I takt med att världen blir alltmer digitaliserad och sammanlänkad ökar hotet mot cybersäkerheten. Experter på informationssäkerhet säger ofta att det inte är en fråga om ”om” utan snarare ”när” något kommer att bli måltavla för cyberbrottslingar. Luftfartsområdet är inte immunt mot sådana hot. Vissa hot mot informationssäkerheten kan leda till störningar i verksamheten eller påverka flygsäkerheten.
Easas uppdrag att garantera säkra flygresor i Europa (och världen) omfattar begränsning av informationssäkerhetsrisker. Enligt Europeiska unionens (EU:s) lagstiftningspaket ska informationssäkerhetsrisker identifieras, bedömas och behandlas på ett proportionellt sätt av organisationer som är verksamma i hela den civila luftfartens ekosystem, och sedan kontrolleras för att undvika negativa effekter på medborgarnas säkerhet. Detta ekosystem omfattar organisationer som arbetar med konstruktion, tillverkning, underhåll, drift och utbildning av luftfartyg samt all verksamhet som krävs för att garantera säker flygverksamhet.
Vilka är hoten mot luftfarten och var kommer de ifrån?
Luftfarten är ett ”system av system” som vid sidan av luftfartsprodukter och tillhörande teknik omfattar människor, processer och andra immateriella tillgångar som i sin tur är sårbara för hot mot informationssäkerheten.
Alla olika system är komplexa och i hög grad sammankopplade. Det finns otaliga attackvägar som kan leda till säkerhetsproblem, och luftfartyget är den sista försvarslinjen. Länkar mellan luftfartyg och mark (trådlösa eller ej), underhållskomponenter, industriella system och naturligtvis hela leveranskedjan är alla utsatta för potentiella hot. Dessa hot består av potentiella överträdelser som sker genom obehörig åtkomst eller användning, offentliggörande, störning, ändring och/eller förstörelse av information och informationssystem som används inom luftfartssystemet. Många attacker kan orsakas av oaktsamhet eller bristande medvetenhet hos de anställda.
Hoten kan komma från olika parter, däribland aktörer inom it-brottslighet, hacktivister och till och med statligt finansierade aktörer. Motiven till sådana attacker kan vara ekonomiska, politiska eller personliga, såsom strävan efter erkännande eller en känsla av att ha åstadkommit något.
Vilka sektorer inom luftfarten förefaller vara mest attraktiva för fientliga aktörer?
Baserat på de uppgifter som Easas enhet för underrättelser om cyberhot samlar in verkar flygplatser ha varit det vanligaste målet för cyberattacker under senare delen av 2024: över 50 procent riktade attacker mot luftfarten registrerades. Det rör sig i de flesta fall om överbelastningsattacker, som innebär att cyberbrottslingar överbelastar ett system med en stor mängd trafik för att få det att krascha. Detta kan kopplas till hacktivistisk aktivitet, som ofta underblåses av geopolitiska spänningar. Flygplatser ger hög synlighet när de utsätts för attacker, eftersom en incident får mycket märkbara konsekvenser. Det är enkelt att göra visuellt nyhetsmaterial av informationstavlor med inställda flygningar och missnöjda, försenade passagerare.
Flygoperatörer verkar vara det näst mest attraktiva målet för fientliga aktörer: omkring 25 procent av attackerna riktas mot flygbolag. Förutom överbelastningsattacker utsätts flygoperatörer också av attacker med utpressningsprogram (när cyberbrottslingar krypterar data och kräver en lösensumma för att dekryptera dem) samt dataintrång. Attackerna påverkar därför inte bara säkerheten utan även driftskontinuiteten och verksamheten.
De registrerade uppgifterna visar att andra drabbade sektorer är flygplanstillverkare och organisationer för underhåll, reparation och översyn samt statliga institutioner, som också drabbas av olika typer av cyberattacker dagligen.
Hur agerar Easa för att göra luftfarten mer motståndskraftig mot cyberattacker?
Easas strategi för cybersäkerhet inom luftfarten består av fyra pelare: certifiering av luftfartsprodukter, organisatoriska informationssäkerhetsrisker, informationsutbyte och kapacitetsuppbyggnad.
Certifiering av luftfartsprodukter
Till en början hanterades cybersäkerheten i detta sammanhang från fall till fall. Sökande (organisationer som ansöker om certifiering av ett luftfartyg) var tvungna att bedöma de potentiella effekter som hot mot informationssäkerheten skulle kunna ha på säkerheten i luftfartygets system och nätverk.
I takt med att luftfartygens system och delar blivit allt närmare kopplade till varandra har antalet attackvägar ökat. Hot kan därför inte längre hanteras från fall till fall, utan det krävs ett helhetsgrepp.
För detta ändamål har Easa infört särskilda krav för certifiering av flygplan som innebär att ”flygplansutrustning, system och nätverk, betraktade separat och i förhållande till andra system, måste skyddas avsiktliga otillåtna elektroniska ingrepp som kan leda till negativa effekter på flygplanets säkerhet”.
Organisatoriska informationssäkerhetsrisker
Eftersom hot mot informationssäkerheten inte enbart är begränsade till luftfartygets konstruktion utan även omfattar människor och processer offentliggjordes under 2022 och 2023 det nya regelverket Del-IS, där IS står för ”informationssäkerhet” (det består av delegerad förordning (EU) 2022/1645 och genomförandeförordning (EU) 2023/203, för den som vill veta mer). I Del-IS fastställs krav för att skydda luftfartssystemet från informationssäkerhetsrisker som kan påverka säkerheten. Del-IS omfattar informations- och kommunikationstekniksystem och data som används av godkända organisationer och myndigheter för civil luftfart. För att uppnå sitt mål kräver Del-IS att ett system för hantering av informationssäkerhet inrättas, implementeras och upprätthålls.
Informationsutbyte
Den tredje pelaren är informationsutbyte, som för närvarande genomförs genom två olika kanaler. Europeiska centrumet för cybersäkerhet inom luftfart, som består av intressenter både från industrin och myndigheter, och nätverket av cyberanalytiker, som består av företrädare för medlemsstaterna. Inom dessa samarbeten har det byggts upp ett förtroende mellan de deltagande organisationerna som gör det möjligt för dem att utbyta kunskap, till exempel underrättelserapporter om hot, varningar om möjliga hot och insikter från incidentanalyser, samt att främja samarbete mellan medlemmarna.
Kapacitetsuppbyggnad
Sist men inte minst är kapacitetsuppbyggande verksamhet en viktig del av Easas strategi för cybersäkerhet. Med tanke på den snabba tekniska utvecklingen är det viktigt att Easas cybersäkerhetsteam håller sig uppdaterat. Utbildning är därför en viktig del av teamets verksamhet, tillsammans med forskning, som spelar en nyckelroll för att förstå den framtida hotbilden och för att inta en proaktiv hållning mot cybersäkerhetshot.
Forskningsprojekt inom Horisont Europa: CYBER – luftfartens motståndskraft och hotbilden mot cybersäkerheten
Under 2024 lanserade Easa ett forskningsprojekt om luftfartens motståndskraft mot cybersäkerhetshot och hotbilden mot cybersäkerheten. Syftet med detta projekt är att identifiera cybersäkerhetshot som kan ha negativ inverkan på flygverksamhetens säkerhet. Med denna kunskap vill Easa bidra till att bygga ett starkare och mer motståndskraftigt luftfartssystem för framtiden.
Easas gemenskap för cybersäkerhet
Om du är intresserad av att följa alla aktiviteter ovan har Easa skapat en gemenskap för cybersäkerhet där vi delar information om det breda spektrum av ämnen som rör cybersäkerhet inom luftfarten. Oavsett om du är expert eller bara mycket intresserad av området vill vi gärna ha dig med för att diskutera flera intressanta ämnen som rör cybersäkerhet inom luftfarten.
Några kommentarer om GNSS-påverkan: störningar och spoofing
Sedan februari 2022 har det skett en märkbar ökning av störningar och spoofing av globala satellitnavigeringssystem (GNSS), särskilt i regioner kring konfliktzoner och andra känsliga områden som Medelhavet, Svarta havet, Mellanöstern, Östersjön och Arktis. Du kanske till och med har sett nyheter om det. Dessa incidenter är också en fråga för cybersäkerheten inom luftfarten.
Med störningar avses den avsiktliga radiofrekvenspåverkan som hindrar GNSS-mottagare från att följa satellitsignaler, vilket gör att systemet blir ineffektivt eller förstörs. Spoofing innebär utsändning av falska satellitsignaler för att lura GNSS-mottagare, vilket ger felaktiga positions-, navigerings- och tidsdata. Detta innebär att systemet kan säga till piloterna att de flyger över Paris klockan 7 på morgonen, när de i själva verket flyger över Rom på natten. Denna påverkan kan leda till olika operativa utmaningar för flygplan och marksystem, men flygsäkerheten har inte påverkats. Easa övervakar kontinuerligt fenomenet för att vara redo att ge råd till alla luftfartsaktörer om det finns tecken på att säkerheten kan påverkas.