航空公司的数字化变革需要大量的信息技术建设。除了必要的基础设施和应用系统外,航空公司还面临着与信息技术安全有关的许多风险。如何管理这些风险成为航空公司管理面临的一个迫切挑战。具体而言,其主要是操作安全风险和信息安全风险。
一是运营安全风险,即由于信息技术的失败导致航空公司无法正常运营而造成的潜在损失风险。
近年来,不少航空公司因资讯科技故障而不能运作的意外,其中最具代表性的是德尔塔电脑系统在2016年8月8日完全瘫痪,包括暂停2000年航班的起飞系统。9月份,该公司声称,计算机系统故障直接导致了1.5亿美元的经济损失。2016年9月7日英国航空公司的起飞系统失灵,包括旧金山、亚特兰大和墨西哥城。英国航空公司在西雅图、芝加哥、格拉斯哥和伦敦加特威机场遭遇严重延误。
随着航空公司数字化转型进程的不断发展,航空公司的无纸化战略逐步落到实处,航空公司对IT系统的依赖程度也越来越高。无论是网络故障、服务器故障还是应用系统故障,航空公司的相应业务都会停止,这将给航空公司带来巨大的损失。
此外,由于航空公司往往不擅长IT技术,他们的IT能力往往依赖于外包,这也导致了许多潜在的风险。例如,外包供应商的问题或业务重点的改变可能导致信息系统的维护损失;对于一些拥有自己的数据中心的航空公司来说,问题可能来自缺乏安全技术能力。例如,近年来肆虐的勒索病毒侵袭了包括航空公司在内的许多公司。
二是信息安全风险,即潜在的直接损失,如财务补偿,或间接损失,如品牌损害,与航空公司主营业务相关的数据泄露。
在这个问题上,一些航空公司最近发生了一个重大的信息披露案件。例如,国泰航空公司在2018年10月发出通知,发现港龙航空及其全资子公司约940万名乘客被偷,包括重要的个人资料,例如乘客姓名、身份证号码、护照号码、生日、电话号码、电子邮件等。这宗个案被香港传媒界定为香港历史上最大的个人资料披露个案。例如,2018年9月,英国航空公司母公司国际航空集团(InternationalAirlinesGroup)宣布,近几周来,数十万通过互联网预订英国航空机票的客户被盗。该公司表示,英国航空公司的数据泄漏发生在8月21日至9月5日之间,约有380000张银行卡在线支付信息遭到“攻击”。也有传言说,国内航空公司泄露旅客信息的案件有几十万起,但没有官方报告,但关于乘客因乘客信息泄露而受到短信欺诈的报道并不少见。中国著名酒店集团华珠集团也是一个旅游行业,已经证实有1.3亿用户信息被泄露。随着欧盟GDPR、中国网络安全法的实施,航空公司在信息安全方面的形势越来越严峻。
在航空公司数字化改造的过程中,由于需要优先考虑业务转换的业务功能需求,在很多情况下,许多信息系统将被快速构建。由于缺乏统一的安全体系结构设计和安全标准管理,存在许多信息安全漏洞。在资讯保安方面,航空公司的资讯科技部门普遍缺乏专业人才,需要专业供应商的支持,包括保护系统及专业及技术人员的支援。
无论是运营风险还是信息安全风险,世界各国的航空公司都对此给予了更多的关注。根据SITA发布的2018年航空运输IT趋势报告,网络安全已成为航空公司的IT投资重点之一。航空公司在网络安全方面的IT支出每年都在逐渐增加,从2017年的5%增加到2018年的7%。然而,这一数字仍略低于全球企业平均水平(9%)。
总之,航空公司通过数字化改造寻求新的发展,但也带来了数字化带来的诸多安全风险。航空公司需要仔细识别所有这些风险,逐一制定风险控制计划,并制定计划以应对每个风险点的发生。