2019/08/02 13:08:23

Системы бронирования авиабилетов

Содержание

Крупнейшие системы
2022: На фоне конфликта на Украине все российские авиакомпании перешли на отечественные системы бронирования
2019: Медведев обязал разработчиков систем бронирования билетов перенести данные россиян на серверы в РФ
2018: Минтранс отсрочил требования о переносе серверов авиабронирования в Россию
2016: В системах Amadeus, Sabre и Travelport не нашли даже базовых средств защиты данных пассажиров
Примечания

Основная статья: Пассажирские авиаперевозки

Крупнейшие системы

На 2023 г ведущими разработчиками систем бронирования в России являются:

Сирена-Трэвел с системой Leonardo
ТАИС с системой ТАИС НСБ

На 2016 г крупнейшие системы онлайн-бронирования авиабилетов в других странах предлагают следующие компании:

2022: На фоне конфликта на Украине все российские авиакомпании перешли на отечественные системы бронирования

Все 53 российские авиакомпании перешли на отечественные системы бронирования, о чем в Министерстве транспорта РФ сообщили 1 ноября 2022 года. В ведомстве подчеркнули, что благодаря такому импортозамещению обеспечены информационная безопасность и защита персональных данных пассажиров и экипажей, независимость пассажирских перевозок от иностранных систем, возможных сбоев и отключений.

C 2021 года в рамках межведомственной комиссии под руководством Минцифры России и Минтранса России отраслевые ведомства, ведущие авиакомпании и разработчики отечественных систем объединили усилия в целях перехода авиаперевозчиков на отечественный софт. Был проработан план поэтапной миграции, планомерного переноса данных в отечественные системы, адаптации российского программного обеспечения под требования авиакомпаний.

Авиакомпании РФ перешли на отечественные системы бронирования

Также на случай отключения российских авиакомпаний иностранными провайдерами в условиях санкций для всех авиакомпаний был проработан план экстренного запуска отечественных систем. Авиакомпании выбирали из двух российских систем: «Леонардо» (разработчик АО «Сирена Трэвел» в партнерстве с Госкорпорацией Ростех) и «ТАИС» (АО «ОРС»).

«Аэрофлот» завершил переход на автоматизированную информационную систему оформления воздушных перевозок (АИС ОВП) «Леонардо» 29 октября 2022 года. Переход предусматривал и регулярные рейсы дочерней авиакомпании «Россия» (чартерные рейсы в полном объеме обеспечивались в системе «Леонардо»).

Авиакомпания «Уральские авиалинии» совместно с АО «Сирена Трэвел» перешла на АИС ОВП «Леонардо» 2 октября 2022 года.

Как подчеркнул заместитель министра транспорта Российской Федерации Дмитрий Баканов, все расчеты внутри отечественных систем бронирования происходят в рублях. ^[1]

2019: Медведев обязал разработчиков систем бронирования билетов перенести данные россиян на серверы в РФ

В начале августа 2019 года премьер-министр Дмитрий Медведев подписал постановление, которое обязывает производителей систем бронирования авиабилетов на внутренние рейсы перенести в Россию серверы с персональными данными пассажиров.

Базы данных и обрабатывающие вычислительные комплексы (серверы), базы данных систем, обеспечивающих оформление внутренних воздушных перевозок пассажиров, должны располагаться на территории Российской Федерации, — говорится в документе.

Новые ограничения приняты с целью сохранения конфиденциальности персональных данных и обеспечения транспортной безопасности, сообщает РБК со ссылкой на копию документа. Через системы бронирования иностранные спецслужбы теоретически могут узнавать информацию о передвижениях россиян, в том числе чиновников и военнослужащих, объяснил изданию источник, близкий к правительству.

Российские авиакомпании должны будут использовать системы бронирования и продаж авиабилетов с серверами, размещенными на территории РФ

Требование перенести данные россиян на серверы в РФ коснется зарубежных систем бронирования, которыми пользуются российские авиакомпания, включая Sabre (обслуживает «Аэрофлот» и «Россию»), Navitair («Победа»), Amadeus (S7).

В 2019-2020 гг. нужно обеспечить перемещение и размещение на территории РФ серверов и систем передачи данных. До конца 2021 года должны быть выполнена «миграция персональных баз данных и всех технологий на территорию России».

Расходы на перенос серверов в Россию для иностранных компаний могут измеряться сотни миллионов долларов, оценивает Александр Сизинцев, директор по экономике и финансам компании ТАИС, разработчика Национальной системы бронирования.

Архитектура глобальных иностранных систем не позволяет разделять хосты. Они сделаны как единый центр по обработке заказов авиакомпаний со всего мира, и продублировать локальную версию системы может быть достаточно затратно, — говорит эксперт.^[2]

2018: Минтранс отсрочил требования о переносе серверов авиабронирования в Россию

В ноябре 2018 года стало известно о том, что Министерство транспорта РФ отсрочило требования о переносе серверов авиабронирования в Россию. Задержка должна помочь авиакомпаниям технически подготовиться к нововведению.

Как сообщает газета «Коммерсантъ» со ссылкой на замминистра транспорта Александра Юрчика, правительство даст авиакомпаниям отсрочку для реорганизации работы с персональными данными россиян до 31 октября 2021 года.

Сервисы онлайн-бронирования авиабилетов должны переехать в Россию до 2021 года

В июле 2018 года Минтранс разработал проект постановления, по которому с 1 января 2020 года бронирование и продажа билетов, а также регистрация на внутрироссийские рейсы должны проходить через сервера, находящиеся в России.

К ноябрю 2018 года для бронирования авиабилетов компании используют системы, серверы которых находятся за рубежом. Среди таких систем, в частности, американская Sabre (ею пользуется «Аэрофлот»), которая, согласно подсчетам «Ведомостей», в 2017 году была крупнейшим провайдером в России с долей 38,5%. Есть также российская система бронирования «Сирена-Трэвел» (ею пользуется компания Utair) — она, по данным издания, занимала на рынке 30%.

Заместитель гендиректора «Аэрофлота» по информационным технологиям Кирилл Богданов заявил, что Sabre, с которой работает авиакомпания, перенесет данные и процессинг в РФ, причем за свои средства.

Использование отечественных систем... это системы для обеспечения работы второго эшелона авиакомпаний, как сами в принципе и признают производители этих систем, — отметил Богданов.

«Коммерсантъ» пишет, что стоимость использования иностранных сервисов российскими авиаперевозчиками не раскрывается. Эксперты оценивают миграцию технологий и данных в десятки или сотни миллионов долларов для ИТ-компаний.

Глава Infomost Борис Рыбак говорит, что для работы на глобальном рынке локальный сервис должен быть связан с сервисами других стран шлюзами и интерфейсами.^[3]

2016: В системах Amadeus, Sabre и Travelport не нашли даже базовых средств защиты данных пассажиров

Крупнейшие системы онлайн-бронирования авиабилетов чрезвычайно уязвимы к хакерским атакам и с большой лёгкостью могут быть использованы для несанкционированного получения персональных данных пассажиров, утверждают эксперты немецкой компании Security Research Labs.

Проблема, по словам экспертов, заключается в кодах бронирования (PNR - Passenger Name Record), уникальных идентификаторах в базах данных, связанных с гражданскими авиаперевозками. В этих базах содержится множество сведений о каждом пассажире, в том числе, полное имя, контактная информация, время и маршрут перелетов, номер в салоне воздушного судна и информация о багаже, номера кредитных карт и так далее, вплоть до паспортных данных.

Система онлайн-бронирования авиабилетов от компании Axis Softech

Коды PNR, представляющие собой шестизначные буквенно-цифровые комбинации, используются для быстрого получения доступа ко всем этим данным.

Более чем в 90% случаев бронирование билетов на авиаперевозки (а также бронирование мест в гостиницах и т.д.) осуществляется через глобальные дистрибьюторские системы (GDS) всего трех компаний – Amadeus, Sabre и Travelport. Как утверждают эксперты Security Research Labs, в этих системах отсутствуют надлежащие системы авторизации пользователей, код PNR можно использовать для изменений, в том числе, несанкционированных, данных об авиаперелёте.

Выяснить чужой код PNR очень просто: эти идентификаторы печатаются на посадочных талонах и багажных метках. И каждый, кто сможет найти фотографию такого талона или сделать её самостоятельно, может получить доступ к личным данным пассажира через сайт авиакомпании или глобальной дистрибьюторской системы.

Личным данным пассажиров угрожает и то, что данные идентификаторы можно подобрать посредством брутфорс-атаки. Метод формирования этих шестизначных кодов, делает их ещё слабее, чем пятизначные пароли… которые сегодня считаются слишком слабыми почти для любых приложений в Сети. Двое из трёх основных операторов GDS, назначает коды последовательно, что делает задачу их перебора ещё проще. Наконец, сайты GDS и авиакомпаний допускают перебор тысяч комбинаций с одного и того же IP-адреса. Зная только фамилии пассажиров, их коды бронирования можно найти в интернете без особы проблем, - говорится в публикации Security Research Labs.^[4]

Эксперты указывают, что из этого проистекает целый ряд угроз для безопасности пассажиров. Злоумышленники могут использовать собранные ими персональные данные для махинаций с авиарейсами (вплоть до того, чтобы летать за чужой счет), а также для проведения фишинговых атак.

Security Research Labs – не первая компания, предупреждающая о том, что PNR-коды составляют угрозу личным данным пассажиров. Об этом ещё пару лет назад предупреждала «Лаборатория Касперского», настоятельно не рекомендовавшая делать изображения своих авиабилетов всеобщим достоянием^[5].

В середине этого года стало известно, что некий 32-летний житель Камеруна смог получить полный доступ к системе GDS (как раз, кстати, с помощью фишинга), и между 2011 и 2014 годами активно путешествовал по миру, не забывая перепродавать за бесценок «купленные» им билеты. Ущерб от его действий составил $2 млн. В 2014 году его арестовали во Франции и экстрадировали в США, где его сейчас и судят.^[6]

Эксперты Security Research Labs говорят, что базы GDS создавались в 1970-х и 1980-х годах, их архитектура тогда была передовой, но сейчас, в интернет-эпоху, эти базы лишены даже базовой степени защищённости. В частности, многоступенчатая авторизация отсутствует по определению.

Пока весь интернет обсуждает, какие факторы авторизации использовать вторым и третьим порядком, у GDS нет даже первой ступени, указывается в публикации Security Research Labs. Эксперты считают необходимым оснастить GDS системы защитой от брутфорса и неограниченного количества попыток подбора PNR-кодов с одного и того же IP-адреса.

Морально устаревшие системы, которые оснастили возможностью подключения к интернету при отсутствии собственных средств защиты - это довольно распространенная проблема, - отмечает Ксения Шилак, представитель компании SEC-Consult. - Особенно часто это наблюдается в промышленной сфере: старые производственные комплексы, спроектированные в доинтернетную эпоху, напрямую подключаются к интернету, и оказываются под угрозой хакерских атак просто потому, что их программные компоненты проектировались без учёта возможных киберугроз. С GDS, судя по всему, примерно та же ситуация: эти системы разрабатывались, когда никто не предполагал, что к ним настолько просто будет получить доступ. С их нынешней архитектурой само понятие privacy оказывается бессмыслицей: данные, которые следовало бы охранять как зеницу ока, в буквальном смысле лежат на самом видном месте.

Представители Sabre заявили, что у них реализованы многочисленные меры защиты от мошенничества, но отказались рассказывать агентству Reuters какие-либо подробности. В Amadeus заявили, что внимательно ознакомились с публикацией SR Labs и предпринимают необходимые шаги для обеспечения дополнительной безопасности. В Travelport не стали комментировать публикацию. ^[7]