Budući da se svijet dodatno digitalizira i sve više povezuje, izloženost kiberprijetnjama sve je neizbježnija. Stručnjaci za informacijsku sigurnost često navode da nije riječ o „ako”, nego „kada” će određeni subjekt biti na meti počinitelja kiberkriminaliteta. Područje zrakoplovstva nije imuno na takve prijetnje. Postoje prijetnje informacijskoj sigurnosti koje mogu dovesti do poremećaja u operacijama ili utjecati na sigurnost zračnog prometa.
Misija EASA-e za osiguravanje sigurnog putovanja zrakoplovom u Europi (i diljem svijeta) uključuje ublažavanje rizika informacijske sigurnosti. U skladu s regulatornim paketom Europske unije (EU), organizacije koje djeluju u cjelokupnom ekosustavu civilnog zrakoplovstva moraju rizike u području informacijske sigurnosti prepoznati, procijeniti i s njima postupati na razmjeran način, a zatim ih kontrolirati kako bi se izbjegli štetni učinci na sigurnost građana. Taj ekosustav obuhvaća organizacije uključene u projektiranje zrakoplova, njihovu proizvodnju, održavanje, operacije, osposobljavanje i sve aktivnosti potrebne za osiguravanje sigurnih letačkih operacija.
Koje su prijetnje zrakoplovstvu i odakle dolaze?
Zrakoplovstvo je „sustav sustava” koji, uz aeronautičke proizvode i s njima povezane tehnologije, obuhvaća ljude, procese i drugu nematerijalnu imovinu koja je pak osjetljiva na prijetnje informacijskoj sigurnosti.
Svi su različiti sustavi složeni i iznimno međusobno povezani. Postoje nebrojeni putovi napada koji mogu dovesti do sigurnosnog problema, a zrakoplov je posljednja linija obrane. Svaka veza između zrakoplova i tla (bežična ili ne), bilo koja komponenta održavanja, bilo koji industrijski sustav i, naravno, opskrbni lanac podložni su mogućim prijetnjama. Te prijetnje predstavljaju moguće povrede koje proizlaze iz neovlaštenog pristupa, uporabe, otkrivanja, poremećaja, izmjene i/ili uništenja informacija i informacijskih sustava uključenih u zrakoplovni sustav. Glavni uzrok mnogih napada može biti nepažnja ili nedovoljna osviještenost zaposlenika.
Prijetnje mogu potjecati od različitih strana, uključujući aktere u području kiberkriminaliteta, hakerske aktiviste, pa čak i dionike pod pokroviteljstvom države. Motivacija za takve napade mogu biti financijski, politički ili osobni razlozi kao što su priznavanje ili osjećaj postignuća.
Koji se sektori u zrakoplovstvu čine najatraktivnijima za zlonamjerne aktere?
Na temelju podataka koje prikuplja EASA-in tim za saznanja o kiberprijetnjama, činilo se da su zračne luke najpopularnija meta kibernapada krajem 2024., s više od 50 % zabilježenih ciljanih napada na zrakoplovstvo. Većina njih su napadi uskraćivanjem usluge, u kojima počinitelji kiberkriminala preplavljuju sustav s velikom količinom prometa kako bi ga srušili. To se može povezati s djelovanjem hakerskih aktivista, koja je često potaknuta geopolitičkim napetostima. Čini se da zračne luke imaju visoku vidljivost kad postanu mete napada zbog značajnih vidljivih posljedica nakon incidenta. Ploče s informacijama o otkazivanju letova i nesretni putnici koji čekaju jednostavan su vizualni materijal za vijesti.
Čini se da su zračni prijevoznici drugi najprivlačniji cilj za zlonamjerne aktere, s oko 25 % napada usmjerenih na zračne prijevoznike. Osim napada uskraćivanjem usluga, zračni prijevoznici trpe i zbog napada ucjenjivačkim softverom (kada počinitelji kiberkriminaliteta šifriraju podatke subjekta i zahtijevaju otkupninu kako bi ih dešifrirali), kao i zbog povreda podataka. Stoga napadi ne utječu samo na sigurnost, već i na kontinuitet poslovanja i operacije.
Drugi pogođeni sektori na temelju zabilježenih podataka su proizvođači zrakoplova i organizacije za održavanje, popravak i obnovu, kao i vladine institucije, koje također svakodnevno trpe različite vrste kibernapada.
Što EASA poduzima kako bi zrakoplovstvo postalo otpornije na kibernapade?
EASA-in pristup kibersigurnosti u zrakoplovstvu sastoji se od četiri stupa: certifikacija zrakoplovnih proizvoda, organizacijski rizici informacijske sigurnosti, razmjena informacija i izgradnja kapaciteta.
Certifikacija zrakoplovnih proizvoda
U početku se pitanje kibersigurnosti u ovom kontekstu rješavalo za svaki slučaj zasebno. Podnositelji zahtjeva (organizacije koje traže certifikaciju zrakoplova) morali su procijeniti moguće učinke koje bi prijetnje informacijskoj sigurnosti mogle imati na sigurnost zrakoplovnih sustava i mreža.
Budući da su sustavi i dijelovi zrakoplova sve više međusobno povezani, bilo je više potencijalnih putova napada. Stoga se prijetnja više nije mogla rješavati od slučaja do slučaja te je bio potreban cjelovit pristup.
U tu je svrhu EASA uključila posebne zahtjeve za certifikaciju zrakoplova u kojima se navodi da „oprema, sustavi i mreže zrakoplova, razmatrani odvojeno i u odnosu na druge sustave, moraju biti zaštićeni od namjernih neovlaštenih elektroničkih interakcija koje mogu imati štetne učinke na sigurnost zrakoplova”.
Organizacijski rizici informacijske sigurnosti
Budući da prijetnje informacijskoj sigurnosti nisu ograničene samo na projektiranje zrakoplova, već uključuju i ljude i procese, 2022. i 2023. objavljen je novi skup pravila, tzv. „Dio IS”, u kojem IS označava „informacijsku sigurnost” (koji se sastoji od Delegirane uredbe (EU) 2022/1645 i Provedbene uredbe (EU) 2023/203 za one koji žele više informacija). Dio IS utvrđuje zahtjeve s ciljem zaštite zrakoplovnog sustava od rizika u području informacijske sigurnosti koji mogu utjecati na sigurnost. Dio IS obuhvaća sustave informacijske i komunikacijske tehnologije i podatke koje koriste odobrene organizacije i tijela u svrhe civilnog zrakoplovstva. Kako bi se postigao taj cilj, dio IS zahtijeva uspostavu, provedbu i održavanje sustava za upravljanje informacijskom sigurnošću.
Razmjena informacija
Treći je stup razmjena informacija, koja se trenutačno provodi u okviru dva različita smjera. Europski centar za kibersigurnost u zrakoplovstvu, koji se sastoji od dionika iz industrije i nadležnih tijela, te Mreža kibernetskih analitičara, koja se sastoji od predstavnika država članica. To su zajednice u kojima je izgrađeno povjerenje među organizacijama sudionicama koje im omogućuje razmjenu znanja, kao što su informacije o prijetnjama u obliku izvješća, upozorenja o mogućim prijetnjama i uvidi iz analize incidenata te promicanje suradnje među članovima.
Izgradnja kapaciteta
Posljednje, ali ne i najmanje važno, aktivnosti izgradnje kapaciteta važan su dio EASA-ina pristupa kibersigurnosti. S obzirom na brz tehnološki napredak, važno je da EASA-in tim za kibersigurnost ostane u korak s vremenom. Stoga je osposobljavanje važan element timskih aktivnosti, zajedno s istraživanjem, koje ima ključnu ulogu u razumijevanju budućih prijetnji i donošenju proaktivnog stava protiv kibersigurnosnih prijetnji.
Istraživački projekt Obzor Europa: CYBER - Otpornost zračnog prometa i kibersigurnosne prijetnje
EASA je 2024. pokrenula istraživački projekt o kiberotpornosti zračnog prometa i kibersigurnosnim prijetnjama. Cilj je tog projekta utvrditi kibersigurnosne prijetnje koje potencijalno mogu negativno utjecati na sigurnost letačkih operacija. Tim znanjem EASA nastoji pomoći u izgradnji snažnijeg i otpornijeg zrakoplovnog sustava u budućnosti.
EASA-ina zajednica za kibersigurnost
Ako ste zainteresirani za praćenje svih prethodno navedenih aktivnosti, EASA je osnovala zajednicu za kibersigurnost u kojoj dijelimo informacije o širokom rasponu tema povezanih s kibersigurnošću u zračnom prometu. Bez obzira na to jeste li entuzijast ili stručnjak u tom području, rado ćemo vas uključiti u razmjenu informacija o nizu zanimljivih tema u području kibersigurnosti u zračnom prometu.
Napomene o interferenciji GNSS-a: ometanje i lažno prikazivanje
Od veljače 2022. zabilježeno je znatno povećanje ometanja i lažnog prikazivanja globalnog navigacijskog satelitskog sustava (GNSS), posebno u regijama koje okružuju područja sukoba i drugim osjetljivim područjima kao što su Sredozemlje, Crno more, Bliski istok, Baltičko more i Arktik. Možda ste čak vidjeli i neke vijesti o tome. Ti incidenti također spadaju u područje kibersigurnosti zračnog prometa.
Ometanje se odnosi na namjernu radiofrekvencijsku interferenciju koja sprječava GNSS prijamnike da prate satelitske signale, zbog čega sustav postaje neučinkovit ili degradiran. Lažno prikazivanje uključuje emitiranje krivotvorenih satelitskih signala kako bi se zavarali prijamnici GNSS-a, što uzrokuje netočne podatke o položaju, navigaciji i vremenu – pa bi sustav mogao reći pilotima da lete iznad Pariza u 7 sati ujutro, dok u stvarnosti lete iznad Rima po noći. Te interferencije mogu dovesti do različitih operativnih izazova za zrakoplove i zemaljske sustave, ali nije bilo utjecaja na sigurnost letova. EASA kontinuirano prati tu pojavu kako bi bila spremna pružiti savjete svim sudionicima u zrakoplovstvu u slučaju da postoje naznake da bi to moglo utjecati na sigurnost.