航空業向其對手呈現的數字攻擊面以這種方式繼續增長,以至於既難以管理風險,也無法獲得對其的洞察力。隨著機器學習和第五代(5G)電信等新興技術的廣泛採用-以及垂直電動起降(eVTOL),自動駕駛飛機和更多空間的使用,航空網路安全風險管理正變得越來越複雜。
還記得航運巨頭馬士基在2017 年遭受NotPetya破壞程式感染時遭受了近10億美元的損失,馬士基甚至不是那次襲擊的目標。航空業會發生同樣的事情嗎?
終於可以,航空業已經開始意識到這一點。在馬士基(Maersk)襲擊中,生意受到打擊,而不只是船隻。正如安全研究人員克里斯·庫貝卡(Chris Kubeka)上個月報導的那樣,航空網路安全風險擴充套件到空中飛機。
過去的十年裡,航空業也收穫了數字化的好處。隨著飛機效率的提高和 新技術促進了乘客體驗的改善,我們必須承認相應的新風險,包括從未解決過的社會和技術漏洞。2017年,大西洋理事會發布了報告:《航空網路安全-尋找升力,最小化阻力》。該報告提高了人們對網路安全狀況的認識在航空業中,引發了關於網路安全與航空技術的公眾對話。這為航空界召集保護旅客的活動。從那時起,很明顯,識別和緩解航空中的網路空間漏洞將需要該生態系統中所有利益相關者的認同。兩年過去了,Thales很榮幸能夠繼續支援大西洋理事會以及這一旨在繪製地圖的重要舉措。關於這個多元化行業的網路安全的觀點,並強調了利益相關者之間日益增長的協作需求。
最終,航空網路安全還沒有萬靈丹,而面對航空網路風險將需要採取全球性的方法,跨安全性,安全性,網路安全性和企業IT工作。該報告及其隨附的全球調查大西洋理事會將增進我們對航空網路風險的整體瞭解,並推動整個航空界的有意義的參與航空界。擴大調查航空網路安全性的利益相關者社群的努力將提高我們的集體安全性,安全和彈性。當談到旅行者的信任時,我們所有人的實力都與我們當中最脆弱的人們一樣強大。它只有通過相互理解和合作,我們才能繼續相互挑戰,成長和提高。
大西洋理事會近日釋出了關於航空網路安全2019最新報告顯示,現代飛機是“在全球範圍內飛行的”飛行資料中心,但是航空業對如何保護旅客免受網路安全風險知之甚少。他們利用全球調查以及針對性的訪談和專家研討會,探討了航空網路安全的各種挑戰。
現在,在沒有完全瞭解風險的情況下,沒有緩解該風險的技術專長,並且沒有足夠的財務或監管激勵措施,該行業正步入未來,並希望當他們弄清楚問題時不會發生任何不好的事情。
如果航空業似乎不準備迎接這一挑戰,那麼新的報告將深入瞭解阻礙其發展的因素。
走向數字化的風險和回報
航空業已經超越安全領域,以獲取快速數字化帶來的效率提升,現在,它正擔負起責任,意識到安全問題隨時可能再次受到打擊,其後果包括陸基系統中斷,惡意軟體感染飛機,甚至在極不可能的範圍內,一次影響數百或數千架飛機。
某些人可能會說將模擬訊號拋在腦後是一個錯誤。但是,大西洋理事會的航空網路安全專家皮特·庫珀(Pete Cooper)告訴公民社會組織(CSO)指出,向數字化轉變帶來的效率提升不可低估,他指出飛機安全性隨著更精細的資料收集而得到了改善。他說:“例如,如果來自系統的資料意味著您根據其實際使用壽命而不是任意日期/時間對其進行服務,則可以大大減少工程停機時間。” “此外,如果該系統資料突然顯示出較高的磨損率(例如),那麼這意味著可以根據情況將其提早進行檢查。”
他指出,增加的資料收集還可以提高飛行路線的效率,減少飛行時間,減少燃油消耗和減少二氧化碳排放等。
但是,另一方面,也有可能發生災難性的網路安全事件。與模擬安全問題(例如零件磨損或程式錯誤導致飛行員錯誤)不同,安全問題(例如它們損壞的軟體)會擴充套件。只需一個漏洞即可使另一個Petya或NotPetya發生。
飛行安全與飛行網路安全
飛行仍然是最安全的旅行方式之一,這在很大程度上歸功於不斷努力改善航空安全。航空文化規範獎勵並激勵了舉報文化,最低階的機修工如果注意到潛在的安全問題,可以舉一個紅旗,阻止噴氣機起飛。
與經常報告安全漏洞的問題形成鮮明對比的是,羞恥,指責和不合格是常態。該報告強調了這個問題,並寫道:“在整個網路安全領域中,可以討論關於討論網路安全漏洞和超越敏感漏洞的挑戰的汙名仍然存在。”
可蠕蟲利用或後門軟體更新(例如啟動Petya蠕蟲的後門MeDoc軟體更新)可能會大規模地引起安全問題。尚不清楚航空業的傳統安全思想是否足以應對這一挑戰。
例如,該報告指出需要就航空網路安全威脅進行更多的資訊共享,承認存在類似馬士基的情景的風險,並且過分地觀察到“其他部門已經從單一漏洞和'可蠕蟲'式攻擊中看到了規模和成本。鑑於該部門的重要性,加上可能迅速擴大的破壞,要了解航空網路安全形勢,還有許多工作要做。”
該報告還呼喚人們日益增長的認識,即需要誠信安全研究人員,但弄清楚如何處理這些問題正在引起業界的震驚。報告指出:“堅信誠信的研究人員對航空業是一件積極的事情,但對指導意見,法律明確性和易受傷害性披露的看法仍然不清楚或難以駕馭。”
同時,繫緊安全帶並收起托盤桌。在到達我們都想去的地方之前,我們可能會遇到一些動盪。
《航空網路安全:應對挑戰》報告:
作者:皮特·庫珀(Pete Cooper)與西蒙·漢德(Simon Handler)和薩法·沙萬(Safa Shahwan)
https://www.atlanticcouncil.org/wp-content/uploads/2019/12/AVIATION-CYBERSECURITY-12-19-.pdf
混跡安全圈,每日必看!
掃碼關注我們 :)