כיצד כרטיס עלייה למטוס יכול לחשוף פרטי דרכון ואשראי?

כרטיסי עלייה דיגיטליים מכילים לעיתים שדות מידע מוצפנים בקוד QR או ב-URL. אם ממשקי ה-API של חברת התעופה אינם מאובטחים כראוי, ניתן לשלוף מהם נתונים רגישים שאינם מוצגים למשתמש אך מאוחסנים במערכת.

מה האחריות של ארגון כאשר ספק חיצוני מדליף נתוני עובדים?

מבחינה רגולטורית, הארגון שאסף את הנתונים המקוריים נושא באחריות לשמירתם גם כאשר הם מועברים לצד שלישי. חובה לקיים הסכמי עיבוד נתונים תקינים עם כל ספק שמחזיק מידע אישי.

מה הוא עיקרון מינימום הנתונים ומדוע הוא חשוב?

עיקרון Data Minimization קובע שיש לאסוף ולשמור רק את המידע הנדרש בהכרח לביצוע השירות. שמירת נתונים עודפים מגדילה את שטח החשיפה ואת הסיכון לדליפה.

כיצד ניתן לצמצם סיכוני דליפה ממערכות חיצוניות?

על ידי מיפוי כל ספקי השירות שמחזיקים נתונים אישיים, דרישת הצפנה תקנית, בחינת הסכמי DPA, ויישום עיקרון הרשאות מינימליות בכל נקודת גישה.

דליפת נתוני דרכון וכרטיס אשראי מכרטיס עלייה למטוס: מה חושף מקרה Frontier Airlines

כרטיס עלייה למטוס כנקודת כשל אבטחתית

מקרה Frontier Airlines מזכיר לנו שאחד הווקטורים המסוכנים ביותר לדליפת מידע אישי אינו בהכרח תקיפת סייבר מתוחכמת, אלא חשיפה שגרתית של מסמך שנחשב לתמים: כרטיס עלייה למטוס. על פי הדיווחים, נתוני דרכון ופרטי כרטיס אשראי של נוסעים היו חשופים דרך מנגנון כרטיס הטיסה הדיגיטלי של חברת התעופה האמריקאית Frontier Airlines.

מדוע מסמכים דיגיטליים שגרתיים מהווים סיכון

כרטיסי עלייה מודרניים, בין אם כקוד QR בטלפון ובין אם כקישור לדף ווב, מכילים לעיתים שדות מידע רבים יותר ממה שמוצג למשתמש. הבעיה מתחילה כאשר:

הנתונים המוטמעים בברקוד או ב-URL אינם מוצפנים כראוי.
ממשקי API חשופים מאפשרים שליפת פרטים נוספים ממסד הנתונים.
קישורים לכרטיסים נשלחים בדוא"ל ללא הגנה מספקת על הגישה אליהם.

בהקשר זה, הסיכון אינו רק לנוסע הבודד. ארגון שמעביר מסמכי נסיעה לעובדים, מנהל נסיעות עסקיות, או שומר רישומי טיסה, עלול גם הוא להיחשף לדליפה בשרשרת.

ההיבט הארגוני: אחריות על נתונים שלישיים

מהניסיון של R.A.S Group בעבודה עם ארגונים שמנהלים נתונים רגישים, אנו רואים תופעה חוזרת: חברות משקיעות משאבים ניכרים באבטחת מערכות הליבה שלהן, אך מתעלמות מנקודות חשיפה בספקי שירות חיצוניים כגון חברות תעופה, בתי מלון, ושירותי נסיעות. הנחת היסוד שגויה: הנתונים האישיים של עובדים ולקוחות הם באחריות הארגון, גם כאשר הם מצויים בידי צד שלישי.

שאלות שכל ארגון חייב לשאול

אילו ספקי שירות חיצוניים מחזיקים בנתונים אישיים של עובדים או לקוחות?
האם קיים הסכם עיבוד נתונים תקין עם כל ספק שכזה?
כיצד מנוהל מידע על נסיעות עסקיות ובאיזה רמת הצפנה?

עקרונות מינימום הרשאות ומינימום נתונים

עיקרון ה-Data Minimization, שהפך לתקן מחייב במסגרות רגולטוריות כגון GDPR ותקנות הגנת הפרטיות האירופיות, קובע שיש לאסוף ולשמור רק את המידע הנדרש בהכרח לביצוע השירות. חברת תעופה שמאחסנת פרטי כרטיס אשראי בשדות הנגישים מכרטיס הטיסה מפרה עיקרון זה באופן בוטה. אותו עיקרון חל על כל מערכת ארגונית: כל שדה נתונים שנשמר מעבר לצורך הוא סיכון פוטנציאלי.

ארגונים שמבינים זאת מוקדם חוסכים לעצמם לא רק חשיפה רגולטורית, אלא גם את הנזק התדמיתי הכבד שמגיע בעקבות פרשיות כמו זו של Frontier Airlines. מניעת דליפות מידע מתחילה בתכנון נכון של מערכות, לא בתגובה לאחר שהנזק כבר נגרם.