官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
一、背景
随着智慧民航建设的持续推动,大量新技术、新应用进入到民航的各个业务领域,在生产运行过程中采集、传输、使用、加工以及流转了海量的数据,这些数据成为驱动民航业务系统运行的血液,但是在数据安全保护方面由于政策法规落实和技术防护措施不到位等问题,导致民航数据安全保护工作面临巨大的压力。特别是近年来我国数据安全相关法律规范日益严格,如《网络安全法》、《数据安全法》、《个人信息保护法》、《民法典》中均明确了对数据安全保护的要求,民航数据安全保护工作的合规压力急剧增大。在民航众多类型的数据中,旅客信息作为敏感信息是民航数据安全保护工作的重点对象,其安全问题不仅影响到旅客隐私安全和财产安全,还可能对民航单位的业务运行安全、经济效益和公众形象造成影响,甚至会影响到国家安全,因此本文专门就民航旅客信息保护工作面临的问题进行阐述,并针对相关问题提出应对的措施和建议。
二、民航旅客信息保护工作面临的挑战
- 数据安全合规
- 国内相关法律法规(处罚案例)
随着国内数据安全合规的相关法律法规频频出台,数据安全合规要求越来越严格,民航作为一个旅客数据高度集中的行业,近年来有多个民航单位出现数据泄露而被相关部门通报的案例和约谈的案例,这些数据的泄露严重的影响了旅客的权益,有的甚至危害了国家安全,如王立军机票信息泄露案、某机场员工泄露秘密信息案等,民航面临的数据安全合规压力十分巨大。
- 国外相关法律法规(处罚案例)
随着《GDPR》等国外个人信息保护相关法律法规的出台,也对整个民航业带来的重要的影响,如国泰航空旅客信息泄露事件,英国资讯专员办公室(ICO)发布公告称,因国泰航空未能有效保护客户个人信息安全,导致全球约 940 万客户的个人详细信息泄露,所以对国泰航空罚款 50 万英镑(约 451 万人民币);英国航空旅客信息泄露事件,英国资讯专员办公室(ICO)发布处罚,认为英国航空未能保护超40万客户的个人信息及财务信息,结合英航的书面陈述材料和新型冠状病毒疫情对其经济状况的影响,最终宣布根据欧盟《通用数据保护条例》对英国航空处以2000万英镑的罚款。
- 国际民航组织要求
国际民航组织在《网络安保政策指南》第四章的第四节提到数据安保工作要求:
- 应将敏感数据加密视为实现信息机密性的手段。但必须根据风险评估界定使用加密技术的程序,在保密级别和操作性能要求之间取得适当的平衡,特别是对于飞行安全所需的“实时”数据以及考虑到管理数据所需资源。
- 应创建流程,确保在数据可用性和/或完整性受损时关键功能的连续性。
- 黑产对旅客信息保护工作的影响
- 数据泄露情况(监测分析)
旅客信息泄露导致的诈骗案件屡屡发生,每年由于旅客信息泄露造成的经济损失高达千万级,已经引起了社会的高度重视。随着国家法律法规日益严格,对数据窃取案件打击力度持续增大,近几年民航旅客信息泄露事件有了明显的好转,如检测发现QQ群、微信群、国内论坛、以及暗网中文交易市场等关于民航实时数据的交易情况明显减少,但是在telegram等国外社交平台、论坛中依然存在民航旅客实时信息交易的情况,民航行业也正积极开展自查,杜绝行业内部单位由于防护措施或管理不严造成旅客信息泄露的问题。
- 数据泄露的渠道(多元)
由于在民航整个产业链条以及相关产业链条中,涉及到旅客信息的单位和渠道是非常多的。如代理人、中航信、航空公司、机场、旅行社、酒店、租车平台以及其它渠道(如疫情期间相关信息采集部门等)。这就导致民航旅客信息保护工作非常困难,无法快速判断出信息泄露的源头,作为这个链条中的一员如何自证清白将成为相关单位的重点和难点工作。
- 泄露的的方式及数据非法买卖的渠道
通过对民航多起旅客信息泄露事件进行分析,泄露的方式无非两种:黑客入侵,主要体现在技术防护能力不足和人员安全意识不到位方面;内部人员违规操作,如内部人员利用系统权限窃取明星信息进行贩卖等。数据非法买卖的途径主要有“圈子”内部交流、暗网、telegram(国外社交平台)、QQ群、微信群等,随着打击力度的增大逐渐转移到不受监测的加密平台。同时数据买家主要为诈骗团伙、黑客组织(社工库)、明星粉丝、以及其它个人或组织。
- 旅客信息安全问题对民航业务的影响
我国民航目前主要以旅客运输为主(货运比例增速很快),因此旅客信息在整个民航运输中起到重要作用。旅客信息处理流程非常复杂,下面是大致的流程,代理人将旅客信息传给中航信或航空公司(中航信传给航空公司),航空公司收到旅客信