Résumé
- L'incident du Passenger Service System de SITA en 2021 relève d'un dossier de risque et de responsabilité car les passagers ont subi un risque par l'intermédiaire des marques de compagnies aériennes tandis que le cadrage clé, les journaux, les preuves de confinement et les notifications du fournisseur se trouvaient chez le fournisseur informatique aéronautique.
- Qui avait le contrôle pratique sur la séparation des locataires de compagnies aériennes, la conservation des données des services passagers, la notification du fournisseur à la compagnie aérienne, la délimitation de l'exposition des programmes de fidélisation, les preuves réglementaires et la preuve qu'un fournisseur informatique aéronautique n'est pas devenu un angle mort partagé?
- Le communiqué du président de SITA en 2021 surhttps://www.sita.aero/sita-activity-report-2021/executive-statements/chair-statement/confirme que SITA a été victime d'une cyberattaque très sophistiquée au début de l'année 2021 impliquant certaines données passagers stockées sur les serveurs du SITA Passenger Service System, que des mesures de confinement ciblées ont été lancées et que le conseil d'administration a mis en place des mécanismes de gouvernance, notamment un examen indépendant, un comité de cybersécurité et un programme renforcé d'amélioration de la sécurité de l'entreprise.
- Les avis adressés aux compagnies aériennes et les rapports surhttps://techcrunch.com/2021/03/04/sita-airline-passenger-breach/,https://www.phocuswire.com/sita-cyber-attack-accesses-passenger-data-for-multiple-airlines,https://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolenethttps://www.bleepingcomputer.com/news/security/sita-data-breach-affects-millions-of-travelers-from-major-airlines/montrent le caractère trans-compagnies aériennes de l'événement, y compris les données des voyageurs fréquents qui transitaient parfois par des arrangements d'alliance plutôt que par une relation client directe avec SITA PSS.
- Les rapports publics concernant Air India surhttps://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/,https://www.livemint.com/news/india/air-india-issues-helpline-number-amid-massive-data-breach-including-credit-cards-11621687289916.htmlethttps://www.forbes.com/sites/carlypage/2021/05/23/air-india-data-breach-hackers-access-personal-details-of-45-million-customers/sont importants car ils ont élargi la compréhension publique de l'incident, passant des identifiants des programmes de fidélisation à des enregistrements passagers plus larges pour un client SITA PSS.
- Cet article considère la déclaration du rapport d'activité 2021 de SITA comme preuve publique principale, traite les avis des compagnies aériennes et les rapports faisant autorité comme preuves de chronologie et de portée, et utilise les matériels GDPR, EDPB, IATA, NIST et SITA pour le vocabulaire de la responsabilité plutôt que des preuves médico-légales privées.
Pourquoi ce cas relève d'un dossier de risque et de responsabilité
SITA relève d'un dossier de risque et de responsabilité car les passagers aériens choisissent rarement le fournisseur de système de services passagers qui stocke ou traite une partie de leur dossier de voyage. Un passager achète un billet auprès d'une compagnie aérienne, adhère à un programme de fidélisation, utilise un avantage d'alliance, s'enregistre à l'aéroport, présente des documents de voyage et s'attend à ce que la marque de la compagnie aérienne réponde en cas de problème.
Derrière cette relation visible, des fournisseurs comme SITA exploitent des systèmes qui prennent en charge les flux de travail de réservation, de contrôle des départs, de traitement des passagers et d'échange de données. Lorsqu'un incident chez un fournisseur affecte les données des passagers, la question pratique de la responsabilité devient plus difficile que dans une violation de marque unique: quelle partie contrôlait l'environnement affecté, quelle partie contrôlait la relation client et quelle partie disposait des preuves nécessaires pour informer les passagers de ce qui s'était passé?
Le dossier public le plus clair appartenant à SITA n'est pas une courte page de presse sur l'incident qui reste facile à trouver. Il s'agit de la déclaration du président du rapport d'activité 2021 de la société surhttps://www.sita.aero/sita-activity-report-2021/executive-statements/chair-statement/. Cette déclaration reconnaît que SITA a été victime d'une cyberattaque très sophistiquée au début de l'année 2021, que l'incident impliquait certaines données passagers stockées sur les serveurs du SITA Passenger Service System, que SITA a agi rapidement après confirmation de la gravité de l'incident et que des mesures de confinement ciblées ont été lancées. Elle consigne également les actions de gouvernance: un examen indépendant, une Assemblée générale spéciale le 22 février 2022 pour présenter les enseignements et les actions convenues aux membres, un comité de cybersécurité composé d'experts informatiques du conseil d'administration de SITA et un programme renforcé d'amélioration de la sécurité de l'entreprise comprenant 38 actions réparties sur 24 projets.
Ces faits sont importants car ils placent l'événement dans la bonne catégorie. Il ne s'agissait pas seulement d'un problème de communication des compagnies aériennes. Il s'agissait d'un incident de sécurité des données contrôlé par un fournisseur au sein d'une infrastructure aéronautique partagée. Le fournisseur a dû enquêter sur les serveurs affectés. Les compagnies aériennes ont dû informer leurs propres clients et membres de programmes de fidélisation. Les alliances ont dû rendre compte des pratiques de partage de données.
Les régulateurs et les équipes de protection des données ont dû comprendre les responsabilités du responsable du traitement, du sous-traitant et de la notification. Les passagers ont dû interpréter le risque à partir d'avis qui disaient souvent que les systèmes de leur propre compagnie aérienne n'étaient pas directement affectés.
La question fondamentale est donc pratique: qui avait le contrôle pratique sur la séparation des locataires de compagnies aériennes, la conservation des données des services passagers, la notification du fournisseur à la compagnie aérienne, la délimitation de l'exposition des programmes de fidélisation, les preuves réglementaires et la preuve qu'un fournisseur informatique aéronautique n'est pas devenu un angle mort partagé? La réponse publique est partagée. SITA contrôlait l'environnement SITA PSS affecté et une grande partie des preuves médico-légales.
Les compagnies aériennes contrôlaient leurs relations avec les passagers et de nombreuses communications avec les personnes concernées. Les processus d'alliance ont aidé à expliquer pourquoi certaines données pouvaient être présentes dans le système passagers d'un autre transporteur. Les régulateurs ont fourni le vocabulaire juridique pour la notification des violations, les obligations du sous-traitant et la responsabilité. Les passagers ne contrôlaient pratiquement aucune des preuves pertinentes.
La chronologie commence par la détection par le fournisseur, pas par la sensibilisation des passagers
La chronologie publique commence par la confirmation par SITA que la gravité de l'incident a été établie le 24 février 2021 et que les clients SITA PSS concernés et les organisations apparentées ont été contactés. Le rapport de TechCrunch surhttps://techcrunch.com/2021/03/04/sita-airline-passenger-breach/a saisi la fenêtre de divulgation publique initiale et a décrit SITA comme confirmant une violation impliquant des données passagers stockées sur des serveurs américains. SecurityWeek surhttps://www.securityweek.com/multiple-airlines-impacted-data-breach-aviation-it-firm-sita/et Infosecurity Magazine surhttps://www.infosecurity-magazine.com/news/sita-supply-chain-breach-hits/ont également rapporté la déclaration de SITA selon laquelle les données du Passenger Service System étaient impliquées et que le confinement et l'enquête étaient en cours.
Le délai entre la confirmation par le fournisseur et la compréhension par les passagers constitue la surface de responsabilité. Un fournisseur peut informer rapidement les compagnies aériennes clientes concernées. Une compagnie aérienne peut ensuite devoir déterminer si ses propres clients sont concernés, quels éléments de données étaient présents, si elle était cliente directe de SITA PSS, si les données étaient présentes via des arrangements d'alliance, si les seuils de notification réglementaire sont atteints, ce que le message client doit dire et si les clients doivent changer leurs mots de passe ou leurs cartes de paiement.
Le passager voit la fin de cette chaîne, pas les transferts internes.
Le rapport de PhocusWire surhttps://www.phocuswire.com/sita-cyber-attack-accesses-passenger-data-for-multiple-airlinesest utile car il montre que l'événement ne se limitait pas aux compagnies aériennes qui utilisaient SITA PSS directement. Il a rapporté que la violation avait affecté plusieurs compagnies aériennes, dont certaines dont les données de voyageurs fréquents transitaient par l'environnement violé en raison de l'échange de données d'alliance. Singapore Airlines, par exemple, a déclaré que, bien qu'elle ne soit pas cliente de SITA PSS, un ensemble restreint de données de voyageurs fréquents était partagé au sein de Star Alliance et pouvait résider dans le système de services passagers d'une autre compagnie aérienne membre. Cette distinction est centrale pour la responsabilité. Un passager peut être affecté par une relation fournisseur que sa propre compagnie aérienne n'a pas au sens habituel du terme vis-à-vis du client.
Le reportage du Guardian surhttps://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolena consigné les avis aux passagers qui limitaient certaines expositions au numéro d'adhésion au programme de fidélisation, au statut de niveau et au nom. Le rapport de BleepingComputer surhttps://www.bleepingcomputer.com/news/security/sita-data-breach-affects-millions-of-travelers-from-major-airlines/a identifié plusieurs transporteurs qui avaient informé les passagers d'une exposition liée à SITA. Ces rapports ne remplacent pas les journaux privés de SITA, mais ils montrent la chronologie publique: incident chez le fournisseur, avis de la compagnie aérienne, explication de l'alliance, cadrage du risque pour le passager.
Les données des voyageurs fréquents ne sont pas triviales simplement parce qu'il ne s'agit pas d'un mot de passe
Plusieurs avis de compagnies aériennes ont souligné que les données exposées n'incluaient pas les mots de passe, les données de carte de paiement, les numéros de passeport, les itinéraires, les réservations, les détails de billetterie ou les adresses e-mail pour certains groupes concernés. Cette limitation est importante et doit être reconnue. Le rapport concernant Singapore Airlines surhttps://www.business-standard.com/article/international/about-580-000-frequent-fliers-data-breached-says-singapore-airlines-121030500113_1.htmla indiqué que les informations affectées se limitaient au numéro d'adhésion, au statut de niveau et, dans certains cas, au nom du membre pour environ 580 000 membres KrisFlyer et PPS. Les avis aux clients d'Air New Zealand décrits danshttps://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolenutilisaient des limites similaires pour les données de voyageurs fréquents concernées.
Mais les données des voyageurs fréquents ne sont pas des métadonnées insignifiantes. Un numéro d'adhésion, un statut de niveau et un nom peuvent révéler une relation commerciale, un droit de voyage, un identifiant de compte, une valeur de fidélisation et un contexte d'ingénierie sociale. Cela peut aider un attaquant à rédiger des messages de support de compte plus plausibles. Cela peut aider à identifier les voyageurs à forte valeur. Cela peut être combiné avec d'autres ensembles de données.
Cela peut également exposer le fait que les avantages d'alliance nécessitent que les données circulent au-delà de la compagnie aérienne qui a émis le compte de fidélisation.
La question de responsabilité n'est donc pas de savoir si les pires éléments de données possibles ont été exposés dans chaque avis de compagnie aérienne. La question est de savoir si chaque population de données a été correctement délimitée et expliquée. Pour certains transporteurs, le dossier public faisait référence à un ensemble restreint de données de voyageurs fréquents. Pour Air India, le dossier public a ensuite décrit un ensemble beaucoup plus large de données passagers. Cette différence prouve pourquoi un seul récit générique de violation de SITA est insuffisant.
Les reportages concernant Air India surhttps://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/,https://www.livemint.com/news/india/air-india-issues-helpline-number-amid-massive-data-breach-including-credit-cards-11621687289916.htmlethttps://www.forbes.com/sites/carlypage/2021/05/23/air-india-data-breach-hackers-access-personal-details-of-45-million-customers/ont indiqué qu'Air India avait informé ses clients que SITA PSS, son sous-traitant de données pour le système de services passagers, avait été victime d'une cyberattaque et qu'environ 4,5 millions de personnes concernées dans le monde étaient affectées. Les rapports publics décrivaient des catégories exposées pouvant inclure le nom, la date de naissance, les coordonnées, les informations de passeport, les informations de billet, les données de voyageur fréquent et les données de carte de crédit, tout en notant que les codes de sécurité des cartes n'étaient pas détenus par SITA PSS. Ces faits ne doivent pas être mélangés avec les avis plus limités ne concernant que la fidélisation d'autres compagnies aériennes. Ils montrent pourquoi la délimitation doit être spécifique à la compagnie aérienne et à la catégorie de données.
Les limites des locataires ne deviennent visibles qu'après la violation
Les systèmes de services passagers créent un défi de responsabilité car la limite du locataire est moins visible pour le passager qu'elle ne l'est pour les ingénieurs et les équipes contractuelles. Un passager peut supposer que la compagnie aérienne détient le dossier. La compagnie aérienne peut utiliser un fournisseur. Le fournisseur peut héberger plusieurs clients compagnies aériennes. Les partenaires d'alliance peuvent partager un sous-ensemble restreint de données. Les aéroports et les agents de piste peuvent dépendre des données de traitement des passagers. Les gouvernements peuvent recevoir des informations préalables sur les voyageurs.
Le système est conçu pour rendre le voyage unifié. Une violation force l'architecture des données à être exposée au public.
La page produit actuelle de SITA pour le traitement des passagers surhttps://www.sita.aero/solutions/sita-at-airports/sita-passenger-processing/sita-maestro/n'est pas un enregistrement médico-légal de l'incident de 2021, mais elle illustre pourquoi les systèmes de traitement des passagers sont importants. La page décrit l'enregistrement et l'embarquement automatisés, le déploiement dans le cloud ou sur site, la transmission des données passagers, l'intégration avec d'autres produits de traitement des passagers et les fonctionnalités de résilience pour les opérations de contrôle des départs. Ces capacités démontrent le type de surface opérationnelle qu'un fournisseur de système passagers peut occuper: l'identité, le statut des départs, l'enregistrement, l'embarquement, les systèmes des compagnies aériennes, les flux de données gouvernementaux et les opérations aéroportuaires.
Cet article ne prétend pas que SITA Maestro était impliqué dans l'incident de 2021. Il utilise le contexte du produit pour expliquer la classe de dépendance. L'automatisation du traitement des passagers peut être déployée dans différentes architectures, mais le problème de responsabilité est constant: le système du fournisseur peut être central sur le plan opérationnel tandis que la relation de confiance du passager reste avec la compagnie aérienne. Lorsque le fournisseur a les journaux et que la compagnie aérienne a le client, la qualité de la notification dépend de la discipline de transfert.
La question des limites des locataires comporte au moins cinq parties. Premièrement, quelles données de compagnies aériennes se trouvaient sur les serveurs SITA PSS affectés? Deuxièmement, quelles données étaient présentes parce que la compagnie aérienne était cliente de SITA PSS, et quelles données étaient présentes en raison d'accords de partage de données d'alliance ou d'interlignes? Troisièmement, quels identifiants passagers étaient liés aux documents de voyage, aux billets, aux enregistrements de paiement, aux identifiants de compte ou aux coordonnées?
Quatrièmement, quels chemins de serveurs, bases de données, applications ou support traversaient les limites des compagnies aériennes? Cinquièmement, comment SITA a-t-il prouvé à chaque compagnie aérienne que les locataires de compagnies aériennes non concernés ou les catégories de données non concernées n'étaient pas affectés?
Ces questions ne sont pas des accusations. Ce sont les catégories de preuves nécessaires à une délimitation responsable. Un fournisseur peut déclarer que seules certaines données passagers ont été affectées. Les compagnies aériennes peuvent déclarer que leurs propres systèmes n'ont pas été affectés. Les deux déclarations peuvent être vraies, mais le public a encore besoin de comprendre l'architecture qui les rend vraies simultanément.
Le responsable du traitement, le sous-traitant et le passager ne sont pas le même rôle
Le dossier RGPD est important car de nombreuses compagnies aériennes, passagers et flux de données concernés se trouvent dans ou touchent des juridictions où les obligations du responsable du traitement et du sous-traitant façonnent la réponse aux violations. Le texte officiel du RGPD surhttps://eur-lex.europa.eu/eli/reg/2016/679/oj/engdéfinit le cadre juridique, y compris les responsabilités des responsables du traitement et des sous-traitants, la sécurité du traitement et la notification des violations de données à caractère personnel. Les lignes directrices du CEPD sur le responsable du traitement et le sous-traitant surhttps://www.edpb.europa.eu/documents/guideline/guidelines-072020-on-the-concepts-of-controller-and-processor-in-the-gdpr_enexpliquent que ces concepts déterminent qui est responsable de la conformité et comment les personnes concernées peuvent exercer leurs droits en pratique. Les lignes directrices du CEPD sur la notification des violations surhttps://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_ensont utiles car elles soulignent que les sous-traitants notifient les responsables du traitement sans retard excessif après avoir pris connaissance d'une violation et que le risque pour les individus détermine les décisions de notification.
Ce vocabulaire juridique s'applique au cas SITA sans résoudre le rôle juridique exact de chaque compagnie aérienne dans chaque juridiction. SITA peut agir en tant que sous-traitant pour certaines données de services passagers des compagnies aériennes. Les compagnies aériennes peuvent agir en tant que responsables du traitement pour leurs dossiers clients et de fidélisation. L'échange de données d'alliance peut créer des questions d'attribution supplémentaires. Les passagers sont des personnes concernées, des clients, des membres de programmes de fidélisation ou des individus affectés selon le contexte.
Le dossier de responsabilité correct doit préserver ces distinctions.
Les avis des compagnies aériennes utilisent souvent un langage pratique plutôt qu'une taxonomie juridique. Ils indiquent aux clients quelles données étaient impliquées, ce qui ne l'était pas, si les systèmes de la compagnie aérienne ont été affectés et si le client doit agir. C'est nécessaire. Mais derrière l'avis, le responsable du traitement doit être en mesure de justifier l'évaluation des risques. Si un sous-traitant fournit des preuves incomplètes, le responsable du traitement ne peut pas donner un avis fiable.
Si un responsable du traitement retarde ou atténue un avis parce que le sous-traitant n'a pas terminé la délimitation, les passagers supportent l'incertitude.
L'incident SITA teste donc la chaîne de preuves entre le sous-traitant et le responsable du traitement. SITA a dû fournir des faits aux compagnies aériennes. Les compagnies aériennes ont dû traduire ces faits en avis destinés aux passagers. Les régulateurs ont pu demander si les notifications étaient opportunes et adéquates. Les passagers n'ont pas pu inspecter les journaux d'origine. C'est pourquoi la responsabilité du fournisseur ne peut pas être réduite à « nous avons informé nos clients ».
Elle exige la preuve que les notifications du fournisseur étaient suffisamment complètes pour permettre aux responsables du traitement en aval de remplir leurs obligations.
Air India a changé le dénominateur
La première vague d'attention publique s'est concentrée sur les données des voyageurs fréquents de plusieurs transporteurs de Star Alliance et oneworld. Air India a changé le dénominateur public. Le rapport de BleepingComputer sur Air India surhttps://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/a indiqué qu'Air India avait révélé qu'environ 4,5 millions de clients avaient été touchés après le piratage de SITA PSS. Le rapport de Mint surhttps://www.livemint.com/news/india/air-india-issues-helpline-number-amid-massive-data-breach-including-credit-cards-11621687289916.htmlreproduisait le langage d'Air India décrivant SITA PSS comme le sous-traitant de données pour le système de services passagers et indiquait que l'incident avait touché environ 4,5 millions de personnes concernées dans le monde. Forbes surhttps://www.forbes.com/sites/carlypage/2021/05/23/air-india-data-breach-hackers-access-personal-details-of-45-million-customers/a placé la divulgation dans le contexte plus large du piratage de SITA.
Ce dénominateur est important pour trois raisons. Premièrement, il suggère qu'un client de SITA PSS pourrait avoir des enregistrements passagers plus larges dans l'environnement affecté que les seuls ensembles de données de voyageurs fréquents d'alliance. Deuxièmement, cela impliquait des données sur une longue période d'enregistrement, selon les rapports publics, ce qui soulève des questions de conservation et de minimisation. Troisièmement, cela a forcé une distinction entre les données de carte de paiement et les données de code de sécurité de la carte.
Les rapports publics indiquaient que les informations de carte de crédit pouvaient être impliquées mais que les numéros CVV ou CVC n'étaient pas stockés par SITA PSS.
La différence entre 580 000 enregistrements de fidélisation restreints et 4,5 millions de personnes concernées par des données passagers plus larges n'est pas une contradiction en soi. Différentes compagnies aériennes peuvent avoir différentes catégories de données, périodes de conservation, configurations de fournisseur et seuils de notification. L'échec de responsabilité serait de les réduire à une seule statistique indifférenciée.
Un incident chez un fournisseur peut produire plusieurs dénominateurs: compagnies aériennes clientes notifiées, passagers affectés par compagnie aérienne, membres de programmes de fidélisation affectés, catégories de données exposées, enregistrements dans chaque catégorie, plages de dates, régulateurs notifiés et clients nécessitant des conseils de remédiation.
Air India soulève également la question de la conservation des données. Les rapports publics indiquaient que la période d'enregistrement concernée allait de 2011 au début de 2021. Une fenêtre de dix ans est un signal de responsabilité. Les systèmes de services passagers peuvent conserver des enregistrements pour des raisons commerciales légitimes, réglementaires, de fidélisation, de règlement, de documents de voyage, de litige ou d'archivage.
Mais lorsque des données anciennes sont exposées, le dossier doit expliquer pourquoi ces champs existaient, qui a approuvé la conservation, si les enregistrements passagers inactifs ont été minimisés et si les anciennes données étaient séparées des flux opérationnels courants.
Les avis des compagnies aériennes devaient séparer ce qui était connu de ce qui était exclu
Les meilleurs avis des compagnies aériennes faisaient deux choses à la fois: ils nommaient les données impliquées et les données exclues. Pour Singapore Airlines, les rapports publics indiquaient que les données impliquées se limitaient au numéro d'adhésion, au statut de niveau et, dans certains cas, au nom du membre, et que les mots de passe, les informations de carte de crédit, les numéros de passeport, les itinéraires, les réservations, la billetterie et les adresses e-mail n'étaient pas impliqués pour ce transfert de données.
Pour Air New Zealand, The Guardian a rapporté des limitations similaires pour le nom, le statut de niveau et le numéro d'adhésion. Pour British Airways et Finnair, PhocusWire a rapporté que les informations auxquelles on avait accédé n'incluaient pas de détails financiers ou de mots de passe.
Ce travail d'exclusion n'est pas cosmétique. C'est un tri des risques. Les passagers agissent différemment selon que des mots de passe, des numéros de passeport, des données de paiement, des itinéraires, des coordonnées ou seulement des données de niveau de fidélisation sont impliqués. Les régulateurs évaluent également le risque de notification différemment selon la catégorie de données, l'identifiabilité, le préjudice probable, l'atténuation et le contexte. Un avis vague peut soit alarmer excessivement les clients, soit les laisser sans protection.
Néanmoins, les exclusions ne sont aussi solides que les preuves qui les sous-tendent. Si une compagnie aérienne déclare que les mots de passe n'ont pas été affectés, elle doit s'appuyer sur l'architecture du système, les cartographies des flux de données, les journaux du fournisseur et la délimitation de l'incident. Si elle déclare que les numéros de passeport n'ont pas été partagés avec les partenaires d'alliance, elle doit prouver la spécification du partage de données.
Si elle déclare que ses propres systèmes informatiques n'ont pas été affectés, elle doit distinguer la compromission directe de l'exposition des données via le système d'un partenaire. La qualité des preuves du fournisseur façonne donc directement la confiance des clients dans l'avis de la compagnie aérienne.
La page de l'IATA sur la protection des données et la vie privée surhttps://www.iata.org/en/programs/passenger/data-protection-privacy/est pertinente ici car elle présente la confidentialité des données comme une question pour les passagers et les compagnies aériennes dans le transport aérien transfrontalier. L'aviation n'est pas un environnement local à un seul responsable du traitement. Les données des passagers transitent par les compagnies aériennes, les aéroports, les gouvernements, les prestataires de services, les alliances, les agents de voyages, les agents de piste et les fournisseurs de technologie. Un avis de violation qui n'explique pas le chemin des données laisse le passager confus quant à la marque.
La réponse du conseil d'administration du fournisseur fait partie du dossier de contrôle
La déclaration du président de SITA est inhabituellement importante car elle documente le suivi de la gouvernance. Elle indique que le conseil d'administration de SITA a initié un examen indépendant et est resté activement impliqué. Elle indique qu'une Assemblée générale spéciale a eu lieu le 22 février 2022 pour présenter les enseignements tirés, les apprentissages globaux et les actions convenues aux membres. Elle indique qu'un comité de cybersécurité a été formé à partir d'experts informatiques du conseil et est devenu un comité permanent.
Elle indique que ce comité superviserait la mise en œuvre du programme renforcé d'amélioration de la sécurité de l'entreprise et ferait régulièrement rapport au conseil. Elle indique que le programme comprenait 38 actions réparties sur 24 projets impliquant des améliorations de sécurité pour les cycles de vie des portefeuilles et des technologies, le positionnement de la réponse face aux menaces émergentes et la poursuite de la mise en œuvre des meilleures pratiques.
Ce dossier public de gouvernance ne raconte pas toute l'histoire médico-légale. Il ne divulgue pas le chemin d'intrusion, les bases de données exactes affectées, la liste complète des locataires de compagnies aériennes, l'ensemble des défaillances de contrôle, toutes les actions de remédiation ou les conclusions de l'examen indépendant. Mais il fait passer l'événement d'un événement de communication à un programme de réparation supervisé par le conseil. Cela compte dans un cas de responsabilité de fournisseur.
Un fournisseur aéronautique partagé doit montrer que la réparation est gouvernée au niveau où les décisions d'appétit pour le risque, d'investissement, de communication avec les membres et de cycle de vie des produits sont prises.
L'existence d'un comité du conseil montre également la bonne leçon: la sécurité des données passagers ne peut pas être isolée au sein d'une équipe de réponse aux incidents. Elle affecte la conception des produits, l'architecture, les achats, les relations avec les membres, les obligations légales, l'ingénierie de sécurité, la surveillance et le support client. Le programme de 38 actions suggère que le dossier de réparation devait couvrir plusieurs domaines. Le public ne peut pas vérifier l'adéquation de chaque action, mais la structure est une preuve pertinente.
Le cadre de cybersécurité du NIST surhttps://www.nist.gov/cyberframeworket le NIST SP 800-53 Rev. 5 surhttps://csrc.nist.gov/publications/detail/sp/800-53/rev-5/finalfournissent un vocabulaire utile pour ce qu'un tel programme de réparation devrait couvrir: identification des actifs, contrôle d'accès, audit et responsabilité, gestion de la configuration, réponse aux incidents, intégrité des systèmes et des informations, évaluation des risques, planification de la continuité et risque lié à la chaîne d'approvisionnement. Il ne s'agit pas de conclusions spécifiques à SITA. Ce sont des catégories de contrôle pour juger si la réparation post-incident d'un fournisseur est suffisamment large.
Faits confirmés, inférence étayée et inconnues
Les faits publics confirmés incluent la propre déclaration de SITA selon laquelle elle a subi une cyberattaque très sophistiquée au début de l'année 2021 impliquant certaines données passagers stockées sur les serveurs du SITA Passenger Service System. Les faits publics confirmés incluent également la déclaration de SITA selon laquelle des mesures de confinement ciblées ont été lancées, un examen indépendant a été lancé, le conseil a formé un comité de cybersécurité et un programme renforcé d'amélioration de la sécurité de l'entreprise a été créé.
Les avis des compagnies aériennes et les rapports faisant autorité confirment que plusieurs compagnies aériennes ont informé leurs passagers ou membres de programmes de fidélisation que des données liées à SITA PSS avaient été affectées. Les rapports publics confirment également que certains avis de compagnies aériennes décrivaient des données limitées de voyageurs fréquents tandis que les reportages concernant Air India décrivaient environ 4,5 millions de personnes concernées et des catégories de données passagers plus larges pour cette compagnie aérienne.
L'inférence étayée inclut la conclusion que la séparation des locataires de compagnies aériennes, la politique de conservation des données, l'échange de données d'alliance, la qualité de la notification du fournisseur, les preuves de délimitation de la violation et la documentation destinée aux régulateurs étaient des surfaces de responsabilité centrales. Cette inférence découle du type de système affecté, du modèle d'avis trans-compagnies aériennes, du cadre juridique responsable du traitement/sous-traitant et du propre programme de remédiation au niveau du conseil de SITA.
Elle ne nécessite pas de revendiquer l'accès aux documents médico-légaux privés de SITA.
Des inconnues subsistent. Le dossier public ne révèle pas la méthode d'accès initial exacte, la liste complète des serveurs affectés, la durée de présence totale de l'attaquant, la carte complète des locataires de compagnies aériennes, tous les champs de données par compagnie aérienne, toutes les justifications de conservation, toutes les notifications aux régulateurs, tous les délais de notification contractuels, le rapport d'examen indépendant ou la liste complète des actions ESIP+ et les preuves d'achèvement.
Le dossier public ne montre pas non plus si chaque individu affecté a reçu exactement la même qualité d'avis ou si l'avis de chaque compagnie aérienne reposait sur la même norme de preuve.
Ces inconnues ne sont pas des lacunes à combler par des spéculations. Ce sont les catégories qu'un dossier de responsabilité complet devrait préserver. Un fournisseur peut être honnête sur les inconnues tout en agissant de manière responsable. Ce qui compte, c'est que le fournisseur et les compagnies aériennes séparent les faits confirmés des hypothèses et informent les parties affectées lorsque la délimitation change.
Ce qu'une réparation durable devrait prouver
Un dossier de réparation durable après l'incident SITA devrait prouver en premier lieu les faits de localisation et de flux des données. Il devrait identifier quels environnements SITA PSS stockaient quelles données de compagnies aériennes, quels systèmes ont été affectés, quels locataires de compagnies aériennes n'ont pas été affectés, quelles données d'alliance ont transité vers les systèmes des compagnies aériennes clientes et comment les champs de données différaient selon les compagnies aériennes.
Il devrait cartographier séparément les noms, les numéros d'adhésion, le statut de niveau, les données de passeport, les données de billet, les données de contact, les données de paiement et les données de fidélisation plutôt que de traiter les données passagers comme un seul ensemble.
Au niveau du contrôle, le dossier devrait montrer l'isolation des locataires, l'accès avec privilèges minimaux, la surveillance des sessions privilégiées, la rotation des identifiants, les limites de chiffrement et de gestion des clés, la segmentation entre les ensembles de données des compagnies aériennes, la conservation des sauvegardes et des journaux, la révision des accès administratifs, la gestion des vulnérabilités et les contrôles de cycle de vie sécurisé des logiciels.
Si un fournisseur utilise des modèles de déploiement cloud ou hybrides, le dossier devrait distinguer la responsabilité du fournisseur cloud, la responsabilité de SITA et la responsabilité de la compagnie aérienne.
Au niveau de la détection, le dossier devrait montrer quand une activité suspecte a été observée pour la première fois, quand la gravité de l'incident a été confirmée, quels journaux ont soutenu le confinement, quels indicateurs ont été partagés, ce que les experts externes ont examiné et comment SITA a prouvé que l'attaque avait cessé. Au niveau de la notification, il devrait montrer quand chaque compagnie aérienne a été notifiée, quelles catégories de données ont été rapportées, quelle incertitude a été divulguée, quand des mises à jour ont été émises et comment les preuves du fournisseur ont été traduites en avis aux passagers.
Au niveau de la gouvernance, le dossier devrait montrer comment l'examen du conseil a modifié le financement, les exigences de sécurité des produits, les rapports aux membres, les contrôles du cycle de vie technologique et la supervision permanente. La déclaration du président de SITA en 2021 décrit le squelette de cette réponse de gouvernance. La preuve publique manquante est le détail opérationnel: ce qui a changé, comment l'achèvement a été mesuré et comment le conseil a vérifié que les contrôles étaient non seulement planifiés mais efficaces.
Au niveau du passager, le dossier de réparation devrait montrer si les clients ont reçu des conseils exploitables calibrés au risque réel. Un membre d'un programme de fidélisation dont le numéro d'adhésion et le niveau ont été affectés a besoin de conseils différents de ceux d'un passager d'Air India dont les données de passeport, de billet, de date de naissance, de contact, de fidélisation ou de paiement peuvent avoir été impliquées. Une seule violation de fournisseur peut nécessiter plusieurs scripts d'avis. La responsabilité exige que les scripts correspondent aux faits.
Le contrefactuel n'est pas l'absence d'informatique aéronautique partagée
Il serait irréaliste de conclure que les compagnies aériennes devraient éviter la technologie aéronautique partagée. Le système de transport aérien dépend de protocoles communs, de plates-formes de traitement des passagers, de systèmes aéroportuaires, d'échange de données gouvernementales, d'avantages d'interlignes et d'alliances, de systèmes de bagages, de réseaux de communication et de fournisseurs tiers. La page d'accueil de SITA surhttps://www.sita.aero/et les pages produits montrent pourquoi l'entreprise existe: l'aviation a besoin d'une infrastructure numérique partagée pour déplacer les passagers de manière efficace et sécurisée.
Le contrefactuel est une infrastructure partagée avec des données plus restreintes, une location plus claire, un isolement testable, un transfert de preuves plus rapide et une discipline d'avis destinée aux passagers. Un fournisseur ne devrait pas attendre une violation pour découvrir quelles données de compagnies aériennes se trouvent où. Les compagnies aériennes ne devraient pas attendre une violation pour apprendre comment les données d'alliance entrent dans le système de services passagers d'un autre transporteur. Les contrats devraient définir les preuves d'incident, pas seulement la notification d'incident.
Les régulateurs devraient pouvoir reconstituer qui savait quoi et quand.
La minimisation des données fait partie de ce contrefactuel. Si un élément de données n'est pas nécessaire pour un flux de travail du fournisseur, il ne devrait pas être présent. S'il est nécessaire pour des raisons opérationnelles, il devrait être conservé pendant une période définie, segmenté des locataires non concernés, protégé par des contrôles appropriés et journalisé pour les accès. Si des données anciennes subsistent pour des raisons juridiques ou commerciales, elles devraient être identifiables comme anciennes plutôt que mélangées invisiblement aux enregistrements opérationnels courants.
La concentration des fournisseurs fait également partie du contrefactuel. Une entreprise desservant de nombreuses compagnies aériennes peut investir dans l'expertise en sécurité, mais la concentration signifie qu'un incident chez un fournisseur peut obliger de nombreuses compagnies aériennes à informer de nombreuses populations de passagers. La concentration ne peut améliorer les contrôles que si elle améliore les preuves. Les fournisseurs partagés gagnent la confiance en rendant la délimitation rapide, précise et vérifiable.
L'avis au passager n'est aussi solide que le dossier du fournisseur
Le cas SITA montre également pourquoi les avis aux passagers doivent être traités comme des produits de preuve, pas comme des produits de relations publiques. Un avis qui indique que les systèmes de la compagnie aérienne n'ont pas été affectés peut être exact, mais il peut encore semer la confusion chez les passagers s'il n'explique pas pourquoi leurs données étaient présentes dans un autre environnement. Un avis qui indique que seules les données de fidélisation ont été affectées peut être exact pour une compagnie aérienne, mais il devient trompeur si les lecteurs supposent que la même liste de champs s'applique à chaque compagnie aérienne.
Un avis qui indique que les données de carte de paiement n'ont pas été impliquées peut être exact pour une population de données, tandis qu'une autre population de clients peut nécessiter une déclaration différente.
Le dossier du fournisseur sous-jacent à ces avis devrait donc être structuré. Il devrait préserver le nom du système affecté, la compagnie aérienne cliente, les champs de données, la plage de dates, la source des données, la raison de la présence des données, les preuves de confinement, le niveau de confiance et l'historique des mises à jour. Il devrait également enregistrer quelles déclarations sont des exclusions: mot de passe non présent, numéro de passeport non présent, données de carte de paiement non présentes, itinéraire non présent, adresse e-mail non présente ou code de sécurité non stocké.
Les exclusions ont besoin de preuves tout comme les inclusions.
Cela compte car les passagers agissent sur la base des exclusions. Si l'on dit à un passager qu'aucun mot de passe n'a été impliqué, il peut décider de ne pas changer de mot de passe. Si l'on dit à un passager qu'aucun numéro de passeport n'a été impliqué, il peut décider de ne pas contacter les autorités de passeport. Si l'on dit à un passager que seuls un numéro de fidélisation et un niveau ont été impliqués, il peut surveiller le hameçonnage de compte plutôt que la fraude par carte de paiement. Une mauvaise délimitation peut donc produire de mauvaises décisions de risque personnelles même lorsque l'avis est opportun.
La compagnie aérienne a également besoin du dossier du fournisseur pour l'engagement réglementaire. Un responsable du traitement ne peut pas simplement répéter le résumé d'un fournisseur s'il ne peut pas expliquer pourquoi les données affectées créent ou non un risque pour les individus. Il a besoin d'une base pour cette décision. Cette base peut être technique, contractuelle et opérationnelle: quels champs étaient stockés, comment ils étaient séparés, quels journaux ont été examinés, à quoi l'attaquant pouvait accéder, si les données ont été copiées et si l'atténuation a modifié le préjudice probable.
Le test de responsabilité est de savoir si les preuves du fournisseur survivent à la traduction. Les ingénieurs peuvent décrire des bases de données, des schémas, des journaux d'accès et des images de serveurs. Les avocats peuvent décrire la notification du sous-traitant et les catégories de données. Les équipes client peuvent décrire ce qui s'est passé en langage simple. Les régulateurs peuvent demander l'analyse juridique des risques. Les passagers peuvent demander quoi faire ensuite. Si ces traductions produisent des affirmations incohérentes, la réponse échoue même si le travail de confinement sous-jacent était solide.
Les données aéronautiques partagées ont besoin d'une chaîne de traçabilité rejouable
Une chaîne de traçabilité rejouable est la réponse pratique à la confusion trans-compagnies aériennes. Elle ne nécessite pas de rendre publics les journaux de sécurité privés. Elle nécessite que le fournisseur et les compagnies aériennes soient capables de reconstruire le chemin de la collecte des données à l'exposition des données et à l'avis.
Pour un enregistrement de fidélisation, le dossier devrait montrer quelle compagnie aérienne a collecté les données du membre, pourquoi elles ont été partagées avec un partenaire d'alliance ou un client du système passagers, quand elles sont entrées dans l'environnement SITA, quels champs ont été stockés et pourquoi ces champs étaient nécessaires. Pour un enregistrement de service passagers, le dossier devrait montrer la logique de réservation, de billetterie, d'enregistrement, de document, de paiement et de conservation séparément.
La même chaîne devrait identifier le moment où la réponse à la violation est devenue juridiquement et opérationnellement actionable. La déclaration du président de SITA place la confirmation de la gravité au 24 février 2021. À partir de ce moment, les compagnies aériennes clientes concernées avaient besoin de preuves. La chaîne devrait donc montrer le moment de la notification, le destinataire, le résumé des champs de données, l'incertitude, les mises à jour ultérieures et toute escalade vers le régulateur.
Elle devrait également montrer quand une compagnie aérienne pouvait informer ses passagers de manière responsable et quand elle avait besoin d'une confirmation supplémentaire du fournisseur.
Cette chaîne de traçabilité n'est pas un exercice punitif. Elle protège chaque partie d'un blâme vague. Un fournisseur peut montrer quelle limite de locataire a tenu. Une compagnie aérienne peut montrer pourquoi elle a notifié ou n'a pas notifié un segment de clientèle. Un régulateur peut voir le chemin de décision. Un passager peut voir si le conseil correspond aux données. Sans cette chaîne, l'incident devient un argument sur la responsabilité de la marque plutôt qu'un examen du contrôle.
Le dossier SITA est précisément précieux parce qu'il a exposé une couche de contrôle cachée. Les marques aéronautiques visibles n'étaient pas toujours les opérateurs de système pour les enregistrements affectés. Le fournisseur n'était pas toujours la contrepartie directe du passager. Le chemin d'alliance pouvait rendre les données présentes là où le passager ne s'y attendait pas. Une chaîne de preuve rejouable est le seul moyen de rendre cette structure responsable sans prétendre qu'elle est plus simple qu'elle ne l'est.
La responsabilité suit la chaîne de preuve
La répartition finale devrait suivre le contrôle pratique des preuves. SITA contrôlait l'environnement du Passenger Service System affecté et une grande partie du dossier d'enquête. Les compagnies aériennes contrôlaient les relations avec les clients et de nombreux avis aux passagers. Les alliances et les accords d'interlignes expliquaient pourquoi certaines données de voyageurs fréquents pouvaient être détenues en dehors des systèmes de la compagnie aérienne du passager. Les régulateurs fournissaient les attentes juridiques en matière de notification des violations, d'obligations du sous-traitant et de responsabilité.
Les passagers avaient la moindre visibilité et devaient se fier à l'exactitude des transferts entre le fournisseur et la compagnie aérienne.
Cette répartition ne signifie pas que chaque compagnie aérienne avait la même exposition ou que chaque passager affecté faisait face au même risque. Le dossier montre le contraire: certains avis impliquaient des données de fidélisation restreintes, tandis que les reportages concernant Air India impliquaient des catégories de données passagers plus larges. La responsabilité exige de préserver ces différences plutôt que de forcer l'événement en un seul chiffre.
La réponse de gouvernance publique de SITA est une partie significative du dossier de réparation, mais elle ne comble pas à elle seule le fossé des preuves publiques. La leçon durable est que les fournisseurs aéronautiques doivent être capables de prouver les limites des locataires, la conservation des données, la détection des incidents, la notification aux compagnies aériennes, les preuves pour les régulateurs et la réparation au niveau du conseil. Les marques de compagnies aériennes peuvent s'excuser auprès des passagers, mais elles ne peuvent pas prouver indépendamment des faits qui se trouvent dans les journaux d'un fournisseur.
C'est pourquoi SITA a fait des données passagers des compagnies aériennes un test de responsabilité du fournisseur.
La leçon plus longue de l'incident concerne l'infrastructure cachée. Les passagers aériens voient les compagnies aériennes, pas l'ensemble des systèmes derrière l'enregistrement, la reconnaissance de fidélisation, l'échange de données et le traitement des passagers. Une violation rend ce réseau visible sous pression. La réponse responsable n'est pas de prétendre que le réseau est simple. C'est de le documenter, de minimiser les données inutiles, de le surveiller, de le gouverner et de donner à chaque passager affecté un avis qui reflète le chemin réel qu'ont pris ses données.

