Budou letadla dalším cílem kyberteroristů?

Během posledních dvou let byl zaznamenán rostoucí počet incidentů kybernetické bezpečnosti hlášených v letectví. Šéf evropských špičkových bezpečnostních agentur varoval, že počítačoví zločinci se mohou nabourat do kritických systémů na palubě letounu ze země.
Patrick Ky, ředitel Evropské agentury pro bezpečnost letectví (European Aviation Safety Agency - EASA) uvedl, že jeho organizace najala penetrační testery s cílem najít zneužitelné zranitelnosti v systému ACARS (Aircraft Communications Addressing and Reporting System), který slouží k přenosu informací mezi letadly a pozemními stanicemi. A výsledek byl skutečně varovný: tzv. etický hacker, či „bílý klobouk“, jak bývají tito lidé označováni, sám profesionální pilot, zvládl rozluštit systém zasílání zpráv během 5 minut. Bylo to pár dní předtím, než se stejnému konzultantovi podařilo získat přístup k řízení systémů letového provozu.
Podle zprávy z výzkumu provedeného loni Mezinárodní organizací pro civilní letectví (ICAO) jsou letecké navigační a další kontrolní systémy účinně odděleny od ne-kritických systémů, jako jsou např. infotainment systémy na palubě, takže riziko hackování kritických systémů je nízké. Ale odborníci toto tvrzení zpochybňují a varovali, že právě proto, že ACARS používá vlastní schéma kódování a dekódování, které se používá od roku 1978, a které nebylo navrženo s ohledem na soudobé kritické faktory kybernetické bezpečnosti, může být náchylné k útoku.
Dle Patricka Ky by příští generace systémů řízení letového provozu, jako výzkumný projekt ATM Jednotné evropské nebe či SESAR, bude potřebovat silnou ochranu. Se zavedením SESAR a možnosti, aby řízení letového provozu mohlo přímo zadávat pokyny řídicímu systému letadla, bude toto riziko znásobeno, a je proto nutno zavádět struktury, které umožní varovat letecké společnosti před kyberútoky. Organizace ESFA, zodpovídající za bezpečnost letadel, by také měla certifikovat, že i vybavení aerolinek je odolné proti hackingu.
Mike Westmacott, cyber konzultant společnosti Thales UK řekl, že je možné představit si úrovně rizika pro teoretické situace, a v případě, že penetrační tester (jako pilot) by byl schopen použít připojení, k němuž je omezený přístup (fyzicky - např. v kokpitu nebo sekcích pro letový personál), je riziko, že by byl schopen získat přístup k systému ACARS nižší, ale pokud by to bylo možné z palubní veřejné sítě wi-fi, nebo z jakéhokoli veřejného zařízení, pak je riziko značné. Pak letadlo, kde je odhalena takováto chyba, by pravděpodobně bylo okamžitě uzemněno.
„Už je dlouho známo, že hackeři mohou získat přístup k letadlu prostřednictvím komunikačního systému ACARS. V roce 2013 bylo prokázáno, že data ACARS mohla být zachycena a hackeři mohli sabotovat tento komunikační kanál prostřednictvím účelové aplikace pro Android, protože tento systém nemá žádné skutečné autentizační funkce pro ověření uživatele ani vestavěnou prevenci proti zfalšovaným příkazům," řekl Carl Herberger, který se stará o bezpečnostní řešení Radware, používané v US Air Force s tím, že kyberútok na letadlo by byl reálně možný. Dodal, že Boeing už varoval v tomto směru svou vládu v souvislosti se získáváním letové způsobilosti pro Boeing 777 s tím, že způsob, jakým je navržena palubní síť, neumožňuje zajistit dokonalou kybernetickou bezpečnost. „Bezpečnostní specialisté již dlouho chápou hrozbu, která je spojena s tzv. vestavěnými systémy vytvořenými pro moderní soudobou kritickou infrastrukturu - a letecký průmysl není výjimkou. Je třeba spolupráce mezi průmyslem, odborníky na bezpečnost, leteckými úřady a vládami, aby byly tyto systémy důsledně testovány a chráněny, ale především se řídily osvědčenými postupy pro detekci a zmírňování útoků do inženýrství, s cílem zajistit bezpečnost ještě dříve, než letadlo opustí rýsovací prkno," doplnil Carl Herberger.
 

Publikováno: 22. 2. 2016 | Počet zobrazení: 2030 420