Svet postaja vse bolj digitaliziran in povezan, zato je izpostavljenost kibernetskim grožnjam vse bolj neizogibna. Strokovnjaki za informacijsko varnost pogosto trdijo, da je le vprašanje časa, kdaj bo določen subjekt tarča kibernetske kriminalitete. Pred tovrstnimi grožnjami ni varno niti letalstvo. Obstajajo grožnje za informacijsko varnost, ki lahko povzročijo motnje pri delovanju zrakoplovov ali vplivajo na varnost v letalstvu.
Agencija EASA si za zagotavljanje varnega zračnega prometa v Evropi (in po svetu) med drugim prizadeva za zmanjšanje tveganj za informacijsko varnost. Regulativni sveženj Evropske unije (EU) določa, da morajo organizacije, ki delujejo v celotnem ekosistemu civilnega letalstva, opredeliti, oceniti in sorazmerno obravnavati tveganja za informacijsko varnost ter jih nadzorovati, da bi preprečili nevarnosti za državljane. Ta ekosistem zajema organizacije, vključene v načrtovanje, proizvodnjo in vzdrževanje zrakoplovov, s tem povezane operacije in usposabljanje ter vse dejavnosti, potrebne za zagotavljanje varnega zračnega prometa.
Katere grožnje se pojavljajo v letalstvu in od kod prihajajo?
Letalstvo je „sistem sistemov“, ki poleg letalskih proizvodov in z njimi povezanih tehnologij zajema ljudi, procese in druga neopredmetena sredstva, ki so izpostavljena grožnjam za informacijsko varnost.
Vsi raznoliki sistemi so kompleksni in tesno povezani. Obstaja nešteto načinov napada, ki lahko privedejo do varnostnih težav, zrakoplov pa je zadnja obrambna linija. Vsaka povezava med zrakoplovom in zemljo (brezžična ali ne), vsak sestavni del za vzdrževanje, vsak industrijski sistem in seveda dobavna veriga so izpostavljeni morebitnim grožnjam. Te grožnje so možne kršitve, ki izhajajo iz nepooblaščenega dostopa, uporabe, razkritja, motenj, spreminjanja in/ali uničenja informacij in informacijskih sistemov, vključenih v letalski sistem. Za številne napade je kriva malomarnost ali premajhna ozaveščenost zaposlenih.
Grožnje lahko prihajajo iz različnih strani, med drugim od storilcev kibernetske kriminalitete, hekerskih aktivistov in celo akterjev, ki jih podpira država. Motivacija za take napade so lahko finančni, politični ali osebni razlogi, kot je prepoznavnost ali občutek, da so nekaj dosegli.
Kateri sektorji v letalstvu se zdijo najprivlačnejši za zlonamerne akterje?
Na podlagi podatkov, ki jih zbira obveščevalna skupina agencije EASA za kibernetske grožnje, se zdi, da so konec leta 2024 najbolj priljubljena tarča kibernetskih napadov letališča z več kot 50 % evidentiranih ciljno usmerjenih napadov na letalstvo. Večina teh napadov je napadov za zavrnitev storitve, tj. kadar storilci kaznivih dejanj kibernetske kriminalitete preobremenijo sistem z velikim obsegom prometa, da bi ga zrušili. To je lahko povezano z dejavnostjo na področju hekerskega aktivizma, ki jo pogosto spodbuja geopolitična napetost. Zdi se, da so napadi na letališča visoko prepoznavni zaradi pomembnega vidnega učinka po incidentu. Table z informacijami o odpovedih letov in nezadovoljni potniki, katerih leti imajo zamudo, so enostavno vizualno gradivo za novinarske zgodbe.
Zdi se, da so letalski prevozniki drugi najprivlačnejši cilj za zlonamerne akterje, saj je približno 25 % napadov usmerjenih v letalske prevoznike. Poleg napadov za zavrnitev storitve so letalski prevozniki tudi žrtve napadov z izsiljevalskim programjem (kadar storilci kaznivih dejanj kibernetske kriminalitete šifrirajo podatke subjekta in zahtevajo odkupnino za njihovo dešifriranje) in kršitev varnosti podatkov. Zato napadi ne vplivajo le na varnost, temveč tudi na neprekinjeno poslovanje in operacije.
Drugi prizadeti sektorji na podlagi evidentiranih podatkov so proizvajalci zrakoplovov ter organizacije za vzdrževanje, popravila in prenovo, pa tudi vladne ustanove, ki se prav tako vsakodnevno srečujejo z različnimi vrstami kibernetskih napadov.
Kako si agencija EASA prizadeva, da bi letalstvo postalo odpornejše proti kibernetskim napadom?
Pristop agencije EASA h kibernetski varnosti v letalstvu ima štiri stebre, tj. certificiranje letalskih proizvodov, tveganja za informacijsko varnost v organizacijah, izmenjavo informacij in krepitev zmogljivosti.
Certificiranje letalskih proizvodov
Kibernetska varnost se je v tem okviru sprva obravnavala za vsak primer posebej. Vložniki (organizacije, ki so želele certificirati zrakoplov) so morali oceniti morebitne učinke, ki bi jih grožnje za informacijsko varnost lahko imele na varnost sistemov in omrežij zrakoplova.
Ker so sistemi in deli zrakoplovov postajali vse bolj medsebojno povezani, je bilo več možnih poti napada. Grožnje torej ni bilo več mogoče obravnavati za vsak primer posebej, zato je bil potreben celosten pristop.
Agencija EASA je v ta namen vključila posebne zahteve za certificiranje zrakoplovov, ki določajo, da morajo biti letalska oprema, sistemi in omrežja, obravnavani ločeno in v povezavi z drugimi sistemi, zaščiteni pred namernimi nepooblaščenimi elektronskimi interakcijami, ki bi lahko imele škodljive učinke na varnost letala.
Tveganja za informacijsko varnost v organizacijah
Ker grožnje za informacijsko varnost niso omejene le na zasnovo zrakoplova, temveč vključujejo tudi ljudi in procese, je bil v letih 2022 in 2023 izdan nov sklop pravil, t. i. „del IS“, pri čemer IS pomeni „informacijsko varnost“ (vključuje Delegirano uredbo (EU) 2022/1645 in Izvedbeno uredbo (EU) 2023/203, če želite izvedeti več). Del IS določa zahteve za zaščito letalskega sistema pred tveganji za informacijsko varnost, ki bi lahko vplivala na varnost. Zajema sisteme informacijske in komunikacijske tehnologije ter podatke, ki jih odobrene organizacije in organi uporabljajo za namene civilnega letalstva. Za doseganje njegovega cilja so potrebni vzpostavitev, izvajanje in vzdrževanje sistema za upravljanje informacijske varnosti.
Izmenjava informacij
Tretji steber je izmenjava informacij, ki se trenutno izvaja v okviru dveh različnih tokov. Evropski center za kibernetsko varnost v letalstvu, ki ga sestavljajo deležniki iz industrije in organov, ter mreža kibernetskih analitikov, ki jo sestavljajo predstavniki držav članic. V teh skupnostih je bilo vzpostavljeno zaupanje med sodelujočimi organizacijami, kar omogoča izmenjavo znanja, kot so informacije o grožnjah v obliki poročil, opozoril o možnih grožnjah in spoznanj v okviru analize incidentov, ter spodbujanje sodelovanja med člani.
Krepitev zmogljivosti
Nenazadnje so dejavnosti za krepitev zmogljivosti pomemben del pristopa agencije EASA na področju kibernetske varnosti. Zaradi hitrega tehnološkega napredka je pomembno, da je skupina agencije EASA za kibernetsko varnost v koraku s časom. Zato je usposabljanje pomemben element dejavnosti skupine skupaj z raziskavami, ki imajo ključno vlogo pri razumevanju prihodnjih groženj in sprejetju proaktivnega stališča proti grožnjam za kibernetsko varnost.
Raziskovalni projekt Obzorje Evropa: CYBER – Aviation resilience – cybersecurity threat landscape (Odpornost letalstva – okolje kibernetskih groženj)
Agencija EASA je začela leta 2024 izvajati raziskovalni projekt o kibernetski odpornosti letalstva in okolju kibernetskih groženj. Cilj tega projekta je opredeliti grožnje za kibernetsko varnost, ki bi lahko negativno vplivale na varnost letalskih operacij. Agencija EASA želi s tem znanjem pomagati pri oblikovanju močnejšega in odpornejšega letalskega sistema za prihodnost.
Skupnost agencije EASA za kibernetsko varnost
Če želite spremljati navedene dejavnosti, je agencija EASA ustanovila skupnost za kibernetsko varnost, v okviru katere si izmenjujemo informacije o najrazličnejših temah, povezanih s kibernetsko varnostjo v letalstvu. Ne glede na to, ali ste navdušenec ali strokovnjak na tem področju, bomo veseli, če se nam pridružite in izmenjate mnenja o številnih zanimivih temah s področja kibernetske varnosti v letalstvu.
Nekaj opomb o vmešavanju v globalni satelitski navigacijski sistem (GNSS): motenje in slepljenje
Od februarja 2022 se je znatno povečala pogostost motenja in slepljenja globalnega satelitskega navigacijskega sistema (GNSS), zlasti na območjih v bližini konfliktnih območij in drugih občutljivih območjih, kot so Sredozemlje, Črno morje, Bližnji vzhod, Baltsko morje ter Arktika. Morda ste o tem celo zasledili kakšno novico. Ti incidenti prav tako spadajo na področje kibernetske varnosti v letalstvu.
Motenje se nanaša na namerno radiofrekvenčno vmešavanje, ki sprejemnikom GNSS preprečuje, da bi sledili satelitskim signalom, zaradi česar je sistem neučinkovit ali degradiran. Slepljenje vključuje oddajanje lažnih satelitskih signalov za zavajanje sprejemnikov GNSS, kar povzroči napačne podatke o položaju, navigaciji in času; tako lahko sistem pilotom sporoča, da letijo nad Parizom ob sedmih zjutraj, v resnici pa letijo nad Rimom sredi noči. Te motnje lahko povzročijo različne operativne izzive za zrakoplove in zemeljske sisteme, vendar nimajo vpliva na varnost letov. Agencija EASA nenehno spremlja ta pojav, da bo pripravljena svetovati vsem udeležencem v letalstvu, če bi se pojavili znaki, da bi to lahko vplivalo na varnost.