Недавно опубликованный доклад Atlantic Council указывает на ключевые вопросы и проблемы, которые существенно влияют на уровень кибербезопасности в авиации. Хотя аналитики отмечают, что наблюдаются положительные тенденции, очевидны также слишком многие разрозненные действия и отсутствие сотрудничества между различными организациями, ответственными за эксплуатацию всей авиации.
Есть ли проблемы с кибербезопасностью? Достаточно просто посмотреть на новости за последние несколько месяцев. British Airways была оштрафована на 183 млн фунтов стерлингов за утечку данных в 2018 году, когда киберпреступники похитили около 500 000 личных данных пассажиров, используя фальшивый вебсайт. В том же 2018 году авиакомпания Cathay Pacific из Гонконга стала жертвой успешной кибератаки, которая привела к утечке персональных данных до 9,4 миллиона человек!
Это еще не все. Недавно Китаем была проведена обширная разведывательная акция с использованием хакеров, которая способствовала получению данных, использующихся, например, для создания пассажирского самолета C919.
Аэропорты также не являются полностью безопасными. Хотя в августе этого года было заявлено, что это «просто авария», у аэропортов США были серьезные проблемы с проверкой и отправкой пассажиров. К этому привел кратковременный сбой системы. Подобный опыт есть вышеупомянутой British Airways, которая пыталась оправдаться перед пассажирами ошибками в IT-системе.
И это только предпосылки того, что может вызвать крупномасштабная кибератака на перевозчиков, аэропорты и авиадиспетчерскую службу. Последствия таких действий трудно предсказать, но видение хаоса и некрологов, которые они бы принесли, должно заставить бодрствовать всех ответственных за безопасность авиационного рынка.
О докладе
Авторы доклада опирались на данные опросов 244 респондентов и информации, собранной в ходе интервью и экспертных семинаров с выдающимися специалистами в области виртуальной безопасности полетов.
Несмотря на технологическое развитие и растущие возможности, кибербезопасность остается одной из ключевых задач для всего сектора. Среди них можно подчеркнуть важность защиты систем и сетей, непосредственно связанных с полетами или широко используемых в отрасли информационных технологий (IT). Другая область касается взаимоотношений между поставщиками услуги товаров из авиационного сектора и потребителями.
Что не так?
«Управление кибербезопасностью в авиации требует принятия осознанного выбора, основанного на полном понимании риска», – говорится в отчете. По мнению респондентов, проблема обмена информацией между отдельными субъектами, работающими в отрасли, является проблематичной. Образно говоря, каждый сам заботится о собственной безопасности и не делится своими знаниями с остальными «игроками». Это вызывает отсутствие единой и всеобъемлющей политики защиты киберпространства в авиации.
В документе подчеркивается, что благодаря инновационным проектам и практике обучения авиационный сектор регулярно работает над совершенствованием навыков прогнозирования угроз или минимизации их последствий. Однако внедрение мер кибербезопасности в этот процесс все еще является серьезной проблемой для всех участников. Авторы отчета указывают, что эксплуатационная подготовка (предназначенная, среди прочего, для пилотов и авиадиспетчеров) в небольшой степени формирует способность распознавать и управлять киберинцидентами.
Поэтому в отчете выдвигается тезис о том, что в случае серьезной кибератаки может быть очень трудно справиться с этим. Более того, хакерские действия, направленные на целостность данных, могут значительно ослабить способность эксплуатантов безопасно выполнять свои задачи. Эти проблемы должны решаться на всех уровнях управления в секторе воздушного транспорта.
Рынок знает о проблеме
Такие выводы неизбежно встретили реакциею национальных органов и региональных властей, ответственных за авиационную безопасность. Петр Самсон, глава Управления гражданской авиации и новый генеральный директор Совета управляющих EASA, согласился с общим тезисом доклада и сказал, что самой большой проблемой для ULC и EASA является нехватка специалистов. Как известно, вся IT-индустрия растет астрономическими темпами, и непросто заинтересовать людей работой, например, в области авиационной безопасности.
Однако отрасль должна ответить на этот вызов, поскольку возможные последствия небрежности могут быть катастрофическими.
Андрей Бочкарев
