهيل. لا يكشف السجل العام طريقة الوصول الأولية الدقيقة، أو القائمة الكاملة للخوادم المتأثرة، أو وقت بقاء المهاجم الكامل، أو خريطة مستأجري شركات الطيران الكاملة، أو جميع حقول البيانات حسب شركة الطيران، أو جميع مبررات الاحتفاظ، أو جميع إخطارات الجهات التنظيمية، أو جميع الجداول الزمنية للإخطار التعاقدية، أو تقرير المراجعة المستقلة، أو قائمة إجراءات برنامج التحسين والأدلة على اكتمالها. لا يظهر السجل العام أيضاً ما إذا كان كل فرد متأثر قد تلقى نفس جودة الإخطار أو ما إذا كان كل إخطار لشركة طيران استند إلى نفس معيار الأدلة.

تلك المجاهيل ليست فجوات لملئها بالتخمين. إنها الفئات التي يجب أن يحافظ عليها ملف مساءلة كامل. يمكن للمورد أن يكون صريحاً بشأن المجاهيل مع الاستمرار في التصرف بمسؤولية. المهم هو ما إذا كان المورد وشركات الطيران يفصلون الحقائق المؤكدة عن الافتراضات ويحدثون الأطراف المتأثرة عندما يتغير النطاق.

ما يجب أن يثبته الإصلاح الدائم

يجب أن يثبت ملف الإصلاح الدائم بعد حادثة SITA حقائق موقع البيانات وتدفقها أولاً. يجب أن يحدد أي بيئات نظام خدمة الركاب خزنت أي بيانات شركات طيران، وأي أنظمة تأثرت، وأي مستأجري شركات طيران لم يتأثروا، وأي بيانات تحالف انتقلت إلى أنظمة شركات الطيران العملاء، وكيف اختلفت حقول البيانات حسب شركة الطيران. يجب أن يخطط الأسماء وأرقام العضوية ومستوى الحالة وبيانات جواز السفر وبيانات التذكرة وبيانات الاتصال وبيانات الدفع وبيانات الولاء بشكل منفصل بدلاً من معاملة بيانات الركاب كحزمة واحدة.

على مستوى السيطرة، يجب أن يظهر الملف عزل المستأجر، والوصول بأقل امتياز، ومراقبة الجلسات المميزة، وتدوير بيانات الاعتماد، وحدود التشفير وإدارة المفاتيح، والفصل بين مجموعات بيانات شركات الطيران، والاحتفاظ بالنسخ الاحتياطية والسجلات، ومراجعة الوصول الإداري، وإدارة الثغرات، وضوابط دورة حياة البرامج الآمنة. إذا كان المورد يستخدم نماذج نشر سحابي أو هجين، يجب أن يميز الملف بين مسؤولية مزود السحابة ومسؤولية SITA ومسؤولية شركة الطيران.

على مستوى الكشف، يجب أن يظهر الملف متى لوحظ النشاط المشبوه لأول مرة، ومتى تم تأكيد خطورة الحادث، وما هي السجلات التي دعمت الاحتواء، وما هي المؤشرات التي تمت مشاركتها، وما الذي راجعه الخبراء الخارجيون، وكيف أثبتت SITA أن الهجوم توقف. على مستوى الإخطار، يجب أن يظهر متى تم إخطار كل شركة طيران، وما هي فئات البيانات التي تم الإبلاغ عنها، وما هو عدم اليقين الذي تم الكشف عنه، ومتى صدرت التحديثات، وكيف تمت ترجمة أدلة المورد إلى إخطارات الركاب.

على مستوى الحوكمة، يجب أن يظهر الملف كيف غيرت مراجعة مجلس الإدارة التمويل ومتطلبات أمن المنتج وإبلاغ الأعضاء وضوابط دورة حياة التكنولوجيا والرقابة الدائمة. يصف بيان رئيس مجلس إدارة SITA لعام 2021 الهيكل العظمي لتلك الاستجابة الحكومية. الدليل العام المفقود هو التفاصيل التشغيلية: ما الذي تغير، وكيف تم قياس الاكتمال، وكيف تحقق المجلس من أن الضوابط لم تكن مخططة فقط بل فعالة.

على مستوى الراكب، يجب أن يظهر ملف الإصلاح ما إذا كان العملاء قد تلقوا نصائح قابلة للتنفيذ مصممة حسب المخاطر الفعلية. عضو المسافر الدائم الذي تأثر رقم عضويته ومستوى حالته يحتاج إلى نصائح مختلفة عن راكب Air India الذي قد تكون بيانات جواز سفره أو تذكرته أو تاريخ ميلاده أو اتصاله أو ولائه أو دفعه متورطة. يمكن أن يتطلب اختراق مورد واحد نصوص إخطار متعددة. تتطلب المساءلة تطابق النصوص مع الحقائق.

الفرض المضاد ليس عدم وجود تكنولوجيا طيران مشتركة

سيكون من غير الواقعي استنتاج أن شركات الطيران يجب أن تتجنب التكنولوجيا المشتركة. يعتمد نظام النقل الجوي على بروتوكولات مشتركة ومنصات معالجة الركاب وأنظمة المطارات وتبادل البيانات الحكومية ومزايا الخطوط البينية والتحالفات وأنظمة الأمتعة وشبكات الاتصالات ومقدمي الطرف الثالث. صفحة SITA الرئيسية علىhttps://www.sita.aero/وصفحات المنتجات تظهر لماذا توجد الشركة: الطيران يحتاج إلى بنية تحتية رقمية مشتركة لنقل الركاب بكفاءة وأمان.

الفرض المضاد هو بنية تحتية مشتركة مع بيانات أضيق، وإيجار أوضح، وعزل قابل للاختبار، وتسليم أسرع للأدلة، وانضباط في إخطار الركاب. لا ينبغي للمورد أن ينتظر الاختراق ليكتشف أي بيانات شركات طيران تقع أين. لا ينبغي لشركات الطيران أن تنتظر الاختراق لتعلم كيف تدخل بيانات التحالف إلى نظام خدمة ركاب ناقل آخر. يجب أن تحدد العقود أدلة الحادث، وليس فقط الإخطار بالحادث. يجب أن تكون الجهات التنظيمية قادرة على إعادة بناء من عرف ماذا ومتى.

تقليل البيانات جزء من هذا الفرض المضاد. إذا لم يكن عنصر البيانات ضرورياً لسير عمل المورد، فلا ينبغي أن يكون موجوداً. إذا كان ضرورياً لأسباب تشغيلية، يجب الاحتفاظ به لفترة محددة، وفصله عن مستأجرين غير مرتبطين، وحمايته بضوابط مناسبة، وتسجيل وصوله. إذا بقيت البيانات القديمة لأسباب قانونية أو تجارية، يجب أن تكون قابلة للتحديد كبيانات قديمة بدلاً من خلطها بشكل غير مرئي مع السجلات التشغيلية الحالية.

تركيز المورد هو أيضاً جزء من الفرض المضاد. شركة تخدم العديد من شركات الطيران يمكن أن تستثمر في الخبرة الأمنية، لكن التركيز يعني أن حادثة مورد واحدة يمكن أن تتطلب من العديد من شركات الطيران إخطار العديد من مجموعات الركاب. يمكن أن يحسن التركيز الضوابط فقط إذا حسن الأدلة. الموارد المشتركة تكسب الثقة بجعل النطاق سريعاً ودقيقاً وقابلاً للتدقيق.

إخطار الراكب قوي بقوة ملف المورد

تظهر قضية SITA أيضاً لماذا يجب معاملة إخطارات الركاب كمنتجات أدلة، وليس كمنتجات علاقات عامة. الإخطار الذي يقول أن أنظمة شركة الطيران الخاصة لم تتأثر قد يكون دقيقاً، لكنه يمكن أن يربك الركاب إذا لم يشرح لماذا كانت بياناتهم موجودة في بيئة أخرى. الإخطار الذي يقول أن بيانات الولاء فقط تأثرت قد يكون دقيقاً لشركة طيران واحدة، لكنه يصبح مضللاً إذا افترض القراء أن نفس قائمة الحقول تنطبق على كل شركة طيران. الإخطار الذي يقول أن بيانات بطاقات الدفع لم تكن متورطة قد يكون دقيقاً لمجموعة سكانية واحدة، بينما قد تتطلب مجموعة عملاء أخرى بياناً مختلفاً.

لذلك يجب أن يكون ملف المورد الكامن وراء تلك الإخطارات منظماً. يجب أن يحافظ على اسم النظام المتأثر، وشركة الطيران العميلة، وحقول البيانات، والنطاق التاريخي، ومصدر البيانات، وسبب وجود البيانات، وأدلة الاحتواء، ومستوى الثقة، وسجل التحديث. يجب أن يسجل أيضاً أي بيانات هي استثناءات: كلمة المرور غير موجودة، رقم جواز السفر غير موجود، بيانات بطاقة الدفع غير موجودة، خط السير غير موجود، عنوان البريد الإلكتروني غير موجود، أو رمز الأمان غير مخزن. الاستثناءات تحتاج إلى أدلة تماماً مثل الاشتمالات.

هذا مهم لأن الركاب يتصرفون بناءً على الاستثناءات. إذا قيل للراكب أنه لا توجد كلمة مرور متورطة، قد يقرر عدم تغيير كلمة المرور. إذا قيل له أنه لا يوجد رقم جواز سفر متورط، قد يقرر عدم الاتصال بسلطات جوازات السفر. إذا قيل له أن رقم الولاء والمستوى فقط متورطان، قد يراقب التصيد الاحتيالي للحساب بدلاً من احتيال بطاقة الدفع. النطاق السيئ يمكن أن ينتج قرارات مخاطر شخصية سيئة حتى عندما يكون الإخطار في الوقت المناسب.

تحتاج شركة الطيران أيضاً إلى ملف المورد للتعامل مع الجهات التنظيمية. لا يمكن للمراقب ببساطة تكرار ملخص المورد إذا لم يستطع شرح لماذا تشكل البيانات المتأثرة خطراً على الأفراد أم لا. يحتاج إلى أساس للقرار. يمكن أن يكون هذا الأساس تقنياً وتعاقدياً وتشغيلياً: ما هي الحقول المخزنة، وكيف كانت منفصلة، وما هي السجلات التي تمت مراجعتها، وما يمكن للمهاجم الوصول إليه، وما إذا كانت البيانات قد نسخت، وما إذا كان التخفيف قد غير الضرر المحتمل.

اختبار المساءلة هو ما إذا كانت أدلة المورد تصمد أمام الترجمة. قد يصف المهندسون قواعد البيانات والمخططات وسجلات الوصول وصور الخوادم. قد يصف المحامون إخطار المعالج وفئات البيانات. قد تصف فرق العملاء ما حدث بلغة بسيطة. قد تطلب الجهات التنظيمية تحليل المخاطر القانوني. قد يسأل الركاب ماذا يفعلون بعد ذلك. إذا أنتجت تلك الترجمات ادعاءات متناقضة، تفشل الاستجابة حتى لو كان عمل الاحتواء الأساسي قوياً.

بيانات الطيران المشتركة تحتاج إلى سلسلة حفظ قابلة لإعادة التشغيل

سلسلة حفظ قابلة لإعادة التشغيل هي الإجابة العملية على الارتباك عبر شركات الطيران. لا تتطلب جعل سجلات الأمن الخاصة عامة. تتطلب من المورد وشركات الطيران أن يكونوا قادرين على إعادة بناء المسار من جمع البيانات إلى التعرض والإخطار. بالنسبة لسجل ولاء، يجب أن يظهر الملف أي شركة طيران جمعت بيانات العضو، ولماذا تمت مشاركتها مع شريك تحالف أو عميل نظام ركاب، ومتى دخلت بيئة SITA، وما هي الحقول المخزنة، ولماذا كانت هناك حاجة لتلك الحقول. بالنسبة لسجل خدمة الركاب، يجب أن يظهر الملف منطق الحجز والتذاكر وتسجيل الوصول والوثائق والدفع والاحتفاظ بشكل منفصل.

يجب أن تحدد السلسلة نفسها اللحظة التي أصبحت فيها استجابة الاختراق قابلة للتنفيذ قانونياً وتشغيلياً. يضع بيان رئيس مجلس إدارة SITA تأكيد خطورة الحادث في 24 فبراير 2021. من تلك النقطة، احتاجت شركات الطيران العملاء المتأثرون إلى أدلة. لذلك يجب أن يظهر السلسلة وقت الإخطار والمستلم وملخص حقل البيانات وعدم اليقين والتحديثات اللاحقة وأي تصعيد مواجه للجهات التنظيمية. يجب أن يظهر أيضاً متى يمكن لشركة طيران إخطار الركاب بمسؤولية ومتى احتاجت إلى تأكيد إضافي من المورد.

سلسلة الحفظ هذه ليست تمريناً عقابياً. إنها تحمي كل طرف من اللوم الغامض. يمكن للمورد أن يظهر أي حدود للمستأجر صمدت. يمكن لشركة الطيران أن تظهر لماذا أخطارت أو لم تخطر شريحة معينة من العملاء. يمكن للجهة التنظيمية رؤية مسار القرار. يمكن للراكب رؤية ما إذا كانت النصيحة تطابق البيانات. بدون تلك السلسلة، يصبح الحادث نقاشاً حول مسؤولية العلامة التجارية بدلاً من فحص السيطرة.

سجل SITA قيم لأنه كشف طبقة سيطرة خفية. العلامات التجارية المرئية للطيران لم تكن دائماً مشغلي أنظمة السجلات المتأثرة. المورد لم يكن دائماً الطرف المقابل المباشر للراكب. مسار التحالف يمكن أن يجعل البيانات موجودة حيث لا يتوقعها الراكب. سلسلة أدلة قابلة لإعادة التشغيل هي الطريقة الوحيدة لجعل تلك البنية مسؤولة دون التظاهر بأنها أبسط مما هي عليه.

المساءلة تتبع سلسلة الأدلة

يجب أن يتبع التخصيص النهائي السيطرة العملية على الأدلة. سيطرت SITA على بيئة نظام خدمة الركاب المتأثرة ومعظم سجل التحقيق. سيطرت شركات الطيران على علاقات العملاء والعديد من إخطارات الركاب. شرحت التحالفات وترتيبات الخطوط البينية لماذا يمكن أن توجد بعض بيانات المسافر الدائم خارج أنظمة شركة الطيران الخاصة بالراكب. قدمت الجهات التنظيمية التوقعات القانونية لإخطار الاختراق وواجبات المعالج والمساءلة. كان لدى الركاب أقل رؤية وكان عليهم الاعتماد على دقة التسليمات من المورد إلى شركة الطيران.

هذا التخصيص لا يعني أن كل شركة طيران كان لها نفس التعرض أو أن كل راكب متأثر واجه نفس المخاطر. يظهر السجل العكس: بعض الإخطارات شملت بيانات ولاء مقيدة، بينما شملت التقارير المتعلقة بـ Air India فئات بيانات ركاب أوسع. تتطلب المساءلة الحفاظ على تلك الاختلافات بدلاً من فرض الحدث في رقم واحد.

استجابة الحوكمة العامة لـ SITA هي جزء ذو معنى من سجل الإصلاح، لكنها لا تسد فجوة الأدلة العامة بنفسها. الدرس الدائم هو أن موردي الطيران يجب أن يكونوا قادرين على إثبات حدود المستأجر، والاحتفاظ بالبيانات، وكشف الحوادث، وإخطار شركات الطيران، وأدلة الجهات التنظيمية، والإصلاح على مستوى مجلس الإدارة. يمكن للعلامات التجارية لشركات الطيران الاعتذار للركاب، لكن لا يمكنها إثبات الحقائق التي تقع داخل سجلات المورد بشكل مستقل. لهذا السبب جعلت SITA بيانات ركاب الطيران اختباراً لمساءلة المورد.

الدرس الأطول للحادثة يتعلق بالبنية التحتية الخفية. يرى ركاب الطيران شركات الطيران، وليس الشبكة الكاملة للأنظمة وراء تسجيل الوصول والتعرف على الولاء وتبادل البيانات ومعالجة الركاب. الاختراق يجعل تلك الشبكة مرئية تحت الضغط. الاستجابة المسؤولة ليست التظاهر بأن الشبكة بسيطة. إنها توثيقها، وتقليل البيانات غير الضرورية، ومراقبتها، وحوكمتها، وإعطاء كل راكب متأثر إخطاراً يعكس المسار الفعلي الذي سلكته بياناته.