A trusted source of Asia-Pacific commercial aviation news and analysis


OCTOBER 2018

新聞背景

英国航空网络攻击事件对亚太航空公司是个警号

英国航空在8月和9月遭受网络攻击,系统中38万名顾客的财务资料被盗取,事件显示网络罪犯的老辣,亦凸出了跨境的复杂性。对此,亚太区各航空公司必须掌握情况,才能在欧洲新规定的一般数据保护制度上做到合规。

next article »

« previous article


by 首席记者包乐天 (TOM BALLANTYNE) 

October 1st 2018

Print Friendly

這次事件可以说不是个意外,科技专家多年来一直警告业界,对航空公司的网络攻击不是“会不会”,而是“哪时。” Read More »

对英航来说,这个“哪时”是今年8月21日。侵入在9月5日被制止。按欧洲的新一般数据保护制度(GDPR),有关方发现攻击后72小时内必须通知欧洲监管当局。根据英航的报告,从乘客数据库中被盗的资料包括受害人的信用卡信息、居住地址及电邮地址;旅行行程和护照详情没被盗取。

目前,攻击被定为“紧急事件”,并按这个性质进行调查。攻击显示航空公司受到网络犯罪威胁,令航空界认识到,如果没有满足欧洲新数据保护规定的合规要求,国际航空公司可能须缴纳以百万元计的罚款。英航如果没有报告侵入事件,它可能面对最高为它营业额4%的罚款,对一家国际航空公司来说,这个数额会以千万元计。

亚太航空公司协会总干事安德鲁·赫德曼告诉东方航讯:“规定适用于所有为欧洲市民提供服务的机构,这囊括了环球很多公司。即使这些公司不在欧洲境内运营,它们仍受到GDPR规定的约束。可以说任何业务都是。”

“你可能只是一家在某一个亚洲国家经营的小旅游社,有个网站提供给可能成为你顾客的欧洲市民。严格来说,你已经有可能负上责任了。不论你是在美洲或亚洲,很多企业已经必须认真思考,他们怎样才能满足GMPR的合规要求,而不仅仅是欧洲商业的要求。”

航空业的全球性运营增加了复杂性。根据欧盟的GMPR规定,亚太区的航空公司必须察觉并上报对它们数据库的入侵或疑似入侵。他们必须肯定他们世界各地的伙伴也有这个防御力。

“你必须审视你和所有供应商及业务伙伴的关系,因为一切都是互为连接的,你们在交换信息。从合同安排的角度看,你必须判断你履行了作为企业一方的义务,但你也要对你的供应商施加同样的义务,比如说和你交换信息的全球分销系统(GDS)或其他分销渠道,”赫德曼说。

“对全球性运营的企业如航空公司,另一个挑战是不同司法地区如美国、欧洲,或你业务所在地的某个亚洲地区,它们有不同的上报义务。”

“你怎样满足这些不同关系的合规要求?很多美国大企业关注如何满足GDPR的合规要求,是因为美国和欧洲当局的程序不同。”

“在亚洲,不同国家的准备就绪程度不同。新加坡有上报义务和网络安全规定,其他的例子有韩国、日本。从我们 [亚太航空公司协会]的角度看,我们要的是最大可能的标准化和协调化。”

在最近于新加坡举行的国际航空电讯集团(SITA)亚太区航空运输IT高峰会上,一个对航空公司做的调查显示,只有30%的调查反应者相信他们有准备应付网络安全威胁。SITA说“链条上最弱的一环,就是给业界带来最大冲击的地方。”

普华永道一个报告说,85%的航空公司首席执行官关心网咯安全,这个百分比比其他行业的首席执行官高24%。

今年年初,亚太区航空公司协会呼吁区内航空界在网络安全上加强合作,因为不断扩展的数字联通性会吸引骇客。

协会与澳洲航空、澳洲外交事务部门、新加坡的运输部和新加坡民航局共同协力,加强网络抗逆力。4个互动工作坊的第1个已于2月在新加坡举行,第2个预定于11月在香港举行。

'以为专心加强你自己的系统,对围绕你身边的生态系统无需担忧,这样的想法于事无补。所有事情都互为连接,我们需要着眼于令整个生态系统更巩固、更具抗逆力,当侵入发生时,你能采取适当行动,并得到不同参与者的协调。'
安德鲁·赫德曼
亚太航空公司协会总干事

上年,悉尼机场技术总经理斯图尔特·拉特雷(Stuart Rattray)告知澳洲机场协会周年大会的代表们,“在网络安全上,我们──政府、机场、航空公司、澳大利亚航空服务公司和我们的供应链──站在同一阵线上。我们在程序、人员、顾客以至IT上紧密相连,我们任何一个受到攻击,代表我们全体都受到攻击。”

他劝告代表们不要纯粹依赖IT团队来处理网络安全,并重复一个广为接受的规律,80%的网络风险来自人员,20%来自技术。

赫德曼说,英航公司事件凸出了这个事实:航空公司每周每日处理与空中旅行有关的巨量现金及支付,对诈骗之徒特别有吸引力。“目前还不知道英航攻击的具体形式,看来似乎是系统给渗透,从而取得顾客信息,包括信用卡信息。很明显,所有人都想加强对这样渗透的屏障,”他说。

赫德曼说,他本人知道商业系统、IT系统及机场信息系统和网络确有侵入情况。一般IT硬件、系统失灵和停电也造成很大的干扰。

必须留意的是,“从网络进攻活动的角度看,个别国家和政府部门运用网络作为一个发动进攻的工具。对此我们必须小心区别。它并不是全带有犯罪意图。人们关注到,某些政府正积极试验或积极使用网络攻击,”他说。

“其中一个大政策问题,是有需要对网络战争确立协定,如无核化及化学、生物及放射性武器那样。目前没有这方面的基本规则,这个需要我们在政府对政府和联合国的层面上去处理。”

业界成员,从波音和空客,到引擎制造商和航空电子供应商,都同意必须在飞机及产品设计层面上把网络安全内置于系统中。与此同时,有人关注到航空交通管理(ATM)系统,后者大体上围绕开放标准和未加密系统发展出来。没有加密,系统就容易受到侵害。目前ATM业界正处理这个问题。

赫德曼指出,在军事领域,干扰全球定位系统信号和通讯是国防的有机部分。“但如果这类战术用在民航飞机上,那怎么办?”

“这个问题就相当于:我们怎样防止民航机不受到地面飞弹的攻击?”他说。

“躲避飞弹可不是我们民航机该做的事。我们需要政府与政府之间的对话已达成某些协定守则吗?如果一个国家针对我们的航空交通系统,它很容易引起破坏,令人失去信心。”

骇客似乎永远比受害者快一步。悉尼机场的拉特雷说,他们有些工具和系统能察觉攻击,但重要的是他们必须知道怎样作出反应及系统恢复。

“在网络安全上,不要假设你已经全面受到保护,必须要预先想好受到攻击时的反应步骤,关键是延续性,事件反应规划及通讯分析。“他也警告说,网络安全永远做不完,它是个持续的评审、发展和防御的过程,周而复始。”在网络安全这领域,环绕着我们的世界非常快速地运转,我们必须不断审核、测试及改良,”他说。

“具体来说,很多业界的讨论是环绕着察觉侵入和攻击、作出反应,及从中回复正常,这牵涉到多个企业的合作。这好比面对可能发生的天灾,首先假设它会发生,然后计划如何尽快及最有效率地复原,目的是令系统恢复正常,再度运行,维系公众的信心,相信系统即使受到侵害仍能保持完整。”赫德曼说。

“最近一个对航空公司及机场网络安全成熟度的研究显示,这是个业界最注重的项目。SITA说,航空公司员工的安全意识很高(达82%),机场员工(85%)。

SITA说,除了网络安全保护,业界亦专注于察觉威胁及反应管理。69%航空公司及47%机场首席信息官正已实施安全事件及其相关因素监控,77%航空公司60%机场设置了安全事件反应管理。

今年年初,SITA与空客专门就航空运输的独特问题成立了网络安全及航空安全运营中心(SOC)。中心基本上像个网络控制塔,以互相整合的流程、人员及技术组合去察觉、分析、反应及上报网络安全事件。

空客网络安全长马卡斯·贝里尔杜(Markus Braedle)说:“航空运输业有它独特的网络安全挑战,因为它在一个分布广泛的基础设施上运行多样及日益增多的智能节点。数字转型令航空运输业为顾客提供更好的服务,但也增加了它面临的威胁。”

“以为专心加强你自己的系统,对围绕你身边的生态系统无需担忧,这样的想法于事无补。所有事情都互为连接,我们需要着眼于令整个生态系统更巩固、更具抗逆力,当侵入发生时,你能采取适当行动,并得到不同参与者的协调。”

next article »

« previous article






Response(s).

SPEAK YOUR MIND

Your email address will not be published. All fields are required.

* double click image to change