Wraz z zacieśnianiem się wzajemnych powiązań na świecie, który ulega coraz większej cyfryzacji, narażenie na zagrożenia cyberbezpieczeństwa staje się coraz bardziej naglące. Eksperci ds. bezpieczeństwa informacji często zauważają, że nie chodzi o to „czy”, lecz raczej „kiedy” dany podmiot stanie się celem cyberprzestępców. Dziedzina lotnictwa nie jest wolna od takich zagrożeń. Istnieją zagrożenia dla bezpieczeństwa informacji, które mogą prowadzić do zakłóceń operacji lub wpływać na bezpieczeństwo lotnicze.
Misja EASA polegająca na zapewnieniu bezpiecznych podróży lotniczych w Europie (i na całym świecie) obejmuje ograniczanie ryzyka związanego z bezpieczeństwem informacji. Pakiet regulacyjny Unii Europejskiej (UE) nakłada wymóg, aby ryzyko związane z bezpieczeństwem informacji było identyfikowane, oceniane i traktowane w sposób proporcjonalny przez organizacje działające w całym ekosystemie lotnictwa cywilnego, a następnie kontrolowane, tak aby uniknąć negatywnych skutków dla bezpieczeństwa obywateli. Ekosystem ten obejmuje organizacje zajmujące się projektowaniem statków powietrznych, produkcją, obsługą techniczną, eksploatacją, szkoleniami i wszystkimi działaniami niezbędnymi do zapewnienia bezpiecznych operacji lotniczych.
Jakie są zagrożenia dla lotnictwa i skąd się one biorą?
Lotnictwo to „system systemów” obejmujący – oprócz wyrobów lotniczych i powiązanych z nimi technologii – ludzi, procesy i inne wartości niematerialne i prawne, które są z kolei podatne na zagrożenia dla bezpieczeństwa informacji.
Wszystkie te różne systemy są złożone i ściśle ze sobą powiązane. Istnieją niezliczone ścieżki ataku, które mogą prowadzić do problemów z bezpieczeństwem, a statek powietrzny jest ostatnią linią obrony. Każde połączenie między statkiem powietrznym a ziemią (bezprzewodowe lub nie), każdy element obsługi technicznej, każdy system przemysłowy i oczywiście łańcuch dostaw są narażone na potencjalne zagrożenia. Zagrożenia te to potencjalne naruszenia wynikające z nieuprawnionego dostępu, wykorzystania, ujawnienia, zakłócenia, modyfikacji lub zniszczenia informacji i systemów informacyjnych będących częścią systemu lotniczego. Przyczyną wielu ataków może być zaniedbanie lub brak świadomości pracowników.
Zagrożenia mogą nadchodzić z różnych stron, takich jak cyberprzestępcy, haktywiści, a nawet podmioty sponsorowane przez państwo. Ataki te mogą być podyktowane względami finansowymi, politycznymi lub osobistymi, takimi jak uznanie czy poczucie osiągnięcia sukcesu.
Które sektory lotnictwa wydają się najbardziej atrakcyjne dla podmiotów działających w złym zamiarze?
Na podstawie danych zebranych przez zespół EASA ds. analizy cyberzagrożeń lotniska wydawały się najpopularniejszym celem cyberataków pod koniec 2024 r. Odnotowano ponad 50% ataków ukierunkowanych na sektor lotnictwa. Większość z nich to ataki typu „odmowa usługi” – cyberprzestępcy przeciążają system dużą ilością ruchu w celu spowodowania jego awarii. Może to być powiązane z działalnością haktywistów, która często jest podsycana napięciami geopolitycznymi. Wydaje się, że lotniska zapewniają dużą widoczność, gdy są celem ataku, ze względu na znaczący widoczny wpływ po incydencie. Tablice z informacjami na temat odwołanych lotów i niezadowoleni pasażerowie opóźnionych lotów mogą być z łatwością prezentowani w wiadomościach.
Przewoźnicy lotniczy wydają się drugim najatrakcyjniejszym celem dla podmiotów działających w złych zamiarach, ponieważ około 25% ataków wymierzonych jest w linie lotnicze. Oprócz ataków typu „odmowa usługi” przewoźnicy lotniczy padają również ofiarą ataków z wykorzystaniem oprogramowania szantażującego (gdy cyberprzestępcy szyfrują dane podmiotu i żądają okupu za ich odszyfrowanie), a także naruszeń danych. Dlatego ataki te mają wpływ nie tylko na bezpieczeństwo, lecz także na ciągłość działania i operacje.
Inne sektory dotknięte skutkami incydentu na podstawie zarejestrowanych danych to producenci statków powietrznych oraz organizacje zajmujące się obsługą techniczną, naprawą i remontami statków powietrznych, a także instytucje rządowe, które na co dzień również doświadczają różnych rodzajów cyberataków.
Jakie działania podejmuje EASA, aby lotnictwo było bardziej odporne na cyberataki?
Podejście EASA do cyberbezpieczeństwa w lotnictwie opiera się na czterech filarach: certyfikacji wyrobów lotniczych, ryzyku związanym z bezpieczeństwem informacji w organizacji, wymianie informacji i budowaniu zdolności.
Certyfikacja wyrobów lotniczych
Początkowo cyberbezpieczeństwo w tym kontekście było rozpatrywane indywidualnie dla każdego przypadku. Wnioskodawcy (organizacje ubiegające się o certyfikację statku powietrznego) musieli ocenić potencjalny wpływ zagrożeń dla bezpieczeństwa informacji na bezpieczeństwo systemów i sieci statku powietrznego.
W miarę jak systemy i części samolotów stawały się coraz ściślej powiązane, pojawiało się więcej potencjalnych ścieżek ataku. W związku z tym zagrożenia nie można było już rozpatrywać indywidualnie i konieczne było przyjęcie kompleksowego podejścia.
W tym celu EASA uwzględniła szczegółowe wymogi dotyczące certyfikacji statków powietrznych, w których to wymogach określono, że „wyposażenie, systemy i sieci samolotu, rozpatrywane osobno i w odniesieniu do innych systemów, muszą być chronione przed umyślnymi nieupoważnionymi interakcjami elektronicznymi, które mogą wywierać niekorzystny wpływ na bezpieczeństwo samolotu”.
Ryzyko związane z bezpieczeństwem informacji w organizacji
Zagrożenia dla bezpieczeństwa informacji nie ograniczają się wyłącznie do projektu statku powietrznego, lecz obejmują także ludzi i procesy, dlatego w latach 2022 i 2023 opublikowano nowy zestaw przepisów, tzw. część IS, gdzie IS oznacza „bezpieczeństwo informacji” (ang. Information Security) (obejmujący rozporządzenie delegowane (UE) 2022/1645 i rozporządzenie wykonawcze (UE) 2023/203 w celu przedstawienia szczegółowych informacji). W części IS określono wymogi mające na celu ochronę systemu lotniczego przed ryzykiem związanym z bezpieczeństwem informacji, które to ryzyko może mieć potencjalny wpływ na bezpieczeństwo. Część IS obejmuje systemy technologii informacyjno-komunikacyjnych oraz dane wykorzystywane przez zatwierdzone organizacje i organy do celów lotnictwa cywilnego. Aby osiągnąć cel określony w części IS, należy ustanowić, wdrożyć i utrzymać system zarządzania bezpieczeństwem informacji.
Wymiana informacji
Trzecim filarem jest wymiana informacji, która jest obecnie prowadzona w ramach dwóch różnych strumieni. Są nimi Europejskie Centrum ds. Cyberbezpieczeństwa w Lotnictwie,które to centrum skupia zainteresowane strony zarówno z branży, jak i z organów, oraz sieć analityków ds. cyberbezpieczeństwa, w skład której wchodzą przedstawiciele państw członkowskich. Są to społeczności, w których zbudowano zaufanie między organizacjami uczestniczącymi, co umożliwia im dzielenie się wiedzą, taką jak analiza cyberzagrożeń w formie sprawozdań, ostrzeżeń o możliwych zagrożeniach i spostrzeżeń wynikających z analizy incydentów, a także propagowanie współpracy między członkami.
Budowanie zdolności
Ponadto działania w zakresie budowania zdolności stanowią ważny element podejścia EASA do kwestii cyberbezpieczeństwa. Biorąc pod uwagę szybkie tempo postępu technologicznego, ważne jest, aby zespół EASA ds. cyberbezpieczeństwa na bieżąco aktualizował swoje informacje. Dlatego szkolenia są ważnym elementem działań zespołu, podobnie jak badania, które odgrywają kluczową rolę w zrozumieniu przyszłego krajobrazu zagrożeń i przyjęciu proaktywnej postawy wobec zagrożeń cyberbezpieczeństwa.
Projekt badawczy „Horyzont Europa”: CYBER – Odporność lotnictwa i krajobraz zagrożeń cyberbezpieczeństwa
W 2024 r. EASA uruchomiła projekt badawczy dotyczący odporności lotnictwa na zagrożenia cyberbezpieczeństwa i krajobrazu zagrożeń cyberbezpieczeństwa. Celem projektu jest określenie zagrożeń cyberbezpieczeństwa mających potencjalnie negatywny wpływ na bezpieczeństwo operacji lotniczych. Dzięki tej wiedzy EASA zamierza pomóc w budowaniu silniejszego i odporniejszego systemu lotnictwa w przyszłości.
Społeczność EASA zajmująca się cyberbezpieczeństwem
Jeżeli są Państwo zainteresowani śledzeniem wszystkich powyższych działań, EASA utworzyła społeczność zajmującą się cyberbezpieczeństwem, w ramach której dzielimy się informacjami na wiele tematów związanych z cyberbezpieczeństwem w lotnictwie. Niezależnie od tego, czy są Państwo entuzjastami, czy ekspertami w tej dziedzinie, z przyjemnością zapraszamy Państwa do dyskusji na wiele interesujących tematów z zakresu cyberbezpieczeństwa w lotnictwie.
Kilka uwag na temat zakłóceń globalnego systemu nawigacji satelitarnej: zagłuszanie i spoofing
Od lutego 2022 r. odnotowano znaczny wzrost zagłuszania i spoofingu globalnego systemu nawigacji satelitarnej (GNSS), szczególnie w regionach sąsiadujących ze strefami konfliktów i innych wrażliwych obszarach, takich jak Morze Śródziemne, Morze Czarne, Bliski Wschód, Morze Bałtyckie i Arktyka. Być może widzieli Państwo jakieś wiadomości na ten temat. Incydenty te również mieszczą się w zakresie cyberbezpieczeństwa w lotnictwie.
Zagłuszanie odnosi się do celowego zakłócania częstotliwości radiowych, które uniemożliwia odbiornikom GNSS namierzanie sygnałów satelitarnych, sprawiając, że system jest nieskuteczny lub działa w trybie awaryjnym. Spoofing polega na nadawaniu fałszywych sygnałów satelitarnych w celu oszukania odbiorników GNSS, powodując przekazywanie nieprawidłowych danych dotyczących pozycji, nawigacji i czasu – tak więc system może informować pilotów, że lecą nad Paryżem o 7 rano, podczas gdy w rzeczywistości lecą nad Rzymem w nocy. Zakłócenia te mogą prowadzić do różnych wyzwań operacyjnych dla statków powietrznych i systemów naziemnych, ale nie miały dotąd wpływu na bezpieczeństwo lotów. EASA stale monitoruje to zjawisko, aby móc udzielać porad wszystkim podmiotom lotniczym w przypadku, gdy istnieją przesłanki wskazujące na to, że bezpieczeństwo może być zagrożone.