Основная статья: Пассажирские авиаперевозки
Билетные системы (мировой рынок)
Основная статья: Билетные системы (мировой рынок)
Крупнейшие системы
На 2023 г ведущими разработчиками систем бронирования в России являются:
- Сирена-Трэвел с системой Leonardo
- ТАИС с системой ТАИС НСБ
На 2016 г крупнейшие системы онлайн-бронирования авиабилетов в других странах предлагают следующие компании:
2022: На фоне конфликта на Украине все российские авиакомпании перешли на отечественные системы бронирования
Все 53 российские авиакомпании перешли на отечественные системы бронирования, о чем в Министерстве транспорта РФ сообщили 1 ноября 2022 года. В ведомстве подчеркнули, что благодаря такому импортозамещению обеспечены информационная безопасность и защита персональных данных пассажиров и экипажей, независимость пассажирских перевозок от иностранных систем, возможных сбоев и отключений.
C 2021 года в рамках межведомственной комиссии под руководством Минцифры России и Минтранса России отраслевые ведомства, ведущие авиакомпании и разработчики отечественных систем объединили усилия в целях перехода авиаперевозчиков на отечественный софт. Был проработан план поэтапной миграции, планомерного переноса данных в отечественные системы, адаптации российского программного обеспечения под требования авиакомпаний.
Также на случай отключения российских авиакомпаний иностранными провайдерами в условиях санкций для всех авиакомпаний был проработан план экстренного запуска отечественных систем. Авиакомпании выбирали из двух российских систем: «Леонардо» (разработчик АО «Сирена Трэвел» в партнерстве с Госкорпорацией Ростех) и «ТАИС» (АО «ОРС»).
«Аэрофлот» завершил переход на автоматизированную информационную систему оформления воздушных перевозок (АИС ОВП) «Леонардо» 29 октября 2022 года. Переход предусматривал и регулярные рейсы дочерней авиакомпании «Россия» (чартерные рейсы в полном объеме обеспечивались в системе «Леонардо»).TAdviser Security 100: Крупнейшие ИБ-компании в России
Авиакомпания «Уральские авиалинии» совместно с АО «Сирена Трэвел» перешла на АИС ОВП «Леонардо» 2 октября 2022 года.
Как подчеркнул заместитель министра транспорта Российской Федерации Дмитрий Баканов, все расчеты внутри отечественных систем бронирования происходят в рублях. [1]
2019: Медведев обязал разработчиков систем бронирования билетов перенести данные россиян на серверы в РФ
В начале августа 2019 года премьер-министр Дмитрий Медведев подписал постановление, которое обязывает производителей систем бронирования авиабилетов на внутренние рейсы перенести в Россию серверы с персональными данными пассажиров.
Базы данных и обрабатывающие вычислительные комплексы (серверы), базы данных систем, обеспечивающих оформление внутренних воздушных перевозок пассажиров, должны располагаться на территории Российской Федерации, — говорится в документе. |
Новые ограничения приняты с целью сохранения конфиденциальности персональных данных и обеспечения транспортной безопасности, сообщает РБК со ссылкой на копию документа. Через системы бронирования иностранные спецслужбы теоретически могут узнавать информацию о передвижениях россиян, в том числе чиновников и военнослужащих, объяснил изданию источник, близкий к правительству.
Требование перенести данные россиян на серверы в РФ коснется зарубежных систем бронирования, которыми пользуются российские авиакомпания, включая Sabre (обслуживает «Аэрофлот» и «Россию»), Navitair («Победа»), Amadeus (S7).
В 2019-2020 гг. нужно обеспечить перемещение и размещение на территории РФ серверов и систем передачи данных. До конца 2021 года должны быть выполнена «миграция персональных баз данных и всех технологий на территорию России».
Расходы на перенос серверов в Россию для иностранных компаний могут измеряться сотни миллионов долларов, оценивает Александр Сизинцев, директор по экономике и финансам компании ТАИС, разработчика Национальной системы бронирования.
Архитектура глобальных иностранных систем не позволяет разделять хосты. Они сделаны как единый центр по обработке заказов авиакомпаний со всего мира, и продублировать локальную версию системы может быть достаточно затратно, — говорит эксперт.[2] |
2018: Минтранс отсрочил требования о переносе серверов авиабронирования в Россию
В ноябре 2018 года стало известно о том, что Министерство транспорта РФ отсрочило требования о переносе серверов авиабронирования в Россию. Задержка должна помочь авиакомпаниям технически подготовиться к нововведению.
Как сообщает газета «Коммерсантъ» со ссылкой на замминистра транспорта Александра Юрчика, правительство даст авиакомпаниям отсрочку для реорганизации работы с персональными данными россиян до 31 октября 2021 года.
В июле 2018 года Минтранс разработал проект постановления, по которому с 1 января 2020 года бронирование и продажа билетов, а также регистрация на внутрироссийские рейсы должны проходить через сервера, находящиеся в России.
К ноябрю 2018 года для бронирования авиабилетов компании используют системы, серверы которых находятся за рубежом. Среди таких систем, в частности, американская Sabre (ею пользуется «Аэрофлот»), которая, согласно подсчетам «Ведомостей», в 2017 году была крупнейшим провайдером в России с долей 38,5%. Есть также российская система бронирования «Сирена-Трэвел» (ею пользуется компания Utair) — она, по данным издания, занимала на рынке 30%.
Заместитель гендиректора «Аэрофлота» по информационным технологиям Кирилл Богданов заявил, что Sabre, с которой работает авиакомпания, перенесет данные и процессинг в РФ, причем за свои средства.
Использование отечественных систем... это системы для обеспечения работы второго эшелона авиакомпаний, как сами в принципе и признают производители этих систем, — отметил Богданов. |
«Коммерсантъ» пишет, что стоимость использования иностранных сервисов российскими авиаперевозчиками не раскрывается. Эксперты оценивают миграцию технологий и данных в десятки или сотни миллионов долларов для ИТ-компаний.
Глава Infomost Борис Рыбак говорит, что для работы на глобальном рынке локальный сервис должен быть связан с сервисами других стран шлюзами и интерфейсами.[3]
2016: В системах Amadeus, Sabre и Travelport не нашли даже базовых средств защиты данных пассажиров
Крупнейшие системы онлайн-бронирования авиабилетов чрезвычайно уязвимы к хакерским атакам и с большой лёгкостью могут быть использованы для несанкционированного получения персональных данных пассажиров, утверждают эксперты немецкой компании Security Research Labs.
Проблема, по словам экспертов, заключается в кодах бронирования (PNR - Passenger Name Record), уникальных идентификаторах в базах данных, связанных с гражданскими авиаперевозками. В этих базах содержится множество сведений о каждом пассажире, в том числе, полное имя, контактная информация, время и маршрут перелетов, номер в салоне воздушного судна и информация о багаже, номера кредитных карт и так далее, вплоть до паспортных данных.
Коды PNR, представляющие собой шестизначные буквенно-цифровые комбинации, используются для быстрого получения доступа ко всем этим данным.
Более чем в 90% случаев бронирование билетов на авиаперевозки (а также бронирование мест в гостиницах и т.д.) осуществляется через глобальные дистрибьюторские системы (GDS) всего трех компаний – Amadeus, Sabre и Travelport. Как утверждают эксперты Security Research Labs, в этих системах отсутствуют надлежащие системы авторизации пользователей, код PNR можно использовать для изменений, в том числе, несанкционированных, данных об авиаперелёте.
Выяснить чужой код PNR очень просто: эти идентификаторы печатаются на посадочных талонах и багажных метках. И каждый, кто сможет найти фотографию такого талона или сделать её самостоятельно, может получить доступ к личным данным пассажира через сайт авиакомпании или глобальной дистрибьюторской системы.
Личным данным пассажиров угрожает и то, что данные идентификаторы можно подобрать посредством брутфорс-атаки. Метод формирования этих шестизначных кодов, делает их ещё слабее, чем пятизначные пароли… которые сегодня считаются слишком слабыми почти для любых приложений в Сети. Двое из трёх основных операторов GDS, назначает коды последовательно, что делает задачу их перебора ещё проще. Наконец, сайты GDS и авиакомпаний допускают перебор тысяч комбинаций с одного и того же IP-адреса. Зная только фамилии пассажиров, их коды бронирования можно найти в интернете без особы проблем, - говорится в публикации Security Research Labs.[4] |
Эксперты указывают, что из этого проистекает целый ряд угроз для безопасности пассажиров. Злоумышленники могут использовать собранные ими персональные данные для махинаций с авиарейсами (вплоть до того, чтобы летать за чужой счет), а также для проведения фишинговых атак.
Security Research Labs – не первая компания, предупреждающая о том, что PNR-коды составляют угрозу личным данным пассажиров. Об этом ещё пару лет назад предупреждала «Лаборатория Касперского», настоятельно не рекомендовавшая делать изображения своих авиабилетов всеобщим достоянием[5].
В середине этого года стало известно, что некий 32-летний житель Камеруна смог получить полный доступ к системе GDS (как раз, кстати, с помощью фишинга), и между 2011 и 2014 годами активно путешествовал по миру, не забывая перепродавать за бесценок «купленные» им билеты. Ущерб от его действий составил $2 млн. В 2014 году его арестовали во Франции и экстрадировали в США, где его сейчас и судят.[6]
Эксперты Security Research Labs говорят, что базы GDS создавались в 1970-х и 1980-х годах, их архитектура тогда была передовой, но сейчас, в интернет-эпоху, эти базы лишены даже базовой степени защищённости. В частности, многоступенчатая авторизация отсутствует по определению.
Пока весь интернет обсуждает, какие факторы авторизации использовать вторым и третьим порядком, у GDS нет даже первой ступени, указывается в публикации Security Research Labs. Эксперты считают необходимым оснастить GDS системы защитой от брутфорса и неограниченного количества попыток подбора PNR-кодов с одного и того же IP-адреса.
Морально устаревшие системы, которые оснастили возможностью подключения к интернету при отсутствии собственных средств защиты - это довольно распространенная проблема, - отмечает Ксения Шилак, представитель компании SEC-Consult. - Особенно часто это наблюдается в промышленной сфере: старые производственные комплексы, спроектированные в доинтернетную эпоху, напрямую подключаются к интернету, и оказываются под угрозой хакерских атак просто потому, что их программные компоненты проектировались без учёта возможных киберугроз. С GDS, судя по всему, примерно та же ситуация: эти системы разрабатывались, когда никто не предполагал, что к ним настолько просто будет получить доступ. С их нынешней архитектурой само понятие privacy оказывается бессмыслицей: данные, которые следовало бы охранять как зеницу ока, в буквальном смысле лежат на самом видном месте. |
Представители Sabre заявили, что у них реализованы многочисленные меры защиты от мошенничества, но отказались рассказывать агентству Reuters какие-либо подробности. В Amadeus заявили, что внимательно ознакомились с публикацией SR Labs и предпринимают необходимые шаги для обеспечения дополнительной безопасности. В Travelport не стали комментировать публикацию. [7]
Примечания
- ↑ Все отечественные авиакомпании завершили переход на российские системы бронирования
- ↑ Власти обязали системы бронирования билетов перенести серверы в Россию
- ↑ Минтранс отложил бронирование
- ↑ Security Research Labs
- ↑ 7 способов злобно подшутить над тем, кто выложил в Интернет фото посадочного талона
- ↑ Камерунец проник в глобальную систему бронирований авиабилетов и налетал на $2 млн
- ↑ Flight booking systems lack basic privacy safeguards, researchers say