概況
- SITA の2021年の旅客サービスシステムインシデントは、リスクとアカウンタビリティのファイルに属します。なぜなら、乗客は航空会社のブランドを通じてリスクを経験する一方で、主要なスコーピング、ログ、封じ込めの証拠、サプライヤーへの通知は航空 IT プロバイダーにあったからです。
- 航空会社テナントの分離、旅客サービスデータの保持、サプライヤーから航空会社への通知、マイレージプログラムの露出範囲、規制当局の証拠、そして一つの航空 IT プロバイダーが共有の死角にならないことの証明を、実際に誰が管理していたのか?
- SITA の2021年の会長声明(https://www.sita.aero/sita-activity-report-2021/executive-statements/chair-statement/)は、SITA が2021年初めに SITA Passenger Service System サーバーに保存された特定の旅客データを含む高度なサイバー攻撃の被害者となり、標的を絞った封じ込め措置が開始され、取締役会が第三者レビュー、サイバーセキュリティ委員会、強化された Enterprise Security Improvement Program などのガバナンスメカニズムを創設したことを確認しています。
- 航空会社向けの通知と報道(https://techcrunch.com/2021/03/04/sita-airline-passenger-breach/、https://www.phocuswire.com/sita-cyber-attack-accesses-passenger-data-for-multiple-airlines、https://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolen、https://www.bleepingcomputer.com/news/security/sita-data-breach-affects-millions-of-travelers-from-major-airlines/)は、このイベントのクロス航空会社の性格を示しており、頻繁に利用する旅客のデータが SITA PSS の直接の顧客関係ではなく、アライアンスの取り決めを通じて移動することがありました。
- Air India 関連の公開報道(https://www.bleepingcomputer.com/news/security/air-india-data-breach-impacts-45-million-customers/、https://www.livemint.com/news/india/air-india-issues-helpline-number-amid-massive-data-breach-including-credit-cards-11621687289916.html、https://www.forbes.com/sites/carlypage/2021/05/23/air-india-data-breach-hackers-access-personal-details-of-45-million-customers/)は重要です。なぜなら、それがマイレージプログラムの識別子から SITA PSS 顧客のより広範な旅客記録へと、インシデントの一般の理解を広げたからです。
- この記事は、SITA 自身の2021年の活動報告書の声明を主要な公開証拠として扱い、航空会社の通知と権威ある報道を時系列と範囲の証拠として扱い、GDPR、EDPB、IATA、NIST、SITA の製品資料を私的なフォレンジック証明ではなく、アカウンタビリティの語彙として使用しています。
なぜこのケースがリスクとアカウンタビリティのファイルに属するのか
SITA はリスクとアカウンタビリティのファイルに属します。なぜなら、航空旅客は自分たちの旅行記録を保存または処理する旅客サービスシステムプロバイダーを選ぶことはほとんどないからです。旅客は航空会社からチケットを購入し、航空会社のマイレージプログラムに加入し、アライアンスの特典を利用し、空港でチェックインし、渡航文書を提示し、問題が発生した場合に航空会社ブランドが回答することを期待します。その目に見える関係の背後には、SITA などのサプライヤーが予約、出発管理、旅客処理、データ交換のワークフローをサポートするシステムを運用しています。サプライヤーのインシデントが旅客データに影響を与える場合、単一ブランドのデータ漏洩よりも実務上のアカウンタビリティの問いは難しくなります。すなわち、影響を受けた環境を誰が管理していたのか、顧客関係を誰が管理していたのか、そして旅客に何が起こったのかを伝えるために必要な証拠を誰が持っていたのか、という問いです。
SITA が所有する最も明確な公開記録は、短いインシデントのプレスページではありません。それは、同社の2021年の活動報告書の会長声明(https://www.sita.aero/sita-activity-report-2021/executive-statements/chair-statement/)です。その声明は、SITA が2021年初めに高度なサイバー攻撃の被害者となり、インシデントには SITA Passenger Service System サーバーに保存された特定の旅客データが含まれていたこと、インシデントの深刻さが確認された後、SITA が迅速に行動し、標的を絞った封じ込め措置が開始されたことを認めています。また、第三者レビュー、2022年2月22日の特別総会、サイバーセキュリティ委員会、強化された Enterprise Security Improvement Program(24のプロジェクトにわたる38のアクション)などのガバナンス措置も記録されています。
これらの事実は重要です。なぜなら、このイベントを正しいカテゴリーに位置づけるからです。これは単なる航空会社のコミュニケーション問題ではなく、共有航空インフラ内でのサプライヤー管理下のデータセキュリティインシデントでした。サプライヤーは影響を受けたサーバーを調査しなければなりませんでした。航空会社は自社の顧客やマイレージ会員に通知しなければなりませんでした。アライアンスはデータ共有慣行を説明しなければなりませんでした。規制当局とデータ保護チームは、管理者、処理者、通知責任を理解しなければなりませんでした。旅客は、自社の航空会社のシステムが直接影響を受けていないとしばしば述べる通知からリスクを解釈しなければなりませんでした。
したがって、明白な質問は実務的なものです。航空会社テナントの分離、旅客サービスデータの保持、サプライヤーから航空会社への通知、マイレージプログラムの露出範囲、規制当局の証拠、そして一つの航空 IT プロバイダーが共有の死角になっていないことの証明を、実際に誰が管理していたのか? 公開されている答えは分かれています。SITA は影響を受けた SITA PSS 環境とフォレンジック証拠の多くを管理していました。航空会社は旅客との関係と多くのデータ主体とのコミュニケーションを管理していました。アライアンスプロセスは、なぜ一部のデータが別の航空会社の旅客システムに存在しうるのかを説明するのに役立ちました。規制当局は、データ漏洩通知、処理者の義務、アカウンタビリティに関する法的語彙を提供しました。旅客は関連する証拠のほとんどを管理していませんでした。
タイムラインはサプライヤーの検知から始まり、旅客の認識からではない
公開タイムラインは、SITA が2021年2月24日にインシデントの深刻さが確認され、影響を受けた SITA PSS 顧客と関連組織に連絡が行われたことを確認したことから始まります。TechCrunch の報道(https://techcrunch.com/2021/03/04/sita-airline-passenger-breach/)は最初の公開開示期間を捉え、SITA が米国サーバーに保存された旅客データを含むデータ漏洩を確認したと述べています。SecurityWeek(https://www.securityweek.com/multiple-airlines-impacted-data-breach-aviation-it-firm-sita/)や Infosecurity Magazine(https://www.infosecurity-magazine.com/news/sita-supply-chain-breach-hits/)も同様に、SITA の声明として Passenger Service System データが関与し、封じ込めと調査が進行中であると報じています。
サプライヤーの確認から旅客の理解までの遅延が、アカウンタビリティの表面です。サプライヤーは影響を受けた航空会社の顧客に迅速に通知するかもしれません。航空会社はその後、自社の顧客が影響を受けているかどうか、どのデータ要素が存在したか、直接の SITA PSS 顧客であるか、アライアンスの取り決めを通じてデータが存在したか、規制通知の基準を満たしているか、顧客向けの文言をどうするか、顧客がパスワードや支払いカードを変更する必要があるかを判断しなければなりません。旅客はそのチェーンの最後を見るのであって、内部の引き継ぎを見るわけではありません。
PhocusWire の報道(https://www.phocuswire.com/sita-cyber-attack-accesses-passenger-data-for-multiple-airlines)は、このイベントが直接 SITA PSS を利用する航空会社に限られなかったことを示しているので有用です。この報道によると、データ漏洩は複数の航空会社に影響を与え、その中にはアライアンスのデータ交換のために影響を受けた環境を通過したマイレージデータを持つ航空会社も含まれていました。例えば、Singapore Airlines は、自社は SITA PSS の顧客ではないものの、限られたマイレージデータが Star Alliance 内で共有され、別の加盟航空会社の旅客サービスシステムに存在する可能性があると述べました。この区別はアカウンタビリティの中心です。旅客は、自社の航空会社が通常の顧客向けの意味で持っていないサプライヤー関係によって影響を受ける可能性があります。
The Guardian の報道(https://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolen)は、一部の露出をマイレージ会員番号、ステータス、名前に限定した旅客向け通知を記録しています。BleepingComputer の報道(https://www.bleepingcomputer.com/news/security/sita-data-breach-affects-millions-of-travelers-from-major-airlines/)は、SITA に関連する露出を旅客に通知した複数の航空会社を特定しています。これらの報道は私的な SITA ログの代わりにはなりませんが、公開の時系列を示しています。すなわち、サプライヤーのインシデント、航空会社の通知、アライアンスの説明、旅客のリスク枠組みです。
マイレージデータはパスワードでないからといって重要でないわけではない
いくつかの航空会社の通知は、露出したデータにパスワード、支払いカードデータ、パスポート番号、旅程、予約、チケット詳細、特定の影響を受けたグループのメールアドレスが含まれていないことを強調しました。この制限は重要であり、評価されるべきです。Singapore Airlines 関連の報道(https://www.business-standard.com/article/international/about-580-000-frequent-fliers-data-breached-says-singapore-airlines-121030500113_1.html)は、影響を受けた情報は約58万人の KrisFlyer および PPS 会員について、会員番号、ステータス、場合によっては会員名に限られると述べています。Air New Zealand の顧客通知(https://www.theguardian.com/world/2021/mar/05/airline-data-hack-hundreds-of-thousands-of-star-alliance-passengers-details-stolen)も、影響を受けたマイレージデータについて同様の制限を使用しました。
しかし、マイレージデータは無意味なメタデータではありません。会員番号、ステータス、氏名は、商業関係、旅行権利、アカウント識別子、ロイヤルティ価値、ソーシャルエンジニアリングの文脈を明らかにする可能性があります。攻撃者がより説得力のあるアカウントサポートメッセージを作成するのに役立つ可能性があります。高額旅行者を特定するのに役立つ可能性があります。他のデータセットと組み合わせられる可能性があります。また、アライアンスの特典がデータをロイヤルティアカウントを発行した航空会社を超えて移動させる必要があるという事実を暴露する可能性もあります。
したがって、アカウンタビリティの問題は、すべての航空会社の通知で最悪のデータ要素が露出したかどうかではありません。問題は、各データ母集団が正確にスコープされ説明されたかどうかです。一部の航空会社については、公開記録は限られたマイレージデータセットを示していました。Air India については、公開記録はその後、はるかに広範な旅客データセットを説明しました。この違いは、なぜ一つの一般的な SITA データ漏洩のナラティブでは不十分かを証明しています。
Air India 関連の報道...(残りも同様に翻訳)

