Встроенные системы и человеческий фактор: вывод авиационной  кибербезопасности на новый уровень⁠⁠

Хотя авиационная киберпреступность растет, ее основное внимание по-прежнему уделяется финансам. Но угроза компрометации систем самолета существует.

BIGSTOCK / Авторское право: Syntheticmessiah

Киберпреступность в авиации растет по мере того, как новые системы авиакомпаний и удаленная работа увеличивают зону цифровых атак, - отмечается в недавней публикации Международной ассоциации воздушного транспорта (IATA), в которой добавлено, что «в сочетании с неизбежными киберпреступлениями в нескольких юрисдикциях это делает соответствующие меры авиационной кибербезопасности важными как никогда ».

На практике это означает, что мировая авиационная промышленность так же уязвима для кибератак, как и любая другая сфера с массовой оцифровкой, связью и передовыми технологиями.

Всегда следует предполагать, что кто-то пытается взломать систему. А когда дело доходит до потенциальной авиакатастрофы, результаты пугающие.

В настоящее время угрозы кибер-авиации сосредоточены на экономических аспектах, таких как атаки с выкупом, а также кража данных. Но организации готовятся и к возможным атакам на авиационную безопасность.

В сочетании с неизбежными кибербезопасностями в нескольких юрисдикциях это делает соответствующие меры авиационной кибербезопасности более важными, чем когда-либо.

Авиакомпании должны учитывать три области: пассажирские перевозки, операции и управление воздушным судном.

Пассажирские услуги охватывают все: от первоначального бронирования до управления идентификацией и индивидуального путешествия. Мошенничество, особенно продажа билетов, является серьезной проблемой и в обычный год обходится авиакомпаниям примерно в 1 миллиард долларов. Но поддельные заявки на возмещение и использование программ для часто летающих пассажиров (FFP) стали столь же распространенными, как и преступления по кредитным картам.

Помимо борьбы с мошенничеством, авиакомпании должны усердно работать над защитой данных о пассажирах. Все, что отрасль пытается сделать для оптимизации и упрощения авиаперелетов, включает использование данных. Все собранные данные должны быть сбалансированы с этикой данных, а передовой опыт требует минимизации данных - только с использованием тех данных, которые необходимы.

Тем не менее, многие достижения в сфере аэропортовых процессов, такие как упрощение биометрических данных, требуют от пассажиров предоставления важных личных данных. Законы о конфиденциальности, такие как Общий регламент Европейского Союза о защите данных (GDPR), устанавливают высокие стандарты защиты этих данных, и большинство пассажиров, похоже, рады поделиться информацией в случае необходимости.

Последний глобальный опрос пассажиров IATA показал, что:

73% пассажиров готовы поделиться своими биометрическими данными для улучшения процессов в аэропортах (по сравнению с 46% в 2019 году).

88% поделятся иммиграционной информацией до отъезда для ускоренной обработки.

Чуть более трети пассажиров (36%) испытали использование биометрических данных во время путешествий. Из них 86% остались довольны опытом.

Однако защита данных остается ключевой проблемой: 56% респондентов обеспокоены утечкой данных. А пассажиры хотят ясности в отношении того, кому передаются их данные (52%) и как они используются / обрабатываются (51%).

«Вопросы конфиденциальности относятся не только к авиации,  - говорит Манон Годе, помощник директора по кибербезопасности авиации. «Авиации еще предстоит решить их и принять меры кибербезопасности».

Проблемы с доверием

Доверие к обмену данными также лежит в основе операционных кибер-проблем. Данные должны проходить через цепочку создания стоимости в авиации, а это означает, что системы взаимодействуют друг с другом, и все стороны уверены, что данные защищены.

Но доверие - это концепция, которая не может быть санкционирована правительствами. Таким образом, ее решение является сложной задачей для отрасли, особенно с учетом того, что в нее вовлечены компании разных уровней, не говоря уже о различных уровнях кибербезопасности.

Годе говорит, что для организаций критически важно делиться уязвимостями или опасениями, чтобы обеспечить безопасность всей киберэкосистемы. Обмен знаниями помогает предотвратить атаки в будущем и повышает киберустойчивость. Это означает, что самое слабое место в сквозном обслуживании пассажиров может быть доведено до необходимого уровня и позволяет всем компаниям опережать тенденции и разработки в области атак.

«Помните, что у злоумышленников нет проблем с доверием», - говорит Годе. «Они не только работают с искусственным интеллектом и новыми технологиями, но и предлагают друг другу услуги, чтобы использовать различные возможности атак».

Что касается авиационных систем, это потенциально самый серьезный аспект усилий по кибербезопасности. Самолеты все чаще подключаются к наземным службам, и это открывает возможность для злоумышленников, стремящихся создать помехи бортовым системам самолета, включая критически важные для полета системы. Все стратегии кибербезопасности должны начинаться с их защиты.

Стратегия кибербезопасности

Авиакомпаниям, стремящимся улучшить свою кибербезопасность, Годе советует «обратиться к эксперту». Не пытайтесь понять это сами », - говорит она. «Существует множество различных атак и множество различных способов, которыми они могут повлиять на авиакомпанию. Вы должны проработать все различные сценарии, особенно те, которые могут повлиять на безопасность ».

На симпозиуме IATA Digital, Data and Retailing Мартин Ниннеманн, директор по развитию бизнеса Unisys, определил шесть ключевых элементов в реализации стратегии кибербезопасности:

1.Криптографические протоколы для обеспечения сквозной защиты потоков данных.

2.Виртуальные сообщества, представляющие интерес, для ограничения доступа к данным.

3.Маскировка, чтобы пользователи могли видеть только ту инфраструктуру, которая им нужна.

4.Динамическая изоляция, что означает идентификацию и отключение точки входа, такой как конкретный ПК или сервер, в идеале в течение секунд, а не минут или часов.

5.Интеграция с системами управления идентификацией для облегчения работы.

6.Прозрачность с приложениями, чтобы существующие проприетарные системы могли работать в обычном режиме.

По его мнению, все вышеперечисленное можно сделать без изменения существующей архитектуры. Нет требования «вытащить и заменить».

Годе добавляет в список культуру кибербезопасности. К счастью, авиакомпаниям не нужно создавать это с нуля. «Культура безопасности уже повсеместно присутствует в авиации, и кибербезопасность - лишь ее продолжение», - говорит она. «Речь не идет о создании изолированной культуры. Это связано с идеей постоянного повышения безопасности, и авиакомпании это прекрасно понимают.

«Это даст авиакомпаниям человеческий фактор», - добавляет она. «У вас могут быть все технологии в мире, но вы должны расширить возможности персонала. Люди - одна из величайших средств защиты авиакомпаний от кибератак, но они также могут быть ее слабым местом, поэтому осведомленность и обучение имеют ключевое значение ».

Отраслевые инициативы

Чтобы помочь авиакомпаниям, в настоящее время реализуется ряд отраслевых инициатив. Общий подход к кибербезопасности очень важен. Сотрудничество не только укрепит общую информационную сеть, но и позволит организациям говорить на одном киберязыке. Такие термины, как аутентификация, должны означать одно и то же для всех компаний.

IATA создала Рабочую группу по киберуправлению (CMWG) для оценки потребностей отрасли и предоставления соответствующих рекомендаций. Существует также Руководящая группа по кибербезопасности взаимосвязанных систем самолетов (AISCS-SG), неофициальный форум, который уделяет особое внимание взаимосвязанным системам, связанным с безопасностью полетов.

IATA также работает с Международным координационным советом ассоциаций аэрокосмической промышленности (ICCAIA) над форумом, посвященным ограниченному обмену данными о кибербезопасности самолетов (rFORUM), чтобы помочь авиакомпаниям лучше понять риски, связанные с внедрением новых технологий, и поделиться этими опасениями с оригинальным оборудованием. Производители (OEM-производители и держатели разрешений на дизайн (DAH).

На уровне ИКАО существует Исследовательская группа Секретариата по кибербезопасности (SSGC) и ее различные подгруппы, которые заняты пересмотром Плана действий ИКАО по кибербезопасности (CyAP) и структуры доверия, включая новые требования к защищенному протоколу для гражданской авиации. Европейское агентство по авиационной безопасности (EASA) и EUROCAE также проводят консультации с IATA по поводу новых правил.

«Нет недостатка в усилиях», - заключает Годе. «Но нам нужно больше вкладов от авиакомпаний для разработки правильного руководства, чтобы мы могли удовлетворить потребности отрасли в этой критически важной области. Все авиационные организации должны достичь жизнеспособного минимального уровня кибербезопасности, потому что одна атака на один критический элемент может повлиять на всю отрасль.

«Это не означает, что каждый должен внедрять новейшие системы. Это всегда связано с адаптацией, потому что ни одна авиакомпания не может производить полную замену систем каждый год. Дело в том, что мы никогда не сможем достичь 100% кибербезопасности. Но мы можем снизить риск, и очень важно, чтобы мы это сделали. Критически важные цифровые системы, которые являются частью инфраструктуры гражданской авиации, должны быть защищены как можно лучше ».

Тамир Горен - директор по специальным технологиям Израильского национального кибердиректората (INCD) и также руководит национальными авиационными и морскими программами.

«Сегодняшний мир авиации сильно оцифрован и взаимосвязан. Аэропорты, операционные системы, регистрация рейсов, воздушное движение и управление полетами - все это может быть подвержено киберугрозам », - сказал он Cybertech Insider.

«Большинство киберугроз по-прежнему носят финансовый характер, и атаки часто связаны с утечкой данных о пассажирах», - говорит Горен. «Ранее в этом году авиакомпания Air India пострадала от кибербезопасности, в результате которой просочилась информация о 4,5 миллионах пассажиров. В ходе других атак были украдены данные о часто летающих пассажирах.

«Однако пока мы в Cyber Directorate не знаем о попытках поставить под угрозу безопасность полетов. Но, конечно, опасность существует ».

В 2018 году правительство Израиля распорядилось создать руководящий комитет во главе с Управлением гражданской авиации и Управлением киберпространства. Этот комитет руководит национальным авиационным киберуправлением, а также включает представителей министерств транспорта и обороны, Армии обороны Израиля, Управления безопасности Израиля (Шин Бет) и Совета национальной безопасности.

Я спросил Горена, где сейчас находится потенциальная киберугроза безопасности полетов. «Мы говорим об атаках, которые угрожают безопасности полётов, например, нарушая аэрофотоснимки диспетчеров полета или предоставляя самолету ложные инструкции по полету. Это реальный риск », - отвечает он.

«Еще хуже была бы попытка провести кибератаку против реальных систем самолета. Современный гражданский самолет - это цифровая платформа. И хотя проникнуть в его системы очень сложно, теоретически это возможно - со смертельным исходом ».

Тамир Горен, любезно предоставлено Национальным кибердиректоратом Израиля

Но Горен также внёс  обнадеживающее сообщение. «Авиационная промышленность хорошо осведомлена об этих возможных угрозах и готова к ним. Производители самолетов, авиакомпании, регулирующие органы - все уделяют этому вопросу большое внимание.

«Самолет не уйдет с завода без встроенной киберзащиты. И авиакомпания, покупающая самолет, должна убедиться, что эти средства защиты работают должным образом ».

Авиационная киберзащита требует регионального и международного сотрудничества. Например, самолет, вылетающий из Тель-Авива и приземляющийся в Лондоне, появится на радарах нескольких других стран, прежде чем прибудет в пункт назначения. И все ссылки имеют один и тот же интерес - защиту безопасности полетов.

Горен говорит, что Управление киберпространства Израиля вносит свой вклад в глобальную систему защиты, и отмечает важность постоянных международных дискуссий и сотрудничества, направленных на повышение уровня защиты.

Перевод с английского

Источник

Источник