Naarmate de wereld verder digitaliseert en steeds meer met elkaar verbonden raakt, wordt de blootstelling aan cyberdreigingen steeds imminenter. Deskundigen op het gebied van informatiebeveiliging stellen vaak dat het niet een kwestie is van “of”, maar eerder van “wanneer” een bepaalde entiteit het doelwit zal zijn van cybercriminelen. De luchtvaart is niet immuun voor dergelijke bedreigingen. Er zijn bedreigingen voor de informatiebeveiliging die kunnen leiden tot verstoringen van de activiteiten of die gevolgen kunnen hebben voor de veiligheid van de luchtvaart.
De missie van het EASA om te zorgen voor veilig luchtverkeer in Europa (en wereldwijd) te waarborgen, omvat het beperken van risico’s op het gebied van informatiebeveiliging. Het regelgevingspakket van de Europese Unie (EU) vereist dat informatiebeveiligingsrisico’s op evenredige wijze worden geïdentificeerd, beoordeeld en behandeld door organisaties die actief zijn in het volledige ecosysteem van de burgerluchtvaart en vervolgens worden beheerst om nadelige gevolgen voor de veiligheid van de burgers te voorkomen. Dit ecosysteem omvat organisaties die betrokken zijn bij het ontwerp, de productie, het onderhoud, de exploitatie, de opleiding en alle activiteiten die nodig zijn om veilige vluchtafhandelingen te garanderen.
Wat zijn de bedreigingen voor de luchtvaart en waar komen ze vandaan?
De luchtvaart is een “systeem van systemen” dat – naast luchtvaartproducten en de bijbehorende technologieën – bestaat uit mensen, processen en andere immateriële activa die op hun beurt kwetsbaar zijn voor bedreigingen van de informatiebeveiliging.
Al deze verschillende systemen zijn complex en zeer nauw met elkaar verbonden. Er zijn talloze aanvalspaden die tot een veiligheidsprobleem kunnen leiden en het luchtvaartuig is de laatste verdedigingslinie. Elke verbinding (draadloos of niet) tussen het vliegtuig en de grond, elk onderhoudsonderdeel, elk industrieel systeem en natuurlijk de toeleveringsketen zijn allemaal onderhevig aan potentiële bedreigingen. Deze bedreigingen zijn potentiële schendingen die voortkomen uit ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging en/of vernietiging van informatie en informatiesystemen die betrokken zijn bij het luchtvaartsysteem. Veel aanvallen kunnen hun oorzaak vinden in nalatigheid of gebrek aan bewustzijn van medewerkers.
Bedreigingen kunnen afkomstig zijn van verschillende partijen, waaronder cybercriminelen, hacktivisten en zelfs door de staat gesponsorde actoren. De motivatie achter dergelijke aanvallen kan financieel, politiek of persoonlijk zijn, zoals erkenning of een gevoel van prestatie.
Welke sectoren in de luchtvaart lijken het meest aantrekkelijk voor kwaadwillende actoren?
Op basis van de gegevens die het ‘Cyber Threat Intelligence’-team van het EASA verzamelt, leken luchthavens eind 2024 het populairste doelwit van cyberaanvallen te zijn, met meer dan 50 % van de geregistreerde gerichte aanvallen op de luchtvaart. De meeste van deze aanvallen zijn ‘Denial-of-Service’-aanvallen – dat is wanneer cybercriminelen een systeem overspoelen met een grote hoeveelheid verkeer om het te laten crashen. Dit kan in verband worden gebracht met hacktivistische activiteiten, die vaak worden aangewakkerd door geopolitieke spanningen. Het lijkt erop dat luchthavens goed zichtbaar zijn als doelwit vanwege de grote zichtbare gevolgen na een incident. Vluchtannuleringsborden en ongelukkige, vertraagde passagiers zijn ideaal beeldmateriaal voor nieuwsberichten.
Luchtvaartmaatschappijen lijken het op één na aantrekkelijkste doelwit voor kwaadwillenden te zijn, met ongeveer 25 % van de aanvallen gericht op luchtvaartmaatschappijen. Naast ‘Denial-of-Service’-aanvallen hebben luchtvaartexploitanten ook te lijden onder ransomware-aanvallen (wanneer cybercriminelen de gegevens van een entiteit versleutelen en losgeld eisen om ze te ontsleutelen) en gegevensinbreuken. De aanvallen hebben daarom niet alleen gevolgen voor de veiligheid, maar ook voor de bedrijfscontinuïteit en -activiteiten.
Andere getroffen sectoren op basis van de geregistreerde gegevens zijn vliegtuigfabrikanten en onderhouds-, reparatie- en revisie-organisaties, evenals overheidsinstellingen, die ook dagelijks te maken hebben met verschillende soorten cyberaanvallen.
Wat doet het EASA om de luchtvaart weerbaarder te maken tegen cyberaanvallen?
De aanpak van het EASA ten aanzien van cyberbeveiliging in de luchtvaart baseert zich op vier pijlers: certificering van luchtvaartproducten, risico’s op het gebied van organisatorische informatiebeveiliging, informatie-uitwisseling en capaciteitsopbouw.
Certificering van luchtvaartproducten
Aanvankelijk werd de cyberbeveiliging in dit verband steeds van geval tot geval bekeken. Aanvragers (organisaties die luchtvaartuig wilden laten certificeren) moesten de mogelijke effecten van informatiebeveiligingsdreigingen op de veiligheid van de luchtvaartuigsystemen en -netwerken beoordelen.
Nu vluchtvaartuigsystemen en -onderdelen steeds meer met elkaar verbonden raken, zijn er ook meer potentiële aanvalsroutes. De dreiging kon daarom niet langer per geval worden bekeken, maar er was een holistische aanpak nodig.
Daartoe heeft het EASA specifieke vereisten opgenomen voor de certificering van luchtvaartuigen die specificeren dat “de uitrusting, systemen en netwerken van luchtvaartuigen, afzonderlijk beschouwd en in samenhang met andere systemen, moeten worden beschermd tegen opzettelijke ongeoorloofde elektronische interacties die kunnen leiden tot nadelige effecten op de veiligheid van het vliegtuig”.
Risico’s op het gebied van organisatorische informatiebeveiliging
Aangezien bedreigingen voor de informatiebeveiliging niet alleen beperkt zijn tot het ontwerp van het vliegtuig, maar ook mensen en processen omvatten, werd in 2022 en 2023 een nieuwe reeks regels gepubliceerd, de zogenaamde “Deel-IS”, waarbij IS staat voor “Information Security” (bestaande uit de Gedelegeerde Verordening (EU) 2022/1645 en Uitvoeringsverodening (EU) 2023/203, voor wie dieper willen graven). “Deel-IS” bevat voorschriften die tot doel hebben het luchtvaartsysteem te beschermen tegen risico’s op het gebied van informatiebeveiliging die potentiële gevolgen voor de veiligheid hebben. “Deel-IS” omvat informatie- en communicatietechnologiesystemen en gegevens die door erkende organisaties en autoriteiten worden gebruikt voor burgerluchtvaartdoeleinden. Om het doel te bereiken, vereist “Deel-IS” het opzetten, implementeren en onderhouden van een managementsysteem voor informatiebeveiliging.
Informatie-uitwisseling
De derde pijler is het uitwisselen van informatie, wat momenteel gebeurt via twee verschillende stromen: het Europees centrum voor cyberveiligheid in de luchtvaart, dat bestaat uit belanghebbenden uit zowel de sector als de autoriteiten, en het Netwerk van cyberanalisten, dat bestaat uit vertegenwoordigers van de lidstaten. Dit zijn gemeenschappen waar onder de deelnemende organisaties vertrouwen is opgebouwd waardoor zij kennis kunnen delen, zoals dreigingsinformatie in de vorm van rapporten, waarschuwingen over mogelijke dreigingen en inzichten uit de analyse van incidenten, en samenwerking tussen de leden kunnen bevorderen.
Capaciteitsopbouw
Last but not least vormen capaciteitsopbouwactiviteiten een belangrijk onderdeel van EASA’s aanpak van cyberbeveiliging. Gezien de snelle technologische ontwikkelingen is het belangrijk dat het cyberbeveiligingsteam van het EASA up-to-date blijft. Daarom is training een belangrijk onderdeel van de teamactiviteiten, naast onderzoek, dat een sleutelrol speelt om inzicht te krijgen in het toekomstige dreigingslandschap en om een proactieve houding aan te nemen tegen cyberbeveiligingsdreigingen.
Onderzoeksproject Horizon Europa: CYBER – Herstellingsvermogen van de luchtvaart & dreigingslandschap op het gebied van cyberbeveiliging
In 2024 heeft het EASA een onderzoeksproject gelanceerd naar de veerkracht van de cyberluchtvaart en het dreigingslandschap op het gebied van cyberbeveiliging. Dit project is gericht op het identificeren van cyberbeveiligingsbedreigingen die een potentieel nadelig effect hebben op de veiligheid van vluchtafhandelingen. Met deze kennis beoogt het EASA bij te dragen aan de opbouw van een sterker en veerkrachtiger luchtvaartsysteem voor de toekomst.
De cyberbeveiligingsgemeenschap van het EASA
Als u geïnteresseerd bent in het volgen van alle bovenstaande activiteiten, heeft het EASA een cyberbeveiligingsgemeenschap opgezet waarbinnen we informatie delen over het brede scala aan onderwerpen met betrekking tot cyberbeveiliging in de luchtvaart. Of u nu een gewone enthousiasteling bent of een deskundige op dit gebied, we willen u graag aan boord hebben om van gedachten te wisselen over een aantal interessante onderwerpen op het gebied van cyberbeveiliging in de luchtvaart.
Enkele opmerkingen over GNSS-interferentie: blokkering en spoofing
Sinds februari 2022 is er een opmerkelijke toename van het blokkeren en spoofen van het wereldwijde satellietnavigatiesysteem (GNSS), met name in regio’s rond conflictgebieden en andere gevoelige gebieden zoals de Middellandse Zee, de Zwarte Zee, het Midden-Oosten, de Oostzee en het Noordpoolgebied. Misschien hebt u er zelfs al nieuws over gezien. Deze incidenten vallen ook onder de cyberbeveiliging van de luchtvaart.
Blokkering verwijst naar de opzettelijke radiofrequentie-interferentie die GNSS-ontvangers verhindert om zich te binden aan satellietsignalen, waardoor het systeem ineffectief of verzwakt wordt. Spoofing houdt in dat vervalste satellietsignalen worden uitgezonden om GNSS-ontvangers te misleiden, waardoor onjuiste positie-, navigatie- en tijdsgegevens ontstaan. Het systeem kan de piloten dus vertellen dat ze om 7 uur ’s ochtends boven Parijs vliegen, terwijl ze in werkelijkheid ’s nachts boven Rome vliegen. Deze interferenties kunnen leiden tot verschillende operationele uitdagingen voor luchtvaartuigen en grondsystemen, maar er zijn nog geen gevolgen geweest voor de veiligheid van vluchten. EASA houdt dit fenomeen voortdurend in de gaten om alle actoren in de luchtvaart van advies te kunnen dienen als er aanwijzingen zijn dat de veiligheid in het gedrang zou kunnen komen.