AerodromiAviokompanijeHelikopteriKontrola letenjaPredstavljamo

Zašto se CyberSecurity tek poslednjih godina pominje u vazduhoplovstvu?

Redakcija

CyberSecurity predstavlja sposobnost informacionog sistema da odoli kako slučajnim tako i namerno izazvanim akcijama koje kompromituju  dostupnost, autentičnost, integritet i povjerljivost podataka koji se čuvaju ili prenose preko tog sistema. Strogo gledano CyberSec je podskup informacione bezbjednosti koji se odnosi na “digitalne” informacije ali se često može vidjeti da se termin CyberSecurity koristi kao sinonim za informacionu bezbjednost.

U novije vrijeme Cyber bezbjednost je jedan od najkritičnijih faktora za funkcionisanje skoro svakog sistema i kompanije bilo da je u pitanju državna uprava, finansijsko-bankarski sektor ili vazduhoplovstvo. Svi ovi sistemi bili bi značajno ugroženi (operativno, ekonomski…) u slučaju nedostupnosti informacionog sistema ili nedovoljnog “povjerenja” u ispravan rad sistema i podataka koji se preko tog sistema prenose ili čuvaju. Dakle sve kompanije, pa i vazduhoplovne, su u istom loncu po pitanju Cyber bezbjednosti gde možda u vaduhoplovstvu nije toliko bitno ako je ugrožena povjerljivost koliko može biti opasno ako je ugrožen integritet, dok bi za neku drugu kompaniju “curenje” podataka moglo značiti i prekid poslovanja. Na primer, u vaduhoplovstvu nije od tolikog značaja ako neko može da vidi meteo izveštaj, ali jeste problem ukoliko neko u prenosu taj izveštaj izmjeni. Uvek kad govorimo na ovu temu sjetim se izreke koje se drže moje kolege inženjeri u vazduhoplovstvu – “bolje je da informacije uopšte nema nego da nije tačna.”

Cyber prijetnje mogu biti finansijski motivisane (pojedinci ili organizovane kriminalne grupe kojima je primarni cilj krađa novca),  sponzorisane od strane država (Cyber ratovanje) ili mogu biti vid aktivizma (hacktivists– grupe kojima nije osnovni cilj krađa novca već prije svega promocija svojih političkih i drugih ideja ili ubjeđenja).

Marko Džida (privatna arhiva)

Ovdje je bitno primetiti da su Cyber prijetnje u suštini asimetrične, pojedinac ili grupa sa relativno malim ulaganjima (npr. jedan laptop) može izazvati neuporedivo veću štetu i to bez obzira kolika su uložena sredstva u bezbjednost. Sistemi mogu biti jako dobro zaštićeni i uspešno odbijati napade ali od hiljadu ili milion napada dovoljno je da samo jedan bude uspješan i šteta je učinjena. Primer ovakvog napada jesu tzv. phishing mejlovi gde napadač šalje poruke na mnogo adresa u nadi da će se neko od korisnika “upecati” i ostaviti svoje podatke ukucavanjem ili samo klikom na link. Sigurno sam da smo svi mi već dobijali ovakve poruke bez obzira na primijenjene anti-spam i anti-phishing zaštite.

Vazduhoplovstvo takođe nije pošteđeno ovakvog vida napada te su zabilježeni phishing napadi na kompanije gdje su napadači slali mejl poruke predstavljajući se kao organ za naplatu preleta EUROCONTROL-a. Zahtjevali su “izmirenje obaveza” sa instukcijama za plaćanje, dali račun na koji sredstva treba da se uplate i vrlo kratak rok kako bi izmamili što ishitreniju reakciju. Kompanije koje su na ovaj način prevarene uglavnom su uspjevale preko banaka da povrate svoja sredstva. Naravno, ovakav napad nije imao direktan uticaj na bezbjednost vazdušne plovidbe. U poslednje vrijeme se čak i na popularnim portalima mogu naći video sadržaji koji prikazuju kako se može “poigravati” sa vazduhoplovnim sistemima. Važno je da javnost zna da veći dio takvih ideja u praksi nije baš realan, čak i izgleda previše “filmski”, ali uvjek postoji onaj mali dio koji ukazuje na potencijalno realne scenarije. Ovako nešto je samo razlog više za nas koji se bavimo poslovima zaštite sistema i uređaja da još više radimo na svojoj stručnosti, a i na informisanju vazduhoplovnih profesionalaca o značaju ovog vida zaštite.

Vazduhoplovstvo se dugo vremena nije u potrebnoj mjeri bavilo pitanjem Cyber bezbjednosti iz jednostavnog razloga – sistemi koji se koriste su potpuno odvojeni jedni od drugih, dokazali su se decenijskim pouzdanim radom, a komunikacione linije su im nezavisne. Takođe, procedure u vazduhoplovstvu nalažu da nije moguće izvršiti bilo kakve softverske izmjene bez prethodnog rigoroznog i dugotrajnog testiranja dok IT bezbjednost zahtjeva primjenu bezbjednosnih zakrpa što prije je to moguće. Koliko unapređenje zaštita mora biti trajan proces dokazuje i činjenica da je svakim danom sve veći spektar mogućnosti koje su nam na dohvat ruke, a sve to mora biti ispraćeno i adekvatnom zaštitom. Da vazduhoplovstvo više ne može i ne treba biti izolovano od ovakvih tema dokazuje jučerašnja vijest iz Rusije koja će interesovati sve one koji vole vazduhoplovstvo. Naime, Savezna agencija za vazdušni saobraćaj Ruske federacije je na zahtjev Kazanske helikopterske fabrike AD Kazanj, izdala odobrenje glavne promjene u standardnom dizajnu helikoptera ANSAT, koja podrazumijeva ugradnju satelitskog komunikacionog sistema MKu30. Zadatak ovog sistema je da putnicima ovog tipa helikoptera pruži širokopojasni pristup multimedijalnim Internet uslugama, a gdje je Internet tu su i potencijalne opasnosti. U svakom slučaju, siguran sam da su naše ruske kolege dovele do savršenstva bezbjednosni aspekt ovog segmenta unapređenja pomenutog tipa helikoptera i uvjek mi je drago kad vidim ovakvu vijest.

Inače, Syber Security je prepoznat kako od strane same industrije tako i od nacionalnih i međunarodnih regulatornih tela, pa se iz tog razloga na nacionalnom nivou donose zakoni i regulative u oblasti informacione bezbjednosti za sisteme od nacionalnog značaja gdje spadaju i vazduhoplovni činioci.

Same vazduhoplovne kompanije ulažu u podizanje nivoa Cyber bezbjednosti kroz više aspekata:

  • pravljenje odsjeka za Cyber bezbjednost,
  • implementaciju sistema po najboljoj praksi po pitanju Cyber prijetnji,
  • organizovanje SOC centara (Security Operations Center) koji ima zadatak aktivnog monitoringa, zaštite, detekcije i odgovora na Cyber incidente u mreži sistema koji su kritični,
  • razmena informacija o incidentima i prijetnjama sa međunarodnim i nacionalnim CERT-ovima (Computer Emergency Response Team),
  • organizovanja Cyber vježbi, kao i
  • podizanja svijesti svojih zaposlenih o Cyber bezbjednosti.

Kako vrijeme odmiče, svaka od ovih tačaka se više ne svrstava samo u preporuke – naprotiv. One ne samo da postaju obavezan dio prevencije eventualnih prijetnji, već se svaka od njih još više produbljuje i podiže na viši nivo.

Marko Džida
IT inženjer u vazduhoplovstvu – Certified Ethical Hacker

Eksperti EUROCONTROL-a iz oblasti Cybersecurity i Just Culture na IFATSEA ERM konferenciji u Budvi

Leave a Reply

Your email address will not be published. Required fields are marked *


The reCAPTCHA verification period has expired. Please reload the page.